NGHIÊN CỨU HỆ THỐNG BẢO MẬT CỦA MẠNG CỤC BỘ LAN

Ngày nay, tất cả các nước trên thế giới đều đang dành sự đầu tư rất to lơn để phát triển công nghệ thông tin. Cùng với viễn thông, tin học là một thành phần cốt lõi của công nghệ thông tin. Thuật ngữ “mạng máy tính” đã trở nên quen thuộc và trở thành đối tượng nghiên cứu, ứng dụng của rất nhiều người có nghề nghiệp và phạm vi hoạt động khác nhau. Từ khi ra đời, mạng máy tính đã đáp ứng nhu cầu chia sẻ nguồn tài nguyên, giảm chi phí khi muốn trao đổi dữ liệu và được sử dụng trong công tác văn phòng một cách rất tiện lợi. Đến nay, do sự phát triển của xã hội, nhu cầu trao đổi thông tin ngày một nhiều, vì vậy mạng máy tính không ngừng phát triển, không ngừng tối ưu hoá các dịch vụ để đáp ứng yêu cầu đó. Trong những năm gần đây, internet đã trở thành một công cụ rất thuận tiện và phổ biến trong các hoạt động kinh doanh và giải trí. Trong môi trường mạng, một lượng thông tin hay một khối dữ liệu đi từ người gửi đến người nhận thường phải qua nhiều nút với sử dụng khác nhau, không có ai có thể đảm bảo rằng thông tin không bị sao chép, đánh cắp hay xuyên tạc. Do đó việc xây dựng và hoạch định ra một chính sách, triển khai xây dựng hệ thống mạng một cách an toàn nhằm tạo ra một môi trường mạng “trong sạch” đang là một vấn đề được rất nhiều tổ chức, doanh nghiệp, quốc gia quan tâm. Để làm được điều này, các cơ quan tổ chức cần phải xây dựng cho mình một chính sách bảo vệ môi trường mạng của mình một cách thiết thực nhất. Dựa trên những yêu cầu đặt ra ban đầu, thông qua những hiểu biết về việc cấu hình thiết bị mạng, phối kết hợp chúng để chúng phát huy được những điểm mạnh sẵn có và khắc phục được các điểm yếu cho nhau nhằm đạt được mục tiêu chính là bảo vệ an toàn cho hệ thống mạng đó. Với đồ án tốt nghiệp đề tài: ”Nghiên cứu hệ thống bảo mật mạng cục bộ LAN”, em muốn nêu lên một số phương pháp giúp cho người quản trị mạng có thể triển khai để bảo vệ mạng trước những tấn công và truy nhập trái phép.

Chuyên đề

‘‘ NGHIÊN CỨU HỆ THỐNG BẢO MẬT CỦA MẠNG CỤC BỘ LAN ’’

Giáo viên hướng dẫn : Phạm Minh HoànSinh viên thực hiện : Hoàng Thị LanLớp :Công nghệ thông tin 49aTrường đại học kinh tế quốc dân

MỤC LỤC

LỜI NÓI ĐẦU 1

CHƯƠNG I KHẢO SÁT THỰC TRẠNG AN NINH MẠNG “LAN” HIỆN NAY 3

1.Tìm hiểu về an ninh mạng hiện nay 3

1.1 Nguồn gốc của sự tấn công an ninh mạng 3

1.2.Sự phát triển của tấn công an ninh mạng 3

2.Một số lỗ hổng mạng hiện nay 4

3.Tìm hiểu một số phương thức tấn công mạng hiện nay 6

A.Scanner 6

B.Password Cracker 7

C.Sniffer 7

D.Trojans 8

CHƯƠNG II TÌM HIỂU VỀ CÁC GIAO THỨC MẠNG 10

1.Network Protocol - giao thức mạng là gì ? 10

2 Tìm hiểu về một số giao thức dùng trong mạng máy tính 10

2.1.Giao thức TCP/IP 10

A,Giao thức IP 10

B,Giao thức điều khiển truyền dữ liệu TCP 15

C,Các bước thực hiện để thiết lập một liên kết TCP/IP 16

D,Các bước thực hiện khi truyền và nhận dữ liệu 18

E,Các bước thực hiện khi đóng một liên kết TCP/IP 19

F, Một số hàm khác của TCP 19

G,Giao thức UDP (User Datagram Protocol) 20

2.2.Giao thức Netware 22

A,Khái quát về Netware 22

B,Những giao thức chính của Netware 23

2.3.Bộ giao thức Apple Talk 24

A,Tìm hiểu về Apple talk 24

B,Các giao thức chính của mạng AppleTalk 26

2.4.Bộ giao thức SNA 28

A,Giới thiệu về mô hình SNA 28

B,Các giao thức chính của mạng SNA 29

2.5.Giao thức SLIP và PPP 30

A,Giao thức truy nhập từ xa (SLIP) 30

B,Giao thức PPP (Point-to-Point Protocol) 30

CHƯƠNG II PHƯƠNG PHÁP BẢO MẬT MẠNG “LAN” 35

1.Sơ lược về mạng LAN 35

1.1.Mạng LAN là gì ? 35

1.2.Ưu điểm của mạng LAN 35

1.3.Cách thức hoạt động của mạng LAN 35

1.4.Các kiểu mạng LAN 36

1.5.Một số giao thức dùng trong mạng LAN 38

1.6.Chuẩn của mạng LAN 39

2 Một số phương pháp bảo mật mạng LAN 40

2.1 Tường lửa 40

A,Packet filtering firewall 43

B,Application layer gateways 45

C,Stateful inspection 46

D,Một số mô hình mạng được triển khai bằng firewall 46

2.2.Switch 48

A,Mật khẩu truy nhập và cổng bảo vệ 48

B,Mạng riêng ảo (VLAN) 50

2.3.Router 54

A,ACLs 54

B,Mật khẩu truy nhập 56

2.4.Thiết bị phát hiện xâm nhập hệ thống 57

A,Network-based IDSs 58

B,Host-base IDSs 59

C,Application-base IDSs 60

CHƯƠNG III LẬP TRÌNH MÔ PHỎNG HỆ THỐNG BẢO MẬT MẠNG CỤC BỘ “LAN” 61

1.Thiết kế mạng LAN 61

A, Lớp 1 62

B, Lớp 2 63

C, Lớp 3 63

1.2.Thiết kế mạng LAN 64

2 Mô phỏng hệ thống mạng LAN chưa bảo mật 64

2.1 Tạo máy ảo trong Vmware 66

2.2 Tạo router ảo trong GNS3 75

2.3 Mô phỏng tấn công Sniff vào mạng LAN 81

3 Tìm hiểu phương thức tấn công Sniff 92

3.1.Sniff là gì ? 92

3.2.Sniffer được sử dụng như thế nào ? 92

3.3.Quá trình Sniffer được diễn ra như thế nào ? 94

4 Phát hiện và phòng chống sniffer trong mạng LAN 94

4.1 Vô hiệu hóa NetBIOS 94

4.2 Khóa cứng bảng ARP 97

5 Demo cấu hình bảo mật cho mạng LAN bằng phương pháp static cho router 98

Phần 1 : Thiết kế mô hình mạng LAN mô phỏng qua phần mềm Packet Tracer 98

A.Cấu hình cho các router trong mạng LAN 100

B Cấu hình địa chỉ IP cho các PC trong mạng LAN 101

Phần 2 Cấu hình statics cho các router trong mạng LAN 103

KẾT LUẬN 107

Trang web tham khảo : 109

LỜI NÓI ĐẦU

Ngày nay, tất cả các nước trên thế giới đều đang dành sự đầu tư rất tolơn để phát triển công nghệ thông tin Cùng với viễn thông, tin học là mộtthành phần cốt lõi của công nghệ thông tin Thuật ngữ “mạng máy tính” đãtrở nên quen thuộc và trở thành đối tượng nghiên cứu, ứng dụng của rất nhiềungười có nghề nghiệp và phạm vi hoạt động khác nhau

