TÓM tắt nội DUNG môn học TIỂU LUẬN môn CÔNG NGHỆ MẠNG

Một đơn vị tổ chức có thể có nhiều object như user account, computer, printer, group và những OU khác • Có khả năng nhận ủy quyền quản trị: quản trị mạng có thể phân quyền điều khiển, qu

ĐẠI HỌC QUỐC GIA TP.HCM TRƯỜNG ĐẠI HỌC

KHOA HỌC TỰ NHIÊN KHOA ĐIỆN TỰ - VIỄN THÔNG

TÓM TẮT NỘI DUNG MÔN HỌC

TIỂU LUẬN MÔN CÔNG NGHỆ MẠNG

GV.ThS Trần Thị Huỳnh Vân

TP.Hồ Chí Minh – Năm 2021

MỤC LỤC

MỤC LỤC 1

Bài 1: ACTIVE DIRECTORY 3

I Các loại mô hình mạng 3

II Active directory 3

III.Cấu trúc của active directory 4

IV Operations master roles 5

V Quá trình chứng thực trong ad 5

BÀI 2: QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM 5

I Các loại tài khoản 5

II Các loại tài khoản người dùng 6

III.Chứng thực và kiểm soát truy cập 6

IV Các loại tài khoản nhóm 6

V Quản lý tài khoản người dùng và nhóm cục bộ 6

VI Chính sách tài khoản người dùng 6

BÀI 3: TẠO VÀ QUẢN LÝ THƯ MỤC DÙNG CHUNG 7

I Tạo và chia sẻ các thư mục dùng chung 7

II Quản lý các thư mục dùng chung 7

III.Quyền truy cập NTFS 7

IV Distributed File System (DFS) 8

BÀI 4: CHÍNH SÁCH BẢO MẬT VÀ CHÍNH SÁCH HỆ THỐNG 8

I Chính sách bảo mật (Security Policy) 8

II Chính sách nhóm (Group Policy) 9

BÀI 5: DỊCH VỤ DHCP 10

I Dynamic Host Configuration Protocol (DHCP) 10

II DHCP Operation 10

BÀI 6: DỊCH VỤ NAT 11

I Tổng quan về NAT 11

II Dynamic Mapping and Static Mapping 11

BÀI 7: DỊCH VỤ DNS 12

I Khái niệm về DNS 12

II Domain namespace 12

III Dịch vụ DNS 12

BÀI 8: MẠNG WANS 13

I Tổng quát 13

II Định nghĩa WAN Technology 13

III Mạng chuyển mạch WAN 14

BÀI 9: DỊCH VỤ VPN 14

I VPN và lợi ích 14

II Các loại VPN 15

III Các thành phần trong VPN 15

BÀI 10: FRAME RELAY 16

I Giới thiệu 16

II Frame Relay WAN 16

III VC (Virtual Circuits) 16

Bài 1: ACTIVE DIRECTORY

- Nhóm luận lý các thiết bị và các tài nguyên mạng để cung cấp tài nguyên cho nhau

- Còn được gọi là mô hình peer to peer

- Các máy tính trong mạng có vai trò như nhau, các máy tính tự bảo mật và quản lý tài nguyên

• Hệ điều hành không cần chức năng nâng cao, chuyên dụng

• Hệ thống đơn giản, rẻ tiền

• Không cần quản trị mạng

• Không có khả năng quản lý tập trung

• Khả năng mở rộng hệ thống kém

• Độ an toàn và tính bảo mật không cao

2 Mô hình Domain

- Là một tập hợp các máy tính dùng chung một nguyên tắc bảo mật và CSDL tài khoản người dùng

- Hoạt động theo cơ chế client – server Ít nhất một server làm chức năng quản lý, điiều khiển

• Có khả năng quản lý tài nguyên mạng tập trung

• Hệ thống domain là một cấu trúc phân cấp và có tính bảo mật cao

II.Active Directory

- Là dịch vụ mạng, có nhiệm vụ xác định tất cả các tài nguyên trên mạng và làm cho thông tin luôn sẵn sàng đến users và các ứng dụng Cung cấp một cách phù hợp về tên, mô tả, vị trí, truy cập, quản lý và thông tin bảo mật tài nguyên

