Luận văn Xây dựng hệ thống mạng doanh nghiệp sử dụng mã nguồn mở

Để có thể đáp ứng được đòi hỏi trình độ công nghệ thông tin ngày càng cao của thị trường, sinh viên ngành công nghệ thông tin nói riêng và các đối tượng hoạt động trong lĩnh vực công ngh

B Ộ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC KINH TẾ - KĨ THUẬT CÔNG NGHIỆP

TÊN ĐỀ TÀI LUẬN VĂN :

Ngành đào tạo : Công nghệ thông tin

Mã s ố ngành : 7480201

H ọ và tên sinh viên : VŨ ANH NGỌC

Người hướng dẫn luận văn tốt nghiệp : THS TR ẦN QUỐC HOÀN

Hà N ội

B Ộ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC KINH TẾ - KĨ THUẬT CÔNG NGHIỆP

TÊN ĐỀ TÀI LUẬN VĂN :

Ngành đào tạo : Công nghệ thông tin

Mã s ố ngành : 7480201

H ọ và tên sinh viên : VŨ ANH NGỌC

Người hướng dẫn luận văn tốt nghiệp : THS TR ẦN QUỐC HOÀN

Hà N ội

i

M ỤC LỤC

DANH MỤC HÌNH ẢNH vii

DANH MỤC CÁC TỪ VIẾT TẮT ix

LỜI NÓI ĐẦU 1

CHƯƠNG 1 : TỔNG QUAN HỆ THỐNG MẠNG DOANH NGHIỆP 2

1.1 LÝ DO CHỌN ĐỀ TÀI 2

1.1.1 Lý do khách quan 2

1.1.2 Lý do chủ quan 2

1.2 MỤC TIÊU ĐỀ TÀI 2

1.3 GIỚI HẠN ĐỀ TÀI 2

1.3 MỤC ĐÍCH NGHIÊN CỨU 3

1.3.1 Mục đích trước mắt 3

1.3.2 Mục đích cụ thể 3

1.3.3 Mục đích lâu dài 3

1.5 THỂ THỨC NGHIÊN CỨU 3

1.5.1 Dàn ý chi tiết 3

1.5.2 Đối tượng nghiên cứu 3

1.5.3 Phương pháp nghiên cứu 4

1.5.3 Phương tiện nghiên cứu 4

1.6 HỆ THỐNG MẠNG DOANH NGHIỆP 4

1.6.1 Kiến trúc mạng Enterprise Cisco 4

1.6.2 Kiến trúc mạng Campus 5

1.6.3 Kiến trúc Data Center 5

1.6.4 Kiến trúc Branch 6

1.6.7 Kiến trúc Teleworker 7

1.6.8 Kiến trúc WAN và MAN 7

1.6.9 Mô hình an ninh-an toàn (Secure models) 9

1.7 MÔ HÌNH WAN 9

1.8 MÔ HÌNH MẠNG ĐỂ XUẤT 11

ii

1.8.1 Các yêu cầu về dịch vụ 11

1.8.2 Sơ đồ mạng logic 12

1.8.3 Sơ đồ mạng thực tế 13

1.8.4 Sơ đồ mạng thực nghiệm 14

CHƯƠNG 2 : HỆ THỐNG TÊN MIỀN DNS 15

2.1 DỊCH VỤ DNS 15

2.1.1 Giới thiệu về DNS 15

2.1.2 Cài đặt và cấu hình 18

2.2 DỊCH VỤ DHCP 21

2.2.1 Giới thiệu DHCP 21

3.2.2 Cấu hình và cài đặt 22

2.3 DỊCH VỤ TELNET 23

2.3.1 Giới thiệu telnet 23

2.3.2 Cấu hình và cài đặt 24

2.4.DỊCH VỤ SSH 26

2.4.1 Sơ lược về SSH 26

2.4.2 Cài đặt và cấu hình 26

2.5 LDAP… 29

2.5.1 Giới thiệu 29

2.5.2 Cài đặt và cấu hình 35

2.6 DỊCH VỤ NFS 42

2.6.1 Giới thiệu NFS 42

2.6.2 Cài đặt và cấu hình 43

2.7 DỊCH VỤ SAMBA 45

2.7.1 Giới thiệu SAMBA 45

2.7.2 Cài đặt và cấu hình SAMBA 46

CHƯƠNG 3 : BẢO MẬT HỆ THỐNG VÀ DỊCH VỤ TRUY CẬP TỪ XA 51 3.1 DỊCH VỤ FIREWALL 51

3.1.1 Giới thiệu 51

3.1.2 Cài đặt và cấu hình 52

iii

3.2 DỊCH VỤ PROXY 58

3.2.1 Giới thiệu proxy 58

3.2.2 Cài đặt và cấu hình 60

3.4 MAIL SERVER 62

3.4.1 Giới Thiệu Về Mail Server: 62

3.4.2 Cài đặt … 64

3.5 WEB SERVER 68

3.5 Giới thiệu … 68

3.5.2 Cài đặt … 70

3.6 FPT SERVER 71

3.6.1 Giới thiệu FTP 71

3.6.2 Cài đặt … 74

3.7 VIRTUAL PRIVATE NETWORK (VPN) 75

3.7.1 Giới thiệu 75

3.7.2 Cài đặt và cấu hình 77

3.8 IDS-IPS 82

3.8.1 Giới thiệu 82

3.8.2 Cài đặt và cấu hình snort 85

TÀI LIỆU THAM KHẢO 90

vii

Hình 1.1: Các kiến trúc Enterprise của Cisco 4

Hình 1.2 : Kiến trúc mạng Campus 5

Hình 1.3: Kiến trúc Data Center 6

Hình 1.4: Kiến trúc Branch 6

Hình 1.5: Mô hình phân cấp 8

Hình 1.6: Mô hình tường lửa 3 phần 9

Hình 1.7: Mô hình phân cấp để hỗ trợ thiết kế WAN 10

