Tìm hiểu và khai thác tính năng của hệ điều hành để security cho mạng nội bộ

Các vấn đề chung về bảo mật hệ thống và mạng Đặc điểm chung của một hệ thống mạng là có nhiều ngời sử dụng chung vàphân tán về mặt địa lý nên việc bảo vệ tài nguyên phức tạp hơn nhiều so

Trờng đại học vinh

Mục lục

Mục lục 1

Lời cảm ơn 4

Lời nói đầu 5

CHƯƠNG 1 : một số kiến thức cơ bản về MạNG MáY TíNH 6

1 Giao thức mạng 6

1.1 Giao thức IP 6

1.1.1 Tổng quan về giao thức IP 6

1.1.2 Địa chỉ IP 7

1.1.3 Một số giao thức đợc sử dụng trong mạng IP 9

1.1.4 Hoạt động của giao thức IP 9

1.2 Giao thức TCP 10

1.2.1 Tổng quan về giao thức TCP 13

1.2.2 Cấu trúc gói dữ liệu TCP 14

1.2.3 Ba bớc bắt tay tạo tập liên kết (The three- way-handshake) 14

1.2.4 Bốn bớc bắt tay giải phóng liên kết 16

1.3 Dịch vụ DHCP 16

CHƯƠNG 2: Vấn đề an ninh, an toàn mạng máy tính và các giải pháp xác thực ngời dùng 17

2 Tổng quan về vấn đề an ninh an toàn mạng máy tính 17

2.1 Các giải pháp cơ bản đảm bảo an ninh 17

2.2 Vấn đề bảo mật hệ thống và mạng 18

2.2.1 Các vấn đề chung về bảo mật hệ thống 18

2.2.2 Một số khái niệm và lịch sử bảo mật hệ thống 18

2.2.2.1 Đối tợng tấn công mạng (intruder) 19

2.2.2.2 Các lỗ hổng bảo mật 19

2.2.2.3 Chính sách bảo mật 20

2.3 Các kiến thức cơ bản về xác thực ngời dùng 20

2.3.1 Khái niệm về xác thực ngời dùng 20

2.3.2 Các giải pháp xác thực ngời dùng phổ biến 23

2.3.3.2 Giải pháp dùng thẻ thông minh 25

2.3.3.3 Giải pháp xác thực sử dụng các kỹ thuật sinh trắc học 26

2.4 Các giao thức xác thực 27

Chơng 3: tổng quan về hệ thống th điện tử 30

3 Khái niệm chung về hệ thống th điện tử 30

3.1 Giới thiệu th điện tử 30

3.1.1Th điện tử là gì ? 30

3.1.2 Lợi ích của th điện tử 30

3.2 Kiến trúc và hoạt động của hệ thống th điện tử 32

3.2.1.Những nhân tố cơ bản của hệ thống th điện tử 32

3.2.2 Giới thiệu về giao thức POP và IMAP 33

3.2.2.1 POP ( Post Office Protocol) 34

3.2.2.2 IMAP(Internet Mail Access Protocol) 35

3.2.2.3 So sánh POP3 và IMAP4 37

3.2.3 Đờng đi của th 37

3.3 Hệ thống DNS (Domain Name System) 40

3.3.1 Khái niệm về hệ thống tên miền 40

3.3.2 Cấu tạo tên miền 40

3.3.3 Giới thiệu về hệ thống DNS 41

3.3.4 Cấu trúc của hệ thống tên miền 42

3.3.5 Hoạt động của DNS 43

3.3.6 Các bản ghi của DNS và liên quan giữa DNS và hệ thống E-mail 45

3.4 Active Directory 48

3.4.1 Giới thiệu Active Directory 48

3.4.2 Các thành phần của Active Directory 48

3.4.3 Cấu trúc của E-Mail 49

3.5 Quản trị hệ thống Mail server 51

3.5.1 Mục đích của quản trị hệ thống Mail server 51

3.5.2 Các công việc cần thiết để quản trị hệ thống th điện tử 52

Chơng 4: Xây dựng mô hình mạng nội bộ và triển khai giảI pháp security 54

4.1 Mô hình mạng doanh nghiệp 54

4.2 Cài đặt POP3 SERVER 55

4.2.1 Cài đặt E-mail server POP3 56

4.2.2 Tạo các USER và sử dụng dịch vụ Mail Server 56

4.3 ứng dụng Certification Authority bảo mật Mail Server 60

4.4 Sử dụng Certification authority cho Web Server 66

4.5 Thiết lập IPSec cho việc truyền dữ liệu giữa Server và các máy trạm 75

4.5.1 Cài đặt công cụ Network monitor 75

4.5.2 Bắt gói tin truyền thông giữa server và máy trạm khi không mã hóa 75

4.5.3 Thiết lập ipsec cho việc mã hóa truyền dữ liệu cho server 77

4.5.3.1 Tạo bộ lọc mã hóa 77

4.5.3.2 Tạo hành động mã hóa cho bộ lọc 78

4.5.4 Thiết lập luật mã hóa cho chính sách ipsec cho server 79

4.5.5 Thiết lập IPSec cho máy trạm 82

Kết luận 88

Tài liệu tham khảo 89

Lời cảm ơn

Để hoàn thành đồ án này, chúng em đã nhận đợc rất nhiều sự giúp

đỡ, chỉ bảo tận tình và động viên của các thầy cô giáo khoa Công Nghệ Thông Tin nhất là là thầy giáo THS Trần Xuân Hào Xin chân thành cảm ơn các thầy giáo, cô giáo, đặc biệt chúng em xin chân thành cảm

ơn sự quan tâm, giúp đỡ, chỉ bảo nhiệt tình của Thạc sỹ Trần Xuân Hào – Tổ bộ môn Khoa Học Máy Tính khoa CNTT trờng Đại Học

Vinh.

Lời nói đầu Trong thời đại công nghệ thông tin, việc ứng dụng mạng máy tính càng trở

nên cần thiết và mạng máy tính đóng một vai trò quan trọng không thể thiếu trongtruyền thông Khi mạng máy tính trở nên phổ biến và ứng dụng rộng rãi, việc ứngdụng công nghệ thông tin vào mọi mặt của đời sống đã mang lại những kết quả tolớn cho xã hội, đặc biệt là trong thơng mại điện tử của mạng máy tính trong nội

bộ Nhng cùng với sự phát triển của mạng máy tính thì vấn đề an ninh an toànmạng máy tính cũng bị đe dọa từ nhiều nguyên nhân và góc độ khác nhau Nhữngtrò phá hoại không ngừng gia tăng Sự phá hoại ấy đã gây ra nhiều hậu quảnghiêm trọng, nó đã trở thành một loại tội phạm

Do vậy cần phải có những giải pháp góp phần đảm bảo an toàn cho tài nguyêncủa hệ thống là một nhu cầu thiết thực và cấp bách Vấn đề an ninh an toàn mạngmáy tính nói chung và vấn đề Security mạng nội bộ nói riêng trở thành một trongnhững vấn đề nóng bỏng

Đợc sự hớng dẫn tận tình của thầy giáo THS Trần Xuân Hào chúng em tìmhiểu, nghiên cứu, khai thác các tính năng của hệ điều hành để xây dựng mô hìnhmạng nội bộ doanh nghiệp, giám sát các vấn đề truy cập trên các nguồn tàinguyên của hệ thống và dùng giải pháp Certification Authority, IP Security để bảomật nhằm góp phần đảm bảo an ninh, an toàn cho mạng máy tính của doanhnghiệp

Trong quá trình làm tốt nghiệp với thời gian không nhiều, vốn kiến thức cònhạn chế nên không tránh khỏi những thiếu sót, rất mong nhận đợc sự đánh giánhận xét và góp ý của thầy cô và các bạn để hoàn thiện và phát triển đề tài

CHƯƠNG 1 : một số kiến thức cơ bản về MạNG MáY TíNH

1 Giao thức mạng

Việc trao đổi thông tin, cho dù là đơn giản nhất, cũng đều phải tuân theonhững quy tắc nhất định Ngay cả hai ngời nói chuyện với nhau muốn cho cuộcnói chuyện có kết quả thí ít nhất cả hai cùng phải ngầm tuân thủ quy tắc: khi ngờinày nói thì ngời kia phải nghe và ngợc lại Việc truyền tín hiệu trên mạng cũngvậy, cần phải có những quy tắc, quy ớc về nhiều mặt, từ khuôn dạng (cú pháp, ngữnghĩa) của dữ liệu cho tới các thủ tục gửi, nhận dữ liệu kiểm soát hiệu quả và chấtlợng truyền tin và xử lý các lỗi và các sự cố yêu cầu về quy tắc càng nhiều vàphức tạp hơn Tập hợp tất cả những quy tắc, quy ớc đó đợc gọi là giao thức(protocol) của mạng Rõ ràng là các mạng có thể sử dụng các giao thức khác nhautuỳ sự lựa chọn của ngời thiết kế

Trên thực tế, giao thức phổ biến hiện nay đợc sử dụng rộng rãi trong mạngInternet cũng nh các mạng nội bộ là bộ giao thức TCP/IP

1.1 Giao thức IP

1.1.1 Tổng quan về giao thức IP

Mục đích chính của giao thức IP là kết nối các mạng con thành liên mạng.Giao thức IP nằm trong tầng mạng(network) của mô hình OSI Giao thức IP làgiao thức kiểu không liên kết(connectionless), tức là không có giai đoạn thiết lậpliên kết trớc khi truyền dữ liệu

Khi một máy tính tham gia vào trao đổi dữ liệu trong mạng, nó sử dụng một

bộ điều hợp mạng (network adapter) Mỗi một bộ điều hợp mạng này đợc gắn vớimột địa chỉ vật lý cố định và duy nhất, do nhà sản xuất quyết định

Trong mạng cục bộ, những nơi chỉ chú trọng vào phần cứng sẽ vận chuyểndữ liệu theo mạng vật lý nhờ sử dụng địa chỉ vật lý của bộ điều hợp Có nhiều loạimạng và mỗi mạng có cách thức vận chuyển dữ liệu khác nhau

Ví dụ: Một mạng Ethernet, một máy tính gửi thông tin trực tiếp tới bộ phậntrung gian Bộ điều phối mạng của mỗi máy tính sẽ lắng nghe tất cả các tín hiệutruyền qua lại trong mạng cục bộ để xác định thông tin nào có địa chỉ nhận giống

của mình Tất nhiên, với những mạng rộng hơn, các bộ điều hợp không thể lắngnghe tất cả các thông tin Khi các bộ phận trung gian trở nên quá tải với số lợngmáy tính đợc thêm mới, hình thức hoạt động này không thể hoạt động hiệu quả.