Từ khi ra đời, mạng máy tính đã đáp ứng nhu cầu chia sẻ nguồn tàinguyên, giảm chi phí khi muốn trao đổi dữ liệu và được sử dụng trong côngtác văn phòng một cách rất tiện lợi Đến nay, do sự phát triển của xã hội, nhucầu trao đổi thông tin ngày một nhiều, vì vậy mạng máy tính không ngừngphát triển, không ngừng tối ưu hoá các dịch vụ để đáp ứng yêu cầu đó Trongnhững năm gần đây, internet đã trở thành một công cụ rất thuận tiện và phổbiến trong các hoạt động kinh doanh và giải trí

Trong môi trường mạng, một lượng thông tin hay một khối dữ liệu đi từngười gửi đến người nhận thường phải qua nhiều nút với sử dụng khác nhau,không có ai có thể đảm bảo rằng thông tin không bị sao chép, đánh cắp hayxuyên tạc Do đó việc xây dựng và hoạch định ra một chính sách, triển khaixây dựng hệ thống mạng một cách an toàn nhằm tạo ra một môi trường mạng

“trong sạch” đang là một vấn đề được rất nhiều tổ chức, doanh nghiệp, quốcgia quan tâm Để làm được điều này, các cơ quan tổ chức cần phải xây dựngcho mình một chính sách bảo vệ môi trường mạng của mình một cách thiếtthực nhất Dựa trên những yêu cầu đặt ra ban đầu, thông qua những hiểu biết

về việc cấu hình thiết bị mạng, phối kết hợp chúng để chúng phát huy đượcnhững điểm mạnh sẵn có và khắc phục được các điểm yếu cho nhau nhằm đạtđược mục tiêu chính là bảo vệ an toàn cho hệ thống mạng đó

Với đồ án tốt nghiệp đề tài: ”Nghiên cứu hệ thống bảo mật mạng cục

bộ LAN”, em muốn nêu lên một số phương pháp giúp cho người quản trịmạng có thể triển khai để bảo vệ mạng trước những tấn công và truy nhập tráiphép

Nội dung đồ án được chia thành các chương sau:

CHƯƠNG I KHẢO SÁT THỰC TRẠNG AN NINH MẠNG “LAN” HIỆNNAY

CHƯƠNG II TÌM HIỂU VỀ CÁC GIAO THỨC MẠNG

CHƯƠNG III PHƯƠNG PHÁP BẢO MẬT MẠNG “LAN”

CHƯƠNG IV MÔ PHỎNG HỆ THỐNG BẢO MẬT MẠNG “LAN”

CHƯƠNG I KHẢO SÁT THỰC TRẠNG AN NINH MẠNG

“LAN” HIỆN NAY

1.Tìm hiểu về an ninh mạng hiện nay

1.1 Nguồn gốc của sự tấn công an ninh mạng

Ngày nay cùng với sự phát triển mạnh mẽ của công nghệ thông tin, các

mô hình mạng cũng có xu hướng ngày càng được nâng cấp để có thể pháttriển song hành cùng với những tiến bộ không ngừng của những công nghệmới Nhưng sự phát triển này cũng mang theo nó rất nhiều phiền toái, bởicùng với sự phát triển về công nghệ bảo mật thì những kẻ phá hoại trên mạngcũng không ngừng nâng cao tay nghề phá hoại của mình, và kĩ thuật màchúng sử dụng ngày càng tinh vi, xảo quyệt hơn

Tuy nhiên, không phải bất cứ khi nào muốn những kẻ xấu cũng cóthể thực hiện được mục đích của mình Chúng cần phải có thời gian, những

sơ hở, yếu kém của chính những hệ thống bảo vệ an ninh mạng Và đểthực hiện được điều đó, chúng cũng phải có trí tuệ thông minh cộng với

cả một chuỗi dài kinh nghiệm Còn để xây dựng được các biện pháp đảmbảo an ninh, đòi hỏi ở người xây dựng cũng không kém về trí tuệ và kinhnghiệm thực tiễn Như thế, cả hai mặt tích cực và tiêu cực ấy đều đượcthực hiện bởi bàn tay khối óc của con người, không có máy móc nào cóthể thay thế được Vậy, vấn đề an ninh an toàn mạng máy tính hoàn toànmang tính con người

1.2.Sự phát triển của tấn công an ninh mạng

Ban đầu, những trò phá hoại chỉ mang tính chất là trò chơi củanhững người có trí tuệ không nhằm mục đích vụ lợi, xấu xa Tuy nhiên,khi mạng máy tính trở nên phổ dụng, có sự kết nối của nhiều tổ chức, công

ty, cá nhân với nhiều thông tin bí mật, thì những trò phá hoại ấy lại khôngngừng gia tăng Sự phá hoại ấy đã gây ra nhiều hậu quả nghiêm trọng, nó

đã trở thành một loại tội phạm Theo số liệu thống kê của CERT(Computer Emegency Response Team) thì số lượng các vụ tấn công trên

khoảng 400 vào năm 1991, 1400 năm 1993 và 2241 năm 1994 Những vụtấn công này nhằm vào tất cả các máy tính có mặt trên Internet, từ các máytính của các công ty lớn như AT & T, IBM, các trường đại học, các cơquan nhà nước, các nhà băng Những con số đưa ra này, trên thực tế chỉ

là phần nổi của tảng băng Một phần lớn các vụ tấn công không đượcthông báo vì nhiều lý do khác nhau, như sự mất uy tín, hoặc chỉ đơn giản

là họ không hề biết mình bị tấn công

Thực tế, đe doạ an ninh không chỉ ở bên ngoài tổ chức, mà bêntrong tổ chức vấn đề cũng hết sức nghiêm trọng Đe doạ bên trong tổ chứcxẩy ra lớn hơn bên ngoài, nguyên nhân chính là do các nhân viên cóquyền truy nhập hệ thống gây ra Vì họ có quyền truy nhập hệ thống nên

họ có thể tìm được các điểm yếu của hệ thống, hoặc vô tình họ cũng cóthể phá hủy hay tạo cơ hội cho những kẻ khác xâm nhập hệ thống Vànguy hiểm hơn, một khi họ là kẻ bất mãn hay phản bội thì hậu quả khôngthể lường trước được

Tóm lại, vấn đề an ninh an toàn mạng máy tính hoàn toàn là vấn

đề con người và không ngừng gia tăng, nó có thể bị đe doạ từ bên ngoàihoặc bên trong tổ chức Vấn đề này đã trở thành mối lo ngại lớn cho bất kìchủ thể nào tham gia vào mạng máy tính toàn cầu Và như vậy, để đảmbảo việc trao đổi thông tin an toàn và an ninh cho mạng máy tính, buộccác tổ chức đó phải triển khai các biện pháp bảo vệ đảm bảo an ninh, màtrước hết là cho chính mình

DoS là hình thức tấn công sử dụng các giao thức ở tầng Internettrong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng

từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống

Các dịch vụ có lỗ hổng cho phép các cuộc tấn công DoS có thể được

nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cungcấp dịch vụ Hiện nay chưa có một biện pháp hữu hiệu nào để khắc phụctình trạng tấn công kiểu này vì bản thân thiết kế ở tầng Internet (IP) nóiriêng và bộ giao thức TCP/IP nói chung đã ẩn chứa những nguy cơ tiềmtang của các lỗ hổng loại này.