Hình 1.8 : Sơ đồ mạng Logic 12

Hình 1.9 : Mô hình thực nghiệm 13

Hình 2.1: Nội dung file cấu hình phân giải thuận 20

Hình 2.2: Nội dung file cấu hình phân giải ngược 20

Hình 2.3: DNS phân giải trong nslookup 21

Hình 2.4: Nội dung file cấu hình dhcp server 22

Hình 2.5 : Hiển thị được domain trên máy Client 23

Hình 2.6 : Giao diện PuTTy 25

Hình 2.7 : Màn hình đăng nhập Telnet bên Client 25

Hình 2.8 : Nội dụng file SSH 27

Hình 2.9: Giao diện phần mềm PuTTY 28

Hình 2.10 : Hình ảnh đăng nhập thành công SSH trên Client 28

Hình 2.11 : Mô hình client server 29

Hình 2.12 : Cấu trúc cây trong ldap 30

Hình 2.13 : Luồng thông điệp giữa client server 31

Hình 2.14 : Những thông điệp Client gửi cho server 32

Hình 2.15 : Nhiều kết quả tìm kiếm được trả về 32

Hình 2.16 : Giao diện web phpldapadmin 42

Hình 2.17 : Hiển thị các Port sử dụng NFS 45

Hình 2.18 : Mô hình samba 46

Hình 3.19 : Hiển thị mục share bên phía Server 50

Hình 3.1 : Luồng sự kiện đi qua firewall 51

viii

Hình 3.2 : Kết quả hiện thị thành công cài đạt Iptable tại Port 22 53

Hình 3.2 : Nội dung file cấu hình iptables 54

Hình 3.23 : Vị trí proxy với client và server 58

Hình 3.4 : File cấu hình Squid 60

Hình 3.5 : Cấu hình Proxy cho công cụ trình duyệt Mozilla Firefox 61

Hình 3.6 : Màn hình chứng thực thành công 61

Hình 3.7 : Thành phần Postfix 64

Hình 3.8 : tạo tài khoản Thunderbird 67

Hình 3.9 : Giao diện làm việc của Thunderbird 68

Hình 3.10 : Giao diện trang www.uneti.edu.vn 71

Hình 3.11 : Mô hình dịch vụ FTP 72

Hình 3.12 : Cài đặt thành công Openvpn Server 82

Hình 3.13 : Link trên trang chủ snort.org 86

Hình 3.14 : Hiển thị cài đặt và cấu hình thành công Snort 88

ix

DNS: Domain Name System

DHCP: Dynamic Host Configuration Protocol

SSH: Secure Shell

LDAP: Lightweight Directory Access Protocol

NFS: Network File System

UDP: User Datagram Protocol

TCP: Transmission Control Protocol

SMTP: Simple Mail Transfer Protocol

POP: Post Office Protocol

IMAP: Internet Message Access Protocol

FTP: File Transfer Protocol

VPN: Virtual Private Network

IDS: Intrusion detection system

IPS: Intrusion prevention systems

1

L ỜI NÓI ĐẦU

Với sự phát triển nhanh chóng của công nghệ thông tin, thế giới dường như ngày càng thu nhỏ nhờ mạng Internet Để có thể đáp ứng được đòi hỏi trình

độ công nghệ thông tin ngày càng cao của thị trường, sinh viên ngành công nghệ thông tin nói riêng và các đối tượng hoạt động trong lĩnh vực công nghệ thông tin nói chung cần phải nắm được các kiến thức về mạng máy tính cũng như xây dựng, triển khai các ứng dụng mạng như: Truy nhập CSDL SQL server trên LAN, truy nhập Web trên LAN hay chat trên LAN Điều hiển nhiên là làm về mạng thì phải có mạng máy tính để thực hành Thực tế điều kiện thực hành mạng còn nhiều điều bất cập như thời lượng thực hành tại đa số các cơ sở đào tạo chưa đủ; kinh phí hạn hẹp không cho phép có thể tự đầu tư nhiều bộ máy tính để nối mạng; sự thiếu kinh nghiệm của sinh viên có thể dẫn đến các

sự cố đáng tiếc trong quá trình thực hành

Nắm bắt được tình hình chung này, tôi đề xuất giải pháp cài đặt và cấu hình mạng doanh nghiệp sử dụng mã nguồn mở để hỗ trợ giải quyết những khó khăn trên Bố cục bài luận văn được chia thành:

Chương 1: Tổng quan về hệ thống mạng doanh nghiệp

Đưa ra lý do chọn đề tài , mục đích của đề tài , giới hạn đề tài, mục đích nghiên cứu , nghiên cứu về kiến trúc mạng Enterprise, mô hình mạng LAN và WAN

Chương 2: Hệ thống tên miền DNS và dịch vụ truy cập từ xa

Giới thiệu và cách cài đặt cấu hình DNS trên server và các dịch vụ truy

đủ các dịch vụ cần thiết phục vụ kinh doanh là điều cực kỳ cấp thiết

- Ngoài các yếu tố phần cứng và nguồn nhân lực quản trị thì yếu tố phần mềm cũng đóng vai trò rất quan trọng khi xây dựng một hệ thống mạng Nói đến phần mềm, một vấn đề lớn ở nước ta đó là bản quyền, chi phí mua bản quyền các dịch vụ để hoàn tất một hệ thống mạng là rất lớn Nên để tiết kiệm một khoản lớn chi phí, người ta dần chuyển sang các sản phẩm dịch vụ từ mã nguồn mở Ngoài việc chạy ổn định, ít bị tấn công, có một cộng đồng phát triển rất lớn thì ưu điểm lớn nhất và đáng quan tâm nhất của mã nguồn mở đó là không tốn phí Vì những lý do trên, nhóm thực hiện đề tài: “Xây dựng hệ thống mạng doanh nghiệp sử dụng mã nguồn mở”

1.1.2 Lý do ch ủ quan

- Em thực hiện đề tài nhằm mục đích tìm hiểu thêm những kiến thức mới trong ngành Mạng máy tính Để từ đó có thêm kiến thức phục vụ cho quá trình học cũng như có ích cho công việc sau khi tốt nghiệp ra trường

1.2 MỤC TIÊU ĐỀ TÀI

- Tìm hiểu kiến trúc mạng doanh nghiệp

- Đề xuất một mô hình mạng doanh nghiệp

- Cài đặt và cấu hình các dịch vụ theo mô hình đã đề xuất

1.3 GIỚI HẠN ĐỀ TÀI

- Đề tài “Xây dựng hệ thống mạng doanh nghiệp sử dụng mã nguồn mở” được nhóm chúng tôi lựa chọn để thực hiện khóa luận

- Để xây dựng được mô hình mạng doanh nghiệp chạy ổn định và an toàn,

kiểm soát hầu hết các lỗi và các tấn công trong mạng internet cần cài đặt và cấu hình rất nhiều dịch vụ tịch hợp với nhau Do thời gian cũng như kiến thức và kinh nghiệm của nhóm chưa có, nên đề tài chỉ cài đặt và cấu hình các dịch vụ

cơ bản nhất của một hệ thống mạng cần có

3

1.3 MỤC ĐÍCH NGHIÊN CỨU

1.3.1 M ục đích trước mắt

- Nhằm mục đích tiếp thu những kiến thức mới để nâng cao trình độ phục

vụ cho công việc khi ra trường Thông qua đó tạo được tác phong nghiên cứu khoa học, năng lực tư duy và biết lập kế hoạch tạo tiền đề tốt cho quá trình nghiên cứu sau này

1.3.2 M ục đích cụ thể

Mục đích cụ thể nhóm nghiên cứu sẽ giải quyết các vấn đề sau :

- Giới thiệu nội dung

+ Chương 1: Tổng quan hệ thống mạng doanh nghiệp

+ Chương 2: Hệ thống tên miền DNS và dịch vụ truy cập từ xa

+ Chương 3: Bảo mật hệ thống và các giải pháp cho việc kết nối mạng dùng riêng ra Internet

- Phần kết luận – đề nghị

1.5.2 Đối tượng nghiên cứu

Đối tượng nghiên cứu: hệ thống Centos 7

4

1.5.3 Phương pháp nghiên cứu

- Phương pháp tham khảo tài liệu: thu thập các tài liệu liên quan, phục vụ cho quá trình nghiên cứu

- Phương pháp tổng kết kinh nghiệm: thu thập các ý kiến, các phương pháp của thầy (cô) giảng dạy bộ môn chuyên ngành, kết hợp với những kinh nghiệm của bản thân rồi đúc kết để đưa vào bài báo cáo này

1.5.3 Phương tiện nghiên cứu

Hình 1.1: Các ki ến trúc Enterprise của Cisco

5

1.6.2 Ki ến trúc mạng Campus

- Là một mạng lưới gồm một tòa nhà hoặc một nhóm các tòa nhà được kết nối vào một mạng doanh nghiệp đó bao gồm nhiều mạng LAN Thường giới hạn trong một khu vực địa lý cố định