Các nhà quản trị mạng thờng phải chia vùng mạng bằng cách sử dụng cácthiết bị nh bộ định tuyến để giảm lợng giao thông Trên những mạng có địnhtuyến, ngời quản trị cần có cách để chia nhỏ mạng thành những phần nhỏ (gọi làtiểu mạng) và thiết lập các cấp độ để thông tin có thể di chuyển tới đích một cáchhiệu quả TCP/IP cung cấp khả năng chia tiểu mạng thông qua địa chỉ logic Một

địa chỉ logic là địa chỉ đợc thiết lập bằng phần mềm của mạng Trong TCP/IP, địachỉ logic của một máy tính đợc gọi là địa chỉ IP

Sau đây chúng ta sẽ nghiên cứu kỹ lỡng hơn về địa chỉ IP

1.1.2 Địa chỉ IP

Địa chỉ IP là một chuỗi 32bits, đợc sử dụng để định danh các máy tínhtrong mạng Mỗi giao diện trong một máy tính có hỗ trợ giao thức IP đều phải đợcgán 1 địa chỉ IP (một máy tính có thể gắn với nhiều mạng do vậy có thể có nhiều

địa chỉ IP) Địa chỉ IP gồm 2 phần: địa chỉ mạng (netid) và địa chỉ máy (hostid).Mỗi địa chỉ IP có độ dài 32 bits đợc tách thành 4 vùng (mỗi vùng 1 byte), có thểbiểu thị dới dạng thập phân, bát phân, thập lục phân hay nhị phân Cách viết phổbiến nhất là dùng ký pháp thập phân có dấu chấm (dotted decimal notation) đểtách các vùng

Do tổ chức và độ lớn của các mạng con (subnet) của liên mạng có thể khácnhau, ngời ta chia các địa chỉ IP thành 5 lớp, ký hiệu là A, B, C, D và E Trong lớp

A, B, C chứa địa chỉ có thể gán đợc Lớp D dành riêng cho lớp kỹ thuậtmulticasting Lớp E đợc dành những ứng dụng trong tơng lai Netid trong địa chỉmạng dùng để nhận dạng từng mạng riêng biệt Các mạng liên kết phải có địa chỉmạng (netid) riêng cho mỗi mạng ở đây các bit đầu tiên của byte đầu tiên đợcdùng để định danh lớp địa chỉ (0 - lớp A, 10 - lớp B, 110 - lớp C, 1110 - lớp D và

11110 - lớp E)

ở đây ta xét cấu trúc của các lớp địa chỉ có thể gán đợc là lớp A, lớp B, lớp

C Cấu trúc của các địa chỉ IP nh sau:

•Mạng lớp A: địa chỉ mạng (netid) là 1 Byte và địa chỉ host (hostid) là 3 byte

•Mạng lớp B: địa chỉ mạng (netid) là 2 Byte và địa chỉ host (hostid) là 2 byte

•Mạng lớp C: địa chỉ mạng (netid) là 3 Byte và địa chỉ host (hostid) là 1 byte.Lớp A cho phép định danh tới 126 mạng, với tối đa 16 triệu host trên mỗimạng Lớp này đợc dùng cho các mạng có số trạm cực lớn

Lớp B cho phép định danh tới 16384 mạng, với tối đa 65534 host trên mỗi mạng.Lớp C cho phép định danh tới 2 triệu mạng, với tối đa 254 host trên mỗi mạng.Lớp này đợc dùng cho các mạng có ít trạm

Cần lu ý rằng các địa chỉ IP đợc dùng để định danh các host và mạng ở tầngmạng của mô hình OSI, và chúng không phải là các địa chỉ vật lý (hay địa chỉMAC) của các trạm trên đó một mạng cục bộ (Ethernet, Token Ring.)

Trong nhiều trờng hợp, một mạng có thể đợc chia thành nhiều mạng con (subnet),lúc đó có thể đa thêm các vùng subnetid để định danh các mạng con Vùngsubnetid đợc lấy từ vùng hostid, cụ thể đối với lớp A, B, C nh ví dụ sau:

Để mạng với giao thức IP hoạt động đợc tốt ngời ta cần một số giao thức bổsung, các giao thức này đều không phải là bộ phận của giao thức IP và giao thức

IP sẽ dùng đến chúng khi cần

Giao thức ARP (Address Resolution Protocol): ở đây cần lu ý rằng các địachỉ IP đợc dùng để định danh các host và mạng ở tầng mạng của mô hình OSI, vàchúng không phải là các địa chỉ vật lý (hay địa chỉ MAC) của các trạm trên đómột mạng cục bộ (Ethernet, Token Ring) Trên một mạng cục bộ hai trạm chỉ cóthể liên lạc với nhau nếu chúng biết địa chỉ vật lý của nhau Nh vậy vấn đề đặt ra

là phải tìm đợc ánh xạ giữa địa chỉ IP (32 bits) và địa chỉ vật lý của một trạm.Giao thức ARP đã đợc xây dựng để tìm địa chỉ vật lý từ địa chỉ IP khi cần thiết

Giao thức RARP (Reverse Address Resolution Protocol): Là giao thức ngợcvới giao thức ARP Giao thức RARP đợc dùng để tìm địa chỉ IP từ địa chỉ vật lý

Giao thức ICMP (Internet Control Message Protocol): Giao thức này thựchiện truyền các thông báo điều khiển (báo cáo về các tình trạng các lỗi trên mạng)giữa các gateway hoặc một nút của liên mạng Tình trạng lỗi có thể là: một gói tin

IP không thể tới đích của nó, hoặc một router không đủ bộ nhớ đệm để lu vàchuyển một gói tin IP Một thông báo ICMP đợc tạo và chuyển cho IP, IP sẽ "bọc"(encapsulate) thông báo đó với một IP header và truyền đến cho router hoặc trạm

đích

1.1.4 Hoạt động của giao thức IP

Khi giao thức IP đợc khởi động nó trở thành một thực thể tồn tại trong máytính và bắt đầu thực hiện những chức năng của mình, lúc đó thực thể IP là cấuthành của tầng mạng, nhận yêu cầu từ các tầng trên nó và gửi yêu cầu xuống cáctầng dới nó

• Đối với thực thể IP ở máy nguồn, khi nhận đợc một yêu cầu gửi từ tầngtrên, nó thực hiện các bớc sau đây:

• Tạo một IP datagram dựa trên tham số nhận đợc

• Tính checksum và ghép vào header của gói tin

• Ra quyết định chọn đờng: hoặc là trạm đích nằm trên cùng mạng hoặc mộtgateway sẽ đợc chọn cho chặng tiếp theo

• Chuyển gói tin xuống tầng dới để truyền qua mạng.

• Đối với router, khi nhận đợc một gói tin đi qua, nó thực hiện các động tácsau:

• Tính checksum, nếu sai thì loại bỏ gói tin

• Giảm giá trị tham số Time - to Live, nếu thời gian đã hết thì loại bỏ gói tin

• Ra quyết định chọn đờng

• Phân đoạn gói tin, nếu cần

• Kiến tạo lại IP header, bao gồm giá trị mới của các vùng Time - to -Live,Fragmentation và Checksum

• Chuyển datagram xuống tầng dới để chuyển qua mạng

• Cuối cùng khi một datagram nhận bởi một thực thể IP ở trạm đích, nó sẽthực hiện bởi các công việc sau:

• Tính checksum Nếu sai thì loại bỏ gói tin

• Tập hợp các đoạn của gói tin (nếu có phân đoạn)

• Chuyển dữ liệu và các tham số điều khiển lên tầng trên

1.2 Giao thức TCP

1.2.1 Tổng quan về giao thức TCP

TCP là một giao thức "có liên kết" (connection - oriented), nghĩa là cầnphải thiết lập liên kết giữa hai thực thể TCP trớc khi chúng trao đổi dữ liệu vớinhau Một tiến trình ứng dụng trong một máy tính truy nhập vào các dịch vụ củagiao thức TCP thông qua một cổng (port) của TCP Số hiệu cổng TCP đợc thể hiệnbởi 2 bytes

Hình 3: Cổng truy cập dịch vụ TCP

Một cổng TCP đợc kết hợp với địa chỉ IP tạo thành một đầu nối TCP/IP(socket) duy nhất trong liên mạng Dịch vụ TCP đợc cung cấp nhờ một liên kếtlogic giữa một cặp đầu nối TCP/IP Một đầu nối TCP/IP có thể tham gia nhiều liênkết với các đầu nối TCP/IP ở xa khác nhau Trớc khi truyền dữ liệu giữa 2 trạmcần phải thiết lập một liên kết TCP giữa chúng và khi không còn nhu cầu truyềndữ liệu thì liên kết đó sẽ đợc giải phóng.