Lỗ hổng loại B : Cho phép người sử dụng có thêm các quyền trên hệthống mà không cần kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầucần bảo mật Lỗ hổng này thường có trong các ứng dụng trên hệ thống Cómức độ nguy hiểm trung bình

Lỗ hổng loại B này có mức độ nguy hiểm hơn lỗ hổng loại C Chophép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truynhập không hợp pháp.Những lỗ hổng loại này thường xuất hiện trong cácdịch vụ trên hệ thống Người sử dụng local được hiểu là người đã cóquyền truy nhập vào hệ thống với một số quyền hạn nhất định

Một dạng khác của lỗ hổng loại B xảy ra với các chương trình viếtbằng mã nguồn C Những chương trình viết bằng mã nguồn C thường sửdụng một vùng đệm, một vùng trong bộ nhớ sử dụng để lưu trữ dữ liệutrước khi xử lý Người lập trình thường sử dụng vùng đệm trong bộ nhớtrước khi gán một khoảng không gian bộ nhớ cho từng khối dữ liệu Ví

dụ khi viết chương trình nhập trường tên người sử dụng quy định trườngnày dài 20 ký tự bằng khai báo:

Char first_name [20]; Khai báo này cho phép người sử dụng nhập tối

đa 20 ký tự Khi nhập dữ liệu ban đầu dữ liệu được lưu ở vùng đệm Khingười sử dụng nhập nhiều hơn 20 ký tự sẽ tràn vùng đệm Những ký tựnhập thừa sẽ nằm ngoài vùng đệm khiến ta không thể kiểm soát được.Nhưng đối với những kẻ tấn công chúng có thể lợi dụng những lỗ hổngnày để nhập vào những ký tự đặc biệt để thực thi một số lệnh đặc biệt trên

hệ thống Thông thường những lỗ hổng này được lợi dụng bởi những người

sử dụng trên hệ thống để đạt được quyền root không hợp lệ Để hạn chếđược các lỗ hổng loại B phải kiêm soát chặt chẽ cấu hình hệ thống và cácchương trình

Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập

bất hợp pháp vào hệ thống Có thể làm phá huỷ toàn bộ hệ thống Loại lỗhổng này có mức độ rất nguy hiểm đe dọa tính toàn vẹn và bảo mật của hệthống Các lỗ hổng này thường xuất hiện ở những hệ thống quản trị yếukém hoặc không kiểm soát được cấu hình mạng

Ví dụ với các web server chạy trên hệ điều hành Novell các server này

có một scripst là convert.bas chạy scripst này cho phép đọc toàn bộ nộidung các file trên hệ thống

Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn cótrên phần mềm sử dụng, người quản trị nếu không hiểu sâu về dịch vụ vàphần mềm sử dụng có thể bỏ qua điểm yếu này Vì vậy thường xuyên phảikiểm tra các thông báo của các nhóm tin về bảo mật trên mạng để phát hiệnnhững lỗ hổng loại này Một loạt các chương trình phiên bản cũ thường sửdụng có những lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP,finger

3.Tìm hiểu một số phương thức tấn công mạng hiện nay

A.Scanner

Scanner là một trương trình tự động rà soát và phát hiện những điểm yếu về bảo mật trên một trạm làm việc cục bộ hoặc một trạm ở xa Một kẻ phá hoại sử dụng chương trình Scanner có thể phát hiện ra những lỗ hổng vềbảo mật trên một Server dù ở xa

Cơ chế hoạt động là rà soát và phát hiện những cổng TCP/UDPđược sủ dụng trên hệ thống cần tấn công và các dịch vụ sử dụng trên hệthống đó Scanner ghi lại những đáp ứng trên hệ thống từ xa tương ứng vớidịch vụ mà nó phát hiện ra Từ đó nó có thể tìm ra điêm yếu của hệ thống

Những yếu tố để một Scanner hoạt động như sau:

Yêu cầu thiết bị và hệ thống:

 Môi trường có hỗ trợ TCP/IP

 Hệ thống phải kết nối vào mạng Internet

Các chương trình Scanner có vai trò quan trọng trong một hệ thốngbảo mật, vì chúng có khả năng phát hiện ra những điểm yếu kém trên

một hệ thống mạng.

B.Password Cracker

Là một chương trình có khả năng giải mã một mật khẩu đã được

mã hoá hoặc có thể vô hiệu hoá chức năng bảo vệ mật khẩu của một hệthống

Một số chương trình phá khoá có nguyên tắc hoạt động khác nhau.Một số chương trình tạo ra danh sách các từ giới hạn, áp dụng một số thuậttoán mã hoá từ kết quả so sánh với Password đã mã hoá cần bẻ khoá để tạo

ra một danh sách khác theo một logic của chương trình

Khi thấy phù hợp với mật khẩu đã mã hoá, kẻ phá hoại đã có đượcmật khẩu dưới dạng text Mật khẩu text thông thường sẽ được ghi vào mộtfile

Biện pháp khắc phục đối với cách thức phá hoại này là cần xâydựng một chính sách bảo vệ mật khẩu đúng đắn

Mục đích của các chương trình sniffer đó là thiết lập chế độpromiscuous (mode dùng chung) trên các card mạng ethernet - nơi cácgói tin trao đổi trong mạng - từ đó "bắt" được thông tin

Các thiết bị sniffer có thể bắt được toàn bộ thông tin trao đổi trênmạng là dựa vào nguyên tắc broadcast (quảng bá) các gọi tin trong mạngEthernet

Tuy nhiên việc thiết lập một hệ thống sniffer không phải đơn giản

vì cần phải xâm nhập được vào hệ thống mạng đó và cài đặt các phần mềmsniffer

Đồng thời các chương trình sniffer cũng yêu cầu người sử dụng

Việc phát hiện hệ thống bị sniffer không phải đơn giản, vì snifferhoạt động ở tầng rất thấp, và không ảnh hưởng tới các ứng dụng cũngnhư các dịch vụ hệ thống đó cung cấp.

Tuy nhiên việc xây dựng các biện pháp hạn chế sniffer cũng khôngquá khó khăn nếu ta tuân thủ các nguyên tắc về bảo mật như:

 Không cho người lạ truy nhập vào các thiết bị trên hệ thống

Ví dụ như các chương trình virus là loại điển hình của Trojans.Những chương trình virus thường che dấu các đoạn mã trong các chươngtrình sử dụng hợp pháp Khi những chương trình này được kích hoạt thìnhững đoạn mã ẩn dấu sẽ thực thi và chúng thực hiện một số chức năng

mà người sử dụng không biết như: ăn cắp mật khẩu hoặc copy file màngười sử dụng như ta thường không hay biết

Một chương trình Trojans sẽ thực hiện một trong những công việc sau:

 Thực hiện một vài chức năng hoặc giúp người lập trình lên nóphát hiện những thông tin quan trọng hoặc những thông tin cá nhântrên một hệ thống hoặc chỉ trên một vài thành phần của hệ thống đó

 Che dấu một vài chức năng hoặc là giúp người lập trình phát hiệnnhững thông tin quan trọng hoặc những thông tin cá nhân trên một

hệ thống hoặc chỉ trên một vài thành phần của hệ thống

Ngoài ra còn có các chương trình Trojan có thể thực hiện đựợc cảhai chức năng này Có chương trình Trojan còn có thể phá hủy hệ thốngbằng cách phá hoại các thông tin trên ổ cứng Nhưng ngày nay các Trojanskiểu này dễ dàng bị phát hiện và khó phát huy được tác dụng

Tuy nhiên có những trường hợp nghiêm trọng hơn những kẻ tấn công tạo ra những lỗ hổng bảo mật thông qua Trojans và kẻ tấn công lấy được quyền root trên hệ thống và lợi dụng quyền đó để phá hủy một phần hoặc toàn bộ hệ thống hoặc dùng quyền root để thay đổi logfile, cài đặt các chương trình trojans khác mà người quản trị không thể phát hiện được gây ra mức độ ảnh hưởng rất nghiêm trọng và người quản trị chỉ còncách cài đặt lại toàn bộ hệ thống.

Trên cơ sở phân tích thực trạng an ninh mạng vừa nêu, trong chương tiếp theo em tìm hiểu về các giao thức dùng trong mạng máy tính hiện nay Từ các kiến thức đó ta sẽ có phương hướng xây dựng hệ thống mạng có cơ chế bảo mật hiệu quả

CHƯƠNG II TÌM HIỂU VỀ CÁC GIAO THỨC MẠNG

1.Network Protocol - giao thức mạng là gì ?

