1

Chương 13: Internet trong doanh nghiệp,

Quản lý Internet

Giảng viên: Ngô Hồng Sơn Bộ môn Truyền thông và Mạng máy tính

2

Nội dung

l  Internet trong doanh nghiệp l  NAT, Firewall, VPN…

l  Quản lý Internet l  Các tổ chức chuẩn hóa l  Tiêu chuẩn

3

Enterprise Internet

4

Enterprise Internet l  Các tổ chức doanh nghiệp sử dụng Internet

như thế nào?

l  Các thành phần của mạng doanh nghiệp l  NAT (Network Address Translation) l  Firewall l  VPN (Virtual private network) l  Spam Mail Filter, Web Contents Filter l ….

5

Nhìn lại lịch sử Internet

l  Internet ngày xưa: l  Dùng cho các tổ chức nghiên cứu và giáo dục l  An toàn, an ninh chưa phải là vấn đề lớn l  Người sử dụng “toàn là người tốt”

l  Internet ngày nay: l  Dùng cho rất nhiều mục đích, e.g kinh doanh, thương

mại, l  Người sử dụng: đa dạng l  Vấn đề an toàn an ninh phải được quan tâm

CC

PC PC

Branch 2

Một mạng doanh nghiệp

ISP

Firewall

Application SV3

Mail WEB

Department Server 1

PC

Router

Application SV2

Application SV1

PC PC PC PC PC PC PC

Department Server 1 Router Router

VPN

PC PC

PC PC

DMZ (De Militarized Zone)

Headquarter

US Office

European Office

Domestic Branch 1 CC

PC PC

CC

CC Communication Controller Leased Line

Internet

Department 1 Department 2

Mobile PC With VPN Client

ISP

VPN

VPN

ISP

ISP

NAT–Network Address Translation

l  IPv4: Một tổ chức chỉ có vài đ/c IP thực l  Địa chỉ IP riêng được sử dụng bên trong l  NAT: Chuyển Private Address (Port Number)

sang Global Address và ngược lại l  NAT (phần mềm chạy trên router/server): có một

bảng chuyển đổi địa chỉ

Prefix Lowest Address Highest Address Number of Hosts

10.0.0.0/8 10.0.0.0 10.255.255.255 16,777,216

172.16.0.0/12 172.16.0.0 172.31.255.255 1,048,576

192.168.0.0/16 192.168.0.0 192.168.255.255 65,536

Reserved addresses for private network

Conception et architectures des réseaux

8

NAT cơ bản

l  Fonctionnement général

l  Sécurité : Seules les machines autorisées sont visibles de l’extérieur

@privée @publique

10.1.55.42 200.2.1.11

10.1.55.56 200.2.1.12

… …

… …

data 134.205.1.5 10.1.55.42

@ip_dst @ip-src data 134.205.1.5 200.2.1.11

@ip_dst @ip-src

data 10.1.55.42 134.205.1.5

@ip_dst @ip-src data 200.2.1.11 134.205.1.5

@ip_dst @ip-src

INTERNET

Conception et architectures des réseaux

9

Port Address Translation - PAT

l  NAT cơ bản:

l  1 địa chỉ riêng <-> 1 địa chỉ công cộng l  PAT

l  ({@ip_riêng, #port riêng}; {@ip công cộng, #port công cộng})

Conception et architectures des réseaux

10

PAT l  Bảng ánh xạ

@ip_privée Port privé @ip_pub Port_pub

10.1.55.42 2051 200.1.2.11 2051

10.1.55.42 2044 200.1.2.11 2044

10.1.55.75 2067 200.1.2.11 2067

10.1.55.75 2044 200.1.2.11 2068

Conception et architectures des réseaux

11

Protocole DHCP

l  Dynamic Host Configuration Protocol

l  Cho phép mỗi máy khi tham gia vào mạng có thể lấy cấu hình một cách tự động

l  Được sử dụng để phân phối địa chỉ IP cho các trạm.

Conception et architectures des réseaux

12

Fonctionnement de DHCP l  Server DHCP :

l  Phân phối địa chỉ IP l  Có 1 địa chỉ IP tĩnh

l  Cơ chế: l  Client broadcasst gói DHCPDISCOVER để tìm

DHCP server trong mạng l  Server trả lời với gói DHCPOFFER (broadcast),

với các tham số l  Client thiết lập cấu hình bằng cách gửi

DHCPREQUEST để hợp thức hóa IP của nó; l  Server trả lời bằng DHCPAK xác nhận địa chỉ IP

Conception et architectures des réseaux

13

Serveur DHCP

Serveur DHCP Client DHCP

1. Discover : Tìm kiếm server

2. Offer : Cung cấp địa chỉ Offer

3. Request : yêu cầu địa chỉ

4. Ack :Khởi tạo địa chỉ 5. Giải phóng địa chỉ

DHCP

14

Bức tường lửa - Firewall l  Firewall (Phần cứng/mềm) Chặn các gói tin không mong

muốn/Cho phép các gói tin cần thiết đi vào/ra mạng một tổ chức.