1.2.2 Cấu trúc gói dữ liệu TCP

Source port Destination port

Sequence number

Acknowledgement number

Offset Receiver U A P R S F Window

Checksum Urgent Pointer

Option + Padding

Data

Hình 4: Cấu trúc gói tin TCP

• Source port(16 bits): Số hiệu cổng TCP của trạm nguồn

• Destination port(16 bits): Số hiệu cổng TCP của trạm đích

• Sequence number(32 bits): Số hiệu của byte đầu tiên của segment trừ khibit SYN đợc thiết lập Nếu bit SYN đợc thiết lập thì Sequence Number là sốhiệu tuần tự khởi đầu (ISN) và byte dữ liệu đầu tiên là ISN+1

• Acknowledgement number(32 bits): Số hiệu của segment tiếp theo mà trạmnguồn đang chờ để nhận Ngầm ý báo nhận tốt (các) segment mà trạm đích

đã gửi cho trạm nguồn

• Data Offset(4 bits): Số lợng bội của 32 bit (32 bit words) trong TCP header(tham số này chỉ ra vị trí bắt đầu của nguồn dữ liệu)

• Receiver(): Dành riêng

• U: Vùng con trỏ khẩn (Ucgent Poiter) có hiệu lực

• A: Vùng báo nhận (ACK number) có hiệu lực

• P: Chức năng PUSH

• R: Khởi động lại (reset) liên kết

• S: Đồng bộ hóa số hiệu tuần tự (sequence number)

• F: Không còn dữ liệu từ trạm nguồn.

• Window(16 bits): Cấp phát credit để kiểm soát nguồn dữ liệu (cơ chế cửasổ) Đây chính là số lợng các byte dữ liệu, bắt đầu từ byte đợc chỉ ra trongvùng ACK number, mà trạm nguồn đã sẵn sàng để nhận

• Checksum(16 bits): Mã kiểm soát lỗi cho toàn bộ segment (header + data)

• Urgent Pointer(16 bits): Con trỏ này trỏ tới số hiệu tuần tự của byte đi theosau dữ liệu khẩn Vùng này chỉ có hiệu lực khi bit URG đợc thiết lập

• Option(Độ dài thay đổi): Khai báo các option của TCP, trong đó có độ dàitối đa của vùng TCP data trong một segment

• Padding(Độ dài thay đổi): Phần chèn thêm vào header để đảm bảo phầnheader luôn kết thúc ở một mốc 32 bit Phần thêm này gồm toàn số 0

• Data(Độ dài thay đổi): Chứa dữ liệu của tầng trên, có độ dài tối đa ngầm

định là 536 byte Giá trị này có thể điều chỉnh bằng cách khai báo trong vùngoptions

1.2.3 Ba bớc bắt tay tạo tập liên kết (The three- way-handshake)

Trớc khi hai máy tính có thể truyền thông với nhau qua một kết nối TCP thìkết nối đó phải đợc thiết lập Quá trình xử lý việc thiết lập kết nối TCP đợc chiathành ba bớc Mô hình dới đây minh họa ba bớc bắt tay tạo liên kết TCP:

Client

Server

SYN(INS A)

ACK(INS B +1)SYN(INS B) +ACK(INS A+1)

Hình 5: Ba bớc bắt tay thiết lâp liên kết

• Bớc 1: Client gửi tới Server một gói tin, trong gói tin này, cờ SYN đợc xáclập, nó nói cho Server biết rằng nó muốn mở một kết nối với Server Gói tinnày cũng gửi một giá trị khởi tạo của Sequence Number(INS)

• Bớc 2: Server nhận yêu cầu kết nối này và gửi trả lại một gói tin có cờ SYN

và cờ ACK đợc thiết lập để thông báo chấp nhận gói tin yêu cầu kết nối.Trong gói tin này, Server đặt giá trị khởi tạo Sequence Number ở trạng tháirandomly, và đặt ACKnowledgement Number bằng INS+1

• Bớc 3: Khi Client nhận đợc gói tin chấp nhận kết nối của Server, nó sẽ đáptrả lại một gói tin có cờ SYN và cờ ACK để thông báo cho Server biết rằng nó

đã nhận đợc gói tin chấp nhận kết nối từ Server, và đặt giá trịACKnowledgement Number bằng INS +1

Khi kết nối đã đợc xác lập, các máy tính có thể gửi dữ liệu cho nhau, và tất cảcác gói tin của hai máy tính gửi đi đều phải có cờ ACK để xác nhận đã nhận góitin trớc đó

1.2.4 Bốn bớc bắt tay giải phóng liên kết

Để giải phóng một kết nối TCP đã đợc thiết lập, hai máy sử dụng bốn bớc

1.3 Dịch vụ DHCP

Trong một mạng máy tính, việc cấp các địa chỉ IP tĩnh cố định cho các host

sẽ dẫn đến tình trạng lãng phí địa chỉ IP, vì trong cùng một lúc không phải cáchost hoạt động đồng thời với nhau, do vậy sẽ có một số địa chỉ IP bị thừa Để khắcphục tình trạng đó, dịch vụ DHCP đa ra để cấp phát các địa chỉ IP động trongmạng

Trong mạng máy tính khi một máy phát ra yêu cầu về các thông tin củaTCP/IP thì gọi là DHCP client, còn các máy cung cấp thông tin của TCP/IP gọi làDHCP server Các máy DHCP server bắt buộc phải là Windows NT server

Cách cấp phát địa chỉ IP trong DHCP: Một user khi log on vào mạng, nó cần xincấp 1 địa chỉ IP, theo 4 bớc sau :

• Gửi thông báo đến tất cả các DHCP server để yêu cầu đợc cấp địa chỉ

• Tất cả các DHCP server gửi trả lời địa chỉ sẽ cấp đến cho user đó

• User chọn 1 địa chỉ trong số các địa chỉ, gửi thông báo đến server có địa chỉ

đợc chọn

• Server đợc chọn gửi thông báo khẳng định đến user mà nó cấp địa chỉ Quản trị các địa chỉ IP của DHCP server: Server quản trị địa chỉ thông quathời gian thuê bao địa chỉ (lease duration) Có ba phơng pháp gán địa chỉ IP chocác Workstation :

Trong phơng pháp gán địa chỉ IP động thì DHCP server gán địa chỉ IP choDHCP client tạm thời Sau đó địa chỉ IP này sẽ đợc DHCP client sử dụng trong

một thời gian đặc biệt Đến khi thời gian này hết hạn thì địa chỉ IP này sẽ bị xóamất Sau đó nếu DHCP client cần nối kết vào mạng thì nó sẽ đợc cấp một địa chủ

IP khác

Phơng pháp gán địa chỉ IP động này đặc biệt hữu hiệu đối với những DHCPclient chỉ cần địa chỉ IP tạm thời để kết nối vào mạng Ví dụ một tình huống trênmạng có 300 users và sử dụng subnet là lớp C Điều này cho phép trên mạng có

253 nodes trên mạng Bởi vì mổi computer nối kết vào mạng sử dụng TCP/IP cần

có một địa chỉ IP duy nhất do đó tất cả 300 computer không thể đồng thời nối kếtvào mạng Vì vậy nếu ta sử dụng phơng pháp này ta có thể sử dụng lại những IP

2 Tổng quan về vấn đề an ninh an toàn mạng máy tính

Ban đầu, những trò phá hoại chỉ mang tính chất là trò chơi của những ngời

có trí tuệ không nhằm mục đích vụ lợi, xấu xa Tuy nhiên, khi mạng máy tính trởnên phổ dụng, có sự kết nối của nhiều tổ chức, công ty, cá nhân với nhiều thôngtin bí mật, thì những trò phá hoại ấy lại không ngừng gia tăng Sự phá hoại ấy đãgây ra nhiều hậu quả nghiêm trọng, nó đã trở thành một loại tội phạm Theo sốliệu thống kê của CERT (Computer Emegency Response Team) thì số lợng các vụtấn công trên Internet đợc thông báo cho tổ chức này là ít hơn 200 vào năm 1989,khoảng 400 vào năm 1991, 1400 năm 1993 và 2241 năm 1994 Những vụ tấncông này nhằm vào tất cả các máy tính có mặt trên Internet, từ các máy tính củacác công ty lớn nh AT & T, IBM, các trờng đại học, các cơ quan nhà nớc, các nhàbăng Những con số đa ra này, trên thực tế chỉ là phần nổi của tảng băng Mộtphần lớn các vụ tấn công không đợc thông báo vì nhiều lý do khác nhau, nh sựmất uy tín, hoặc chỉ đơn giản là họ không hề biết mình bị tấn công

Thực tế, đe doạ an ninh không chỉ ở bên ngoài tổ chức, mà bên trong tổchức vấn đề cũng hết sức nghiêm trọng Đe dọa bên trong tổ chức xẩy ra lớn hơnbên ngoài, nguyên nhân chính là do các nhân viên có quyền truy nhập hệ thốnggây ra Vì họ có quyền truy nhập hệ thống nên họ có thể tìm đợc các điểm yếu của

hệ thống, hoặc vô tình họ cũng có thể phá hủy hay tạo cơ hội cho những kẻ khácxâm nhập hệ thống Và nguy hiểm hơn, một khi họ là kẻ bất mãn hay phản bội thìhậu quả không thể lờng trớc đợc

Tóm lại, vấn đề an ninh an toàn mạng máy tính hoàn toàn là vấn đề con

ng-ời và không ngừng gia tăng, nó có thể bị đe doạ từ bên ngoài hoặc bên trong tổchức Vấn đề này đã trở thành mối lo ngại lớn cho bất kì chủ thể nào tham gia vàomạng máy tính toàn cầu Và nh vậy, để đảm bảo việc trao đổi thông tin an toàn và

an ninh cho mạng máy tính, buộc các tổ chức đó phải triển khai các biện pháp bảo

vệ đảm bảo an ninh, mà trớc hết là cho chính mình

2.1 Các giải pháp cơ bản đảm bảo an ninh

Nh trên ta đã thấy, an ninh an toàn mạng máy tính có thể bị đe doạ từ rấtnhiều góc độ và nguyên nhân khác nhau Đe doạ an ninh có thể xuất phát từ bênngoài mạng nội bộ hoặc cũng có thể xuất phát từ ngay bên trong tổ chức Do đó,việc đảm bảo an ninh an toàn cho mạng máy tính cần phải có nhiều giải pháp cụthể khác nhau Tuy nhiên, tổng quan nhất có ba giải pháp cơ bản sau:

• Giải pháp về phần cứng

• Giải pháp về phần mềm

• Giải pháp về con ngời

Đây là ba giải pháp tổng quát nhất mà bất kì một nhà quản trị an ninh nàocũng phải tính đến trong công tác đảm bảo an ninh an toàn mạng máy tính Mỗigiải pháp có một u nhợc điểm riêng mà ngời quản trị an ninh cần phải biết phântích, tổng hợp và chọn lựa để tạo khả năng đảm bảo an ninh tối u nhất cho tổ chứcmình

Tóm lại, vấn đề an ninh an toàn mạng máy tính là một vấn đề lớn, nó yêu cầucần phải có một giải pháp tổng thể, không chỉ phần mềm, phần cứng máy tính mà

nó đòi hỏi cả vấn đề chính sách về con ngời Và vấn đề này cần phải đợc thực hiện

một cách thờng xuyên liên tục, không bao giờ triệt để đợc vì nó luôn nảy sinh theothời gian Tuy nhiên, bằng các giải pháp tổng thể hợp lý, đặc biệt là giải quyết tốtvấn đề chính sách về con ngời ta có thể tạo ra cho mình sự an toàn chắc chắn hơn.