Mạng máy tính được thiết kế và xây dựng dựa trên bộ các chỉ số kỹthuật Các chỉ số kỹ thuật này được gọi là các giao thức Mỗi giao thức(protocol) được xây dựng dựa trên nhưng nguyên tắc, qui ước và các chuẩn

đã được đặt ra từ trước Bộ giao thức (Protocol suite) chỉ rõ một nhóm cácchỉ số kỹ thuật phải cùng được sử dụng với nhau, và chuỗi giao thức(Protocol stack) là một bộ giao thức được sắp xếp theo một trật tự logicphân cấp

Trong phần này chúng ta sẽ tìm hiểu về những chuỗi giao thức phổbiến Mỗi chuỗi có thể có hàng chục giao thức, tuy nhiên chúng ta sẽ chỉtìm hiểu về những giao thức cơ bản nhất và các chức năng của nó

Thông thường các tổ chức tiêu chuẩn mạng và các nhà cung cấp tạo

ra các giao thức Khi một giao thức được thiết lập, các nhà cung cấp phần cứng và phần mềm sẽ tạo ra các sản phẩm tuân theo các chỉ định kỹ thuật của các giao thức này

Các giao thức và việc thực thi giao thức thông thường không phải lúc nào cũng phù hợp hoàn toàn với các khái niệm do mô hình OSI cung cấp Có thể sử dụng các giao thức không hợp chuẩn OSI nhưng như vậy sẽ đem lại khó khăn trong việc kết nốicác thiết bị

Sau đây chúng ta sẽ đi sâu hơn về các giao thức mạng thông dụng

2 Tìm hiểu về một số giao thức dùng trong mạng máy tính

2.1.Giao thức TCP/IP

A,Giao thức IP

Một giao thức truyền thông được phát triển theo đơn đặt hàng của BộQuốc Phòng Mỹ để kết nối các hệ thống mạng khác nhau Được phát minhbởi Vinton Cerf (được xem là "ông tổ" của mạng Internet) và Bob Kahn.Đây chính là giao thức chủ chốt của các mạng Unix và các mạng sử dụng

hệ điều hành Windows của MicroSoft Ngày nay nó trở nên giao thức tiêuchuẩn toàn cầu dùng để kết nối rất nhiều hệ thống khác nhau, nhiều thiết bịkhác nhau và hỗ trợ truyền tải nhiều loại thông tin khác nhau (dữ liệu, hìnhảnh, âm thanh, phim ) đó chính là giao thức chính của mạng Internet.

Hiện nay các máy tính của hầu hết các mạng có thể sử dụng giaothức TCP/IP để liên kết với nhau thông qua nhiều hệ thống mạng với kỹthuật khác nhau Giao thức TCP/IP thực chất là một họ giao thức cho phépcác hệ thống mạng cùng làm việc với nhau thông qua việc cung cấpphương tiện truyền thông liên mạng

a Tổng quát

Nhiệm vụ chính của giao thức IP là cung cấp khả năng kết nốicác mạng con thành liên kết mạng để truyền dữ liệu, vai trò của IP làvai trò của giao thức tầng mạng trong mô hình OSI Giao thức IP làmột giao thức kiểu không liên kết (connectionlees) có nghĩa là khôngcần có giai đoạn thiết lập liên kết trước khi truyền dữ liệu

Sơ đồ địa chỉ hóa để định danh các trạm (host) trong liên mạngđược gọi là địa chỉ IP 32 bits (32 bit IP address) Mỗi giao diện trong

1 máy có hỗ trợ giao thức IP đều phải được gán 1 địa chỉ IP (mộtmáy tính có thể gắn với nhiều mạng do vậy có thể có nhiều địa chỉIP) Địa chỉ IP gồm 2 phần: địa chỉ mạng (netid) và địa chỉ máy(hostid) Mỗi địa chỉ IP có độ dài 32 bits được tách thành 4 vùng(mỗi vùng 1 byte), có thể biểu thị dưới dạng thập phân, bát phân,thập lục phân hay nhị phân Cách viết phổ biến nhất là dùng ký phápthập phân có dấu chấm (dotted decimal notation) để tách các vùng.Mục đích của địa chỉ IP là để định danh duy nhất cho một máy tínhbất kỳ trên liên mạng

Do tổ chức và độ lớn của các mạng con (subnet) của liên mạng

có thể khác nhau, người ta chia các địa chỉ IP thành 5 lớp, ký hiệu là

A, B, C, D và E Trong lớp A, B, C chứa địa chỉ có thể gán được.Lớp D dành riêng cho lớp kỹ thuật multicasting Lớp E được dànhnhững ứng dụng trong tương lai

Netid trong địa chỉ mạng dùng để nhận dạng từng mạng riêngbiệt Các mạng liên kết phải có địa chỉ mạng (netid) riêng cho mỗimạng Ở đây các bit đầu tiên của byte đầu tiên được dùng để địnhdanh lớp địa chỉ (0 - lớp A, 10 - lớp B, 110 - lớp C, 1110 - lớp D và

11110 - lớp E)

Ở đây ta xét cấu trúc của các lớp địa chỉ có thể gán được là lớp

A, lớp B, lớp C

Cấu trúc của các địa chỉ IP như sau:

Mạng lớp A: địa chỉ mạng (netid) là 1 Byte và địa chỉ host(hostid) là 3 byte

Mạng lớp B: địa chỉ mạng (netid) là 2 Byte và địa chỉ host(hostid) là 2 byte

Mạng lớp C: địa chỉ mạng (netid) là 3 Byte và địa chỉ host(hostid) là 1 byte

Lớp A cho phép định danh tới 126 mạng, với tối đa 16 triệu host trênmỗi mạng Lớp này được dùng cho các mạng có số trạm cực lớn.Lớp B cho phép định danh tới 16384 mạng, với tối đa 65534 hosttrên mỗi mạng

Lớp C cho phép định danh tới 2 triệu mạng, với tối đa 254 host trênmỗi mạng Lớp này được dùng cho các mạng có ít trạm

Hình 1.0.1 Cấu trúc các lớp địa chỉ IPMột số địa chỉ có tính chất đặc biệt: Một địa chỉ có hostid = 0được dùng để hướng tới mạng định danh bởi vùng netid Ngược lại,một địa chỉ có vùng hostid gồm toàn số 1 được dùng để hướng tới tất

cả các host nối vào mạng netid, và nếu vùng netid cũng gồm toàn số

1 thì nó hướng tới tất cả các host trong liên mạng

Hình 1.0.2 Ví dụ cấu trúc các lớp địa chỉ IPCần lưu ý rằng các địa chỉ IP được dùng để định danh các host

và mạng ở tầng mạng của mô hình OSI, và chúng không phải là cácđịa chỉ vật lý (hay địa chỉ MAC) của các trạm trên đó một mạng cục

bộ (Ethernet, Token Ring.)

Trong nhiều trường hợp, một mạng có thể được chia thànhnhiều mạng con (subnet), lúc đó có thể đưa thêm các vùng subnetid

để định danh các mạng con Vùng subnetid được lấy từ vùng hostid,

cụ thể đối với lớp A, B, C như ví dụ sau:

Hình 1.0.3 Ví dụ địa chỉ khi bổ sung vùng subnetipĐơn vị dữ liệu dùng trong IP được gọi là gói tin (datagram),

có khuôn dạng

Hình 1.0.4 Dạng thức của gói tín IP

b Các giao thức trong mạng IP

Để mạng với giao thức IP hoạt động được tốt người ta cần một

số giao thức bổ sung, các giao thức này đều không phải là bộ phậncủa giao thức IP và giao thức IP sẽ dùng đến chúng khi cần

Giao thức ARP (Address Resolution Protocol): Ở đây cần lưu

ý rằng các địa chỉ IP được dùng để định danh các host và mạng ởtầng mạng của mô hình OSI, và chúng không phải là các địa chỉ vật

lý (hay địa chỉ MAC) của các trạm trên đó một mạng cục bộ(Ethernet, Token Ring.) Trên một mạng cục bộ hai trạm chỉ có thểliên lạc với nhau nếu chúng biết địa chỉ vật lý của nhau Như vậy vấn

đề đặt ra là phải tìm được ánh xạ giữa địa chỉ IP (32 bits) và địa chỉvật lý của một trạm Giao thức ARP đã được xây dựng để tìm địa chỉvật lý từ địa chỉ IP khi cần thiết

Giao thức RARP (Reverse Address Resolution Protocol): Làgiao thức ngược với giao thức ARP Giao thức RARP được dùng đểtìm địa chỉ IP từ địa chỉ vật lý

Giao thức ICMP (Internet Control Message Protocol): Giaothức này thực hiện truyền các thông báo điều khiển (báo cáo về cáctình trạng các lỗi trên mạng.) giữa các gateway hoặc một nút của liênmạng Tình trạng lỗi có thể là: một gói tin IP không thể tới đích của

nó, hoặc một router không đủ bộ nhớ đệm để lưu và chuyển một góitin IP, Một thông báo ICMP được tạo và chuyển cho IP IP sẽ "bọc"(encapsulate) thông báo đó với một IP header và truyền đến chorouter hoặc trạm đích

c Các bước hoạt động của giao thức IP

Khi giao thức IP được khởi động nó trở thành một thực thể tồntại trong máy tính và bắt đầu thực hiện những chức năng của mình,lúc đó thực thể IP là cấu thành của tầng mạng, nhận yêu cầu từ cáctầng trên nó và gửi yêu cầu xuống các tầng dưới nó.

