Tiểu luận an ninh mạng

5/11/2018 Ti u lu n an ninh m ng - slidepdf.com

http://slidepdf.com/reader/full/tieu-luan-an-ninh-mang 1/47

MỤC LỤC

LỜI NÓI ĐẦU

Gần ba mươi năm qua bộ giao thức TCP/IP đã được đưa vào sử dụng và phát triển,

nó bắt đầu từ việc nghiên cứu của Bộ Quốc phòng Mỹ về thủ tục truyền dẫn của mạng

máy tính trong học viện, các cơ quan chính phủ, các doanh nghiệp, và của người dùng ở

Mỹ. Mạng truyền dẫn sử dụng bộ giao thức TCP/IP trong phạm vi từ mạng nội hạt (nhỏ)

văn phòng trong nhà đến một mạng rộng lớn đó là mạng Internet. Vài năm gần đây việcsử dụng giao thức TCP/IP đã phát triển nhanh, nhờ đó nó hỗ trợ trong nhiều ứng dụng

mới.

Ngày nay truyền dẫn âm thanh và hình ảnh đòi hỏi thời gian thực, cũng như thoại

và fax số, có thể được truyền qua mạng Internet và Intranets. Khi tốc độ sử dụng giao

thức TCP/IP tăng thì vai trò của nó như là một cái máy để vận chuyển những loại dữ liệu

khác nhau. Trong thực tế giao thức TCP/IP giới thiệu nhiều vấn đề mới cho việc quản lý

mạng và người quản trị mạng xem xét chúng để quản lý mạng Internet tốt hơn.Vì vậy khi việc sử dụng dịch vụ Internet tăng, việc vận chuyển dữ liệu trên mạng

nhiều đòi hỏi phải tăng thêm các trạm chuyển tiếp để dễ dàng cho việc quản lý mạng.

Trong tiểu luận này chúng tôi chỉ tập trung nghiên cứu 2 vấn đề cơ bản đó là:

● Nghiên cứu chung về quản lý mạng TCP/IP

● An ninh mạng TCP/IP (security)

Tuy nhiên do thời gian và khả năng dịch tài liệu Tiếng Anh có hạn nên không khỏi

thiếu sót. Rất mong sự đóng góp của Thầy Cô giáo, của các độc giả và đặc biệt là sự đóngcủa Giáo viên hướng dẫn tiểu luận môn học.

Chúng tôi xin chân thành cảm ơn!

1



THUẬT NGỮ VIẾT TẮT

SNMP Simple Network Managerment Protocol

RMON Remote Moniter

IOS International Organization for Standardization

OSI Open System InterconnectionDSUs Digital Service Units

CSUs Channel Service Units

MIB Managing Information Base

HTTP Trial File Transfer Protocol

TFTP Trivial File Transfer Program

TCP Transmission Control ProtocolUDP User Datagram Protocol

IANA Internet Assigned Number Authority

ICMP Internet Control Message Protocol

OSPF Open shortest Patch First

IGRP Interior Gateway Routing Protocol

OSPF Open Shortest Path First SMTP Simple Mail Transport Protocol

FTP File Transfer Protocol

S-HTTP Secure Hypertext Transfer Protocol

SSL Secure Sockets Layer

2



NAT Network Address Translation

PAT Port Address Translate

Chương 1 GIỚI THIỆU CHUNG

1.1 CƠ SỞ QUẢN LÝ MẠNG

Như đã đề cập ở trên, hiện nay việc sử dụng bộ giao thức TCP/IP đã phát triển đồng

thời cả hai lĩnh vực dung lượng và ứng dụng truyền tải dữ liệu. Ngày nay nhiều nhà kinh

doanh phụ thuộc rất nhiều vào các trang Web của họ để bán hàng, nhà kinh doanh có thểđạt được doanh thu lớn vài triệu đô la trên một ngày, một nhà kinh doanh dịch vụ khác

cung cấp các dịch vụ truyền fax chi phí thấp cho hàng trăm ngàn khách hàng ở nhiều nơi

trên thế giới và hàng triệu doanh nghiệp và hàng chục triệu người tiêu dùng, trong lĩnh

truyền thư do thư điện tử có nhiều ưu điểm như tốc độ truyền dẫn nhanh và không mất tin

nên người dùng sử dụng thư điện tử nhiều hơn là sử dụng thư truyền thống của dịch vụ

bưu chính khi truyền tin ở nhiều quốc gia khác nhau.

Tốc độ tăng trưởng trong việc sử dụng giao thức TCP/IP làm cho cả hai, người sử

dụng dịch vụ Internet và nhà quản lý mạng phụ thuộc rất nhiều vào bộ giao thức TCP/IPđể thực hiện những công việc bình thường hàng ngày của họ.

1.1.1 Chi phí ngắt dịch vụ

Như đã đề cập ở trên ưu điểm mạng Internet mang lại cho người sử dụng rất lớn,

do vậy khi mạng bị lỗi nhỏ dẫn đến mạng sẽ bị gián đoạn điều này sẽ mang lại hậu quả

nghiêm trọng cho người dùng. Lấy ví dụ, khi kết nối Internet không thành công đối với

các nhà doanh nghiệp sẽ không gởi và nhận được các thư điện tử và không thể truy cập

mạng để mua hoặc đặt hàng trực tuyến trên mạng. Mất một thông tin điều này đồng nghĩavới việc doanh thu của doanh nghiệp có thể thiệt hại hàng ngàn hoặc thậm chí hàng triệu

đô trong thời gian mạng bị gián đoạn. Do vậy các phương pháp phát hiện lỗi và chuẩn

đoán lỗi một cách nhanh chóng của nhân viên điều hành mạng có thể làm giảm bớt thiệt

hại cho doanh nghiệp. Trong môi trường truyền thông ngày nay các lĩnh vực cần quan

tâm đó là kích cỡ và độ phức tạp của mạng, các chi phí, hiệu quả vận hành và khả năng

tìm hiểu đủ thông tin để tận dụng ưu điểm của giao thức .

3



1.1.2 Kích cỡ và độ phức tạp của mạng

Do nhu cầu trao đổi thông tin của người dùng ngày càng tăng, để đáp ứng nhu cầu

sử dụng của người dùng đòi hỏi kích cỡ của mạng phải lớn hay độ phức tạp của mạng

cao, đồng thời chi phí hoạt động của mạng ngày càng lớn. Điều này tạo nên động lực thúc

đẩy sự phát triển của mạng, tuy nhiên để mạng hoạt động tốt đòi hỏi khả năng mạng

truyền dẫn phải tốt, đồng thời phải có thiết bị giám sát tập trung trên mạng. Trạm trung

tâm cung cấp các giải pháp cũng như kỹ thuật nhằm thực hiện việc thay đổi cấu hình

mạng cũng như tạo ra các cảnh báo khi phát hiện lỗi trên mạng. Nhờ có giao thức quản lý

mạng SNMP (Simple Network Managerment Protocol) và giao thức giám sát từ xa

RMON (Remote Moniter) của bộ giao thức TCP/IP làm cho việc quản lý mạng đơn giản

hơn và ít tốn kém nhân lực. Tuy nhiên để hiệu quả sử dụng mạng cao đòi hỏi nhân viên

quản trị mạng phải có sự hiểu biết nhất định về các khái niệm và giao thức truyền thông.

1.1.3 Giám sát hiệu suất

Thông qua việc sử dụng các giao thức quản lý của bộ giao thức TCP/IP có thể

giám sát được hiệu suất và năng lực của mạng. Một vấn đề liên quan là làm thế nào để

hiệu suất sử dụng chi phí quản lý mạng tốt nhất, hiệu suất cao nhất khi chi phí cho quản lý

mạng thấp nhất mà vẫn đảm bảo được việc quản lý mạng. Vì vậy việc quản lý mạng tốt sẽ

mang lại năng lực và hiệu suất sử dụng mạng cao trong khi chi phí cho mạng thấp.

1.1.4 Đối phó với các trang thiết bị tinh xảo

Với việc sử dụng bộ giao thức TCP/IP mạng Internet ngày càng phát triển nhanh

chóng, các thiết bị sử dụng trên mạng được lắp đặt và truy cập càng nhiều. Ví dụ có rất

nhiều bộ định tuyến có khả năng số hóa tín hiệu thoại. Đối phó với các thiết bị tinh xảo có

khả lấy trộm thông tin trên mạng, đòi hỏi nhân viên quản trị mạng được đào tạo có trình

độ cao, được coi là một khía cạnh quan trọng của quản lý mạng. Hiện nay có rất nhiều sản

phẩm quản lý mạng ẩn bên trong các sản phẩm truyền thông mạng, với 1 giao diện đồ họa

người dùng có khả năng truy cập dễ dàng bằng lệnh điều khiển do nhân viên quản trị viết

ra để điều khiển sự hoạt động của thiết bị. Như vậy, sản phẩm quản lý mạng hiện đại giúpđỡ chúng ta đối phó với các thiết bị tinh xảo.

4

Sự tin cậy của mạngHiệu ứng lỗi mạngKích cỡ và độ phức tạp của mạngĐối phó với sự tinh vi của thiết bị mạngCân bằng hiệu suất và năng lực mạngChính sách chi phí hoạt động



Bảng 1.1 tóm tắt các lý do chủ yếu tại sao mạng TCP/IP phải được quản lý

1.2 QUÁ TRÌNH QUẢN LÝ MẠNG

Quản lý mạng là một quá trình giống như nhiều hoạt động phổ biến khác trong đó

chắc chắn người quản lý mạng sẽ gặp nhiều khó khăn. Dưới đây là những hạn chế trong

quá trình quản lý.

Quản lý mạng là một quá trình (mà nhân viên quản trị mạng) sử dụng phần cứng

và phần mềm theo dõi tình trạng của các thành phần và khả năng truyền dẫn mạng, câuhỏi cuối cùng là làm thế nào để cải thiện hiệu suất sử dụng của mạng, đồng thời phải kết

hợp việc quản trị mạng với việc hướng dẫn nhà cung cấp dịch vụ và người dùng trên

mạng. Điều này có nghĩa là nhân viên quản trị mạng phải có kiến thức về bộ giao thức

TCP/IP và hiểu được quá trình hình thành và thủ tục gởi và nhận các gói tin.

Vai trò, cách sử dụng, các thành phần cấu tạo của gói tin và các khái niệm đặc

trưng của mạng. Thứ nhất khi truyền tín hiệu thoại và tín hiệu fax bằng bộ giao thức

TCP/IP trên mạng bao giờ cũng có sai số nhất định. Thứ hai nó liên quan đến việc sử

dụng phần cứng và phần mềm để kiểm tra , thiết bị cầu nối và bộ định tuyến của mạng,thiết bị và khả năng truyền dẫn, dữ liệu và kênh dữ liệu của các thành phần mạng. Chú ý

rằng nhân viên quản lý mạng có thể can thiệp và hổ trợ đến người sử dụng mạng, nhà

cung cấp dịch vụ các yếu tố chuyên môn liên quan đến mạng. Ngoài ra sau khi thu thập

các yêu cầu, các ý kiến liên quan đến mạng từ người dùng và nhà cung cấp dịch vụ nhân

viên quản trị mạng sẽ nghiên cứu và cải tạo mạng theo hướng tốt hơn. Đồng thời họ

thường đưa ra các giải pháp để cải thiện hiệu suất sử dụng cũng như giảm bớt hiện tượng

rớt mạch. Các phương pháp để cải thiện hiệu suất thông tin có thể là thay đổi cấu hình

mạng hiện tại hoặc nghiên cứu cách thức tổ chức mạng theo các yêu cầu mà họ đưa ra.Cuối cùng hiệu suất của công việc quản lý mạng phải được nhân viên quản trị mạng nắm

bắt tất cả như: giám sát và đưa ra tiến trình phát triển mạng, tính toán lại mạng để đảm

bảo tính hợp lý giữa chi phí đầu tư để mạng phát triển với hiệu suất sử dụng mạng cao

nhất. Thực ra các vấn đề đưa ra trên có thể tùy chọn để đảm bảo rằng người dùng hợp lệ

5



mới truy cập vào mạng và các nhân viên quản lý mạng cục bộ (mạng LAN), các nhà quản

lý mạng cần phải quan tâm đến vấn đề an ninh mạng.