2.2 Vấn đề bảo mật hệ thống và mạng

2.2.1 Các vấn đề chung về bảo mật hệ thống và mạng

Đặc điểm chung của một hệ thống mạng là có nhiều ngời sử dụng chung vàphân tán về mặt địa lý nên việc bảo vệ tài nguyên phức tạp hơn nhiều so với việcmôi trờng một máy tính đơn lẻ, hoặc một ngời sử dụng

Hoạt động của ngời quản trị hệ thống mạng phải đảm bảo các thông tin trênmạng là tin cậy và sử dụng đúng mục đích, đối tợng đồng thời đảm bảo mạng hoạt

động ổn định không bị tấn công bởi những kẻ phá hoại

Nhng trên thực tế là không một mạng nào đảm bảo là an toàn tuyệt đối, một

hệ thống dù đợc bảo vệ chắc chắn đến mức nào thì cũng có lúc bị vô hiệu hóa bởinhững kẻ có ý đồ xấu

2.2.2 Một số khái niệm và lịch sử bảo mật hệ thống

2.2.2.1 Đối tợng tấn công mạng (intruder)

Đối tợng là những cá nhân hoặc tổ chức sử dụng những kiến thức về mạng

và các công cụ phá hoại (gồm phần cứng hoặc phần mềm) để dò tìm các điểm yếu

và các lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm

đoạt tài nguyên trái phép

Một số đối tợng tấn công mạng nh:

• Hacker: là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các

công cụ phá mật khẩu hoặc khai thác các điểm yếu của thành phần truy nhậptrên hệ thống

• Masquerader: Là những kẻ giả mạo thông tin trên mạng nh giả mạo địa chỉ

IP, tên miền, định danh ngời dùng…

• Eavesdropping: Là những đối tợng nghe trộm thông tin trên mạng, sử dụng

các công cụ Sniffer, sau đó dùng các công cụ phân tích và debug để lấy đợccác thông tin có giá trị

Những đối tợng tấn công mạng có thể nhằm nhiều mục đích khác nhau nh ăncắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc

có thể đó là những hành động vô ý thức…

2.2.2.2 Các lỗ hổng bảo mật

Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trongmột dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống đểthực hiện những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp

Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: có thể do lỗi của bảnthân hệ thống, hoặc phần mềm cung cấp hoặc ngời quản trị yếu kém không hiểusâu về các dịch vụ cung cấp

Mức độ ảnh hởng của các lỗ hổng tới hệ thống là khác nhau Có lỗ hổng chỉ

ảnh hởng tới chất lợng dịch vụ cung cấp, có lỗ hổng ảnh hởng tới toàn bộ hệ thốnghoặc phá hủy hệ thống

2.3 Các kiến thức cơ bản về xác thực ngời dùng

Khi ngời sử dụng muốn truy nhập vào một hệ thống máy tính, thông thờng,ngời sử dụng cần cung cấp các thông tin nhận dạng cho máy tính Khi nhận đợccác thông tin ấy, máy tính kiểm tra xem ngời sử dụng có quyền truy nhập vào hệthống không Đây cũng là một nguyên tắc cơ bản đợc áp dụng cho một ngời khimuốn trao đổi thông tin với ngời khác: Trớc tiên cần phải xác định ngời tham giatrao đổi thông tin có đúng là ngời muốn trao đổi không Do đó cần phải có mộtphơng thức để cung cấp đặc điểm nhận dạng nhằm đảm bảo ngời trao đổi thôngtin là hợp lệ Quá trình này đợc gọi là xác thực ngời sử dụng

Trên thế giới cũng nh ở Việt Nam, vấn đề xác thực ngời dùng đang đợcquan tâm và đã có nhiều giải pháp đợc sử dụng và nghiên cứu Có rất nhiều cách

để xác thực: ngời sử dụng có thể cung cấp các thông tin mà chỉ có ngời đó mớibiết: ví dụ mật khẩu, mã số cá nhân, hoặc ngời đó có thể cung cấp các thông tinriêng khác nh số chứng minh th, thẻ từ, thẻ thông minh Trong đó, mỗi giải pháplại có những u điểm và nhợc điểm riêng khác nhau

2.3.1 Khái niệm về xác thực ngời dùng

Xác thực ngời dùng là một quá trình qua đó hệ thống có thể xác minh rằngmột ai đó thực sự là họ Quá trình xác thực sẽ xác định xem một ngời có phải làngời đợc sử dụng hệ thống không Nó thờng đi kèm với quá trình xác định quyềnhạn của ngời đó trong hệ thống

2.3.2 Các giải pháp xác thực ngời dùng phổ biến

2.3.2.1 Giải pháp sử dụng tên và mật khẩu

• Mô tả

Đây là giải pháp truyền thống hay đợc sử dụng nhất, là giải pháp sử dụng tàikhoản của hệ thống Mỗi tài khoản bao gồm tên truy nhập (username) và mậtkhẩu (password) Tên truy nhập dùng để phân biệt các ngời dùng khác nhau (th-ờng là duy nhất trong hệ thống), còn mật khẩu để xác thực lại ngời sử dụng tên đó

có đúng là ngời dùng thật sự không Mật khẩu thờng do ngời sở hữu tên truy nhậptơng ứng đặt và đợc giữ bí mật chỉ có ngời đó biết

Khi ngời dùng muốn đăng nhập và sử dụng tài nguyên hệ thống thì phải đăngnhập bằng cách nhập tên và mật khẩu của mình Trớc hết, hệ thống sẽ đối chiếutên truy nhập của ngời dùng đa vào với cơ sở dữ liệu tên ngời dùng, nếu tồn tại tênngời dùng nh vậy thì hệ thống tiếp tục đối chiếu mật khẩu đợc đa vào tơng ứng vớitên truy nhập trong cơ sở dữ liệu Qua 2 lần đối chiếu nếu thỏa mãn thì ngời đăngnhập là ngời dùng hợp lệ của hệ thống

• Ưu điểm

Thiết kế và sử dụng đơn giản, tốn ít tài nguyên Hệ thống chỉ gồm một cơ sởdữ liệu ngời dùng với 2 thông tin chủ yếu là tên truy nhập và mật khẩu Tơng ứng

với mỗi tên truy nhập là quyền sử dụng của ngời đó trong hệ thống Do đó cácthông tin này không chiếm nhiều tài nguyên Ngời dùng dễ hiểu và dễ sử dụng.Chi phí để thực hiện giải pháp này là rẻ so với các giải pháp khác Nó khôngphụ thuộc vào các thiết bị phần cứng mà chỉ dựa trên phần mềm Giải pháp này cókhả năng làm việc trên mọi hệ điều hành Do đó, việc thực hiện giải pháp này khá

dễ dàng và không tốn kém

• Nhợc điểm

Giải pháp này có nhợc điểm lớn nhất là không có đợc sự bảo mật cao Vì ngờidùng thờng có tên đăng nhập nhiều ngời dùng có Mặt khác, ngời dùng thờngchọn mật khẩu dễ nhớ hoặc không cẩn thận khi gõ mật khẩu, do vậy dễ bị tấncông Kẻ tấn công có nhiều phơng pháp để đạt đợc mật khẩu nh thâm nhập vào hệthống đọc file mật khẩu, dự đoán mật khẩu, vét cạn các từ trong từ điển để tìm mậtkhẩu, hoặc có thể lừa ngời dùng để lộ mật khẩu

• Một số biện pháp để tăng thêm tính bảo mật cho giải pháp này:

Đặt mật khẩu phức tạp: Mật khẩu phải chứa tối thiểu 6 ký tự, không trùng vớitên đăng nhập, chứa các loại ký tự là chữ cái, chữ số, ký tự đặc biệt Nếu đặt nhvậy thì kẻ muốn tấn công cũng sẽ rất khó đoán đợc mật khẩu

Thay đổi mật khẩu: quy định sau một thời gian nhất định mật khẩu sẽ khôngcòn tác dụng đối với hệ thống và ngời dùng phải đặt lại mật khẩu khác Mật khẩu

sẽ đợc thay đổi nên khả năng kiểm soát tình trạng an toàn của mật khẩu cao hơn.Mã hóa thông tin: Trong môi trờng làm việc là mạng, những nhà thiết kế th-ờng dùng biện pháp mã hóa thông tin đăng nhập từ một máy khách nào đó trớckhi chúng đợc gửi đi tới máy chủ của hệ thống Do đó, khả năng bị mất cắp mậtkhẩu sẽ giảm đi rất nhiều khi kẻ xấu bắt gói tin đăng nhập trên đờng truyền Hiện nay, giải pháp mật khẩu sử dụng một lần (one-time password) đợc sửdụng rất nhiều trong các ứng dụng Các mật khẩu trong danh sách chỉ có thể sửdụng một lần duy nhất mà không thể sử dụng lại trong những lần đăng nhập sau

Có 2 cách để hệ thống mật khẩu sử dụng một lần có thể làm việc là:

• Danh sách các mật khẩu đợc tạo ra một cách ngẫu nhiên bởi hệ thống và

đ-ợc sao làm 2 bản, một bản cho ngời dùng và một bản cho hệ thống

• Danh sách mật khẩu đợc tạo ra theo yêu cầu của ngời sử dụng và đợc hệthống công nhận.