- Là dịch vụ directory trong hệ thống Windows Server có trách nhiệm:

• Xác định nguồn tài nguyên mạng

• Cung cấp một cách phù hợp về : tên, mô tả, vị trí, truy cập, quản lý, bảo mật

• Tích hợp sẵn DNS: AD dùng việc chuyển đổi tên bằng dịch vụ DNS để tạo ra một cấu trúc phân tầng với một cách nhìn thân thiện, có thứ tự và có khả năng mở rộng các kết nối mạng

• Khả năng mở rộng: AD được tổ chức thành các section cho phép lưu trữ một số lượng lớn các object, vì vậy có khả năng mở rộng khi tổ chức phát triển

• Quản lý tập trung: AD cho phép người quản trị quản lý việc phân phối đến các máy tính các dịch vụ mạng và những ứng dụng từ vị trí trung tâm với một giao diện quản

lý phù hợp AD cũng cho phép người sử dụng single sign-on để tăng sự truy cập đầy đủ đến tài nguyên thông qua AD

• Ủy quyền quản trị: Cấu trúc phân tầng của AD cho phép ủy quyền quản trị những phân tầng đặc biệt nào đó cho các user được chứng thực bởi quyền quản trị Giúp giảm trách nhiệm, công việc của quản trị viên và tăng khả năng quản trị

III Cấu trúc của active directory

1 Cấu trúc luận lý

1.1 Object:

- Thành phần cơ bản nhất

- Object Class: Là một bản thiết kế chi tiết hoặc là các bản mẫu xác định các loại Object

có thể được tạo ra trong AD Mỗi Object Class được định nghĩa bởi một nhóm các

thuộc tính Các thuộc tính xác định các giá trị có thể dược liên kết với một đối tượng

- Là một loại container object dùng để tổ chức các object trong domain Một đơn vị tổ chức có thể có nhiều object như user account, computer, printer, group và những OU khác

• Có khả năng nhận ủy quyền quản trị: quản trị mạng có thể phân quyền điều khiển, quản trị đầy đủ hoặc giới hạn đối với tất cả object trong OU

• Đơn giản hóa quản lý tài nguyên nhóm chung: quản trị viên tạo ra những container

trong một domain, đại diện cho cấu trúc phân tầng hoặc logical dựa vào mô hình tổ chức yêu cầu

- Là đơn vị cốt lõi

- Là tập hợp các Object chia sẽ một cơ sỡ dữ liệu chung, các chính sách bảo mật

• Đóng vai trò như một khu vực quản trị các Object

• Giúp quản lý bảo mật đối với các tài nguyên được chia sẻ

• Cung cấp các server dự phòng (ADC) và đảm bảo thông tin trên các server đồng bộ với nhau

- Là một nhóm nhiều domain liên kết với nhau theo cấu trúc phân tầng

- Domain đầu tiên là Parent Domain, từ Domain thứ hai là Child Domain

- Các Domain cùng Tree chia sẻ một không gian tên DNS liền kề

- Là một tập hợp gồm một hoặc nhiều domain tree

- Forest chia sẻ chung các cấu hinh, schema và global catalog…

- Domain đầu tiên trong Forest gọi là Forest Root Domain

- Là phần tách rời và khác biệt với cấu trúc AD luận lý

- Cho phép người quản trị mạng tối ưu hóa lưu lượng mạng bằng cách xác định vị trí và thời gian đang diễn ra đồng bộ cơ sỡ dữ liệu cũng như lưu lượng đăng nhập

2.1 Domain Controller (DC)

4

- Là một server cài hệ điều hành Windows Server và dịch vụ AD

- Mỗi DC đều có chức năng lưu trữ và đồng bộ, một DC chỉ hỗ trợ 1 Domain, sử dụng nhiều DC để Domain có tính sẵn sàng cao

- Là một nhóm các máy tính có kết nối ổn định với nhau

- Khi các site được thiết lập, những DC từng site đơn sẽ giao tiếp với nhau thường xuyên giúp giảm độ trễ bên trong site

- Độ trễ: thời gian 1 DC này replicate với những DC khác khi có thay đổi trong hệ thống