Hình 1.2 : Ki ến trúc mạng Campus

- Ví dụ: Một khu liên hợp công nghiệp, môi trường công viên kinh doanh

- Kiến trúc khuôn viên cho các doanh nghiệp mô tả các phương pháp để tạo ra một mạng lưới khả năng mở rộng, giải quyết các nhu cầu của hoạt động kinh doanh

- Là mô hình mạng thông minh do Cisco đưa ra bao gồm 3 phần chính: + Access Layer

+ Distribution Layer

+ Core Layer

1.6.3 Ki ến trúc Data Center

- Là trung tâm dữ liệu có trách nhiệm quản lý và duy trì hệ thống dữ liệu

và quan trọng đối với hoạt động kinh doanh hiện đại

+ Nhân viên, đối tác và khách hàng dựa trên dữ liệu và các nguồn lực trong trung tâm dữ liệu để có hiệu quả cộng tác và tương tác

6

+ Trong thập kỷ qua, sự phát triển của Internet và công nghệ trên nền web dã làm cho trung tâm dữ liệu trở nên quan trọng hơn bao giờ hết, nâng cao năng suất, nâng cao quy trình kinh doanh và thay đổi tốc độ

Hình 1.3: Ki ến trúc Data Center

1.6.4 Ki ến trúc Branch

- Là kiến trúc hỗ trợ doanh nghiệp mở rộng ứng dụng văn phòng và tích hợp hàng loạt các dịch vụ trên router tại chi nhánh cho các doanh nghiệp khi triển khai dịch vụ mở

Hình 1.4: Ki ến trúc Branch

7

- Cisco tích hợp bảo mật, chuyển mạch, mạng lưới phân tích, lưu trữ và hội tụ các dịch vụ thoại và video vào một loạt các dịch vụ tích hợp bộ định tuyến trong ngành để các doanh nghiệp có thể triển khai dịch vụ mới khi họ đã sẵn sàng mà không cần mua thiết bị mới

+ Tầng Core (Core Layer): Đây là đường trục chuyển mạch tốc độ cao

của mạng Tầng Core có các đặc tính như: độ tin cậy cao, có công suất dư thừa,

có khả năng tự khắc phục lỗi, có khả năng thích nghi cao, đáp ứng nhanh, dễ

quản lý, có khả năng lọc gói, hay lọc các tiến trình đang truyền trong mạng

+ Tầng phân tán (Distribution Layer): Lớp phân tán là ranh giới giữa tầng truy nhập và tầng Core của mạng Tầng phân tán thực hiện các chức năng như đảm bảo gửi dữ liệu đến từng phân đoạn mạng, bảo mật, phân đoạn mạng theo nhóm công tác, chia miền broadcast/multicast, định tuyến giữa các LAN

ảo (VLAN), chuyển môi trường truyền dẫn, định tuyến giữa các miền, tạo biên giới giữa các miền trong định tuyến tĩnh và động, thực hiện các bộ lọc gói (theo địa chỉ, theo số hiệu cổng, ), thực hiện các cơ chế đảm bảo chất lượng dịch vụ QoS

8

Router

Router Router

Core Layer

Distribution Layer

Access Layert

FDDI Ring Campus Backbone Network Core

1.6.8.1.2 Mô hình dự phòng (Redundant Models)

- Khi thiết kế một hệ thống mạng cho khách hàng, cần phải xác định khả năng thất bại của các thành phần trong hệ thống và thiết kế dự phòng khi cần thiết

9

1.6.8.1.3 Mô hình an ninh-an toàn (Secure models)

- Hệ thống tường lửa 3 phần (Three-Part Firewall System), đặc biệt quan trọng trong thiết kế WAN Ở đây, chúng tôi chỉ nêu một số khía cạnh chung nhất cấu trúc của mô hình sử dụng trong thiết kế mạng LAN

Internet

Outside Filter

Inside Filter

Hidden Corporate

Systems

Advertise Route to Isolation LAN Only

Bastion Host

Hình 1 6: Mô hình tường lửa 3 phần

- Một mạng LAN cô lập làm vùng đệm giữa mạng nội bộ của công ty với mạng bên ngoài (trong một số tài liệu mạng LAN này được gọi là vùng phi quân sự (DMZ))

- Một router hoạt động như một bộ lọc gói tin được đặt giữa DMZ và mạng nội bộ

- Một router khác hoạt động như một bộ lọc gói tin được đặt giữa DMZ

WAN BackBone

Tầng phân tánTầng lõi

Tầng truy cập

Campus Backbone

Building Backbone

Hình 1.7: Mô hình phân c ấp để hỗ trợ thiết kế WAN

+ Tầng lõi là phần kết nối mạng (WAN backbone): kết nối các trung tâm mạng (NOC) của từng vùng, thông thường khoảng cách giữa các NOC là

xa hay rất xa, do vậy chi phí kết nối và độtin cậy cần phải được xem xét kỹ Hơn nưa vấn đề đảm bảo chất lượng dịch vụ QoS cũng được đặt ra, dẫn đến phân loại, phân cấp ưu tiên dịch vụ

+ Tầng phân tán là phần kết nối các điểm đại diện POP, hay các nhánh mạng vào NOC