Quá trình thực hiện: Sử dụng thuật toán MD4 (hiện nay là MD5) từ một giátrị cho trớc (do ngời dùng hoặc do máy ngẫu nhiên tạo ra) để tạo ra khóa đầu tiên,tiếp tục áp dụng thuật toán MD4 cho khóa đầu tiên để đợc khóa thứ 2 …và cứ ápdụng liên tục thuật toán MD4 để sinh ra các khóa nối tiếp nhau Khi xác thực ngờidùng, hệ thống phải biết một trong các khóa (khóa thứ n) , nó sẽ hỏi ngời dùngkhóa trớc đó (khóa thứ n-1) Nếu ngời dùng nhập đúng khóa n-1 thì hệ thống sẽcho ngời dùng đăng nhập và ghi lại khóa n-1 vào bộ nhớ Đến lần đăng nhập sau,

hệ thống sẽ hỏi ngời dùng khóa thứ n-2 …

Khi dùng thuật toán MD4 để sinh ra kết quả thì từ kết quả hầu nh không thể suyngợc lại giá trị đầu vào nên hệ thống không thể tìm ra đợc khóa thứ n-1 là gì, mặc

dù khi biết cả khóa thứ n

Tuy nhiên, theo cách này kẻ xấu vẫn có thể tấn công Nếu ngời dùng tự thiếtlập giá trị đầu vào để xây dựng hệ thống khóa thì rất có thể nó sẽ đợc đoán ra theocác cách giống nh khi đoán các mật khẩu thông thờng Đối với những từ đoán đợc,

kẻ tấn công sẽ áp dụng thuật toán MD4 để sinh ra các khóa và sẽ thử hết các khóanày cho đến khi tìm đợc khóa ngời dùng đang sử dụng Còn trong trờng hợp hệthống sẽ tự sinh ra giá trị ban đầu và một lợng mật khẩu đủ dùng trong một thờigian nào đó, ngời dùng sẽ có một danh sách các mật khẩu đợc đánh thứ tự Vềphía ngời dùng, họ sẽ không thích phải dùng nhiều mật khẩu Điều này gây phiềntoái cho ngời dùng và khả năng bị mất cắp danh sách khóa là rất cao Ngoài ra, kẻtấn công còn có thể dùng phơng pháp bắt gói tin đăng nhập của ngời dùng để lấymật khẩu

• ứng dụng

Giải pháp này đã và đang đợc sử dụng rất nhiều trong các ứng dụng Nó đợcứng dụng trên một máy tính và đặc biệt đợc ứng dụng cả trên mạng Kể cả các cơquan, tổ chức không có điều kiện kinh tế để có thể trang bị cho hệ thống mạng củamình các đờng truyền tốc độ cao thì vẫn có thể sử dụng giải pháp này Bởi vì,thông tin truyền và lu trữ chỉ bao gồm tên đăng nhập và mật khẩu Dung lợng

truyền đi trên đờng truyền nhỏ nên dù đờng truyền có băng thông không lớn thìthông tin này cũng đợc truyền đi trong một khoảng thời gian chấp nhận đợc Các ứng dụng tiêu biểu hiện nay đang sử dụng giải pháp xác thực bằng mậtkhẩu nh: Hệ điều hành (Windows, Unix…), các dịch vụ th điện tử, thơng mại điệntử…

2.3.3.2 Giải pháp dùng thẻ thông minh

• Mô tả

Thẻ thông minh (smart cart) là một thẻ plastic có kích cỡ nh thẻ tín dụng đợctrang bị một vi mạch dùng để chứa bộ nhớ và một mạch xử lý với hệ điều hành đểkiểm soát bộ nhớ Nó có thể lu trữ dữ liệu về thông tin cá nhân, tiền hoặc một sốthông tin khác mà sự thay đổi của chúng cần đợc kiểm soát chặt chẽ Ngoài ra, nó

có thể lu trữ các khóa mã hóa để ngời dùng có thể nhận dạng qua mạng, chữ ký

điện tử … Đặc biệt, hiện nay thẻ thông minh có hỗ trợ chứng nhận số Nó mã hóadữ liệu và kiểm tra tính hợp lệ của các giao dịch qua mạng Đây là một giải pháprất hiệu quả và linh động cho các vấn đề về xác thực ngời dùng

Hiện nay, các cơ quan tổ chức dùng thẻ rầt nhiều Đầu tiên, những thông tincần thiết cho việc nhận dạng các nhân viên trong cơ quan, tổ chức sẽ đợc lu vào bộnhớ của thẻ Sau đó, nó đợc cung cấp cho các nhân viên tơng ứng với các thông tin

đó Mỗi cơ quan, tổ chức khác nhau sẽ có các yêu cầu về thông tin xác thực khácnhau nhng thờng là các thông tin nh tên truy nhập, mật khẩu và một số thông tincá nhân khác

Trong hệ thống thông tin đòi hỏi phải có xác thực ngời dùng, nhân viên trong

tổ chức chỉ cần đa thẻ vào thiết bị đọc thẻ và nhập vào một mã số bí mật nào đó đểxác nhận với hệ thống là chính họ là ngời sở hữu chiếc thẻ đó Khi đã nhập đúngmã này, thiết bị đọc thẻ sẽ đọc các thông tin nhận dạng đợc ghi trong thẻ vàchuyển các thông tin này đến hệ thống, sau đó hệ thống sẽ kiểm tra chúng với cơ

sở dữ liệu ngời dùng

• Ưu điểm

Nhờ vào kiến trúc vật lý và logic của thẻ mà đã giảm đợc rất nhiều các nguycơ gây mất an toàn thông tin Mọi hoạt động của thẻ đều đợc kiểm soát bởi hệ

điều hành nên các thông tin cần giữ bí mật sẽ không thể lấy ra đợc từ thẻ Cácthông tin bên trong thẻ không thể bị kẻ xấu lấy cắp nh các thông tin đợc lu trữtrong các phần mềm hệ quản trị cơ sở dữ liệu thông thờng.

Các khóa bí mật dùng cho chữ ký điện tử và nhận dạng đều đợc lu trữ bên trongthẻ Nhà sản xuất thẻ cũng nh ngời sở hữu thẻ đều không thể biết đợc các khóanày Vì vậy, chúng không thể bị lấy cắp hay bị sao chép

Mỗi chiếc thẻ đều có số nhận dạng PIN để tránh việc đánh cắp và bị kẻ xấu sửdụng Trớc khi sử dụng thẻ, ngời dùng phải nhập vào số PIN của thẻ Cơ chế quản

lý số PIN của thẻ cũng rất an toàn bởi vì số PIN gần nh không thể đoán ra đợc.Mặt khác, thẻ quy định số lần nhập tối đa, nếu số lần nhập không chính xác liêntục đến con số quy định thì thẻ sẽ tự động khóa Muốn mở khóa thì ngời dùngphải nhập vào một số dùng để mở khóa của thẻ Tơng tự, nếu nhập không chínhxác liên tiếp đến một số nào đó thẻ sẽ bị khóa vĩnh viễn và không thể sử dụng lạinữa Nh vậy, việc sử dụng thẻ là rất an toàn và thuận tiện Giờ đây ngời dùng thayvì phải nhớ nhiều số mà chỉ phải nhớ một số, còn các thông tin nhận dạng đều ởtrong thẻ Trong trờng hợp thẻ bị mất cắp, kẻ lấy cắp cũng không thể sử dụng đợcthẻ vì không có số PIN

• Nhợc điểm

Tuy giải pháp này đã hạn chế đợc sự mất cắp thẻ bằng cách kết hợp thẻ vớimột số PIN nhng vẫn có thể bị đánh cắp cả thẻ và cả số PIN Vẫn bắt ngời dùngphải nhớ số PIN và phải thêm một chiếc thẻ mới có thể thực hiện việc xác thực

Để áp dụng giải pháp này, các cơ quan phải trang bị thêm các thiết bị nh thiết

bị đọc thẻ, thiết bị ghi, các phần mềm hỗ trợ …Số lợng và giá thành của các thiết

bị này không phải là nhỏ, do đó khá là tốn kém

Các dịch vụ hỗ trợ phổ biến cho việc xác thực bằng thẻ là cha đầy đủ Các dịch

vụ th điện tử, các dịch vụ thơng mại …cần đến xác thực trên Internet đều cha hỗtrợ xác thực bằng thẻ Hiện nay, hầu nh các nhà cung cấp giải pháp xác thực bằngthẻ đều phát triển các dịch vụ theo mô hình riêng của mình, sử dụng các thiết bịriêng cha thống nhất, do đó khả năng liên hệ giữa các hệ thống hầu nh không có

• ứng dụng

Đây đợc coi là giải pháp tơng đối hoàn chỉnh và đợc nhận định là có tiềmnăng lớn Hiện nay, trên thế giới có rất nhiều công ty lớn đang phát triển nhữnggiải pháp xác thực hoàn thiện hơn về cả mức độ an toàn và khả năng linh độngtrong việc sử dụng thẻ Có rất nhiều quốc gia đã sử dụng công nghệ này để làmchng minh th, thẻ rút tiền ngân hàng… Giải pháp này ngày càng đợc sử dụng nhiềuhơn do sự phát triển về khoa học công nghệ, giá thành của thẻ cũng nh của cácthiết bị có liên quan giảm đi rất nhiều trong thời gian vừa qua Tổ chức chuẩn hóaquốc tế ISO đã và đang đa ra những tiêu chuẩn thống nhất trong việc xây dựng vàphát triển thẻ.