1.2.1 Tổ chức OSI trong quản lý mạng

Dựa trên cơ sở trước đó, chúng ta có thể chia nhỏ các công việc liên quan đến quản

lý và chức năng mạng. Trong thực tế, điều này đã được thực hiện theo chuẩn quốc tế

IOS (International Organization for Standardization) của tổ chức OSI (Open

System Interconnection). Trong đó mô hình tổ chức OSI đã định nghĩa 5 chức năng

(hoặc các qui tắc) quản lý mạng được chỉ định trong bảng 1.2.

Bảng 1.2 Tổ chức OSI trong quản lý mạng

Quản lý cấu hình hoặc quản lý mạng bao gồm quá trình theo dõi khả năng thay đổi

các tham số khác nhau của các thiết bị trên mạng. Các tham số đó có thể được cài đặt,

thiết lập lại hoặc đơn giản là để đọc và hiển thị. Đối với mạng phức tạp có hàng trăm hoặc

hàng ngàn thiết bị và truyền dẫn, việc sử dụng các SNMP và RMON sẽ dễ dàng hơn cho

việc điều khiển mạng từ một điểm hoặc từ một vài vị trí quản lý mạng. Tuy nhiên, trên

thực tế nền tảng SNMP và RMON có phạm vi từ một hệ thống quản lý mạng máy tính cơ

sở đến máy tính nhỏ và hệ thống máy trạm. Trong thực tế, hầu hết các hệ thống sẽ bao

gồm thiết bị có khả năng tự động tìm ra và hiển thị vị trí của mạng, ngoài ra nó còn cung

cấp cho người sử dụng khả năng đọc và có thể thay đổi các tham số thiết bị, cũng như

hiển thị một loạt các thông số của đường truyền. không giống như các thiết trên các tham

số có thể được hiển thị và thiết lập lại, thiết bị truyền dẫn được kiểm soát bởi một hoặc

nhiều hãng truyền thông và điều chỉnh các thông số này thường là điều khiển hoạt động

người sử dụng mạng đầu cuối.

Mặc dù hệ thống quản lý mạng có nhiều ưu điểm, nhưng tổ chức hệ thống quản lý

mạng không phải ở đâu cũng có. Điều này bởi vì là SNMP và RMON được phát triển chủ

yếu như là một thiết bị giám sát và cảnh báo, và cũng vì vài hạn chế là yếu tố bảo mật

không được tích hợp cho phép thay đổi các tham số các bộ định tuyến, DSUs, CSUs và

các thiết bị mạng khác. Thay vào đó, nhiều tổ chức duy trì một số hệ thống, trong đó một

6

Quản lý cấu hình / thay đổiQuản lý lỗi / sự cốQuản lý hiệu suất / tốc độ tăng trưởngQuản lý an ninh / truy cậpQuản lý tài khoản / chi phí



số hệ thống nhà cung cấp có thể được sử dụng để kiểm soát các thiết bị. Ngoài ra, một số

thiết bị có thể được kiểm soát đơn giản từ màn hình hiển thị.

Trong kết luận ban đầu của chúng ta với việc thảo luận về cấu hình hoặc thay đổi

quản lý, cần lưu ý rằng lĩnh vực quản lý mạng này phụ thuộc vào các tham số cài đặt cơ

sở dữ liệu và hiểu biết ý nghĩa của chúng. Cơ sở dữ liệu này bao gồm các thông tin được

ghi trên thẻ 3* 5 inch, trang đánh máy, hoặc files được lưu trữ trong máy tính. Bất kể

phương tiện truyền thông được sử dụng để lưu trữ thông tin, cơ sở dữ liệu giống như một

kho thông tin có thể được sử dụng để xác định lựa chọn, thay thế, cũng như triển khai

thực hiện thay đổi cấu hình và cách thức hoạt động của mạng lưới.

Quản lý lỗi/sự cố

Vấn đề quản lý lỗi là quá trình nhằm phát hiện, đăng nhập và thẻ, vấn đề tách biệt,

dấu vết và hoàn thành cho quyết định một kết quả không bình thường. Vì bạn phải biếtrằng một sự cố tồn tại, thứ nhất là một trong những bước quan trọng nhất trong quản lý lỗi

là phát hiện tình trạng không bình thường. Điều này có thể hoàn thành bằng một số

phương pháp, bao gồm từ việc thiết lập các ngưỡng trên một hệ thống quản lý mạng để

phát ra các loại hình cảnh báo hoặc điều kiện báo động khi vượt quá cho người sử dụng

và khách hàng gọi một kỹ thuật kiểm soát trung tâm để báo cáo các vấn đề. Sau khi một

vấn đề đã được phát hiện, nhiều tổ chức sẽ có một giới hạn trước điều hành thủ tục mà

tình trạng này được ghi chép trong một đăng nhập, nếu xác định đại diện cho một vấn đề

chính đáng, được phân công một vé sự cố cho phép theo dõi quá trình giải quyết sự cố.Điều quan trọng để hiểu rằng nhiều sự cố liên quan các cuộc gọi đến một trung

tâm kiểm soát kỹ thuật được giải quyết ngay lập tức . Các cuộc gọi có thể yêu cầu nhân

viên trung tâm kiểm soát kỹ thuật đến từ một vài phút đến vài giờ kiểm tra cài đặt thiết bị,

xem hình ảnh hiển thị để kiểm tra tình trạng của các thiết bị từ xa và hỏi người dùng

những cài đặt phần mềm và phần cứng liên quan hoặc thực hiện các chức năng khác để

giải quyết sự cố mà không hành động. Các cuộc gọi hoặc báo động khác có thể dẫn đến

việc cấp của một thẻ sự cố đòi hỏi hành động trên một phần của nhà cung cấp dịch vụ

thông tin hoặc sự giúp đỡ của nhà cung cấp dịch vụ. Bất kể mức độ của sự cố, đăng nhập ban đầu bao gồm một cố gắng để xác định nguyên nhân của tình huống không bình

thường và xác định hành động thích hợp cho các chỉnh sửa. Vấn đề tách biệt có thể bao

gồm một thảo luận đơn giản với một người dùng đầu cuối, kiểm tra chẩn đoán thiết bị và

đường truyền hoặc mở rộng nghiên cứu. Sau khi nguyên nhân gây ra sự cố được cô lập có

thể tổ chức với người dùng chỉnh sửa, chẳng hạn như không thể chấp nhận mức độ hiệu

7



quả trên một mạch hoặc một lỗi thiết bị không kết nối đến nhà cung cấp dịch vụ tổ chức

mạng của bạn đang sử dụng. Vì vậy, ngoài việc tìm kiếm sự trợ giúp thích hợp, một bước

quan trọng của các quá trình quản lý lỗi là để dấu vết cả bên trong và bên ngoài nhân viên

trong nổ lực của họ để hướng tới sửa đúng lỗi . Rất nhiều lần, lỗi quản lý sẽ đòi hỏi vé

tuổi sự cố để được chuyển cấp để nhận được . Tại các lần, lặp đi lặp lại các cuộc gọi đếnmột nhà cung cấp hay nhà cung cấp dịch vụ thông tin để theo dõi sự tiến bộ của một sự cố

thẻ có thể bộc lộ rằng các thẻ đã được đóng lại. Mặc dù chúng tôi hy vọng rằng các lý nhà

cung cấp dịch vụ hoặc nhà cung cấp đóng sự cố và không có ý quên để thông báo cho

chúng tôi những giải quyết , chúng tôi sống trong một thế giới chưa hoàn hảo, trong đó

một một thẻ sự cố có thể không cố ý bị đóng cửa mà không giải quyết vấn đề. Vì vậy, nó

là rất quan trọng đối với các dấu sự cố, bao gồm cả thẻ sự có trạng thái.

Trong khi việc giải quyết của một điều kiện không bình thường có thể xuất hiện

những công việc sau đó trong quá trình quản lý lỗi, trong thực té nó có thể yêu cầu hiệu

suất của cấu hình hoặc thay đổi công việc quản lý. Ví dụ, nếu trong một điều kiện không

bình thường do bởi việc thực hiện thay đổi định tuyến,việc giải quyết sự có thể thay đổi

cấu hình định tuyến trở về trạng thái ban đầu với điều kiện bình thường của nó . Điều này

giải thích bên trong quan hệ giữa các chức năng của các lĩnh vực quản lý mạng.

Quản lý hiệu suất/tăng trưởng

Quản lý hiệu suất hoặc độ tăng trưởng bao gồm những công việc đòi hỏi đánh giá

việc sử dụng thiết bị quản lý mạng và khả năng truyền dẫn và điều chỉnh chúng như yêucầu. Công việc thực hiện có thể phạm vi từ quan sát thiết bị hiển thị để thu thập các thông

tin thống kê vào một cơ sở dữ liệu có thể được sử dụng đến các xu hướngdự án sử dụng .

Bất kể phương pháp được sử dụng, mục tiêu của quản lý hiệu suất và tăng trưởng là để

đảm bảo đủ khả năng tồn tại để hỗ trợ thông tin người dùng cuối cùng yêu cầu. Do đó,

một thuật ngữ thường được sử dụng cho quản lý hiệu suất hay tăng trưởng là năng lực lập

kế hoạch.

Một trong những chi tiết thú vị bên ngoài của năng lực lập kế hoạch phối hợp phản

ứng lại của sự cố người dùng cuối. Nếu tổ chức mạng của bạn không đủ khả năng, người

dùng cuối khiếu nại sẽ thường xảy ra bất cứ khi nào thời gian phản hồi lâu hoặc người

dùng nhận một tín hiệu bận khi cố gắng truy cập mạng từ xa. Ngược lại, bạn sẽ không

bao giờ nhận khiếu nại người dùng cuối mà họ luôn luôn nhận được một thời gian phản

hồi tốt hoặc không bao giờ nhận một tín hiệu bận và rằng mạng có quá nhiều năng lực.

Điều này có nghĩa là quá nhiều khả năng sẽ yêu cầu công nhận nhân viên quản lý mạng

8



và nó là phận sự nhân viên để kiểm tra các tiềm năng cho cả hai thu hẹp hoặc mở rộng

mạng.