+Tầng truy nhập từ xa là phần kết nối của người dùng di động, hay các chi nhánh nhỏ vào POP hay vào NOC

- Các ưu điểm của mô hình phân cấp: Nhờ mô hình phân cấp người thiết

kết WAN dễ tổ chức khảo sát, dễ lựa chọn các phương án và công nghệ kết nối,

dễ tổ chức triển khai, cũng như đánh giá kết quả

- DNS primary server để phân giải tên miền nội bộ

- DNS seconday để dự phòng cho primary DNS server

- DHCP server để cấp địa chỉ IP cho các host

- DC server kết hợp samba để chứng thực tập trung cho các users

- Web server để phục vụ trang web giới thiệu, quảng bá về công ty

- Mail server để gởi nhận mail trong nội bộ và nếu muốn gởi mail ra ngoài thì phải đăng ký tên miền trên internet

- FTP server để trao đổi file

- Cài đặt dịch vụ SAMBA để chia sẻ file trong mạng cục bộ giữa client windows và linux

- Cài đặt dịch vụ NFS để chia sẻ file trong mạng cục bộ giữa các client linux với nhau

- Cài đặt firewall, proxy, IDS để lọc gói tin, ngăn chặn và phát hiện tấn công đến các server

- Cài đặt telnet, ssh để điều kiển server từ xa

- Cài đặt VPN server giúp remote client truy xuất mạng cục bộ

12

1.7.2 Sơ đồ mạng logic

Router Router

Router Switch

+ được NAT tĩnh ra bên ngoài

- Các nhân viên có thể truy cập Internet

Switch 24 port

10pc

10pc

1 Lap 5pc

13

+ Thuê đương truyền ADSL, NAT out

- Nhân viên ở Canteen có thể truy nhập Internet qua Wireless

- Công ty có 1 chi nhánh

- Từ trung tâm kết nối đến văn phòng Chi nhánh qua Internet

- Chi nhánh công ty cũng có các phòng ban, chia VLAN

- Người dùng ở ngoài có thể truy nhập Web server của công ty

- Các máy tính trong công ty và chi nhánh có thể liên lạc với nhau

- Chia VLAN phòng Hội đồng và phòng Kỹ thuật

1.7.3 Sơ đồ mạng thực tế

Dựa vào những yêu cầu trên, nhóm đề xuất mô hình mạng và các dải địa chỉ IP như sau

 Web server, mail server, ftp server địa chỉ: 192.168.1.4/24

 DC server, DNS secondary server, samba, nfs địa chỉ: 192.168.1.2/24

 DHCP server, DNS primary server,VPN server địa chỉ: 192.168.1.3/24

 Mạng cục bộ chứa các client có dãi địa chỉ : 192.168.2.0/24

Internet

Hình 1.9 : Mô hình th ực nghiệm

DHCP Server 1

Server 4 DHCP, DNS Server VPN Server

Server 2 eth0:192.168.1.4 255.255.255.0 192.168.1.1 192.168.1.3

192.168.1.2 Server 4 eth0:192.168.1.2 255.255.255.0 192.168.1.1 192.168.1.3

192.168.1.2 Server 5 eth0:192.168.1.3 255.255.255.0 192.168.1.1 192.168.1.3

192.168.1.2 Server 6 DHCP

- Do những khó khăn trên nên người ta nghĩ ra việc, làm sao để ánh xạ địa chỉ ip của mỗi máy thành hostname của nó và ngược lại Để khi trao đổi với nhau người ta chỉ cần nhớ tên hostname của máy tính bên kia

- Ban đầu do quy mô mạng ARPA NET( tiền thân của mạng internet) còn nhỏ, nên chỉ có một tập tin HOST.TXT lưu thông tin và ánh xạ tên máy thành địa chỉ IP Trong đó, tên máy chỉ là chuỗi văn văn bản không phân cấp (plat name) Tập tin này được duy trì tại một máy chủ và các máy chủ khác lưu giữ

bản sao của nó Tuy nhiên khi quy mô mạng lớn hơn, việc sử dụng tập tin HOST.TXT có các nhược điểm sau :

+ Lưu lượng mạng và máy chủ duy trì tập tin HOST.TXT bị quá tải + Xung đột tên: do tên máy không phân cấp và không có cơ quản lý tập tin nên có nguy cơ bị xung đột tên

+ Không đảm bảo sự toàn vẹn: việc duy trì tập tin trên một mạng lớn rất khó khăn Ví dụ: khi tập tin HOST.TXT vừa cập nhật chưa kịp chuyển đến máy chủ ở xa thì đã có sự thay đổi địa chỉ trên mạng rồi

- Tóm lại: việc sử dụng tập tin HOST.TXT không phù hợp cho mạng lớn

vì thiếu cơ chế phân tán và mở rộng Do đó dịch vụ DNS ra đời nhằm khắc

phục các nhược điểm này

2.1.1.1 H ệ thống tên miền – DNS

- DNS hoạt động theo mô hình client - server Máy chủ server chứa các thông tin CSDL Phía client là trình phân giải tên resolver, nó chỉ là các hàm thư viện dùng để tạo các query và gởi chúng đến máy chủ DNS server