➢ Kết luận: khi lên kết hoạch xây dựng hệ thống mạng phải xem xét làm sao để kết hợp

cấu trúc vật lý và cấu trúc luận lý một cách phù hợp nhất

- Các operation được nhóm lại với những vai trò xác định trong forest hoặc trong

domain Những vai trò này được gọi là operation master roles

- Mỗi Operations Master Role, chỉ có duy nhất DC giữ vai trò liên quan đến sự thay đổi của directory DC có trách nhiệm cho một vai trò cụ thể được gọi là Operation Master

3 Primary Domain Controller Emulator

4 Relative Identifier Master

5 Infrastructure Master

V.Quá trình chứng thực trong ad

1. User nhập thông tin tại mạng trên máy workstation để đăng nhập vào hệ thống mạng

2. Các thông tin được mã hóa bởi client và gửi đến DC trong domain của client

3. Thông tin đã mã hóa được gửi đến Key Distribution Center (KDC) (tích hợp trên DC) Nếu các thông tin gửi đến trùng với các thông tin được lưu trữ trên KDC, quá trình chứng thực sẽ tiếp tục

4. DC tạo ra 1 danh sách các nhóm trong domain mà User là thành viên

5. DC truy vấn Global Catalog để xác định thêm các Universal Group mà user là thành viên

6. KDC cấp cho client Ticket-Granting Ticket (TGT) TGT chứa SIDs đã được mã hóa của các nhóm mà User là thành viên

BÀI 2: QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM

I Các loại tài khoản

1 User account (tài khoản người dùng)

- Người dùng nhập tên và mật khẩu của mình chỉ một lần khi đăng nhập vào một máy

trạm để truy cập xác thực vào các nguồn tài nguyên mạng

2 Computer accounts (tài khoản máy tính)

- Khi PC chạy hệ điều hành Microsoft Windows tham gia Domain

- Cung cấp một cách để xác thực, kiểm toán máy tính truy cập vào mạng và tài nguyên Domain

3 Group account (tài khoản nhóm)

- Là tập hợp các tài khoản người dùng, máy tính, các nhóm khác

- Giúp quản lý hiệu quả việc truy cập vào tài nguyên Domain, giúp đơn giản hóa quản lý

- Giúp gán quyền cho các tài nguyên chia sẻ chỉ một lần cho từng người dùng cá nhân

II.Các loại tài khoản người dùng

1 Local User Account: cho phép người dùng đăng nhập vào một máy tính cụ thể để truy cập vào tài nguyên trên máy tính đó Được tạo ra trong CSDL Local Security và là duy nhất trên các máy tính

2 Domain User Account: cho phép người dùng đăng nhập vào domain hoặc đăng nhập vào một máy tính các nhân để truy cập tài nguyên Được tạo ra trong dịch vụ AD trên máy DC Cung cấp khả năng chứng thực bằng Access Token (SSO)

3 Built-in User Account: Được tạo ra sẵn tại các máy tính cũng như trên AD Cho phép người dùng thực hiện các nhiệm vụ quản lý Cấp phép truy cập tạm thời vào các tài nguyên mạng

III Chứng thực và kiểm soát truy cập

- Các giao thức chứng thực

• NT LAN Manager (NTLM): là giao thức chứng thực chính của windows NT

• Kerberos V5: là giao thức chuẩn Internet dùng để chứng thực người dùng và hệ thống

• Secure Socker Layer/Transport Layer Security (SSL/TLS): là cơ chế chứng thực chính được dùng khi truy cập vào các máy chủ (Web, Mail, )

- Distribution groups: là nhóm phi bảo mật, không có SID, không xuất hiện trọng ACL Chỉ được sử dụng cho các ứng dụng Email…

- Security groups: dùng để định các quyền hệ thống và quyền truy cập cho các thành viên trong Domain Forest, mỗi nhóm bảo mật có SID riêng

- Các phạm vi nhóm: có 2 nhóm phân phối và nhóm bảo mật đều sẽ hỗ trợ một trong 2 phạm vi nhóm

- Ngoài ra trên mỗi Computer có một phạm vi nhóm riêng: Machine Local

V.Quản lý tài khoản người dùng và nhóm cục bộ

1 Các cách tạo và quản lý người dùng

- Active Directory Users and Computers: được dùng để quản lý các tài khoản người dùng, tài khoản máy tính và tài khoản nhóm với số lượng tài khoản ít