Một loạt các công cụ có thể được sử dụng cho quá trình quản lý hiệu suất hoặc

tăng trưởng, bao gồm các hoá đơn thanh toán của nhà cung cấp dịch vụ ,hệ thống quản lý

mạng, chẳng hạn như các ứng dụng tiện ích Ping và Traceroute.Hoá đơn thanh toán nhà

cung cấp dịch vụ có thể hiển thị đường dây gọi vào hoặc đường dây cho thuê nối vào nhà

cung cấp dịch vụ Internet .Hệ thống quản lý mạng có thể cung cấp thông tin về việc sử

dụng nội hạt và mạng từ xa và mạng lưới hoạt động và sử dụng khác nhau của thiết bị

quản lý mạng. Việc sử dụng Ping, Tracerouter và các chương trình tiện ích khác có thể

chỉ thị một thiết bị hoạt động cũng như ngắt thiết bị.

Quản lý an ninh /truy cập

Quản lý an ninh hoặc truy cập mô tả cài đặt các công việc mà đảm bảo rằng chỉ cho phépnhân viên có thể sử dụng mạng. Ngoài ra, một số tổ chức có thể yêu cầu ẩn các nội dung

của dữ liệu, đặc biệt là khi sử dụng Internet như là một mạng riêng ảo. Vì vậy, nhiệm vụ

và chức năng liên quan đến quản lý an ninh có thể bao gồm xác nhận các người dùng, mật

mã của dữ liệu, quản lý và phân phối khóa mật mã, bảo trì và kiểm tra an ninh của các bản

ghi, cấu hình danh sách truy cập bộ định tuyến và việc triển khai thực hiện những tính

năng frewall khác nhau bao gồm các dịch vụ proxy và phát hiện xâm nhập và phát báo

động.

Tương tự với quản lý an ninh truy cập các nhiệm vụ và chức năng biện pháp phòng

chống vi rút, các thủ tục hoạt động và lập kế hoạch triển khai thực hiện khi cần thiết của

phương pháp khôi phục thảm họa. Mặc dù nhà quản lý mạng không thể thực hiện các

nhiệm vụ trước sự tấn công để đảm bảo rằng nhân viên không được hoặc phát những fles

đáng ngờ qua mạng, các nhà quản lý có thể công khai các phương pháp kiểm tra phần

mềm không biết cũng như các thủ tục đi theo liên quan đến việc phân phối phạm vi phần

mềm chung thu được từ những trang web chia sẻ phần mềm.

Quản lý thanh toán/chi phí Ngoài ra để bảo đảm sự sinh, tử vong và thuế, bạn cũng có thể mong đợi câu châm

ngôn cũ 'không có bữa ăn trưa miễn phí' là cơ bản đúng sự thật. Một trong những quy

trình quản lý mạng như vậy, bao gồm việc nhận đúng thông tin vào đúng thời điểm, trong

đó cung cấp một cơ sở cho các thiết lập các chi phí chăm sóc của tài nguyên mạng. Công

việc liên quan tới quản lý thanh toán toán hoặc chi phí bao gồm việc đưa ra các trang thiết

bị, các loại truyền dẫn, việc hòa giải và các hoá đơn ghi , các tính toán giảm giá và các chi

9



phí khấu hao, các chứng từ chi phí cá nhân chi phí nhân đến hoạt động mạng, sự thuyết

minh các thuật toán để tính tỉ lệ cước đến người dùng và định kỳ xem xét các phương

pháp thanh toán để bảo đảm công bằng và hợp lý các chi phí hóa đơn trên cơ sở người sử

dụng mạng.

Quá trình quản lý thanh toán có thể yêu cầu những nỗ lực của một nhóm chuyên

gia tại các tổ chức lớn. Đối với các tổ chức vừa và nhỏ ,các nỗ lực bao gốm quản lý kế

toán có thể vẫn là đáng kể, đặc biệt khi so với các điều cần thiết để thực hiện chức năng

quản lý mạng lưới. Nhiều tổ chức tập trung vốn đầu tư chi phí các thông tin hoặc thêm chi

phí cho việc sử dụng xử lý dữ liệu của họ. Trong khi điều này chắc chắn sẽ giảm bớt các

công việc liên quan tới quản lý thanh toán, các chức năng quản lý chi phí khác, bao gồm

cả ngân sách, kiểm tra ảnh hưởng của thuế dựa trên sự thay đổi cấu trúc của mạng lưới, và

thẩm tra sự đúng đắn của người bán và hóa đơn của nhà cung cấp dịch vụ. Những chức

năng quản lý chi phí và thanh toán là một phần quan trọng trong quản lý mạng dù có

người dùng hoặc các tổ chức cơ quan hay không.

1.2.2 Các chức năng quản lý mạng lưới

Mặc dù quản lý mạng theo khuôn OSI là thông minh, nó không phải là tất cả, bao

gồm hai phím khu vực chức năng mà chỉ là một phần kín đáo trong khuôn OSI là đủ quan

trọng để điều chỉnh nhận dạng của họ như là thực thể riêng biệt là quản lý tài sản và

hoạch định hoặc hỗ trợ quản lý.

Quản lý tài sản

Quản lý tài sản là tập hợp các công việc liên quan đến sự thuyết minh và thu hồi

các hồ sơ của thiết bị, điều kiện thuận lợi và nhân sự. Hồ sơ thiết bị có thể bao gồm một

hoặc nhiều cơ sở dữ liệu thông tin-bao gồm các thiết bị được sử dụng trong mạng, các

thông số cài đặt, dữ liệu nhà sản xuất và số điện thoại để gọi cho bảo trì, và thông tin

tương tự. Hồ sơ thiết bị có thể hệ thống quản lý mạng hiện có, có thể bổ sung thêm thông

tin nhận được từ hệ thống quản lý mạng hoặc có thể là hệ thống quản lý mạng hoàn toàn

độc lập .Hồ sơ khả năng truyền dẫn có thể đơn giản bao gồm số các mạch điện và điểmliên lạc của nhà cung cấp dịch vụ hoặc chúng có thể chứa các thông tin bổ sung như mong

đợi hoặc bảo đảm mức độ hiệu quả và kết quả theo dõi của thời kỳ trước đó .Sau đó bao

gồm người sử dụng cuối lưu ý xu hướng phát triển, trong đó có thể bao gồm sự hư hỏng

chất lượng mạch địện.

10



1.3 CÔNG CỤ VÀ HỆ THỐNG

Chưa kiểm tra kết quả thông tin thiếu. Sự phân tích của dữ liệu hồ sơ mạch điện

cho phép người sử dụng cuối cùng liên lạc với nhà cung cấp dịch vụ thông tin của họ yêu

cầu hỗ trợ trước khi kết quả lỗi xuống cấp của mạch có thể ngăn cản thông tin.

Thật không may, nhân viên thường loại trừ quá trình quản lý tài sản mặc dù tài sản là quý

giá nhất . Theo quá trình quản lý tài sản, bạn nên cân nhắc việc phát triển các hồ sơ vì nó

biểu thị kinh nghiệm công việc người lao động, giáo dục, đào tạo, và mức giấy chứng

nhận. Bạn có thể dùng thông tin này để thuận tiện nhiệm vụ người lao động đến những kế

hoạch mạng khác nhau.Tương tự thông tin liên quan đến giáo dục,đào tạo và chứng nhận

có thể được dùng kết với tổ chức yêu cầu thực hiện phân chia phát triển kế hoạch phân

phối đào tạo và phân bố ngan quỹ cho phép người lao động tiếp thu phù hợp trong đào

tạo. Các phân tích của mạch

Quản lý kế hoạch / hỗ trợ

Quản lý kế hoạch và hỗ trợ bao gồm những công việc cho phép các nhà quản lýmạng và các quản trị viên cung cấp hỗ trợ cho người sử dụng hiện tại cũng như lên kếhoạch cho tương lai. Hỗ trợ cho người sử dụng hiện tại có thể được xem như là một siêuthiết lập trước đây mô tả chức năng quản lý mạng. Trong thực tế, hỗ trợ cũng như lập kếhoạch phù hợp với chức năng quản lý mạng lưới khác. Ví dụ về các chức năng hỗ trợ quản lý có thể bao gồm việc điều chỉnh khả năng mạng để cung cấp các thay đổi trong

việc sử dụng, sắp đặt thiết bị và phương tiện để hỗ trợ các ứng dụng mới hoặc ứng dụngmở rộng, và họp với người sử dụng cuối cùng để xác định mức độ hài lòng hoặc khônghài lòng của họ với phương pháp truyền thông hiện tại.

Liên quan chặt chẽ để hỗ trợ quản lý là quá trình lập kế hoạch quản lý. Trong quátrình lập kế hoạch bạn có thể đáp ứng với người sử dụng cuối cùng để xác định các yêucầu cũng như sự hài lòng hoặc không hài lòng với các thông tin liên lạc hiện có. Ngoài ra,quá trình lập kế hoạch có thể liên quan đến việc thu thập dữ liệu từ các chức năng quản lýmạng khác, trong đó cho phép bạn phát triển các mô hình để hỗ trợ trong việc thiết kế cấutrúc mạng mới hoặc tối ưu hóa kiến trúc mạng hiện tại. Cuối cùng, nếu kết quả trong quá

trình lập kế hoạch được khuyến nghị thay đổi trong kiến trúc của mạng, sau khi phê duyệtcác thay đổi này phải được thực hiện. Do đó, quá trình lập kế hoạch phải bao gồm các

bước cần thiết để triển khai thực hiện việc cấu hình hoặc thay đổi những công việc quảnlý.

Hình 1.1 tóm tắt vùng chức năng quản lý mạng và những công việc liên quan đếnmỗi vùng. Bạn nên lưu ý rằng trường hợp hợp lệ có thể được thực hiện bao gồm nhiềucông việc dưới hai hoặc nhiều chức năng. Vì vậy, bạn có thể xem các công việc liên kết

11



với các chức năng trong hình1.1 như là một tài liệu hướng dẫn cho các lĩnh vực cơ bảntrong đó những công việc đã được thực hiện không phải như là tất cả các ví dụ của nhữngcông việc đã thực hiện.

Hình 1.1 Mạng quản lý các khu vực chức năng và nhiệm vụ

Ngày nay có nhiều công cụ có thể sử dụng để cung cấp một mức hỗ trợ đáng kể trong việcquản lý TCP / IP dựa trên mạng. Như vậy các công cụ trong phạm vi sử dụng các tiện íchnhư các chương trình Ping, Traceroute và NSLOOKUP để phân tích các giao thức và cácchương trình báo cáo thống kê để cung cấp một sự hiểu biết liên quan đến việc sử dụngmạng. Nói chung, công cụ quản lý mạng có thể được chia làm ba loại chính: công cụ giám

sát, công cụ chẩn đoán và hệ thống quản lý dựa trên máy vi tính.1.3.1 Các công cụ giám sát

Các công cụ giám sát cung cấp cho bạn khả năng quan sát các hoạt động và thihành của các thiết bị và các khả năng truyền. Ví dụ về các công cụ giám sát gồm các ứngdụng tiện như Ping có thể thông báo cho bạn nếu một thiết bị đang hoạt động và phát hiệnđược cũng như các chương trình phần mềm giám sát lớp 2 và lớp 3 chẳng hạn nhưEtherVision, EtherPeek, và các sản phẩm khác sẽ được mô tả và thảo luận trong cácchương sau của cuốn sách này.