16

- DNS hoạt động như một giao thức tầng application trong mạng TCP/IP

- DNS là một cơ sở dữ liệu phân tán Có nhiệm vụ chuyển đổi tên miền sang địa chỉ IP và ngược lại Hệ thống DNS ra đời nhằm mục đích giúp người

sử dụng một tên dễ nhớ, dễ sử dụng

- Nguyên tắc làm việc của DNS:

+ Mỗi nhà cung cấp dịch vụ vận hành và duy trì DNS server của riêng mình Khi có yêu cầu tìm kiếm một website nào đó, thì DNS server phân giải tên website này phải là DNS server của chính tổ chức quản lý website đó

+ INTERNIC - Internet Network Information Center chịu trách nhiệm quản lý các tên miền và DNS server tương ứng

+ DNS server có khả năng truy vấn các DNS server khác Ngoài việc phân giải tên miền cho các máy trong nội bộ thì nó cũng hỗ trợ các truy vấn từ các máy ngoài mạng internet vào bên trong

+ DNS server cũng có khả năng nhớ lại các tên vừa phân giải, để dùng cho những lần truy vấn lần sau Số lượng tên miền được lưu lại phụ thuộc vào quy mô của từng DNS server

2.1.1.2 Ho ạt động của DNS server trong LINUX

- Phân loại DNS server

+ Primary name server: Nguồn xác thực thông tin chính thức cho các domain mà nó được phép quản lý

+ Secondary name server: server dự phòng cho primary server

+ Caching name server: Lưu lại các lần truy vấn của client, giúp cho các lần truy vấn sau được nhanh chóng và giảm tải cho server

từ Client liên quan đến DNS Server này

+ Hệ thống tên miền cho phép phân chia tên miền để quản lí và chia hệ

thống tên miền thành Zone và trong Zone quản lí tên miền được phân chia đó

17

 Zone file lưu thông tin Zone ở dạng text hoặc trong Active Directorry

+ Zone thuận và Zone nghịch

 Zone thuận - Forward Lookup Zone để phân giải tên máy (Hostname) thành địa chỉ IP

 Zone nghịch - Reverse Lookup Zone để phân giải địa chỉ IP thành tên máy (Hostname)

- Các loại truy vấn

+ Truy vấn đệ quy (Recursive query) : Khi name server nhận được truy vấn dạng này, nó bắt buộc phải trả về kết quả tìm được hoặc thông báo lỗi nếu như truy vấn này không phân giải được Nameserver không thể tham chiếu truy vấn đến một name server khác Namesserver có thể gửi truy vấn dạng đệ quy hoặc tương tác đến nameserver khác nhưng nó phải thực hiện cho đến khi nào

có kết quả mới thôi

+ Truy vấn tương tác: khi nameserver nhận được truy vấn dạng này, nó trả lời cho resolver với thông tin tốt nhất mà nó có được vào thời điểm đó Bản thân nameserver không thực hiện bất cứ một truy vấn nào thêm Thông tin tốt

nhất trả về có thể lấy từ dữ liệu cục bộ (kể cả cache) Trong trường hợp nameserver không tìm thấy trong dữ liệu cục bộ nó sẽ trả về tên miền và địa chỉ IP của nameserver gần nhất mà nó biết

- Các file cấu hình chính

+ Host.conf: là tệp điều khiển hoạt động của resolver, nó quy định các

dịch vụ sử dụng của resolver và thứ tự sử dụng của chúng

+ Resolver (bộ giải): khi một chương trình cần giải một tên host thì cần

sử dụng một cơ chế gọi là bộ giải Bộ giải đầu tiên sẽ tra cứu file /etc/host.conf

và xác định phương thức nào sẽ được sử dụng để giải các tên host (local file, name server, NIS hay ldap server)

+ File named.conf: file cấu hình chính cùa DNS

+ Các tệp cơ sở dữ liệu DNS - các file phận giải thuận, phân giải nghịch Thành phần cơ bản là bản ghi nguồn RR( Resource Record) Mỗi bản ghi có một kiểu dữ liệu, bao gồm:

18

 SOA (Start of Authority): Trong mỗi tập tin cơ sở dữ liệu phải có một và chỉ một record SOA Record SOA chỉ ra rằng máy chủ name server là nơi cung cấp thông tin tin cậy từ dữ liệu có trong zone

 NS (Name Server): tên server

 MX (Mail Exchange): chuyểnmail trên mạng Internet

 A (Address): ánh xạ tên máy (hostname) vào địa chỉ IP

 CNAME (Canonical Name): tên bí danh của server

 Liệt kê các gói bind: #cd Centos

 Cài đặt các gói phục vụ cho dịchvụ DNS: #rpm –ivh bind.*.rpm (*

là phiên bản của gói cài đặt)

 Named.ca chứa địa chỉ của DNS root server trên toàn cầu

 zone "uneti.edu.vn" là zone phân giải thuận trong miền nội bộ của

20

Hình 2.1: N ội dung file cấu hình phân giải thuận

+ Cấu hình file phần giải nghịch “reverse.uneti.edu.vn” trong thư mục /var/named/