2.3.3.3 Giải pháp xác thực sử dụng các kỹ thuật sinh trắc học

số hóa và lu trữ các đặc điểm này vào một cơ sở dữ liệu Ngoài ra còn phải có cácthiết bị để ghi nhận các thông tin và chuyển về để đối chiếu với cơ sở dữ liệu đã cótrong hệ thống ở phía máy khách, ngời dùng sử dụng một thiết bị đầu cuối có hỗtrợ biểu mẫu dùng cho việc đăng nhập vào hệ thống hoặc trong môi trờng Internetthì sử dụng trình duyệt để mở trang đăng nhập Ngời dùng sẽ phải điền vào biểumẫu mật khẩu hay một thông tin nhận dạng tơng tự và cung cấp mẫu sinh trắc học

nh dấu vân tay, hình dạng lòng bàn tay, mắt, giọng nói, chữ ký …thông qua cácthiết bị nhận dạng đợc tích hợp trong đó Sau đó, các thông tin này sẽ đợc chuyển

về trung tâm xác thực của hệ thống để kiểm tra Trung tâm sẽ phân tích mẫu thu

đợc và đối chiếu xem mẫu tơng ứng với mật khẩu đợc lu trong cơ sở dữ liệu cótrùng hay không, nếu trùng thì ngời dùng đăng nhập là hợp lệ Và hệ thống sẽ đa

ra các quyền hạn, tài nguyên phù hợp cho ngời sử dụng

Các đặc điểm sinh trắc học này thì không thể bị mất cắp Ngày nay với trình

độ khoa học công nghệ phát triển, việc nhận biết các thông tin sinh trắc học đã cóthể phân biệt đợc thông tin sinh trắc học của ngời sống và của ngời chết

• Nhợc điểm

Khi mà các dữ liệu sinh trắc học khó có sự thay đổi nh dấu vân tay, mắt đợc

sử dụng trong các ứng dụng khác nhau thì rất dễ bị đánh cắp

Trên thế giới vẫn cha có một chuẩn chung nào cho việc số hóa các mẫu sinh trắchọc Mặt khác, các nhà sản xuất khác nhau cung cấp các thiết bị xác thực mẫusinh trắc học theo các chuẩn khác nhau không có sự thống nhất Do đó, việc trang

bị hệ thống xác thực này không có tính linh động cao

Có một số thông tin có thể bị thay đổi vì nhiều lý do Ví dụ: Dấu vân tay bịthay đối do bị chấn thơng, giọng nói bị méo do bị viêm họng …Do đó, việc xácthực đúng các thông tin này thờng rất thấp

ở nhiều nơi việc đa giải pháp này vào các ứng dụng trên Internet là không thực

tế Các thông tin xác thực sinh trắc học thờng khá lớn trong khi băng thông đờngtruyền không phải ở đâu cũng đủ rộng Dẫn đến kết quả phản hồi lại rất chậm

• ứng dụng

Đây là một giải pháp có mức độ an toàn cao nhất và đợc đánh giá là có khảnăng phát triển rộng rãi Khoa học công nghệ ngày càng phát triển hiện đại sẽ làmtăng thêm sự an toàn, tính tiện lợi và giảm giá thành của các thiết bị liên quan đến.Một số hãng phần mềm lớn đã hỗ trợ giải pháp xác thực bằng sinh trắc học

nh hãng Microsoft với các phiên bản hệ điều hành Windows NT, Windows 2000…Nớc Anh cũng đã bắt đầu nghiên cứu và đa vào triển khai kế hoạch sử dụng cácthông tin sinh trắc học trong công việc quản lý nh các thẻ dịch vụ, chứng minh th

…

2.4 Các giao thức xác thực

Dịch vụ xác thực đặc biệt quan trọng trong việc đảm bảo cho một hệ thốnghoạt động an toàn Một hệ thống thờng phải xác thực một thực thể trớc khi tiếnhành truyền thông với thực thể đó Nhận dạng của thực thể sau đó đợc sử dụng đểxác định quyền truy cập hay để thực hiện chống chối bỏ Trong giao thức xácthực, hai bên thờng đồng ý chia sẻ một bí mật để đảm bảo tính toàn vẹn và tính bímật

Các kỹ thuật xác thực thờng dựa trên ba mô hình: có-cái-gì-đó, biết-cái-gì-đó và bạn-là-cái-gì-đó Trong mô hình xác thực bạn-biết-cái-gì-đó, ng-

bạn-ời sử dụng đa ra tri thức về một cái gì đó ví dụ nh password hoặc một số định danhcá nhân Trong hớng tiếp cận bạn-có-cái-gì-đó, ngời sử dụng chứng minh sựchiếm hữu một vật gì đó ví dụ nh một khóa vật lý, một dấu hiệu, một card tự nhậndạng hoặc một khóa bí mật đợc lu trữ trên smart card Mô hình bạn-là-cái-gì-đấydựa trên một đặc điểm không thể thay đổi của ngời sử dụng nh giọng nói, dấu vântay hay võng mạc

Vì các kỹ thuật này không cung cấp đủ sự đảm bảo về nhận dạng nếu đợc

sử dụng đơn lẻ, nên các hệ thống kết hợp cả ba mô hình có thể đợc sử dụng Các

hệ thống này yêu cầu ngời sử dụng đa ra hơn một loại bằng chứng để chứng minhnhận dạng của mình Ví dụ nh một máy ATM (Asynchronous Transfer Mode) yêucầu một ngời chứng minh cả tri thức về số nhận dạng cá nhân và sự sở hữu mộtcard để truy cập đợc đến account của mình

Hệ thống xác thực có thể thực hiện các giao thức xác thực phức tạp với cácthiết bị kiểm tra nhận dạng của ngời sử dụng Các giao thức này có thể sử dụngcác thao tác mã hóa phức tạp và sử dụng các khóa mã hóa dài để ngăn cản nhiềuloại tấn công truyền thống Sau đây là một số giao thức xác thực phổ biến:

• Giao thức thử thách và trả lời: Giao thức thử thách và trả lời cho phép ngờitruy nhập tự xác thực mình với hệ thống bằng cách chứng minh hiểu biết củamình về giá trị mật mã bí mật mà không yêu cầu ngời truy nhập tiết lộ bí mật

Hệ thống xác thực đa ra cho ngời truy nhập một số đợc tạo ra một cách ngẫunhiên đợc gọi là thử thách Ngời truy nhập nhập số thử thách và giá trị mật để

hàm mật mã tính ra câu trả lời Hệ thống xác thực nét nhận dạng của ngờitruy nhập nếu câu trả lời là giá trị mong đợi Bởi vì thử thách là một số ngẫunhiên, giao thức thử thách – trả lời cung cấp một lá chắn có hiệu quả chốnglại sự tấn công lặp lại.

• Giao thức xác thực không tiết lộ bí mật: cho phép ngời sử dụng tự xác thựcvới một hệ thống bằng cách chứng minh tri thức về một giá trị bí mật màkhông yêu cầu ngời sử dụng tiết lộ bí mật Hệ thống xác thực gửi cho ngời sửdụng một số bất kỳ Ngời sử dụng sử dụng giá trị bất kỳ đó và bí mật để tínhtoán một giá trị trả lời Hệ thống xác nhận nhận dạng của ngời sử dụng nếugiá trị trả lời đúng

• Giao thức biến đổi mật khẩu: một ngời sử dụng xử lý mật khẩu của mìnhthông qua một hàm băm và gửi kết quả cho hệ thống xác thực Hệ thống sosánh giá trị băm với giá trị băm đúng mà nó lu trữ, ngời sử dụng sẽ đợc xácthực nếu hai giá trị này giống nhau Nếu hệ thống lu trữ mật khẩu thay vì lutrữ các giá trị băm của nó, nó phải tính toán giá trị băm trớc khi thực hiện sosánh Các giao thức này ngăn chặn việc ăn cắp mật khẩu trên đờng truyền nh-

ng lại dễ bị đánh lừa bởi các cuộc tấn công lặp lại

• Giao thức sử dụng mật khẩu một lần: là cải tiến của phơng pháp biến đổimật khẩu để chống lại các cuộc tấn công lặp lại Giao thức này yêu cầu ngời

sử dụng và hệ thống xác thực chia sẻ một số bí mật nhỏ n Ngời sử dụng bămmật khẩu của mình n lần để tạo ra mật khẩu sử dụng một lần và gửi nó tới hệthống, trong khi đó hệ thống cũng thực hiện băm giá trị mật khẩu của ngời sửdụng mà nó lu trữ n lần và sẽ xác thực ngời sử dụng nếu hai giá trị này trùngnhau Các cuộc tấn công lặp lại không thể thực hiện đợc bởi mật khẩu lần saukhông xác định đợc từ mật khẩu của lần truy nhập trớc

• Giao thức sử dụng chứng chỉ số: là một dạng khác của giao thức xác thựckhông tiết lộ bí mật trong đó giá trị mã hóa bí mật là một khóa riêng và hệthống xác thực sử dụng khóa công khai tơng ứng để kiểm tra trả lời

Nhận xét

Giải pháp xác thực sử dụng tên và mật khẩu là giải pháp truyền thống đợc

sử dụng phổ biến nhất hiện nay Nó có hiệu quả, đơn giản, nhanh gọn và giá thànhthấp Song giải pháp này còn tồn tại khá nhiều bất cập, nguy cơ bị đánh cắp cao.Khi ứng dụng trên Internet, các thông tin này cũng rất dễ bị lấy cắp trong quátrình truyền thông tin đi Hiện nay, để hạn chế các nhợc điểm này, có nhiều cơ chếbảo mật đợc sử dụng nh mật khẩu dùng một lần

Giải pháp xác thực sử dụng thẻ đã hạn chế một số nhợc điểm của giải phápdùng tên và mật khẩu Các thông tin cần thiết của ngời dùng đợc lu trữ ngay trênthẻ Các thẻ hầu nh đều yêu cầu ngời sử dụng phải nhập vào một số nhận dạngPIN làm tăng thêm mức độ an toàn Đây là giải pháp khá hoàn chỉnh và an toànnhng chi phí cho việc áp dụng giải pháp này lại cao Các nớc phát triển trên thếgiới sử dụng nhiều

Giải pháp xác thực sử dụng kỹ thuật trong sinh trắc học cung cấp một cơchế đặc biệt an toàn Ngời dùng sẽ đợc xác thực thông qua những gì của chínhmình Nhng việc áp dụng giải pháp này trong các ứng dụng trên Internet là khôngkhả quan vì đờng truyền băng thông không đủ lớn so với lợng thông tin cầntruyền Mặt khác, giải pháp này đòi hỏi phải có các trang thiết bị với công nghệcao và hiện đại nên việc áp dụng giải pháp này còn gặp nhiều khó khăn

Hiện nay, trên thế giới để nâng cao tính an toàn, một số nhà sản xuất đãcung cấp những giải pháp kết hợp các giải pháp khác nhau Tuy nhiên, nó đòi hỏicác trang thiết bị hiện đại và giá thành rất cao Và thực tế hiện nay, sự kết hợp nàycha đợc sử dụng nhiều

Chơng 3: tổng quan về hệ thống th điện tử

3 Khái niệm chung về hệ thống th điện tử

3.1 Giới thiệu th điện tử

3.1.1Th điện tử là gì ?