1.3.2 Công cụ chẩn đoán Một công cụ chẩn đoán thường sử dụng để phát hiện các sự cố trang thiết bị hoặc

phương tiện truyền. Ví dụ về các công cụ chẩn đoán cũng có thể bao gồm Ping nó sửdụng để cung cấp thông tin về trạng thái hoạt động của thiết bị cũng như các bộ giải mãgói có thể đưa ra ánh sang những lý do tại sao các thiết bị thông tin liên lạc đang khônghoạt động đúng.1.3.3 Hệ thống quản lý dựa trên máy vi tính

12



Hệ thống quản lý dựa trên máy vi tính chạy chương trình đồ hoạ từ máy tính cánhân trên nền quản lý mạng SNMP tới toàn bộ các nền tảng của hệ thống máy tính có hỗtrợ SNMP, cũng như các nhà cung cấp độc quyền phần cứng quản lý. Hình 1.2 minh họachung các thành phần của một hệ thống quản lý dựa trên máy vi tính. Công nghệ quản lý

cung cấp một điểm điều khiển cho truy cập vào các thiết bị. Điểm này hoặc đặt cùng mộtmạng hoặc nằm trên một mạng xa. Trong môi trường TCP/IP trạm quản lý sử dụng giaothức SNMP là giao thức truyền thông để truy cập vào các thiết bị khác để thực hiện chứcnăng quản lý khác nhau.

Hình 1.2 Các thành phần chính của một hệ thống quản lý mạng Trình ẩn là phần mềm mà có nhiệm vụ biên dịch và hoạt động theo yêu cầu từ cácnền tảng quản lý mạng. Thành phần chính thứ ba của một hệ thống quản lý là cơ sở thôngtin quản lý (MIB). MIB là cơ sở dữ liệu của các đối tượng diễn tả luật thi hành được duytrì bởi một thiết bị hoặc các giá trị của các tham số lien quan với các thiết bị mà có thểđược đọc hoặc có khả năng reset. Trong môi trường TCP/IP các trình ẩn thực hiện giámsát từ xa xảy ra thông qua việc sử dụng các thăm dò RMON, với thuật ngữ thăm dò đượcsử dụng để diễn tả trình ẩn ở xa và MIB của nó. Lưu ý rằng các trình ẩn và các MIB củanó có thể như là một mô-đun trong một thiết bị thông tin liên lạc, chẳng hạn như một bộ

định tuyến hoặc CSU, hoặc có thể hoạt động như là một trạm độc lập được kết nối vớimạng, chẳng hạn như là một máy thăm dò. Bây giờ chúng ta có đánh giá tổng hợp cho cácchức năng quản lý mạng, các công cụ, và các hệ thống, chúng ta sẽ kết thúc chương nàyvới tổng quan các nội dung của các chương trong cuốn sách này.

13



Chương 2 AN NINH MẠNG TCP/IP

2.1 AN NINH ĐỊNH TUYẾN

Một bộ định tuyến mô tả một phần trong hầu hết các loại mạng cũng như thiết bị

truyền thông đầu tiên được sử dụng để truyền dữ liệu giữa các mạng. Được hiểu theo cách

thông thường, nó mô tả nhiều kế hoạch thiết bị mạng truyền thông. Khi thay đổi cấu hình

của bộ định tuyến (cố ý hoặc không cố ý) có thể đều ảnh hưởng đến trạng thái hoạt động

của nó và ảnh hưởng đến tổ chức mạng. Một điều nữa nếu bảng định tuyến hoặc các thamsố khác nhau thay đổi, nó có thể làm thay đổi tổ chức dữ liệu để gởi đến vị trí nơi mà

thông tin có thể ghi và đọc bởi bộ phận thứ 3. Điều này rất quan trọng để hiểu rằng tại sao

người ta có thể truy cập và điều khiển bộ định tuyến, và từng bước tạo ra độ an toàn cho

thiết bị mạng truyền thông.

Trong phần này chúng tôi sẽ xem xét và thảo luận các phương pháp truy cập định

tuyến trong cả hai thuật ngữ chung và riêng. Thảo luận truy cập định tuyến của chúng ta

trong thuật ngữ chung sẽ áp dụng đến các sản phẩm được sản xuất bởi nhiều nhà cung cấp

khác nhau. Tuy nhiên, khi trở về sự chú ý đến phương pháp truy cập cụ thể và các

phương pháp chúng tôi có thể sử dụng an ninh truy cập đến bộ định tuyến, chúng tôi sẽ

tổng hợp bổ sung cụ thể chi tiết ứng dụng đến các bộ định tuyến do hệ thống Cisco sản

xuất . Mặc dù ví dụ các phương pháp cụ thể để bảo vệ truy cập đến các bộ định tuyến

trong phần này được định hướng theo định tuyến Cisco, nhưng trên thực tế các bộ định

tuyến được sản xuất bởi nhiều nhà cung cấp khác nhau nhưng đều có những khả năng

tương tự nhau. Nếu tổ chức mạng của bạn sử dụng các bộ định tuyến được sản xuất bởi

nhiều hãng khác nhau, bạn có thể kiểm tra chức năng an ninh truy cập của bộ định tuyếnđó và các lệnh cụ thể được hổ trợ bởi bộ định tuyến đến một hoặc nhiều chức năng an

ninh truy cập để cho phép, không cho phép và bảo vệ truy cập đến thiết bị dựa vào tài liệu

hướng dẫn sử dụng cụ thể của nhà cung cấp bộ định tuyến.

2.1.1 Sự cần thiết an ninh truy cập

14



Khi xem xét đến an ninh định tuyến, hầu hết người ta nghĩ đến những danh sách

truy cập định tuyến. Những danh sách truy cập định tuyến này được dùng để thiết lập

những giới hạn khi truyền dữ liệu thông qua các cổng của bộ định tuyến và được xem xét

để mô tả phạm vi phòng thủ mạng đầu tiên. Mặc dầu danh sách truy cập định tuyến là vô

cùng quan trọng về khía cạnh an ninh mạng, tác giả xem xét chúng để thực tế mô tả phạmvi phòng thủ thứ hai của mạng. Điều này bởi vì khả năng truy cập và cấu hình bộ định

tuyến trình bày trong phạm vi phòng thủ đầu tiên của mạng. Nếu khác hơn là người được

chỉ rõ đạt được khả năng truy cập và thay đổi cấu hình tổ chức định tuyến, điều này có

nghĩa là bất kỳ danh sách truy cập đã trình bày trước đây có thể được thay đổi hoặc loại

bỏ - trong hiệu ứng cắt bỏ cách bảo vệ mạng đã trình bày trước. Tương tự như người nông

dân xây dựng một chuồng gà hình ba chiều, khi ra về vô tình để cửa đóng hờ, do thiếu sót

trong bảo vệ nên để mất loại động vật quí giá cũng như trong tổ chức định tuyến nếu bảo

vệ không tốt có thể người khác truy cập đến tài nguyên mạng . Điều này giải thích tại saochúng tôi sẽ thảo luận an ninh truy cập định tuyến trong phần này trước khi thảo luận lại

danh sách truy cập định tuyến trong phần thứ hai.

Khi khảo sát sâu hơn vào trong truy cập định tuyến, chúng tôi lưu ý đến vài

phương pháp tục ngữ chặn cửa vào ra đến thiết bị truyền thông này. Trên thực tế, một

phương pháp chúng ta trao đổi gồm việc sử dụng một danh sách truy cập định tuyến bằng

một kỹ thuật điều khiển đến bộ định tuyến để chắc chắn xác định trước địa chỉ IP. Tuy

nhiên, trước khi làm điều đó, chúng ta phải khóa cổng ra vào ,điều này phải làm xong

trước khi sử dụng khả năng danh sách truy cập định tuyến. Như vậy, sử dụng danh sách

truy cập được xem lại ở một phạm vi phòng thủ thứ hai.

2.1.2 Truy cập định tuyến

Mục đích của việc thảo luận này là, thuật ngữ truy cập định tuyến mô tả khả năng

của một người kết nối với một bộ định tuyến và truy cập vào hệ điều hành của nó. Hầu hết

các bộ định tuyến bao gồm một hoặc nhiều cổng nối tiếp được lắp vào các thiết bị cho

phép đầu cuối hay máy tính cá nhân, một loại đầu cuối cụ thể truy cập đến bộ định tuyến.

Đầu cuối truy cập này có thể kết nối trực tiếp bằng cáp hoặc đường dẫn thông tin từ xa.Sau đó được hoàn thành thông qua người sử dụng modem hoặc DSU được kết nối đến

một cổng nối tiếp bộ định tuyến. Mặc dù sử dụng kết nối cổng nối tiếp là phương pháp

đầu tiên được sử dụng ở hầu hết các tổ chức cung cấp truy cập đến hệ điều hành một bộ

định tuyến để cho phép cấu hình thiết bị, nhưng nó không phải là phương pháp truy cập

duy nhất. Cộng thêm các phương pháp được hổ trợ bởi nhiều bộ định tuyến gồm truy cập

15



Telnet và sử dụng giao thức HTTP (Trial File Transfer Protocol) để lưu trữ và truyền

tải hình ảnh hệ thống, các tệp cấu hình giữa bộ định tuyến và máy trạm.

2.1.3 Truy cập Telnet

Telnet cung cấp khả năng truy cập một thiết bị từ xa bao gồm một bộ định tuyến

như thể thiết bị đầu cuối môt chương trình máy khách Telnet được kết nối trực tiếp đến

thiết bị từ xa. Telnet truy cập đến bộ định tuyến có thể xảy ra từ phía trước hay phía sau

bộ định tuyến, thuật ngữ phía trước được sử dụng dựa vào truy cập đến bộ định tuyến

thông qua mạng diện rộng (mạng WAN) kết nối từ một vị trí trạm trên mạng khác không

trực tiếp nối đến cổng bộ định tuyến cụ thể, trong khi thuật ngữ phía sau đề cập đến một

một vị trí trạm trên một mạng kết nối trực tiếp đến cổng bộ định tuyến mạng nội bộ (mạng

LAN). Điều này nghĩa là truy cập Telnet đến một bộ định tuyến có thể xảy ra từ một thiết

bị nội bộ trên tổ chức mạng nội bộ hoặc nếu bộ định tuyến được kết nối đến Internet, từ bất kỳ thiết bị đầu cuối trên thế giới có truy cập Internet. Điều này cũng có nghĩa là, bất

kỳ vị trí máy khách hoạt động chương trình Telnet, nhà điều hành chương trình chỉ cần

biết địa chỉ IP của giao tiếp mạng của bộ định tuyến để bắt đầu một phiên kết nối Telnet

đến bộ định tuyến và truy cập đến thiết bị. Nếu nhân viên điều hành của máy khách

Telnet thực hiện một kết nối đến bộ định tuyến nhân viên điều hành sẽ nhận được một

nhắc nhở, chẳng hạn như:

Tên định tuyến> hay

Xác định người dùng truy cập

Mật khẩu:

Ở đây tên định tuyến mô tả tên một tổ chức được chỉ định bộ định tuyến, trong khi

mật khẩu mô tả nhắc nhở nhập mật khẩu thích hợp để truy cập vào bộ định tuyến. Hình

2.1 minh họa việc sử dụng một máy khách Telnet sẵn sàng dùng dưới Windows 95 và

Windows 98 đến hàng triệu người để truy cập một bộ định tuyến có địa chỉ IP là

205.131.176.1. Trong ví dụ minh hoạ của Hình 2.1 bộ định tuyến gián đoạn kết nối sau ba

lần thử đăng nhập không thành công. Tuy nhiên, tin tặc có thể ngay lập tức thử lại nhiềuhơn ba lần. Với việc sử dụng một tập lệnh và một từ điển điện tử, điều đó trở thành một

công việc tương đối đơn giản cho người ta bẻ khóa mật khẩu ( crack ) chương trình Telnet

để truy cập vào khả năng cấu hình bộ định tuyến. Vì vậy, điều quan trọng để chọn mật

khẩu đó là không những không có trong từ điển mà còn không mô tả các điều nhỏ trong

các từ của từ điển, chẳng hạn như dog7, từ một tin tặc có thể lập trình lặp đi lặp lại nhiều

từ cho một tấn công thành công suốt thời gian.