Hình 2.2: N ội dung file cấu hình phân giải ngược

Sau khi cấu hình xong file này và ping thành công 2 máy thì khi restart lại dịch vụ, DNS slave tự động cập nhật các cấu hình bên máy Master qua file cấu hình

21

- Kiểm tra dịch vụ DNS phân giải trong nslookup

Hình 2.3: DNS phân gi ải trong nslookup

- DHCP là một dịch vụ cung cấp IP động cho các Client

- Hoạt động theo mô hình Client – Server

- Ngoài ra DHCP còn có nhiều tính năng khác cho client như: cung cấp địa chỉ của máy tính dùng để giải quyết tên miền DNS, địa chỉ của một Gateway router, …

2.2.1.2 C ấu hình DHCP server bao gồm bốn thông số sau:

- Options: Dùng để cung cấp các yếu tố cho phía client như địa chỉ IP, địa chỉ subnet mask, địa chỉ Gateway, địa chỉ DNS …

- Scope: Một đoạn địa chỉ được quy định trước trên DHCP server dùng để gán cho các máy client

- Reservation: Là những đoạn địa chỉ dùng để “để dành” trong một scope

đã được quy định ở trên

- Lease: Thời gian “cho thuê” địa chỉ IP đối với mỗi client

#rpm –ivhdhcp-*.rpm (với * là phiên bản của gói dịch vụ)

+ Cách 2: cài đặt bằng cách tải từ trên mạng

#yum –y install dhcp

- Kiểm tra gói cài đặt :# rpm –qa|grepdhcp

- Cấu hình

+ Bước 1: tạo file cấu hình dhcpd.conf bằng cách sử dụng câu lệnh

# nano /etc/dhcp/dhcpd.conf

+ Bước 2 : Sửa đổi file cấu hình

Hình 2.4: N ội dung file cấu hình dhcp server

Ý nghĩa của một số options:

 subnet … netmask … : địa chỉ subnet và netmask

 option router: Default gateway

 option domain-name: Domain name

 option domain-name-servers: IP DNS server

 range dynamic-bootp: vùng địa chỉ cấp cho các clients

 default-lease-time: thời gian mặc định cấp cho 1 client

 max-lease-time: thời gian tối đa cấp cho 1 client

+ Trên máy client win 7 : cmd -> ipconfig

Hình 2.5 : Hi ển thị được domain trên máy Client

2.3 DỊCH VỤ TELNET

2.3.1 Gi ới thiệu telnet

- Telnet viết tắt của Terminal Network là một giao thức mạng

- Telnet là một giao thức khách – chủ cho phép người quản trị điều khiển máy chủ từ xa

- Telnet sử dụng giao thức TCP để truy cập.Thường kết nối vào cổng 23

của máy chủ

- Ngày nay người ta càng ít dùng telnet vì 3 nguyên nhân sau:

+ Càng ngày càng phát hiện các điểm yếu trong các daemon của telnet + Telnet không mã hóa dữ liệu trên đường truyền, kể cả mật khẩu + Telnet không chứng thực người dùng

24

- Tuy nhiên telnet vẫn được dùng trong các trường hợp không cần mã hóa thông tin như gỡ lỗi, tìm các sai sót trong các dịch vụ mạng, tham gia cộng đồng online

2.3.2 C ấu hình và cài đặt

Bước 1 : Cài đặt : yum install telnet-server –y

Bước 2 : Khởi động telnet và cho phép telnet khởi động cùng hệ thống ta dùng :

# systemctl start telnet.socket && systemctl enable telnet.socket

Bước 3 : Cho phép firewall thêm Port 23 và khởi động lại tường lửa

# firewall-cmd permanent add-port=23/tcp && firewall-cmd reload Bước 4 : Thêm user và password mới

Bước 5 : Kiểm tra Port 23

# ss -tnlp|grep 23

# systemctl status telnet-socker

Hình 2.7 : Màn hình đăng nhập Telnet bên Client

- SSH làm việc thông qua 3 bước:

+ Định danh host – xác định định danh của hệ thống tham gia phiên làm việc ssh Bằng cách trao đổi khóa, mối khóa gồm khóa công khai và khóa bí

2.4 2 Cài đặt và cấu hình

Bước 1 : Cài đặt ssh : yum install openssh* -y

Bước 2 : Khởi động lại dịch vụ ssh sử dụng

# systemctl restart sshd.service

Bước 3 : Mở file vi /etc/ssh/sshd_config

27

Hình 2.8 : N ội dụng file SSH

+ PermitRootLogin yes: cho phép root có được SSH không ở đây chúng

ta bỏ dấu “ # “ đăng trước

+ ClientAliveInterval 300: thời gian chờ để login là 300s

+ Port 22: mặc định port để ssh là 22, ta cũng có thể đổi thành 2222 + PasswordAuthentication no: cho phép chứng thực bằng mật khẩu + PubkeyAuthentication yes: chứng thực bằng key