- Directory Service Tool: dùng command line tools để quản lý tài khoản trong AD

- Csvde Tool (Comma Separated Value Data Exchange): Chỉ dùng để thêm user hoặc đối tượng trong AD

- LDIFDE Tool (LDAP Data Interchange Format Data Exchange): sử dụng một định dạng giá trị cách dòng để tạo, chỉnh sửa và xóa các đối tượng trong AD

- Windows Script Host: được tạo bởi ADSI để tạo, chỉnh sửa và xóa các đối tượng AD

VI.Chính sách tài khoản người dùng

6

User must change assword at next logon User phải thay đổi mật khẩu lần đăng nhập kế tiếp User cannot change password Ngăn không cho người dùng tùy ý thay đổi mật khẩu Password never expires Mật khẩu của tài khoản này không bao giờ hết hạn Account is disabled Tài khoản này tạm thời bị khóa, không sử dụng được Smart card is required for interactive login không cần username và password, chỉ cần mã PIN Account is trusted for delegation Giảnh được quyền truy cập vào tài nguyên với vai trò

những tài khoản người dùng khác

Account is sensitive and cannot be delegate Dùng cho tài khoản vãn lại hoặc tạm

Use DES encryption types for this account Hỗ trợ Data Encryption Standard (DES) với nhiều

mức độ

Do not require Kerberos preauthentication Dùng Kerberos khác với window server 2003

BÀI 3: TẠO VÀ QUẢN LÝ THƯ MỤC DÙNG CHUNG

I Tạo và chia sẻ các thư mục dùng chung

- Để chia sẻ thư mục, phải đăng nhập bằng tài khoản thuộc nhóm Administrators hoặc nhóm Server Operators

- Quyền truy cập thư mục dùng chung: dùng để cấp quyền truy xuất tài nguyên chia sẽ qua mạng

• Không có tác dụng khi truy cập cục bộ

- Các quyền chia sẻ share permission:

• Full Control: cho phép người dùng toàn quyền truy cập

• Change: cho phép người dùng thay đổi dữ liệu và xóa trên tập tin hoặc thư mục con

• Read: cho phép người dùng xem và thi hành các tập tin

- Chia sẻ thư mục bằng lệnh net share

II Quản lý các thư mục dùng chung

- Liệt kê các thư mục đang được chia sẻ

- Xem các phiên làm việc trên thư mục dùng chung

- Xem các tập tin đang mở trong thư mục dùng chung

- Phân quyền NTFS: Là giới hạn quyền truy cập vào các dữ liệu được lưu trên ổ đĩa được

định dạng theo tiêu chuẩn NTFS đối với từng đối tượng người dùng

- Định dạng NTFS: là định dạng mang tính bảo mật cao có khả năng nén, mã hóa dữ liệu

- Quyền NTFS được áp đặt vào các đối tượng người dùng bằng các cách:

• Gán quyền trực tiếp bởi: Administator, Owner và các đối tượng có toàn quyền với thư mục

• Được thừa kế: từ thư mục chứa đựng lớn hơn hoặc từ nhóm chứa đối tượng người dùng

- Kế thừa quyền NTFS: các quyền gán cho thư mục cha được kế thừa xuống thư mục con

7

- Ngăn chặn kế thừa quyền: hủy các quyền được kế thừa, chỉ giữ lại các quyền được gán

có chủ đích

- Cung cấp giải pháp đơn giản để truy cập các thông tin trong mô hình địa lý phân tán của một tổ chức bằng cách thiết lập 2 hay nhiều server cung cấp cùng 1 nguồn dữ liệu

- Cung cấp khả năng đồng bộ giữa các server thông qua mạng WAN

➢ Với mô hình DFS, khi có các yêu cầu truy cập tài nguyên từ bên ngoài vào DFS thì hệ thống sẽ tự phân chia đều các yêu cầu cho các Server bên trong DFS

2 Thành phần

- DFS Namspaces: cho phép người quản trị nhóm các thư mục share nằm rời rạc trên các file server vào một thư mục đại diện trong hệ thống mạng

- DFS Replication: cung cấp tính sẵn sàng cao và khả năng chịu lỗi cho thư mục và dữ liệu

- Remote Differential Compression: cung cấp công nghệ nén dữ liệu để truyền tải dữ liệu qua mạng băng thông thấp