16



Cần lưu ý rằng nhiều tổ chức có một chính sách địa chỉ IP, ở đó chúng chỉ định chỉ

thấp cho giao tiếp bộ định tuyến. Ví dụ, nếu địa chỉ mạng IP thuộc lớp C là

205.123.124.0, chúng có thể chỉ định 205.123.456.1 bằng một địa chỉ giao tiếp từ mạng

205 đến bộ định tuyến. Nhiều tổ chức đã sử dụng việc sắp xếp địa chỉ chung này, thông

thường sẽ rất là dễ dàng để xác định địa chỉ của bộ định tuyến cho Telnet tiếp theo. Ởđiểm này trong lúc nhân viên điều hành máy khách cho phép truy cập trực tiếp tất cả cấu

hình bộ định tuyến và kiểm soát bộ định tuyến. Bằng việc mở rộng một tập lệnh giả với

việc sử dụng một từ điển điện tử, nhiều tin tặc biết cấu hình nhiều bộ định tuyến do các

nhà sản xuất cài đặt mật khẩu mặc định truy cập Telnet. Điều này thật không may cho các

tổ chức mạng, tốt hơn họ không bao giờ sử dụng mật khẩu mặc định. Điều này là do các

mật khẩu có trong danh sách trong hướng dẫn sử dụng bộ định tuyến của nhà cung cấp,

những mật khẩu này có thể mua với giá 29,95 đô la hoặc cho truy cập miễn phí thông qua

World Wide Web. Điều này có nghĩa là hầu như không có giới hạn số người có khả năngđể khám phá các mật khẩu mặc định cần thiết để truy cập vào một bộ định tuyến thông

qua một kết nối Telnet. Nếu các bộ định tuyến mà quản trị viên không thể thay đổi mật

khẩu mặc định truy cập Telnet hay không đặt thêm bất kỳ hạn chế khi truy cậpTelnet thì

bất kỳ người nào có kiến thức về địa chỉ IP của giao tiếp bộ định tuyến có thể được truy

cập vào thiết bị.

2.1.4 Truy cập TFTP

Hầu hết các bộ định tuyến có hai loại bộ nhớ: Bộ nhớ truy cập ngẫu nhiên (RAM)và bộ nhớ không bay hơi. Không giống như bộ nhớ RAM, nội dung của nó bị xoá hoàn

toàn khi mất nguồn, nội dung của bộ nhớ không bay hơi không bị xóa. Khi cấu hình, bộ

nhớ định tuyến không bay hơi thường được sử dụng để lưu trữ hình ảnh của bộ nhớ bộ

định tuyến cũng như sao lưu dự phòng hoặc thay thế cấu hình định tuyến. Bởi vì bộ định

tuyến không chứa đĩa mềm hoặc không có ổ đĩa cứng, khả năng của chúng lưu trữ nhiều

hơn vài cấu hình thay đổi bị giới hạn. Điều này có nghĩa là các quản trị viên đòi hỏi khả

năng lưu trữ dự phòng hoặc thay thế cấu hình bộ định tuyến vượt ra ngoài khả năng giới

hạn bộ nhớ không bay hơi tiêu biểu của bộ định tuyến làm như vậy trên máy trạm và sửdụng chương trình TFTP (Trivial File Transfer Program) để tải và lưu các hình ảnh hệ

thống bộ định tuyến và các tập tin cấu hình. Điều này cũng có nghĩa là nếu được phép

truy cập TFTP, tùy theo cách thức hỗ trợ truy cập TFTP của bộ định tuyến, nó có thể cho

phép cá nhân không được quyền tạo ra cấu hình dữ liệu khi sử dụng bộ định tuyến, dẫn

đến vi phạm bảo mật hoặc không được định trước môi trường hoạt động.

17



Bây giờ chúng ta đánh giá các phương pháp chính có thể được sử dụng để truy cập

vào bộ định tuyến, chúng ta quay về các phương pháp được sử dụng là bảo vệ truy cập

hoặc khóa cửa ra vào dựa trên phương pháp truy cập. Điều này sẽ cung cấp cho chúng ta

khả năng làm nó khó khăn đối với những người được phép truy cập bộ định tuyến và

giành được khả năng xem và thay đổi các cấu hình thiết bị. Trong khi làm điều đó, chúngta sẽ thảo luận về một số lệnh định tuyến các hệ thống Cisco.

Hình 2.1

Hình 2.1 Qua việc sử dụng máy khách Telnet bao gồm hàng triệu bản sao của

Windows 95 và Windows 98, tin tặc có thể truy cập vào khả năng cấu hình định tuyến kết

nối vào Internet.

2.1.5 Bảng điều khiển và đầu cuối ảo

Sau khi bạn mở gói bộ định tuyến và bắt đầu quá trình cài đặt của nó, điều này vô

cùng quan trọng là xem xét cách thức truy cập vào cấu hình thiết bị. Nếu bạn cho phép

thay đổi cấu hình từ một kết nối trực tiếp thiết bị đầu cuối, bạn cần đảm bảo Telnet và

TFTP được phép truy cập. Trong môi trường định tuyến của Cisco, bạn có thể truy cập

18



cấu hình từ bàn điều khiển và đầu cuối ảo thông qua việc sử dụng ‘dòng’ lệnh. Dòng lệnh

này theo định dạng sau:

dòng [loại từ khoá]dòng đầu tiên [dòng cuối]

Ở đây thông tin trong dấu ngoặc đơn mô tả tùy chọn. Các loại từ khóa nhập vào có

thể được nhập vào bảng điều khiển là 'aux' hoặc 'vty'. Bảng điều khiển nhập mô tả một

đường dây đầu cuối và thiết bị nối cáp trực tiếp đến một cổng trên bộ định tuyến. So sánh,

aux được sử dụng để chỉ thị đường dây phụ, cho phép bạn định rõ quyền truy cập thông

qua một cổng trên bộ định tuyến được kết nối với một CSU, DSU hoặc modem, cho phép

truyền thông nối tiếp từ xa. Tùy chọn thứ ba, vty, mô tả kết nối đầu cuối ảo với truy cập

bảng điều khiển từ xa. Lưu ý rằng khi nhập dòng lệnh, dòng lệnh đầu tiên và cuối cùng

mô tả một số áp dụng kề nhau đến thiết bị cụ thể và có thể được trình bà và liên kết với

một đường dây.Khi cấu hình truy cập thông qua việc sử dụng dòng lệnh. Điều đó rất quan trọng để

xem xét liên kết một mật khẩu với thiết bị mà bạn cho phép truy cập. Thậm chí nếu bạn

có kế hoạch cho phép truy cập vào một bộ định tuyến thông qua thiết bị đầu cuối kết nối

cáp trực tiếp trong một trung tâm kiểm soát kỹ thuật an toàn, mỗi tình huống xảy ra sẽ

chứng minh mật khẩu bảo vệ. Trong trường hợp mà người dùng là quen thuộc, một trung

tâm kiểm soát kỹ thuật của mạng chính được một nhóm người theo dõi kết quả. phần còn

lại của nhóm của trung tâm kiểm soát kỹ thuật giám sát tình trạng của mạng lưới bằng

hình ảnh hiển thị, điều quan tâm bắt đầu với một cáp nối trực tiếp đầu cuối đến một bộđịnh tuyến và các chức năng bằng hộp thoại của bộ định tuyến. Không biết nhập vào cái

gì, các nhóm theo dõi nhập vào một dấu hỏi (?), các kết quả đó được trong hiển thị các

lệnh bộ định tuyến. Trong khoảng thời gian ngắn, người theo dõi này quản lý cấu hình bộ

định tuyến, trong khi phần còn lại của nhóm nghe lời chỉ dẫn bởi người quản lý trung tâm.

Không cần thiết để nói, nếu một mật khẩu trước đó đã được liên kết với đầu cuối truy

cập, mất cấu hình bộ định tuyến trước và tàn phá kết quả nó tạo ra là không thể.

Trong môi trường bộ định tuyến của Cisco, bạn có thể kết hợp một mật khẩu với

một phương pháp truy cập từ xa. Để làm được như vậy, bạn nên sử dụng mật khẩu lệnh.

Ví dụ:

Dòng điều khiển

Mật khẩu Bugs4bny

19



Bảng điều khiển truy cập bị khóa cho đến khi người điều hành bảng điều khiển trả

lời mật khẩu bugs4bny tại dấu nhắc bởi bộ định tuyến.

Mật khẩu của hãng Cisco có thể lên tới 80 ký tự. Các mật khẩu này thường được

kết hợp bất kỳ của các chữ cái, chữ số và các khoảng trắng. Trong lúc này các quản trị

viên định tuyến được quyền điều khiển và thay đổi các mật khẩu đó, đồng thời mật khẩu

này giới hạn người sử dụng truy cập vào bộ định tuyến. Điều này bởi vì khi lựa chọn một

mật khẩu thường dựa vào một số lượng lớn con số và chữ cái khác nhau đồng thời trộn

lẫn chúng lại với nhau. Khi sử dụng mật khẩu loại này chắc chắn sẽ khó đoán và tránh

được sự tấn công, đồng thời mật khẩu này cũng gây khó khăn cho quản trị viên định tuyến

nhập mật khẩu vào không chính xác. Nếu nhập sai ba lần, bộ định tuyến của Cisco sẽ

khóa. Vì vậy, khi lựa chọn một mật khẩu, điều quan trọng là phải ghi nhớ một số nguyên

tắc mật khẩu. Trước tiên, mật khẩu phải sử dụng hỗn hợp các ký tự chữ và số để tránh bớt

các nguy cơ tấn công . Thứ hai, khi xây dựng cấu trúc một mật khẩu hãy nhớ rằng càng

mở rộng độ dài của mật khẩu thì càng làm tăng khả năng xảy ra lỗi khi nhập mật khẩu.

Nói chung, mật khẩu dài từ 10 đến 15 ký tự là đủ nếu mật khẩu được cấu tạo từ liên kết

giữa chữ viết tắt và một chuỗi các số.

2.1.6 Truyền file (tệp)

Chúng ta nhận thấy rằng, trước đây các giao thức truyền tệp thường (Trivial File

Transfer Protocol) thường được hỗ trợ bởi bộ định tuyến như là một kỹ thuật cho phép

hình ảnh hệ thống và các file cấu hình được lưu trữ trên trạm làm việc. Trong môi trường bộ định tuyến của Cisco, cho phép tải các file cấu hình mạng khi khởi động lại bộ định

tuyến, chúng ta phải xác định lệnh dịch vụ cấu hình là mặc định và vô hiệu hoá khả năng

này. Nếu khả năng này được kích hoạt, bộ định tuyến sẽ phát tín hiệu qua TFTP đọc một

tin nhắn yêu cầu và trạm đầu tiên đáp ứng sẽ có file với một tên cụ thể dựa vào cấu hình

của bộ định tuyến được truyền qua mạng.