+ AllowUsers, DenyUsers, AllowGroups, DenyGroups : cho phép hay

từ chối những users hay groups nào được phép SSH

+ LoginGraceTime: quy định số giây đăng nhập vào server, giả sử 400

= gần 7 phút, trong khoảng thời gian này nếu có user nào đăng kết nối vào không thành công, truy cập không hợp lệ thì tự động disconnect

- LDAP được tạo ra đặc biệt cho hành động "đọc" Bởi thế, xác thực người dùng bằng phương tiện "lookup" LDAP nhanh, hiệu suất, ít tốn tài nguyên, đơn giản hơn là truy vấn đến 1 tài khoản người dùng trên CSDL

- LDAP dùng giao thức dạng Client/Server để truy cập dịch vụ thư mục

Hình 2.11 : Mô hình client server

- LDAP chạy trên TCP/IP hoặc các dịch vụ hướng kết nối khác

- Có các LDAP Server như: OpenLDAP, OPENDS, Active Directory, …

- Các đối tượng lưu trong LDAP gọi là entry

- Mỗi entry có nhiều thuộc tính và được phân biệt với nhau bởi unique Distinguished Name (DN)

globally Mỗi entry có thuộc một type và có một hoặc nhiều value

- LDAP lưu trữ đối tượng theo cấu trúc cây

1 Open connection and bind

2 Kết quả thao tác bind

30

- Cấu trúc phản ánh về vị trí địa lý, tổ chức, chức vụ của các entry

Hình 2.12 : C ấu trúc cây trong ldap

- LDAP sử dụng Berkeley BD để nâng cao hiệu suất, khả năng co giãn và tăng độ tin cậy

- LDAP chạy port 389

- LDAP over TLS chạy port 636

2.5.1.1 Phương thức hoạt động của LDAP

- Ldap dùng giao thức giao tiếp client/server

- Giao thức giao tiếp client/sever là một mô hình giao thức giữa một chương trình client chạy trên một máy tính gởi một yêu cầu qua mạng đến cho một máy tính khác đang chạy một chương trình sever (phục vụ)

- Chương trình server này nhận lấy yêu cầu và thực hiện sau đó nó trả lại kết quả cho chương trình client

- Ý tưởng cơ bản của giao thức client/server là công việc được gán cho những máy tính đã được tối ưu hoá để thực hiện công việc đó

- Một máy server LDAP cần có rất nhiều RAM (bô nhớ) dùng để lưu trữ nội dung các thư mục cho các thao tác thực thi nhanh và máy này cũng cần đĩa cứng và các bộ vi xử lý ở tốc độ cao

dn=example , dn=com

- Server thực hiện xử lý và trả về kết quả cho client

- Server gửi thông điệp kết thúc việc tìm kiếm

- Client phát ra yêu cầu unbind

- Server đóng kết nối

- LDAP là một giao thức hướng thông điệp

- Do client và sever giao tiếp thông qua các thông điệp, client tạo một thông điệp (LDAP message) chứa yêu cầu và gởi nó đến cho server Server nhận được thông điệp và xử lý yêu cầu của client sau đó gởi trả cho client cũng bằng một thông điệp LDAP

Hình 2.13 : Lu ồng thông điệp giữa client server

- Nếu client tìm kiếm thư mục và nhiều kết quả được tìm thấy, thì các kết

quả này được gởi đến client bằng nhiều thông điệp

1.K ết quả thao tác bind 2.Search operation 3.Return entry #1

32

Hình 2.14 : Nh ững thông điệp Client gửi cho server

- Do nghi thức LDAP là giao thức hướng thông điệp nên client được phép phát ra nhiều thông điệp yêu cầu đồng thời cùng một lúc Trong LDAP, message ID dùng để phân biệt các yêu cầu của client và kết quả trả về của server

Hình 2.15 : Nhi ều kết quả tìm kiếm được trả về

- Việc cho phép nhiều thông điệp cùng xử lý đồng thời làm cho LDAP linh động hơn các nghi thức khác

- Ví dụ như HTTP, với mỗi yêu cầu từ client phải được trả lời trước khi một yêu cầu khác được gởi đi, một HTTP client program như là Web browser muốn tải xuống cùng lúc nhiều file thì Web browser phải thực hiện mở từng kết nối cho từng file, LDAP thực hiện theo cách hoàn toàn khác, quản lý tất cả thao tác trên một kết nối

2.5.1.2 Các thao tác c ủa giao thức LDAP

- LDAP có 9 thao tác cơ bản, chia thành 3 nhóm thao tác chính:

+ Thao tác thẩm tra (interrogation) : search, compare Hai thao tác này cho phép thực hiện thẩm tra trên thư mục

1.Search operation, ,msqid =1

3.Return entry , msqid =1

2.Search operation, ,msqid =2

4.Return entry , msqid =2 5.Return code , msqid =2 6.Return code , msqid =1

1.Th ực hiện thao tác tìm kiếm

2 Entry thứ 1 trả về cho clinet

3 Entry thứ 2 trả về cho client

N entry thứ N-1 trả về cho client N+1 tr ả về mã thoát (Result code)