Để gửi một bức th, thông thờng ta có thể mất một vài ngày với một bức thgửi trong nớc và nhiều thời gian hơn để gửi bức th đó ra nớc ngoài Do đó, để tiếtkiệm thời gian và tiền bạc ngày nay nhiều ngời đã sử dụng th điện tử Th điện tử

đợc gửi tới ngời nhận rất nhanh, dễ dàng và rẻ hơn nhiều so với th truyền thống

Vậy th điện tử là gì ? nói một cách đơn giản, th điện tử là là một thông điệpgửi từ máy tính này đến một máy tính khác trên mạng máy tính mang nội dungcần thiết từ ngời gửi đến ngời nhận Do th điện tử gửi qua lại trên mạng và sử dụngtín hiệu điện vì vậy tốc độ truyền rất nhanh

Th điện tử còn đợc gọi tắt là E-Mail(Electronic Mail) E-Mail có nhiều cấutrúc khác nhau tuỳ thuộc vào hệ thống máy tính của ngời sử dụng Mặc dù khácnhau về cấu trúc nhng tất cả đều có một mục đích chung là gửi hoặc nhận th điện

tử từ một nơi này đến một nơi khác nhanh chóng Ngày nay, nhờ sự phát triển củaInternet ngời ta có thể gửi điện th tới các quốc gia trên toàn thế giới Với lợi ích

nh vậy nên th điện tử hầu nh trở thành một nhu cầu cần phải có của ngời sử dụngmáy tính Giả sử nh bạn đang là một nhà kinh doanh nhỏ và cần phải bán hàngtrên toàn quốc.Vậy làm thế nào bạn có thể liên lạc đợc với khách hàng một cáchnhanh chóng và dễ dàng Th điện tử là cách giải quyết tốt nhất và nó đã trở thànhmột dịch vụ nổi tiếng trên Internet

3.1.2 Lợi ích của th điện tử

Th điện tử có rất nhiều công dụng vì chuyển nhanh chóng và sử dụng dễdàng Mọi ngời có thể trao đổi ý kiến, tài liệu với nhau trong thời gian ngắn Th

điện tử ngày càng đóng một vai trò quan trọng trong đời sống, khoa học, kinh tế,xã hội, giáo giục, và an ninh quốc gia Ngày nay ngời ta trao đổi với nhau hàngngày những ý kiến, tài liệu bằng điện th mặc dù cách xa nhau hàng ngàn cây số

Vì th điện tử phát triển dựa vào cấu trúc của Internet cho nên cùng với sựphát triển của Internet, th điện tử ngày càng phổ biển trên toàn thế giới Ngời takhông ngừng tìm cách để khai thác đến mức tối đa về sự hữu dụng của nó Th điện

tử phát triển sẽ đợc bổ sung thêm các tính năng sau:

• Mỗi bức th điện tử sẽ mang nhận dạng ngời gửi Nh vậy ngời gửi sẽ biết ai

đã gửi th cho mình một cách chính xác

• Ngời ta sẽ dùng th điện tử để gửi th viết bằng tay Có nghĩa là ngời nhận sẽ

đọc th điện mà ngời gửi đã viết bằng tay

• Thay vì gửi lá th điện tử bằng chữ, ngời gửi có thể dùng điện th để gửi tiếngnói Ngời nhận sẽ lắng nghe đợc giọng nói của ngời gửi khi nhận th

• Ngời gửi có thể gửi một cuốn phim hoặc là những hình ảnh lu động cho

ng-ời nhận

Nhng trở ngại lớn nhất hiện giờ là vấn đề an ninh, an toàn của mạng máy tínhnói chung và giao dịch thơng mại bằng th điện tử nói riêng là một nhu cầu cấpthiết Ngoài ra đờng truyền tải tín hiệu của Internet còn chậm cho nên khó có thểchuyển tải số lợng lớn các tín hiệu Vì thế gần đây ngời ta đã bắt đầu xây dựngnhững đờng truyền tải tốc độ cao cho Internet với lu lợng nhanh gấp trăm lần sovới đờng cũ Hy vọng rằng với đà tiến triển nh vậy, mọi ngời trên Internet sẽ cóthêm đợc nhiều lợi ích từ việc sử dụng điện th

3.2 Kiến trúc và hoạt động của hệ thống th điện tử

3.2.1.Những nhân tố cơ bản của hệ thống th điện tử

Hình 6: Sơ đồ tổng quan hệ thống th điện tử

Hầu hết hệ thống th điện tử bao gồm ba thành phần cơ bản là MUA, MTA

và MDA

• MTA (Mail Transfer Agent)

Khi các bức th đợc gửi đến từ MUA MTA có nhiệm vụ nhận diện ngời gửi vàngời nhận từ thông tin đóng gói trong phần header của th và điền các thông tin cầnthiết vào header Sau đó MTA chuyển th cho MDA để chuyển đến hộp th ngay tạiMTA, hoặc chuyển cho Remote-MTA

Việc chuyển giao các bức th đợc các MTA quyết định dựa trên địa chỉ ngờinhận tìm thấy trên phong bì

• Nếu nó trùng với hộp th do MTA (Local-MTA) quản lý thì bức th đợcchuyển cho MDA để chuyển vào hộp th

• Nếu địa chỉ gửi bị lỗi, bức th có thể đợc chuyển trở lại ngời gửi

• Nếu không bị lỗi nhng không phải là bức th của MTA, tên miền đợc sử dụng

để xác định xem Remote-MTA nào sẽ nhận th, theo các bản ghi MX trên hệ thốngtên miền

• Khi các bản ghi MX xác định đợc Remote-MTA quản lý tên miền đó thìkhông có nghĩa là ngời nhận thuộc Remote-MTA Mà Remote-MTA có thể đơngiản chỉ trung chuyển (relay) th cho một MTA khác, có thể định tuyến bức th cho

địa chỉ khác nh vai trò của một dịch vụ domain ảo (domain gateway) hoặc ngờinhận không tồn tại và Remote-MTA sẽ gửi trả lại cho MUA gửi một cảnh báo

• MDA (Mail Delivery Agent)

Là một chơng trình đợc MTA sử dụng để đẩy th vào hộp th của ngời dùng.Ngoài ra MDA còn có khả năng lọc th, định hớng th Thờng là MTA đợc tíchhợp với một MDA hoặc một vài MDA.

• MUA (Mail User Agent)

MUA là chơng trình quản lý th đầu cuối cho phép ngời dùng có thể đọc, viết

- Gửi trả hay chuyển tiếp th

- Gắn các file vào các th gửi đi (Text,HTML, MIME.v.v)

- Thay đổi các tham số (ví dụ nh server đợc sử dụng, kiểu hiển thị th, kiểumã hoá th.v.v)

- Thao tác trên các th mục th địa phơng và ở đầu xa

- Cung cấp số địa chỉ th (danh bạ địa chỉ)

- Lọc th

3.2.2 Giới thiệu về giao thức POP và IMAP

Trong giai đoạn đầu phát triển của th điện tử ngời dùng đợc yêu cầu truynhập vào máy chủ th điện tử và đọc các bức điện ở đó Các chơng trình th thờng sửdụng dạng text và thiếu khả năng thân thiện với ngời dùng, để giải quyết vấn đề

đó một số thủ tục đợc phát triển để cho phép ngời dùng có thể lấy th về máy của

họ hoặc có các giao diện sử dụng thân thiện hơn với ngời dùng Điều đó đã đem

đến sự phổ biến của th điện tử

Có hai thủ tục đợc sử dụng phổ biến nhất để lấy th về hiện nay là POP(PostOffice Protocol) và IMAP(Internet Mail Access Protocol)

3.2.2.1 POP ( Post Office Protocol)

POP cho phép ngời dùng có account tại máy chủ th điện tử kết nối vào và lấy

th về máy tính của mình, ở đó có thể đọc và trả lời lại POP đợc phát triển đầu tiênvào năm 1984 và đợc nâng cấp từ bản POP2 lên POP3 vào năm 1988 Và hiện nayhầu hết ngời dùng sử dụng tiêu chuẩn POP3

POP3 kết nối trên nền TCP/IP để đến máy chủ th điện tử (sử dụng giao thứcTCP cổng mặc định là 110) Ngời dùng điền username và password Sau khi xácthực đầu máy khách sẽ sử dụng các lệnh của POP3 để lấy và xoá th

POP3 chỉ là thủ tục để lấy th trên máy chủ th điện tử về MUA POP3 đợc quy

định bởi tiêu chuẩn RFC 1939

Rset Khôi phục lại những th đã xoá(rollback)

Quit Thực hiện việc thay đổi và thoát ra

Thủ tục POP3 là một thủ tục rất có ích và sử dụng rất đơn giản để lấy th vềcho ngời dùng Nhng sự đơn giản đó cũng đem đến việc thiếu một số công dụngcần thiết