2.1.7 An ninh bên trong bộ định tuyến

Một khi đã đạt được quyền truy cập vào một bộ định tuyến, hệ điều hành của thiết bị có thể cung cấp thêm khả năng bảo vệ, bạn có thể sử dụng thêm cho việc bảo mật truy

cập bộ định tuyến. Trong bộ định tuyến của Cisco lệnh phiên dịch trong hệ điều hành

được gọi tắt là Exec. Exec có hai mức truy cập: người dùng và đặc quyền.

Mức truy cập của người dùng cho phép người dùng sử dụng một số lệnh trong các

lệnh bộ định tuyến, ví dụ như lệnh cho phép mở danh sách các kết nối bộ định tuyến, lệnh

cung cấp tên đến một kết nối logic và lệnh hiển thị số liệu thống kê liên quan đến hoạt

20



động của bộ định tuyến. Mức truy cập đặc quyền bao gồm tất cả các lệnh truy cập của

người dùng cũng như các lệnh ảnh hưởng đến các hoạt động của bộ định tuyến, chẳng hạn

như lệnh về cấu hình, lệnh này cho phép nhân viên quản trị mạng đặt lại cấu hình của bộ

định tuyến, tải lại lệnh, lệnh tạm dừng hoạt động của thiết bị và tải lại cấu hình của thiết

bị và các lệnh tương tự có liên quan thiết thực đến tình trạng làm việc của thiết bị.

Quyền của người được truy cập vào chế độ hoạt động đặc quyền của bộ định tuyến

Cisco nhận được khả năng điều khiển trực tiếp các hoạt động bộ định tuyến, mức truy cập

này có thể được bảo vệ bằng mật khẩu. Vì vậy, khi cài đặt bộ định tuyến của Cisco, điều

quan trọng khi sử dụng lệnh về cấu hình của bộ định tuyến thường sử dụng mật khẩu. Ví

dụ, để chỉ định mật khẩu power4you với mức lệnh đặc quyền, bạn nên sử dụng mật khẩu

lệnh cho phép như sau:

cho phép mật khẩu power4youTương tự mật khẩu kết hợp với một dãy nối tiếp tại thiết bị đầu cuối, mật khẩu chỉ

định đến lệnh đặc quyền là trường hợp nhạy cảm, mật khẩu có thể chứa bất kỳ hỗn hợp

của ký tự chữ cái và chữ số, mật khẩu này tối đa đến 80 ký tự. Do đó, bằng cách đặt một

mật khẩu trên cổng nối tiếp, hoặc trên bất kỳ các kết nối đầu cuối ảo cũng như trên các

lệnh đặc quyền của bộ định tuyến, bạn bảo vệ cả hai truy cập vào các bộ định tuyến giống

như việc sử dụng các lệnh truy cập đặc quyền.

21



Hình 2.2

Hình 2.2 minh họa cấu hình xử lý ban đầu của bộ định tuyến và chỉ định mật khẩu.Lưu ý rằng sau giao diện bộ định tuyến được hiển thị và một tên (BigMac) đã được nhập

vào bộ định tuyến, bạn sẽ được nhắc nhở để nhập ba mật khẩu. Mật khẩu thứ nhất gọi tắt

là cho phép bí mật, là một mật mã bí mật được sử dụng thay vì mật khẩu cho phép. Thứ

hai là mật khẩu cho phép là mật khẩu được sử dụng nơi không cần bảo mật và khi sử dụng

phần mềm cũ và một số hình ảnh khởi động. Thứ ba, mật khẩu là mật khẩu đầu cuối ảo.

Sau khi các mật khẩu đã được nhập vào, bộ định tuyến sẽ nhắc bạn nhập dữ liệu cấu hình

đặc trưng chỉ là một phần trong số đó được hiển thị trong hình 2.2. Việc nhập mật khẩu

được hiển thị trong hình 2.2 là minh họa cho mục đích và phạm vi mô tả cấu tạo mật khẩuđược đề cập trong phần này.

2.1.8 Phạm vi phòng vệ bổ sung

Nếu bạn cần cung cấp một hoặc cho nhiều người dùng trên một mạng với cấu hình

của mạng gồm một hoặc nhiều bộ định tuyến, bạn có thể bổ sung thêm một lớp bảo vệ

mật khẩu ngoài. Để làm như vậy, bạn có thể lập trình một hoặc nhiều danh sách truy cập

bộ định tuyến. Mặc dù việc sử dụng danh sách truy cập vào định tuyến là được ẩn, chúng

ta có thể tóm tắt một số lưu ý rằng mật khẩu ngoài đại diện cho các chọn lựa cho phéphoặc từ chối để áp dụng cho các địa chỉ Internet. Điều này có nghĩa là nếu bạn có thể xác

định địa chỉ IP của các trạm, điều này sẽ cung cấp cấu hình hoạt động một hoặc nhiều bộ

định tuyến thông qua việc nối mạng, bạn có thể sử dụng danh sách truy cập của bộ định

tuyến để hạn chế truy cập Telnet cho mỗi bộ định tuyến đến một hoặc nhiều địa chỉ cụ thể

IP. Điều này có nghĩa là không những nhà điều hành đầu cuối cần phải biết chính xác mật

khẩu để truy cập vào bộ định tuyến thích hợp mà họ còn biết thêm vị trí xác định trước

của bộ định tuyến trên mạng. Bằng cách kết hợp bảo vệ mật khẩu bộ định tuyến với mật

khẩu bảo vệ đặc quyền của chế độ điều hành để hạn chế truy cập vào cấu hình của bộ địnhtuyến thông qua việc sử dụng một hoặc nhiều danh sách truy cập để khóa quyền truy cập

vào bộ định tuyến.

2.2 DANH SÁCH TRUY CẬP BỘ ĐỊNH TUYẾN

22



Trong phần trước của chương này, chúng ta tập trung nghiên cứu đến khả năng

truy cập cấu hình của bộ định tuyến. Trong phần đó chúng ta chú ý rằng một phương pháp

truy cập đến bộ định tuyến thông qua việc sử dụng danh sách truy cập thích hợp. Tuy

nhiên, khi truy cập sâu danh sách truy cập nó sẽ bị thoát ra ngoài để thực hiện chức năng

bảo mật.

Trong phần này, chúng ta sẽ kiểm tra hoạt động, sử dụng, và hạn chế của danh

sách truy cập. Mặc dù chúng ta sẽ thảo luận về danh sách truy cập trong thuật ngữ ứng

dụng chung của nhiều sản phẩm được sản xuất bởi các nhà sản xuất khác nhau. Chúng ta

cũng sẽ thảo luận các loại danh sách truy cập cụ thể và đề cập tới những ví dụ minh họa

liên quan đến cách thức hoạt động của chúng. Đồng thời chúng ta sẽ đề cập đến danh sách

truy cập được hỗ trợ bởi các bộ định tuyến của hệ thống Cisco, hiện tại nhà sản xuất này

cung cấp trên khoảng 70% thiết bị trên thị trường. Mặc dù sử dụng danh sách truy cập

trong phần này được định hướng theo sản phẩm của hệ thống Cisco, tuy nhiên cần lưu ý

là bộ định tuyến của các hãng sản xuất khác cũng tính năng tương đương. Điều này có

nghĩa là các ví dụ được trình bày trong phần này đều có liên quan đến các nhà cung cấp

khác? Thông thường có sự thay đổi chút ít. Cũng lưu ý rằng vì có rất nhiều phiên bản bộ

định tuyến của hệ thống Cisco dựa vào IOS nên khả năng thực tế và mã hóa danh sách

truy cập tùy thuộc vào phiên bản IOS được sử dụng. Trong vấn đề này, chúng ta sẽ tập

trung đến danh sách truy cập chính của các phiên bản khác nhau phổ biến của hệ thống

Cisco đã qua vài năm sử dụng.

2.2.1 Tổng quan

Một danh sách truy cập mô tả một chuỗi chọn lựa cho phép và từ chối các điều kiện

mà được áp dụng đến trường giá trị trong các gói tin chảy qua một giao diện bộ định

tuyến.Chỉ một danh sách truy cập được cấu hình, nó được áp dụng đến một hoặc nhiều

giao diện định tuyến, dẫn đến việc thực hiện một chính sách an ninh. Vì các gói thông qua

một giao diện của bộ định tuyến, thiết bị so sánh dữ liệu trong một hoặc nhiều trường

trong gói với những phát biểu trong danh sách truy cập kết hợp với giao diện. Dữ liệu

trong trường lựa chọn của gói được so sánh từng phát biểu trong danh sách truy cập theothứ tự mà những phát biểu được nhập vào tạo thành danh sách. Đầu tiên kết hợp giữa các

nội dung hoặc điều kiện của phát biểu trong danh sách truy cập và một hoặc nhiều thành

phần dữ liệu của trường trong mỗi gói xác định dù cho bộ định tuyến có cho phép gói

ngang qua giao diện hay không. Nếu điều kiện gói chảy thông qua các bộ định tuyến

không cho phép thì bộ định tuyến gởi gói đến thùng trong bầu trời qua hoạt động lọc.

23



Tại một số nhỏ nhất, danh sách truy cập định tuyến điều khiển dữ liệu theo lớp

mạng. Bởi vì có rất nhiều loại giao thức lớp mạng, cũng có nhiều loại danh sách truy cập

chẳng hạn như danh sách truy cập Novell NetWare IPX, danh sách truy cập giao tức

Internet IP và danh sách truy cập Decnet. Bởi vì trọng tâm của cuốn sách này trên quản

lý giao thức điều khiển truyền/giao thức Internet ( TCP/IP) và qui tắc quan trọng của giaothức Internet trong truy cập của chúng, chúng tôi sẽ thu hẹp xem xét danh sách truy cập

của chúng tôi đến những hỗ trợ giao thức TCP / IP.