Đối với thực thể IP ở máy nguồn, khi nhận được một yêu cầugửi từ tầng trên, nó thực hiện các bước sau đây:

Tạo một IP datagram dựa trên tham số nhận được

Tính checksum và ghép vào header của gói tin

Ra quyết định chọn đường: hoặc là trạm đích nằm trên cùng mạnghoặc một gateway sẽ được chọn cho chặng tiếp theo

Chuyển gói tin xuống tầng dưới để truyền qua mạng

Đối với router, khi nhận được một gói tin đi qua, nó thực hiện cácđộng tác sau:

1) Tính chesksum, nếu sai thì loại bỏ gói tin

2) Giảm giá trị tham số Time - to Live nếu thời gian đã hết thì loạibỏ gói tin

3) Ra quyết định chọn đường

4) Phân đoạn gói tin, nếu cần

5) Kiến tạo lại IP header, bao gồm giá trị mới của các vùng Time - to-Live, Fragmentation và Checksum

6) Chuyển datagram xuống tầng dưới để chuyển qua mạng

Cuối cùng khi một datagram nhận bởi một thực thể IP ở trạm đích,

nó sẽ thực hiện bởi các công việc sau:

1) Tính checksum Nếu sai thì loại bỏ gói tin

2) Tập hợp các đoạn của gói tin (nếu có phân đoạn)

3) Chuyển dữ liệu và các tham số điều khiển lên tầng trên

B,Giao thức điều khiển truyền dữ liệu TCP

TCP là một giao thức "có liên kết" (connection - oriented), nghĩa làcần phải thiết lập liên kết giữa hai thực thể TCP trước khi chúng trao đổi dữliệu với nhau Một tiến trình ứng dụng trong một máy tính truy nhập vào

các dịch vụ của giao thức TCP thông qua một cổng (port) của TCP Số hiệucổng TCP được thể hiện bởi 2 bytes.

Hình 1.0.5 Cổng truy nhập dịch vụ TCP

Một cổng TCP kết hợp với địa chỉ IP tạo thành một đầu nối TCP/IP(socket) duy nhất trong liên mạng Dịch vụ TCP được cung cấp nhờ mộtliên kết logic giữa một cặp đầu nối TCP/IP Một đầu nối TCP/IP có thểtham gia nhiều liên kết với các đầu nối TCP/IP ở xa khác nhau Trước khitruyền dữ liệu giữa 2 trạm cần phải thiết lập một liên kết TCP giữa chúng

và khi không còn nhu cầu truyền dữ liệu thì liên kết đó sẽ được giải phóng

Các thực thể của tầng trên sử dụng giao thức TCP thông qua các hàmgọi (function calls) trong đó có các hàm yêu cầu để yêu cầu, để trả lời.Trong mỗi hàm còn có các tham số dành cho việc trao đổi dữ liệu

C,Các bước thực hiện để thiết lập một liên kết TCP/IP

Thiết lập một liên kết mới có thể được mở theo một trong 2 phươngthức: chủ động (active) hoặc bị động (passive)

Phương thức bị động, người sử dụng yêu cầu TCP chờ đợi một yêucầu liên kết gửi đến từ xa thông qua một đầu nối TCP/IP (tại chỗ).Người sử dụng dùng hàm passive Open có khai báo cổng TCP và cácthông số khác (mức ưu tiên, mức an toàn)

Với phương thức chủ động, người sử dụng yêu cầu TCP mở một liênkết với một một đầu nối TCP/IP ở xa Liên kết sẽ được xác lập nếu

có một hàm Passive Open tương ứng đã được thực hiện tại đầu nốiTCP/IP ở xa đó

Bảng liệt kê một vài cổng TCP phổ biến

số này về sau được dùng để tham chiếu tới liên kết đó (Trong trườnghợp nếu TCP không thể thiết lập được liên kết yêu cầu thì nó phảigửi tham số Open Failure để thông báo.)

Khi TCP thiết lập được liên kết yêu cầu nó gửi tham số OpenSucsess được dùng để thông báo liên kết đã được thiết lập thànhcông Thông báo này dược chuyển đến trong cả hai trường hợp bịđộng và chủ động Sau khi một liên kết được mở, việc truyền dữ liệutrên liên kết có thể được thực hiện

D,Các bước thực hiện khi truyền và nhận dữ liệu

Sau khi xác lập được liên kết người sữ dụng gửi và nhận dữ liệu.Việc gửi và nhận dữ liệu thông qua các hàm Send và receive

Hàm Send: Dữ liệu được gửi xuống TCP theo các khối (block) Khinhận được một khối dữ liệu, TCP sẽ lưu trữ trong bộ đệm (buffer).Nếu cờ PUSH được dựng thì toàn bộ dữ liệu trong bộ đệm được gửi,

kể cả khối dữ liệu mới đến sẽ được gửi đi Ngược lại cờ PUSHkhông được dựng thì dữ liệu được giữ lại trong bộ đệm và sẽ gửi đikhi có cơ hội thích hợp (chẳng hạn chờ thêm dữ liệu nữa để gữi đivới hiệu quả hơn)

Hàm reveive: Ở trạm đích dữ liệu sẽ được TCP lưu trong bộ đệm gắnvới mỗi liên kết Nếu dữ liệu được đánh dấu với một cờ PUSH thìtoàn bộ dữ liệu trong bộ đệm (kể cả các dữ liệu được lưu từ trước) sẽđược chuyển lên cho người sữ dụng Còn nếu dữ liệu đến khôngđược đánh dấu với cờ PUSH thì TCP chờ tới khi thích hợp mớichuyển dữ liệu với mục tiêu tăng hiệu quả hệ thống

Nói chung việc nhận và giao dữ liệu cho người sử dụng đích củaTCP phụ thuộc vào việc cài đặt cụ thể Trường hợp cần chuyển gấp

dữ liệu cho người sử dụng thì có thể dùng cờ URGENT và đánh dấu

dữ liệu bằng bit URG để báo cho người sử dụng cần phải sử lý khẩncấp dữ liệu đó

E,Các bước thực hiện khi đóng một liên kết TCP/IP

Việc đóng một liên kết khi không cần thiết được thực hiên theo mộttrong hai cách: dùng hàm Close hoặc dùng hàm Abort

Hàm Close: yêu cầu đóng liên kết một cách bình thường Có nghĩa làviệc truyền dữ liệu trên liên kết đó đã hoàn tất Khi nhận được mộthàm Close TCP sẽ truyền đi tất cả dữ liệu còn trong bộ đệm thôngbáo rằng nó đóng liên kết Lưu ý rằng khi một người sử dụng đã gửi

đi một hàm Close thì nó vẫn phải tiếp tục nhận dữ liệu đến trên liênkết đó cho đến khi TCP đã báo cho phía bên kia biết về việc đóngliên kết và chuyển giao hết tất cả dữ liệu cho người sử dụng củamình

Hàm Abort: Người sử dụng có thể đóng một liên kết bất và sẽ khôngchấp nhận dữ liệu qua liên kết đó nữa Do vậy dữ liệu có thể bị mất

đi khi đang được truyền đi TCP báo cho TCP ở xa biết rằng liên kết

đã được hủy bỏ và TCP ở xa sẽ thông báo cho người sử dụng cũamình

F, Một số hàm khác của TCP

Hàm Status: cho phép người sử dụng yêu cầu cho biết trạng thái củamột liên kết cụ thể, khi đó TCP cung cấp thông tin cho người sửdụng

Hàm Error: thông báo cho người sử dụng TCP về các yêu cầu dịch

vụ bất hợp lệ liên quan đến một liên kết có tên cho trước hoặc về cáclỗi liên quan đến môi trường