Ví dụ: POP3 chỉ làm việc với chế độ offline có nghĩa là th đợc lấy sẽ bị xóa trênserver và ngời dùng chỉ thao tác và tác động trên MUA

3.2.2.2 IMAP(Internet Mail Access Protocol)

IMAP đợc phát triển vào năm 1986 bởi trờng đại học Stanford IMAP2 pháttriển vào năm 1987 IMAP4 là bản mới nhất đang đợc sử dụng và nó đợc các tổchức tiêu chuẩn Internet chấp nhận vào năm 1994 IMAP4 đợc quy định bởi tiêuchuẩn RFC 2060 và nó sử dụng cổng 143 của TCP Giao thức này cũng tơng tự

nh POP3 nhng mạnh và phức tạp hơn POP3 nó hỗ trợ những thiếu sót của POP3,

nó có thêm các đặc trng sau:

• Cho phép ngời sử dụng kiểm tra phần đầu của th trớc khi download th

• Cho phép ngời sử dụng tìm kiếm nội dung th theo một chuỗi kí tự nào đó

Lệnh của IMAP4

Lệnh Miêu tả

Capability Yêu cầu danh sách các chức năng hỗ trợ

Authenticate Xác định sử dụng các thực từ một server khác

Login Cung cấp username và password

Subscribe Thêm vào một list đang hoạt động

Unsubscribe Rời khỏi list đang hoạt động

List Danh sách hộp th

Lsub Hiện danh sách ngời sử dụng hộp th

Status Trạng thái của hộp th (số lợng th, )

Append Thêm message vào hộp th

Check Yêu cầu kiểm tra hộp th

Close Thực hiện xoá và thoát khỏi hộp th

Search Tìm kiếm trong hộp th để tìm message xác

định

Fetch Tìm kiếm trong nội dung của message

Store Thay đổi nội dung của message

Copy Copy message sang hộp th khác

• Đặc biệt hỗ trợ cho các chế độ làm việc online, offline, hoặc không kết nối

• Chia sẻ hộp th giữa nhiều ngời dùng

• Hoạt động hiệu quả cả trên đờng kết nối tốc độ thấp

3.2.3 Đờng đi của th

Mỗi một bức th truyền thống phải đi đến các bu cục khác nhau trên đờng

đến với ngời dùng Tơng tự th điện tử cũng chuyển từ máy chủ th điện tử này(Mail server) tới máy chủ th điện tử khác trên Internet Khi th đợc chuyển tới đíchthì nó đợc chứa tại hộp th điện tử tại máy chủ th điện tử cho đến khi nó đợc nhậnbởi ngời nhận Toàn bộ quá trình xảy ra trong vài phút, do đó nó cho phép nhanhchóng liên lạc với mọi ngời trên toàn thế giới một cách nhanh chóng tại bất cứthời điểm nào dù ngày hay đêm

• Gửi, nhận và chuyển th

Để nhận đợc th điện tử thì bạn cần phải có một tài khoản (account) th điện

tử Nghĩa là bạn phải có một địa chỉ để nhận th Một trong những thuận lợi hơnvới th thông thờng là bạn có thể nhận th điện tử bất cứ ở đâu Bạn chỉ cần kết nốivào máy chủ th điện tử để lấy th về máy tính của mình

Để gửi đợc th bạn cần phải có một kết nối vào Internet và truy nhập vàomáy chủ th điện tử để chuyển th đi Thủ tục tiêu chuẩn đợc sử dụng để gửi th làSMTP (Simple Mail Transfer Protocol) Nó đợc kết hợp với thủ tục POP (PostOffice Protocol) và IMAP (Iinternet Message Access Protocol) để lấy th

Hình 7 : Hoạt động của POP và SMTP

Trên thực tế có rất nhiều hệ thống máy tính khác nhau và mỗi hệ thống lại

có cấu trúc chuyển nhận th điện tử khác nhau Do vậy ngời ta đặt ra một giao thứcchung cho th điện tử gọi là Simple Mail Transfer Protocol viết tắt là SMTP Nhờvào SMTP mà sự chuyển vận th điện tử trên Internet dễ dàng, nhanh chóng

Khi gửi th điện tử thì máy tính của bạn cần phải định hớng đến máy chủSMTP (MTA) Máy chủ sẽ tìm kiếm địa chỉ th điện tử (tơng tự nh địa chỉ điền trênphong bì) sau đó chuyển tới máy chủ của ngời nhận và nó đợc chứa ở đó cho đếnkhi đợc lấy về.

• Chuyển th (Delivery)

Nếu máy gửi (Local-MTA) có thể liên lạc đợc với máy nhận (Remote-MTA)thì việc chuyển th sẽ đợc tiến hành Giao thức đợc sử dụng để vận chuyển th giữahai máy chủ th điện tử cũng là SMTP Trớc khi nhận th thì máy nhận sẽ kiểm soáttên ngời nhận có hộp th thuộc máy nhận quản lý hay không Nếu tên ngời nhận ththuộc máy nhận quản lý thì lá th sẽ đợc nhận lấy và lá th sẽ đợc bỏ vào hộp th củangời nhận Trờng hợp nếu máy nhận kiểm soát thấy rằng tên ngời nhận không cóhộp th thì máy nhận sẽ khớc từ việc nhận lá th Trong trờng hợp khớc từ này thìmáy gửi sẽ thông báo cho ngời gửi biết là ngời nhận không có hộp th (userunknown)

• Nhận th (Receive)

Sau khi máy nhận (Remote-MTA) đã nhận lá th và bỏ vào hộp th cho ngờinhận tại máy nhận MUA sẽ kết nối đến máy nhận để xem th hoặc lấy về để xem.Sau khi xem th xong thì ngời nhận có thể lu trữ (save), hoặc xoá (delete), hoặc trảlời (reply) v.v Trờng hợp nếu ngời nhận muốn trả lời lại lá th cho ngời gửi thì ng-

ời nhận không cần phải ghi lại địa chỉ vì địa chỉ của ngời gửi đã có sẵn trong lá th

và chơng trình th sẽ bỏ địa chỉ đó vào trong bức th trả lời Giao thức đợc sử dụng

để nhận th phổ biển hiện nay là POP3 và IMAP

• Trạm phục vụ th hay còn gọi là máy chủ th điện tử (Mail Server)

Trên thực tế, trong những cơ quan và các hãng xởng lớn, máy tính của ngờigửi th không trực tiếp gửi đến máy tính của ngời nhận mà thờng qua các máy chủ

th điện tử (Máy chủ th điện tử - Mail Server bao hàm kết hợp cả MTA, MDA vàhộp th của ngời dùng)

Ví dụ : Quá trình gửi th

Hình 8: Gửi th từ A tới B

Nh mô hình trên cho thấy, nếu nh một ngời ở máy A gửi tới một ngời ởmáy B một lá th thì trớc nhất máy A sẽ gửi đến máy chủ th điện tử X khi trạmphục vụ th X sẽ chuyển tiếp cho máy chủ th điện tử Y Khi trạm phục vụ th Ynhận đợc th từ X thì Y sẽ chuyển th tới máy B là nơi ngời nhận Trờng hợp máy B

bị trục trặc thì máy chủ th Y sẽ gửi th.Thông thờng thì máy chủ th điện tử thờngchuyển nhiều th cùng một lúc cho một máy nhận Nh ví dụ ở trên trạm phục vụ th

Y có thể chuyển nhiều th cùng một lúc cho máy B từ nhiều nơi gửi đến Một vàicông dụng khác của máy chủ th là khi ngời sử dụng có chuyện phải nghỉ một thờigian thì ngời sử dụng có thể yêu cầu máy chủ th giữ giùm tất cả những th từ trongthời gian ngời sử dụng vắng mặt hoặc có thể yêu cầu máy chủ th chuyển tất cả các

th tới một hộp th khác

3.3 Hệ thống DNS (Domain Name System).

Trong các mục trớc chúng ta đã đề cập tới các khái niệm cơ bản của hệthống th điện tử Tại phần này chúng ta tìm hiểu khái niệm về hệ thống tên miềnhay còn gọi là DNS (Domain Name System) Hệ thống tên miền giúp chúng tahiểu đợc cấu trúc địa chỉ th và cách vận chuyển th trên mạng

3.3.1 Khái niệm về hệ thống tên miền:

Internet một khái niệm định nghĩa mạng máy tính toàn cầu, là sự kết nốicác hệ thống mạng máy tính của nhiều quốc gia và các tổ chức thành một mạngrộng khắp

3.3.2 Cấu tạo tên miền

Tên miền bao gồm nhiều thành phần cấu tạo nên cách nhau bởi dấuchấm “.”

Mỗi máy tính khi kết nối vào mạng Internet thì đợc gán cho một địa chỉ IP

xác định Địa chỉ IP của mỗi máy là duy nhất và giúp máy tính có thể xác định ờng đi đến một máy tính khác một cách dễ dàng Đối với ngời dùng thì địa chỉ IP

đ-là rất khó nhớ (ví dụ địa chỉ IP 203.162.0.11 đ-là của máy DNS server tại Hà Nội).Cho nên, cần phải sử dụng một hệ thống để giúp cho máy tính tính toán đờng đimột cách dễ dàng và đồng thời cũng giúp ngời dùng dễ nhớ Do vậy, hệ thốngDNS ra đời nhằm giúp cho ngời dùng có thể chuyển đổi từ địa chỉ IP khó nhớ màmáy tính sử dụng sang một tên dễ nhớ cho ngời sử dụng và ngày càng phát triển.Những tên gợi nhớ nh home.vnn.vn hoặc www.cnn.com thì đợc gọi là tên miền(domain name hoặc DNS name) Nó giúp cho ngời sử dụng dễ dàng nhớ vì nó ởdạng chữ mà ngời bình thờng có thể hiểu và sử dụng hàng ngày

Hệ thống DNS sử dụng hệ thống cơ sở dữ liệu phân tán và phân cấp hìnhcây Vì vậy việc quản lý cũng dễ dàng và cũng rất thuận tiện cho việc chuyển đổi