2.2.2 Xem xét giao thức TCP/IP

Để thu được một đánh giá cách thức hoạt động trong danh sách truy cập IP, một

xem xét tóm tắt thứ tự một phần của giao thức TCP/IP. Tại lớp ứng dụng các nội dungdòng dữ liệu mô tả một liên quan ứng dụng trong giao thức, chẳng hạn như tệp vận

chuyển phiên đầu cuối xa hoặc một thư điện tử được thông qua đến một trong hai lớp vận

chuyển giao thức đã hỗ trợ bởi giao thức TCP/IP: giao thức điều khiển truyền TCP

(Transmission Control Protocol) và giao thức chương trình dữ liệu người dùng UDP

(User Datagram Protocol). Cả TCP và UDP là giao thức lớp 4 hoạt động tại lớp vận

chuyển (theo tiêu chuẩn ISO) mô hình tham khảo hệ thống mở OSI. Bởi vì một máy tính

chủ điều hành giao thức TCP/IP được hỗ trợ hoạt động nhiều ứng dụng đồng thời, một kỹ

thuật được đòi hỏi để phân biệt một trong những ứng dụng khác nhau như ứng dụng dữ

liệu được tạo thành trong TCP hay chương trình dữ liệu UDP. Kỹ thuật sử dụng để phân

biệt một ứng dụng từ những ứng dụng khác là số cổng, với mỗi ứng dụng được hỗ trợ bởi

giao thức TCP/IP có kết hợp với số cổng. Ví dụ, một máy chủ có thể truyền tải một gói

có chứa một email theo bởi một gói có chứa một phần của một tệp vận chuyển, với số

cổng khác nhau trong mỗi gói, xác định loại dữ liệu chứa trong mỗi gói. Thông qua việc

sử dụng số cổng, các ứng dụng khác có thể được truyền đến một địa chỉ chung với địa chỉ

đến sử dụng số cổng trong mỗi gói như là một kỹ thuật phân kênh từ một trong những

ứng dụng khác nhau trong một dòng dữ liệu nhận được từ một địa chỉ nguồn. Số cổng

được chỉ định bởi quyền chỉ định của Internet IANA (Internet Assigned Number

Authority). IANA duy trì một danh sách chỉ định số cổng mà bất kỳ ai có quyền tuy cập

Internet cũng có thể truy cập vào. TCP là một giao thức kết nối liên kết, nó cung cấp một

kỹ thuật phân phối bảo đảm. Bởi vì khả năng trao đổi dữ liệu chỉ yêu cầu một khoảng thời

gian ngắn để thiết lập một kết nối TCP . Nó không những vô cùng hiệu quả của ứng dụng

24



truyền dẫn mà chỉ đòi hỏi nhỏ số lượng dữ liệu trao đổi, chẳng hạn một câu hỏi quản lý

rằng có thể đơn giản lấy lại một tham số được lưu trữ từ máy dò phía xa. Công nhận rằng

loại tình trạng mạng này đòi hỏi một phương thức truyền dẫn cao hơn kết quả là phát

triển của UDP. UDP được phát triển bằng một kết nối không dây, nỗ lực tốt nhất của kỹ

thuật phân phối. Điều này có nghĩa là khi một phiên UDP được bắt đầu, dữ liệu bắt đầutruyền ngay lập tức thay vì phải đợi cho đến khi một phiên kết nối được thiết lập. Điều

này cũng có nghĩa là trên lớp ứng dụng trở thành trách nhiệm phải cài đặt một thời gian

để cho phép một khoảng thời gian để kết thúc mà không nhận được phản hồi để xác định

rằng một kết nối hoặc được thiết lập hoặc đã mất.

Mặc dù cả hai TCP và UDP khác nhau một trong những ứng dụng khác bằng việc

sử dụng các giá trị số cổng, thực tế địa chỉ thiết bị trách nhiệm của IP, một giao thức lớp

mạng hoạt động tại lớp 3 của tiêu chuẩn ISO, mô hình tham khảo của OSI. Một ứng dụng

dữ liệu dưới giao thức TCP/IP hoặc một tiêu đề TCP hoặc một tiêu đề UDP được thêm dữ

liệu, với kết quả đoạn dữ liệu chứa một số cổng thích hợp mà nhận dạng ứng dụng đang

được vận chuyển. Tiếp theo, dữ liệu phía dưới giao thức, hoạt động trong lớp 3 dẫn đến

một tiêu đề IP được thêm vào trước tiêu đề TCP hoặc UDP. Tiêu đề chứa địa chỉ IP đích

và địa chỉ IP nguồn bằng 32-bit dưới chuẩn IPv4. Chúng tôi thường xuyên mã hóa địa chỉ

IP khi cấu hình giao thức bằng bốn số thập phân tách rời nhau bởi dấu chấm. Dựa vào

trước, có ba địa chỉ được sử dụng trong một danh sách truy cập IP mà cho phép hoặc

không cho phép luồng gói tin thông qua giao diện bộ định tuyến: địa chỉ IP nguồn, địa chỉ

IP đích và số cổng nhận dạng dữ liệu ứng dụng trong gói. Thực tế hệ thống Cisco và bộ

định tuyến khác được sản xuất cũng hỗ trợ giao thức liên quan IP khác, chẳng hạn như

giao thức tin nhắn điều khiển Internet ICMP (Internet Control Message Protocol) và

giao thức mảng mở ngắn nhất đầu tiên OSPF (Open shortest Patch First) bằng một kỹ

thuật cho phép hoặc không cho phép luồng của các loại tin nhắn lỗi xác định trước và

các chất vấn, với một ví dụ trễ là một gói yêu cầu phản hồi và trả lời ICMP.

2.2.3 Sử dụng danh sách truy cập

Trong môi trường định tuyến của Cisco, có hai loại danh sách truy cập IP mà bạncó thể cấu hình: danh sách cấu hình chuẩn hoặc cơ sở và danh sách truy cập mở rộng. Một

danh sách truy cập chuẩn cho phép lọc chỉ bằng địa chỉ nguồn. Điều này có nghĩa bạn chỉ

có thể cho phép hoặc từ chối các gói tin thông qua một giao diện dựa vào địa chỉ nguồn

IP trong gói. Do đó danh sách truy cập loại này được giới hạn trong các chức năng của nó.

So sánh danh sách truy cập mở rộng cho phép lọc địa chỉ nguồn, địa chỉ đích và các tham

25



số khác nhau kết hợp với các lớp phía trên trong giao thức, chẳng hạn như số cổng TCP

và UDP.

Nguyên tắc cấu hình

Khi phát triển một danh sách truy cập định tuyến của Cisco, có một số nguyên tắc

quan trọng cần lưu ý. Trước tiên danh sách truy cập của Cisco được đánh giá trong một

kiểu liên tục bắt đầu với mục thứ nhất trong danh sách. Khi phù hợp, danh sách truy cập

xử lý kết thúc và không có so sánh thêm xảy ra. Như vậy điều quan trọng của nó là đặt

thêm chi tiết vào phía trên danh sách truy cập của bạn .Điều quan trọng thứ hai danh sách

truy cập luôn luôn có ẩn một từ chối vào cuối danh sách truy cập. Điều này có nghĩa là

nội dung của một gói không rõ ràng phù hợp với một trong các mục danh sách truy cập

sẽ tự động bị từ chối. Bạn có thể đè lên từ chối ẩn bằng cách đặt một giấy phép rõ ràng

‘all’ vào mục cuối cùng trong danh sách của bạn. Nguyên tắc thứ ba liên quan đến cấu hình danh sách truy cập là mối quan tâm bổ

sung vào danh sách. Bất cứ mục danh sách truy cập mới sẽ được tự động thêm vào dưới

cùng của danh sách. Đây thực sự là điều quan trọng cần lưu ý, đặc biệt khi cố gắng thực

hiện một hoặc nhiều sửa đổi danh sách truy cập. Đây là vì những phát biểu thêm vào phía

dưới cùng của một danh sách truy cập có thể không có kết quả trong danh sách có thể đáp

ứng yêu cầu của tổ chức. Nhiều khi có thể cần phải xóa và tạo lại một danh sách truy cập

thay vì thêm vào các mục dưới cùng của danh sách.

Nguyên tắc thứ tư liên quan đến các danh sách truy cập là chúng được áp dụng đến

một giao diện. Một trong những lỗi phổ biến một số người cho là thích hợp để tạo ra một

danh sách truy cập và quên để áp dụng nó đến một giao diện. Trong những tình huống

danh sách truy cập đơn giản cư trú trong khu vực cấu hình bộ nhớ của bộ định tuyến

nhưng sẽ không được sử dụng để kiểm tra luồng các gói dữ liệu thông qua bộ định tuyến,

trong ảnh hưởng tương tự để lại cửa nhà kho khép hờ sau khi mất thời gian xây dựng một

cấu trúc tốt. Bây giờ chúng tôi có một đánh giá của khóa (key) nguyên tắc cấu hình danh

sách truy cập, chúng tôi hãy trở lại chú ý của chúng tôi đến sự tạo ra chuẩn và mở rộng

danh sách truy cập bộ định tuyến của Cisco.

Danh sách truy cập chuẩn

Định dạng cơ bản của một danh sách truy cập chuẩn như sau:

Danh sách- truy cập số {cho phép /từ chối} [địa chỉ IP ] [mặt nạ]

26



Mỗi danh sách truy cập được chỉ định một số duy nhất để nhận dạng danh sách

riêng biệt cũng như khai báo loại danh sách truy cập hệ điều hành của bộ định tuyến .

Chuẩn danh sách truy cập IP của Cisco được chỉ định một số nguyên từ 1 đến 99.

Một phát hành mới của hệ điều hành định tuyến của Cisco cho phép định nghĩa tên danh

sách truy cập . Tuy nhiên, vì đặt tên danh sách truy cập ngược lại thì không tương thích

với các phiên bản hệ điều hành bộ định tuyến có trước, chúng tôi sẽ sử dụng danh sách số

trong các ví dụ được trình bày trong phần này.

Bởi vì danh sách truy cập chuẩn chỉ hỗ trợ lọc địa chỉ nguồn, địa chỉ IP định dạng

trong danh sách truy cập ở trên bị giới hạn mô tả khởi đầu của gói. Mặt nạ theo địa chỉ IP

được định rõ trong một cách thức tương tự như cách thức mà trong đó một mặt nạ mạng

định rõ khi che một địa chỉ IP. Tuy nhiên, khi dùng một danh sách truy cập, số nhị phân 0

trong mặt nạ được sử dụng như một phép 'so sánh', trong khi số nhị phân 1 được sử dụngnhư là số bắt buộc. Điều này là vấn đề ngược nhau về việc sử dụng các số nhị phân 1 và

các số nhị phân 0 trong một mặt nạ mạng để che một địa chỉ IP. Một sự khác biệt là bộ

định tuyến của Cisco thuật ngữ mặt nạ được sử dụng với một danh sách truy cập dựa vào

là bằng một mặt nạ wildcard, không như mặt nạ mạng hoặc mặt nạ mạng con.