Đơn vị dữ liệu sử dụng trong TCP được gọi là segment (đoạn dữliệu), có các tham số với ý nghĩa như sau:

Hình 1.0.6 Dạng thức của segment TCPG,Giao thức UDP (User Datagram Protocol)

UDP (User Datagram Protocol) là giao thức theo phương thức khôngliên kết được sử dụng thay thế cho TCP ở trên IP theo yêu cầu củatừng ứng dụng Khác với TCP, UDP không có các chức năng thiếtlập và kết thúc liên kết Tương tự như IP, nó cũng không cung cấp cơchế báo nhận (acknowledgment), không sắp xếp tuần tự các gói tin(datagram) đến và có thể dẫn đến tình trạng mất hoặc trùng dữ liệu

mà không có cơ chế thông báo lỗi cho người gửi Qua đó ta thấyUDP cung cấp các dịch vụ vận chuyển không tin cậy như trong TCP.Khuôn dạng UDP datagram được mô tả với các vùng tham số đơngiản hơn nhiều so với TCP segment

Hình 1.0.7 Dạng thức của gói tin UDPUDP cũng cung cấp cơ chế gán và quản lý các số hiệu cổng (portnumber) để định danh duy nhất cho các ứng dụng chạy trên một trạmcủa mạng Do ít chức năng phức tạp nên UDP thường có xu thế hoạtđộng nhanh hơn so với TCP Nó thường được dùng cho các ứngkhông đòi hỏi độ tin cậy cao trong giao vận

Hình 1.0.8 Mô hình quan hệ họ giao thức TCP/IP

B,Những giao thức chính của Netware

a, Multiple Link Interface Driver (Trình điều khiển giao tiếp đa kết nối)

Là tên được Novell đặt cho trình điều khiển cạc giao tiếp mạng Đặc biệt, mỗi MLID là một phần của phần mềm tuân thủ với kiến trúc giao tiếp

mở của Novell ( ODI- Open Data-link Interface) Một giao thức MLID không trực tiếp liên kết với một chuỗi giao thức cụ thể nào, do vậy, nó có thể kết nối được với nhiều chuỗi khác nhau

b, Link support layer (Lớp hỗ trợ liên kết)

Là phần giao tiếp giữa giao thức MLID và các chuỗi giao thức lớp trên Giao thức LSL chuyển đổi từng trường nhận biết giao thức của gói tin

và truyền gói tin sang cho chuỗi giao thức phù hợp

c, Internetwork Packet Exchange (Giao thức trao đổi gói tin liên mạng)

Là một giao thức lớp phi kết nối có nguồn gốc từ giao thức dữ liệu liên mạng (Internetwork Datagram Protocol) Là một giao thức lớp mạng, IPX xác định và định và định tuyến các gói tin từ vị trí này sang vị trí khác trong một liên mạng IPX Trong quá trình này IPX thực thi việc cấp địa chỉlogic và các chức năng định tuyến liên mạng Nó dựa trên các địa chỉ thiết

bị vật lý của phần cứng (được gọi là socket) và chỉ ra đích đến cuối cùng của gói tin Bên cạnh đó, IPX còn việc lựa chọn định tuyến dựa trên các thông tin mạng do giao thức RIP cung cấp

d, Router Information Protocol (Giao thức thông tin bộ định tuyến)Đây là giao thức có nguồn gốc từ giao thức XNS (Xerox Network Services) RIP là một giao thức tìm kiếm định tuyến dạng vector khoảng cách, sử dụng một số bước nhảy (hop count) của mạng để xác định chi phí đường truyền Mặc dù RIP được thực thi như một dịch vụ (thực tế nó có địachỉ dịch vụ riêng gọi là socket) nhưng nó lại trực tiếp dựa trên giao thức IPX và thực thi các chức năng lớp mạng

e, Netware Link Services Protocol (Giao thức liệt kê các dịch vụ Netware)

Là giao thức tìm kiếm định tuyến dựa trên trạng thái đường truyền tương tự như một định tuyến, và được phát triển bởi tổ chức ISO, và được gọi là IS- IS (Intermediate System-to-intermediate system) Do được thừa

kế các tính năng của tình trạng liên kết, NLSP hỗ trợ tốt khả năng chịu lỗi của cấu trúc mạng hình lưới và cấu trúc mạng tổng hợp

Ngoài ra còn có một số giao thức khác cũng thuộc bộ giao thức Netware như SPX, NCP, SAP …

2.3.Bộ giao thức Apple Talk

A,Tìm hiểu về Apple talk

Vào đầu những năm 1980, khi công ty máy tính Apple chuẩn bị giới thiệu máy tính Macintosh, các kỹ sư Apple đã thấy rằng mạng sẽ trở nên rấtcần thiết Họ muốn rằng mạng MAC cũng là một bước tiến mơí trong cuộc cách mạng về giao diện thân thiện người dùng do Apple khởi xướng Với ý định như vậy, Apple xây dựng một giao thức mạng cho họ máy Macintosh,

và tích hợp giao thức trên vào máy tính để bàn Cấu trúc mạng mới do Apple xây dựng được gọi là Apple Talk

Mặc dù Apple Talk là giao thức mạng độc quyền của Apple, nhưng Apple cũng đã ấn hành nhiều tài liệu về Apple Talk trong cố gắng khuyến khích các nhà sản xuất phần mềm khác phát triển trên Apple Talk Ngày nay đã có nhiều sản phẩm thương mại trên nền Apple Talk như của Novell,Microsoft

Ban đầu AppleTalk chỉ cài đặt trên hệ thống cáp riêng của hãng là LocalTalk và có phạm vi ứng dụng rất hạn chế Phiên bản đầu của Apple Talk được thiết kế cho nhóm người dùng cục bộ hay được gọi là Apple Talk phase 1 Sau khi tung ra thị trường 5 năm, số người dùng đã vượt quá 1,5 triệu người cài đặt, Apple nhận thấy những nhóm người dùng lớn đã vượt quá giới hạn của Apple Talk phase 1, nên họ đã nâng cấp giao thức Giao thức đã được cải tiến được biết dưới cái tên Apple Talk phase 2, cải

tiến khả năng tìm đường của Apple Talk và cho phép Apple Talk chạy trên những mạng lớn hơn.

Hãng Apple thiết kế Apple Talk độc lập với tầng liên kết dữ liệu Apple hỗ trợ nhiều loại cài đặt của tầng liên kết dữ liệu, bao gồm Ethernet, Token Ring, Fiber Distributed Data Interface (FDDI), và Local Talk Trên Apple Talk, Apple xem Ethernet như ethertalk, Token Ring như tokentalk,

và FDDI như fdditalk

Hình 2.0.2 Cấu trúc của hệ điều hành Appletalk

B,Các giao thức chính của mạng AppleTalk

LLAP (Local Talk Link Access) là giao thức do Apple phát triền để hoạt động với cáp riêng của hãng (cũng được gọi là LocalTalk) dưạ trên cáp xoắn đôi bọc kim (STP), thích hợp với các mạng nhỏ, hiệu năng thấp Tốc

độ tối đa là 230,4 Kb/s và khoảng cách các đọan cáp có độ dài giới hạn là 300m, số lượng trạm tối đa là 32

ELAP (Ethertalk Link Access) và TLAP (tokentalk Link Access) là các giao thức cho phép sử dụng các mạng vật lý tương ứng là Ethernet và

Token Ring.