l  Về cơ bản, có 2 loại: l  Packet Filtering l  Application Gateway

Internet

Internal Network Firewall

15

Bộ lọc gói tin

l  Tất cả các gói tin vào/ra đều phải đi qua firewall l  Bộ lọc kiểm soát gói tin dựa vào :

- IP source, destination address - IP Protocol Type :TCP,UDP,ICMP,OSPF - TCP/UDP source, destination port….

l  Việc lọc dựa trên các chính sách của tổ chức đó l  Chính sách được thể hiện qua việc đặt các “rule” cho firewall

# Source Destination Protocol Source Port Dest Port Action

1 10.1.2.3 * * * * Deny

2 * 10.2.3.* TCP * 25 Allow

3 * 10.1.* TCP * 25 Allow

4 * * * * * Deny

An example of filtering rule

*: Means any

16

l  Gateway ứng dụng, kết hợp với bộ lọc gói, cung cấp phương pháp truyền thông an toàn cho các ứng dụng vào/ra của tổ chức

l  Một số ứng dụng: Telnet, FTP,HTTP có thể được cấu hình để chỉ sử được qua gateway

l  Gateway kiểm soát tên truy cập/mật khẩu l  Bộ lọc chỉ cho phép ứng dụng xuất phát từ gateway.

Gateway ứng dụng

PC PC PC PC

Department Server 1 Router

Department Internet

Firewall

Application Gateway

User A

Telnet to Gateway from inside Telnet to outside

host from Gateway

Filtering

17

VPN – Mạng riêng ảo

l  VPN: cho phép sử dụng kết nối Internet như đường truyền riêng. l  Các công nghệ cơ bản:

l  Mã hóa l  Xác thực

l  Ví dụ: l  IPSec (IP security protocol): Họ giao thức IP. l  ESP protocol – (Một dạng của IPSec) cho phép mã hóa các đoạn tin

TCP bên trong gói tin IP

IP header TCP/UDP segment ESP header

encrypted authenticated

The ESP fields in the IP datagram

ESP Trailer

ESP authent

18

Internet Governance

19

Ai quản lý Internet?

l  1969, RFC1 l  1973, Ethernet l  1990, ISP thương mại đầu tiên (The World) l  1993, InterNIC (Network Information Center) l  1998, ICANN (Internet Corporation for

Assigned Names and Numbers)

20

Chuẩn hóa Internet

21

Các tổ chức liên quan đến việc chuẩn hóa Internet l  ISOC (Internet Society)

l  Chịu trách nhiệm về chuẩn hóa Internet

l  IAB (Internet Architecture Board)

l  IESG (Internet Engineering Steering Group) l  Ủy ban của ISOC, chịu trách

nhiệm duyệt, thông qua chuẩn kỹ thuật

l  IETF (Internet Engineering Task Force) l  Phát triển các chuẩn kỹ thuật

l  IANA (Internet Assigned Numbers Authority) l  Cấp phát tài nguyên: địa chỉ,

số hiệu mạng

l  ICANN (Internet Corporation for Assigned Names and Numbers) l  Quản lý cấp phát tên miền và địa chỉ IP

22

IETF

RFC-Editor ICANN

IANA

IESG

IAB

ISOC

ISTF IRTF

area area area

WG WG WG WG WG WG

23

IETF

24

IETF l  Tổ chức phi lợi nhuận

l  Xây dựng các tài liệu kỹ thuật (RFC) về Internet l  Free

l  http://www.ietf.org/

25

Tài liệu liên quan

l  RFC (Request For Comments) l  Internet-Drafts l  Miễn phí trên Internet

26

IETF Working Group l  Có khoảng 100 WGs trong 8 lĩnh vực

http://www.ietf.org/html.charters/wg-dir.html Application General Internet Operations and Management Routing Security Transport Sub-IP　

l  Hướng dẫn về WG： RFC1603 l  Thành viên: tham gia với tư cách cá nhân

27

ISO vs. IETF

•  Quốc gia vs. Cá nhân •  “Vote” vs. “Discuss” •  De jure vs. De facto

28

Quy trình đưa ra giao thức trong IETF

1.  Đề xuất giao thức •  Internet Draft •  Lấy ý kiến: Request for comment (RFC)

2.  Các bước phải thông qua •  Standards Track

•  Proposed Standard

•  Draft Standard

•  Standard

3.  Được chấp nhận rộng rãi như 1 giao thức

29

Một số tổ chức khác

l  IEEE: Institute of Electrical and Electronic Engineers l  ITU：International Telecommunication Unit (http://www.itu.int/)

l  ISO：International Organization for Standardization (http://www.iso.ch/)

l  W3C：World Wide Web Consortium (http://www.w3.org/) l  WIPO, INTA l  DAVIC l  USENIX l  ACM Sigcomm l  etc..

30

Vấn đề quản lý địa chỉ

ICANN IANA

31

Acknowledgement l  This course materials contains charts and texts

provided by Keio University, Japan