3 Nguyên tắc hoạt động

- Client truy cập vào thư mục bằng namespace, máy tính sẽ kết nối với Namspace Server

và nhận được “lời mời” gồm danh sách các server đang chia sẻ thư mục

- Client truy cập đến Server phù hợp

- Các máy server được đồng bộ với nhau thông qua DFS Replicate kết hợp với nén dữ liệu

BÀI 4: CHÍNH SÁCH BẢO MẬT VÀ CHÍNH SÁCH HỆ THỐNG

I Chính sách bảo mật (Security Policy)

1 Security Policies

- Là các chính sách áp dụng cho các tài khoản người dùng trong máy nội bộ (Local security polocy) hoặc các máy trong Domain (Domain security policy) nhằm tăng cường khả năng phòng chống trước các nguy cơ bảo mật

- Là nền tảng trong việc bảo toàn thông tin cho một tổ chức

- Các nguy cơ ảnh hưởng gây mất dữ liệu gồm: các yếu tố tự nhiên, virus, lỗi người dùng, sự cố phần mềm, sự cố phần cứng và hệ thống

- Các nguy cơ bị đánh cắp dữ liệu: tấn công từ bên trong và bên ngoài

- Các phạm vi áp đặt chính sách bảo mật

- Các người dùng trong hệ thống

• Giới hạn sử dụng đĩa mềm/CD/Flash Drives (USB)

• Các quy định về password

• Backup dữ liệu thường xuyên

• Các chính sách về truy cập dữ liệu

• Các chính sách truy cập mạng

• Thông báo đến người dùng về quyền hạn cũng như “đào tạo cơ bản” cho người dùng

để tự bảo vệ

- Quản trị hệ thống

• Hạn chế quyền truy cập thay đổi/nâng cấp phần cứng

• Kiểm soát điều khiển truy cập (access control)

• Qui định các chính sách về phần mềm

• Chính sách backup-restore

- Audit policy: cho phép thiết lập các chính sách giám sát các đổi tượng người dùng

- User right assignment: cấp quyền hạn cho người dùng trên máy cục bộ

- Security options: xác định các chính sách bảo mật trên máy cục bộ

II.Chính sách nhóm (Group Policy)

- Là tập các thiết lập chính sách cấu hình cho computer và user

- Xác định cách thức để các chương trình, tài nguyên mạng và hệ điều hành làm việc với người dùng và máy tính trong 1 tổ chức

- Các Group Policy chỉ có thể hiện hữu trên Active Directory (AD)

- Các Group Policy thì được áp dụng lúc máy trạm được khởi động, lúc máy khách đăng nhập, và vào những thời điểm ngẫu nhiên khác

- Các Group Policy tự động mất tác dụng đối với máy trạm khi chúng được xóa bỏ khỏi miền AD

- Người quản trị mạng có được nhiều mức độ kiểm soát đối với vấn đề ai được hoặc không được nhận một Group Policy nào đó

- Group Policy chủ yếu chỉ được áp dụng cho các site, domain và OU (Organizational Unit)

- Trên mỗi máy Windows cũng có một bộ chính sách nhóm cục bộ (Local Group Policy),

sẽ được áp dụng khi máy đó không tham gia vào miền AD, và phạm vi tác dụng chỉ trên nội bộ máy tính đó

- Các GPO được lưu trữ một phần trong cơ sở dữ liệu Active Directory và một phần trong share SYSVOL

- GPO cục bộ của mỗi máy win2k/xp pro/wins2k3 nằm trong thư mục: %windir%\ System32\groupPolicy

- Các chức năng của group policy:

• Triển khai phần mềm ứng dụng

• Gán các quyền hệ thống cho người dùng

• Giới hạn những ứng dụng mà người dùng được phép thi hành

• Kiểm soát các thiết lập hệ thống

• Kiểm soát các kịch bản đăng nhập, đăng xuất, khởi động, và tắt máy

• Đơn giản hoá và hạn chế các chương trình

• Hạn chế tổng quát màn hình Desktop của người dùng

- Group policy object là 1 nhóm các cấu hình group policy

o Một Local GPO được lưu trên mỗi máy cho dù máy tính đó có là thành viên trong môi trường Active Directory hoặc không