AARP (AppleTalk Addresss Resolution Protocol) là các giao thức cho phép ánh xạ giữa các địa chỉ vật lý của Ethernet và Token Ring, là giao diện giữa các tầng cao của AppleTalk với các tầng vật lý của Ethernet và Token Ring

DDP (Datagram Delivery Protocol) là giao thức tầng Mạng cung cấp dịch

vụ theo phương thức không liên kết giữa 2 sockets (để chỉ 1 địa chỉ dịch vụ; một tổ hợp của địa chỉ thiết bị, địa chỉ mạng và socket sẽ định danh 1 cách duy nhất cho môãi tiến trình) DDP thực hiện chức năng chọn đường (routing) dựa trên các bảng chọn đường cho RTMP bảo trì

RTMP (Routing Table Maintenance protocol) cung cấp cho DDP thông tin chọn đường trên phương pháp vector khoảng cách tương tự như RIP

(Routing Information Protocol) dùng trong Netware IPX/SPX

NBP (Naming Binding Protocol): cho phép định danh các thiết bị bởi các tên lôgic (ngoài điạ chỉ của chúng) Các tên này ẩn dấu điạ chỉ tầng thấp đối với người sử dụng và đối với các tầng cao hơn

ATP (AppleTalk Transaction Protocol) là giao thức thức tầng vận chuyển hoạt động với phương thức không liên kết Dich vụ vận chuyển này được cung cấp thông qua một hệ thống các thông báo nhận và truyền lại Độ tin cậy cũa ATP dưạ trên các thao tác (transaction) (một thao tác bao gồm một cặp các thao tác hỏi-đáp)

ASP (AppleTalk Section Protocol) là giao thức tầng giao dịch của

AppleTalk, cho phép thiết lập, duy trì và hủy bỏ các phiên liên lạc giữa người yêu cầu dịch vụ và người cung cấp dịch vụ

ADSP (AppleTalk Data Stream Protocol) là một giao thức phủ cả tầng vận chuyển và tầng giao dịch, có thể thay cho nhóm giao thức dùng với ATP.

ZIP (Zone Information Protocol) là giao thức có chức năng tổ chức các thiết bị thành các vùng (zone) để làm giảm độ phức tạp của 1 mạng bằng cách giới hạn sự tương tác của người sử dụng vào đúng các thiết bị mà anh

ta cần

PAP (Printer Access protocol) cũng là 1 giao thức của tầng giao dịch tương

tự như ASP Nó không chỉ cung cấp các dịch vụ in như tên gọi mà còn yểmtrợ các kiểu liên kết giữa người yêu cầu và người cung cấp dịch vụ

AFP (AppleTalk Filling Protocol) là giao thức cung cấp dịch vụ File và đảm nhận việc chuyển đổi cú pháp dữ liệu, bảo vệ an toàn dữ liệu (tương tựtầng trình bày trong mô hình OSI)

2.4.Bộ giao thức SNA

A,Giới thiệu về mô hình SNA

Tháng 9/1973, Hãng IBM giới thiệu một kiến trúc mạng máy tính SNA (System Network Architecture) Đến năm 1977 đã có 300 trạm SNA được cài đặt Cuối năm 1978, số lượng đã tăng lên đến 1250, rồi cứ theo đà

đó cho đến nayđã có 20.000 trạm SNA đang được hoạt động Qua con số này chúng ta có thể hình dung được mức độ quan trọng và tầm ảnh hưởng của SNA trên toàn thế giới

Cần lưu ý rằng SNA không là một chuẩn quốc tế chính thức như OSI nhưng do vai trò to lớn của hãng IBM trên thị trường CNTT nên SNA trở thành một loại chuẩn thực tế và khá phổ biến SNA là một đặc tả gồm rất nhiều tài liệu mô tả kiến trúc của mạng xử lý dữ liệu phân tán Nó định nghĩa các quy tắc và các giao thức cho sự tương tác giữa các thành

phần (máy tính, trạm cuối, phần mềm) trong mạng

B,Các giao thức chính của mạng SNA

a, Token–ring

Giao thức token-ring được sử dụng như mô hình IEEE 802.5

b, SDLC (Synchronous Data Link Control)

Điều khiển liên kết dữ liệu đồng bộ SDLC là giao thức điều khiểnliên kết dữ liệu được IBM định nghĩa Kỹ thuật này được phát triển vàothập niên 70 dùng để truyền thông trên nối kết mạng diện rộng đối với hệthống máy chủ IBM trong môi trường SNA (Systems NetworkArchitecture) SDLC hoạt động đồng bộ theo hướng bit so với giao thứctheo hướng byte như BISYNC (Binary Synchronous Communications).Trong SDLC, một trạm chính sẽ điều khiển hoạt động của các trạm phụkhác Nếu trạm phụ có dữ liệu, nó sẽ truyền dữ liệu khi trạm chính chophép Trạm chính có nhiệm vụ thiết lập và duy trì các kết nối Có nhiềuphương pháp kết nối như điểm-tới-điểm, điểm đến nhiều điểm, và nối kếtvòng Trong cấu hình vòng, thông tin được truyền từ trạm nầy sang trạm kếtiếp SDLC sử dụng định dạng frame trong đó thông tin được gán bởi các

cờ nhằm phân biệt giữa các frame Một trường địa chỉ dùng để chứa địa chỉcủa máy trạm đích, trường điều khiển sẽ xác định loại frame, và FCS(frame check sequence: kiểm tra thứ tự frame) sẽ chứa giá trị kiểm tra lỗi

Mô hình SDLC tiêu biểu bao gồm 3270 thiết bị đầu cuối từ xa nối kết vớinhóm điều khiển (ví dụ như mô hình IBM 3x74) Và nhóm điều khiển nốikết với hệ thống máy chủ thông qua đường thuê bao Các công ty nhưCisco Systems đã cải tiến phương pháp kết nối này

c, CICS (Customer Information Control System)

Hệ thống quản lý thông tin khách hàng CICS là một họ các sản phẩmphần mềm client/server xử lý giao dịch cho phép một tổ chức khai thác cácứng dụng và dữ liệu trên những môi trường phần mềm và phần cứng khácnhau Nó là một môi trường mở cho việc xây dựng các hệ thống thông tintrong công ty Những ứng dụng client/server CICS có thể thực thi trên các

máy IBM và hệ thống khác, tuơng tác thông qua LAN và WAN, phục vụhàng ngàn người sử dụng và có thể quản lý từ một trạm điều khiển CICSthường được dùng trên các mạng trực tuyến lớn và cung cấp sự tương thíchvới các nền như AIX của IBM, MVS, OS/2, OS/400 và VSE, cũng như cácmôi trường không phải IBM như Windows NT, HP, Digital và Sun Từmục liên quan IBM (International Business Machines); TransactionProcessing.

2.5.Giao thức SLIP và PPP

A,Giao thức truy nhập từ xa (SLIP)

SLIP (Serial Line Internet Protocol) là giao thức đầu tiên hổ trợ IP qua kết nối điện thoại đơn giản, không hổ trợ đa giao thức trên cùng một đừơng truyền SLIP không phải là một giao thức chuẩn tuyệt đối

B,Giao thức PPP (Point-to-Point Protocol)

a, Giới thiệu về PPP

PPP được xây dựng dựa trên nền tảng giao thức điều khiển truyền dữliệu lớp cao (High-Level Data link Control (HDLC)) nó định ra các chuẩn cho việc truyền dữ liệu các giao diện DTE và DCE của mạng WAN như V.35, T1, E1, HSSI, EIA-232-D, EIA-449 PPP được ra đời như một sự thay thế giao thức Serial Line Internet Protocol (SLIP), một dạng đơn giản của TCP/IP

b, Các thành phần chính của PPP

PPP cung cấp cơ chế chuyển tải dữ liệu của nhiều giao thức trên mộtđường truyền, cơ chế sửa lỗi nén header, nén dữ liệu và multilink PPP cóhai thành phần:

 Link Control Protocol (LCP): thiết lập, điều chỉnh cấu hình, và hủy bỏ một liên kết Hơn thế nữa LCP còn có cơ chế Link Quality

Monitoring (LQM) có thể được cấu hình kết hợp với một trong hai cơ chế chứng thực Password Authentication Protocol (PAP) hay Challenge

Handshake Authentication Protocol (CHAP)

 Network Control Protocol (NCP): NCP làm nhiệm vụ thiết lập, điều chỉnh cấu hình và hủy bỏ việc truyền dữ liệu của các giao thức của lớpnetwork như: IP, IPX, AppleTalk and DECnet

Cả LCP và NCP đều họat động ở lớp 2 Hiện đã có mở rộng của PPPphục vụ cho việc truyền dữ liệu sử dụng nhiều links một lúc, đó là

Multilink PPP (MPPP) trong đó sủ dụng Multilink Protocol (MLP) để liên kết các lớp LCP và NCP

c, Định dạng khung dữ liệu

Chi tiết về định dạng khung của PPP như sau:

Có 5 pha trong quá trình thiết lập kết nối PPP:

 Dead: kết nối chưa họat động

 Establish: khởi tạo LCP và sau khi đã nhận được bản tin

Configure ACK liên kết sẽ chuyển sang pha sau: authentication

 Authenticate: có thể lựa chọn một trong hai cơ chế PAP hay CHAP

 Network: trong pha này, cơ chế truyền dữ liệu cho các giao thức lớp Network được hỗ trợ sẽ được thiết lập và việc truyền dữ liệu

sẽ bắt đầu

 Terminate: Hủy kết nối

Có thể sử dụng cơ chế Piggyback routing để lưu lại các thông tin định tuyến và chỉ truyền khi kết nối đã thông suốt

Trong gói LCP (được chứa trong trường Information của gói tin PPP), trường Code sẽ định ra các gói tin Configure Request (1), Configure Ack (2), Configure Nak (3) nghĩa là không chấp nhận và Configure Reject (4)

Mỗi giao thức lớp 3 đều có NCP code xác định cho nó, và giá trị mã này được đặt trong trường protocol của gói tin NCP, một số giá trị ví

dụ như sau:

 Password Authentication Protocol (PAP)

Trong pha LCP, khi một kết nối PPP được yêu cầu bởi client và PAPđược chọn dùng, access server sẽ ra lệnh cho client sử dụng PAP Client sau đó sẽ phải gửi bộ username và password của mình, các thông tin này đều được truyền dưới dạng clear text mà không được mã hóa gì cả và được đóng gói trong các gói dữ liệu của PPP Server sau đó sẽ quyết định chấp nhận hay từ chối việc thiết lập kết nối.Đây là cơ chế PAP một chiều giữa một client và một server Nếu hai router nói chuyện với nhau thì Two-way PAP (PAP hai chiều) sẽ được sử dụng trong đó mỗi router sẽ gửi username

và password, như vậy mỗi router sẽ chứng thực lẫn nhau

 Challenge Handshake Protocol (CHAP)

CHAP được sử dụng phổ biến hơn PAP, do nó có khả năng mã hóa mật khẩu cũng như dữ liệu

Hai đầu kết nối chia sẻ bộ mã mật secret CHAP giống nhau và mỗi đầu được gán một local name riêng

Giả sử một user A quay số truy cập vào access server B Access server sẽ gửi qua đường truyền một gói tin khởi tạo chứng thực Type 1 gọi là gói tin Challenge Gói tin Challenge này chứa một số được sinh ngẫu nhiên, một số ID sequence

number để xác định challenge và tên chứng thực của challenager

Bên gọi sẽ lấy ra chuỗi authentication name, và tìm trong dữ liệu của mình chuỗi mã mật CHAP ứng với user name nhận được

Caller sẽ nhập mã mật của CHAP, số ID sequence number và một giá trị số được sinh ngẫu nhiên vào thuật toán băm

Message Digest 5 (MD5)

Giá trị kết quả sau khi tính toán hàm băm được gửi trả lại cho Challenger (Access server) trong một gói CHAP Response (Type 2) chứa chuỗi băm, tên chứng thực của caller và cuối cùng là ID (Sequence Number) được lấy từ gói Challenge Khi nhận được gói Response Type 2, Challenger sẽ sử dụng

ID để tìm gói Challenge nguyên thủy

username của caller (A) được sử dụng để tìm kiếm mã mật CHAP từ một local database, hay một RADIUS server hoặc một TACACS+ server

ID, giá trị Challande gốc được sinh ngẫn nhiên và giá trị CHAP ngẫu nhiên ban đầu và mã mật của được đưa vào xử lỷ bởi hàm băm MD5

Chuỗi băm kết quả sau khi tính toán sau đó được so sánh với giá trị nhận được trong gói Response

Nếu 2 chuỗi là giống nhau thì quá trình chứng thực CHAP đã thành công và các gói Type 3 được gửi đến caller chứa ID Điều này có nghĩa là kết nối đã được chứng thực hợp lệ

Nếu chứng thực CHAP thất bại, một gói tin Type 4 sẽ được gửi đến caller trong đó chứa original ID, xác nhận quá trình chứng thực là không thành công

Việc băm (Hashing) hoàn toàn khác với việc mã hóa thông tin bởi vì thông tin sẽ không thể được khôi phục lại sau khi thực hiện hàm băm

Trong các router của Nortel Networks Code C223 xác định họat động của CHAP

CHƯƠNG II PHƯƠNG PHÁP BẢO MẬT MẠNG “LAN”

1.Sơ lược về mạng LAN

Các LAN cũng có thể kết nối với nhau thành WAN

LAN thường bao gồm một máy chủ (server , host) còn gọi là máy phúc vụ

Máy chủ thường là máy có bộ xử lý (CPU) tốc độ cao, bộ nhớ (RAM) và đĩa cứng (HD) lớn

1.2.Ưu điểm của mạng LAN

Khi các máy kết nối thành LAN thì :

- Các máy có thể dùng chung một ứng dụng nào đó

- Có thể trao đổi thông tin với nhau dễ dàng

- Có thể dùng chung các thiết bị ngoại vi như máy in , ổ CD

- Có thể truền tin tới tất cả các máy dễ dàng

1.3.Cách thức hoạt động của mạng LAN

Việc kết nối các máy tính với một dây cáp được dùng như một

phương tiện truyền tin chung cho tất cả các máy tính Công việc kết nối vật

lý vào mạng được thực hiện bằng cách cắm một card giao tiếp mạng NIC (Network Interface Card) vào trong máy tính và nối nó với cáp mạng Sau khi kết nối vật lý đã hoàn tất, quản lý việc truyền tin giữa các trạm trên mạng tuỳ thuộc vào phần mềm mạng

Khi một máy muốn gửi một thông điệp cho máy khác thì nó sẽ dùng một phần mềm trong máy nào đó đặt thông điệp vào một gói tin (packet) bao gồm dữ liệu thông điệp được bao bọc giữa tín hiệu đầu và tín hiệu cuối

Và dùng phần mềm mạng để gửi gói tin đó đến máy đích

NIC sẽ chuyển gói tín hiệu vào mạng LAN, gói tín hiệu được truyền đi nhưmột dòng các bit dữ liệu

Khi nó chạy trong cáp chung mọi máy đều nhận được tín hiệu này

NIC ở mỗi trạm sẽ kiểm tra địa chỉ đích trong tín hiệu đầu của gói để xác định đúng địa chỉ đến, khi gói tín hiệu đi tới máy có địa chỉ cần đến, đích ở máy đó sẽ sao gói tín hiệu rồi lấy dữ liệu ra khỏi gói tin và đưa vào máy tính.

1.4.Các kiểu mạng LAN

a, Mạng dạng hình sao (Star topology)

Mạng dạng hình sao bao gồm một trung tâm và các nút thông tin Các nút thông tin là các trạm đầu cuối, các máy tính và các thiết bị khác của mạng Trung tâm của mạng điều phối mọi hoạt động trong mạng với các chức năng cơ bản là:

-Xác định cặp địa chỉ gửi và nhận được phép chiếm tuyến thông tin và liên lạc với nhau

- Cho phép theo dõi và sử lý sai trong quá trình trao đổi thông tin

- Thông báo các trạng thái của mạng

Các ưu điểm của mạng hình sao:

- Hoạt động theo nguyên lý nối song song nên nếu có một thiết bị nào đó ở một nút thông tin bị hỏng thì mạng vẫn hoạt động bình thường

- Cấu trúc mạng đơn giản và các thuật toán điều khiển ổn định

- Mạng có thể mở rộng hoặc thu hẹp tuỳ theo yêu cầu của người sử dụng

Nhược điểm của mạng hình sao:

- Khả năng mở rộng mạng hoàn toàn phụ thuộc vào khả năng của trung tâm Khi trung tâm có sự cố thì toàn mạng ngừng hoạt động

- Mạng yêu cầu nối độc lập riêng rẽ từng thiết bị ở các nút thông tin đến trung tâm Khoảng cách từ máy đến trung tâm rất hạn chế (100 m)

b, Mạng hình tuyến (Bus Topology)