Để minh họa việc sử dụng một mặt nạ wildcard của bộ định tuyến Cisco chúng tôi

cho rằng bộ định tuyến của tổ chức bạn được kết nối vào Internet và cấu hình mạng của

bạn được minh họa trong hình 2.3. Với một World Wide Web server nằm ở sau bộ định

tuyến. Chúng tôi tiếp tục giả định rằng bạn muốn cho phép tất cả các máy chủ trên lớp Cmạng tại địa điểm khác có địa chỉ IP là 205.131.176.0 truy cập vào server. Nếu bạn đã sử

dụng một network mask truyền thống thành phần của nó là 255.255.255.0. Viết mạng và

mask dưới dạng nhị phân sẽ cho kết quả sau đây,ở đây ký tự x là điều kiện 'không quan

tâm', số nhị phân 1 hoặc 0 có thể xảy ra trong vị trí bit thích hợp :

Địa chỉ mạng 205.131.176.0 =11001101.10000011.10100110.00000000

mask mạng 255.255.255.0 =11111111.11111111.11111111.00000000 =

- --- - - - --- - - --- - - - --- - --- kết quả địa chỉ phù hợp

- 11001101.10000011.10100110.xxxxxxxx

27



Hình 2.3 Cấu hình mạng của Cisco

Lưu ý rằng số nhị phân 1 trong network mask mô tả một so sánh trong khi số nhị

phân 0 mô tả một phù hợp không điều kiện. Khi làm việc với danh sách truy cập của

Cisco, sử dụng các số nhị phân 1 và 0 trong wildcard mask là nghịch đảo. Tức là một số

nhị phân 1 chỉ rõ một phù hợp không điều kiện trong khi một số nhị phân 0 chỉ rõ một

điều kiện so sánh. Tuy nhiên, nếu bạn sử dụng cùng thành phần mask thay vì nghịch đảo

thành phần của nó, bạn sẽ có nhiều khả năng đạt được một kết quả mà không cần các yêu

cầu hoạt động của bạn. Điều này được minh họa bằng ví dụ sau, ở đây một wildcard mask

được sử dụng thay vì một network mask:

Địa chỉ mạng 205.131.176.0 =11001101.10000011.10100110.00000000

Wildcard masks 255.255.255.0 =11111111.11111111.11111111.00000000

--- - - - --- - - --- - - - --- - - --

Kết quả địa chỉ phù hợp xxxxxxxx.xxxxxxxx.xxxxxxxx.00000000

Trong ví dụ trên bất kỳ giá trị trong ba vị trí nhóm tám thứ nhất được phép dài bằng giá trị nhóm tám cuối cùng (nhóm cuối cùng tất cả bằng 0). Điều này rõ ràng không

phải là một giải pháp thỏa đáng đến đòi hỏi phục vụ Web không có thật trước đây của

chúng tôi. Tuy nhiên, nếu chúng ta đặt các số 0 trong wildcard mask thì thông thường

chúng tôi đặt các số nhị phân 1 trong network mask và ngược lại, chúng tôi sẽ định nghĩa

đúng đắn wildcard mask. Sửa đổi hoạt động mặt nạ một lần nữa, chúng tôi thu được như

sau: :

28



Địa chỉ mạng 205.131.176.0 =11001101.10000011.10100110.00000000

Wildcard mask 0.0.0.255 =00000000.00000000.00000000.11111111

- --- - - - --- - - --- - - - --- - --

Kết quả địa chỉ phù hợp =11001101.10000011.10100110.xxxxxxxx Lưu ý rằng việc tạo thành các kết quả mask ở trên trong bất kỳ máy chủ trên mạng

205.131.176.0, đó yêu cầu mà chúng tôi phải đáp ứng. Mặc dù việc sử dụng wildcard

mask của Cisco có thể bị một chút bối rối đầu tiên ,đặc biệt nếu bạn có một lượng kinh

nghiệm đáng kể trong sử dụng subnet mask,chỉ một khái niệm nắm được, nó sẽ áp dụng

dễ dàng đến danh sách truy cập bằng subnet mask đến địa chỉ mạng. Tuy nhiên, nó là vô

cùng quan trọng hãy nhớ rằng wildcard mask là một nghịch đảo network mask, bao gồm

chức năng của các số nhị phân 0 và 1, vị trí của chúng trong mask và áp dụng nó cho phù

hợp. Bây giờ chúng ta tìm hiểu sự hình thành và cách sử dụng wildcard mask củaCisco,chúng ta quay trở lại ví dụ và hoàn tất việc tạo thành danh sách truy cập chuẩn

.Danh sách truy cập được xây dựng như sau:

Danh sách truy cập 77 cho phép 205.131.176.0 0.0.0.255

Trong ví dụ này, chúng tôi đã sử dụng danh sách số 77, nó từ 1 đến 99 ,định nghĩa

danh sách truy cập bằng danh sách truy cập chuẩn đến hệ điều hành bộ định tuyến. Ngoài

ra lưu ý rằng địa chỉ mạng 205.131.176.0 và wildcard mask 0.0.0.255 trong điều kiện

không quan tâm với bất kỳ giá trị trong nhóm tám cuối cùng của địa chỉ mạng, cho phép bất kỳ máy chủ trên mạng 205.131.176.0 để có các gói của nó chảy thông qua bộ định

tuyến mà không bị lọc. Vài tin tức nữa liên quan đến danh sách truy cập cần chú ý. Trước

tiên, nếu bạn bỏ quên một mask từ một liên kết địa chỉ IP, một mask ẩn 0.0.0.0 là giả

định, Đồng thời có yêu cầu phù hợp giữa địa chỉ IP danh nghĩa trong danh sách truy cập

và gói xảy ra, cho phép hoặc từ chối trong danh sách truy cập để lấy hiệu lực. Thứ hai,

như đã đề cập trước đó, một danh sách truy cập ẩn từ chối tất cả các truy cập khác. Điều

này tương đương chấm dứt danh sách truy cập với phát biểu sau:

Danh sách truy cập 77 từ chối 0.0.0.0 255.255.255.255

Để cung cấp một ví dụ nữa của việc sử dụng danh sách truy cập chuẩn, chúng ta

cho rằng mạng sử dụng một bộ định tuyến để kết nối giữa hai phần Ethernet với nhau.

29



Hình 10.4 Sử dụng bộ định tuyến kết nối hai phần Ethernet

Xem xét việc sử dụng bộ định tuyến minh họa trong hình 10.4, chúng tôi giả sử

phần 1 có địa chỉ mạng 198.78.46.0 và bạn muốn cho các máy khách với địa chỉ máy

chủ .16 và phân .18 trên phần 1 truy cập vào bất kỳ máy chủ nằm trên phần 2. Để làm như

vậy, cấu hình định tuyến đầu tiên của bạn bao gồm áp dụng danh sách truy cập đến đầu

giao diện ra trên Ethernet 1 (E1),sẽ bao gồm các phát biểu sau :

Giao diện Ethernet 1 Nhóm truy cập ra 23

Danh sách truy cập 23 cho phép 198.78.46.160.0.0.0

Danh sách truy cập 23 cho phép 198.78.46.180.0.0.0

Trong ví dụ trước lưu ý rằng phát biểu nhóm truy cập được sử dụng để định nghĩa

dòng dữ liệu trực tiếp được kết hợp với một danh sách truy cập. Ngoài ra lưu ý rằng danh

sách truy cập được áp dụng đến giao diện ra trên Ethernet 1 thay vì đến giao diện vào trên

Ethernet 0 (E0) theo hướng định tuyến từ phần 1 bằng một danh sách truy cập vào. Trongkhi cả hai phương pháp làm việc, phương pháp sau không xem xét hiệu quả chặn tất cả

các lưu thông khác từ phần 1 để lại. Do đó, trong ví dụ này chúng tôi đã quyết định áp

dụng danh sách truy cập đến giao diện ra trên E1. Bây giờ chúng ta có một đánh giá

chuẩn danh sách truy cập IP, chúng ta chuyển sự chú ý đến họ hàng mở rộng của chúng.

Danh sách truy cập mở rộng

30



Một chuẩn danh sách truy cập được giới hạn để định rõ một bộ lọc qua việc sử

dụng một địa chỉ nguồn IP . So sánh, một danh sách truy cập mở rộng cung cấp cho bạn

khả năng lọc địa chỉ nguồn, địa chỉ đích và thông tin của giao thức lớp, ví dụ các giá trị

UDP và TCP. Trong thực tế, danh sách truy cập mở rộng cung cấp cho bạn khả năng tạo

ra rất nhiều gói lọc phức tạp ,khả năng của các bộ lọc này có thể mở rộng đáng kể vượt rangoài giới hạn danh sách truy cập chuẩn.

Danh sách truy cập mở rộng định dạng như sau :

Số danh sách truy cập {cho phép /từ chối} giao thức địa chỉ IP nguồn

Source-mask địa chỉ IP đích destination-mask/ [toán hạng điều hành] [thiết lập]

Tương tự danh sách truy cập chuẩn, danh sách mở rộng được đánh số. Danh sách

truy cập mở rộng được đánh số từ 100 đến 199 để phân biệt chúng từ danh sách truy cập

chuẩn IP. Tham số giao thức định nghĩa rõ giao thức TCP/IP, chẳng hạn như ip, tcp,UDP, ICMP và một số định tuyến giao thức có thể được lọc. Ví dụ sau gồm giao thức

định tuyến cổng nội IGRP (Interior Gateway Routing Protocol) và đường dẫn ngắn

nhất mở thứ nhất OSPF (Open Shortest Path First ). Các đối số địa chỉ IP nguồn và

đích mô tả địa chỉ IP nguồn và đích được biểu diễn bằng dấu chấm thập phân. Đối số

source-mask và destination-mask mô tả định tuyến wildcard được sử dụng trong cùng một

cách như được mô tả trước đây khi chúng tôi nghiên cứu hoạt động của danh sách truy

cập chuẩn. Để đạt được khả năng định rõ thông tin thêm với các gói lọc, bạn có thể tùy

chọn các đối số hoạt động và toán hạng trong danh sách truy cập mở rộng của bạn. Khi sử

dụng hoạt động và toán hạng có thể được thuê để so sánh giá trị cổng tcp và udp. Liên

quan đến tcp và udp, đối số các hoạt động có thể là một trong bốn từ khóa sau:

LT: ít hơn

GT: lớn hơn

EQ: bằng

NEQ: không bằng

Trong sự so sánh, đối số toán hạng mô tả giá trị nguyên của cổng đích với giao

thức được định rõ. Đối với giao thức TCP được hổ trợ tùy chọn là từ khóa 'thiết lập'. Khi

định rõ, một phù hợp xảy ra nếu một chương trình dữ liệu TCP có ACK hoặc trường bit

cài đặt RST, chỉ rằng một thiết lập kết nối đã xảy ra.

Để minh họa việc sử dụng một danh sách truy cập mở rộng, chúng tôi giả định

rằng bộ định tuyến đã minh hoạ trước trong hình 2.4 sẽ được kết nối vào Internet. Chúng

31



tôi tiếp tục giả định rằng bạn muốn cho phép bất kỳ máy chủ trên mạng, đằng sau bộ định

tuyến có địa chỉ IP là 198.78.46.0 để thiết lập kết nối TCP vào bất kỳ máy chủ trên

Internet. Tuy nhiên, chúng tôi cũng cho rằng, ngoại trừ chấp nhận thư điện tử thông qua

giao thức vận chuyển thư đơn giản SMTP (Simple Mail Transport Protocol), nó là

chính sách tổ chức để cài bất kỳ máy chủ trên mạng Internet từ thiết lập các kết nối TCPđến máy chủ trên mạng 198.78.46.0 Để hoàn thành trước công việc, bạn phải bảo đảm

rằng yêu cầu đầu tiên cho một kết nối SMTP là được thực hiện trên cổng đích 25 TCP ,

xảy ra từ số cổng lớn hơn 1023, với khởi đầu luôn luôn sử dụng cổng đích 25 để truy cập

trao đổi mail trên tổ chức mạng của bạn và máy chủ kia sử dụng số cổng lớn hơn 1023.

Trên cơ sở trước và giả thiết rằng địa chỉ trao đổi thư trên mạng 198.78.46.0 là

198.78.46.77, sau đây là hai danh sách truy cập được:

Danh sách truy cập 101 cho phép tcp 198.78.46.00.0.0.255 0.0.0.0

255.255.255.255

Danh sách truy cập 102 cho phép tcp 0.0.0.0 255.255.255.255 198.78.46.07

0.0.0.255 được thiết lập.

Danh sách truy cập 102 cho phép tcp 0.0.0.0 255.255.255.255 198.78.46.07 EQ25

Giao diện nối tiếp 0

Nhóm truy cập ip 101

Giao diện Ethernet 0

Nhóm truy cập ip 102

Trong ví dụ trước lưu ý rằng danh sách truy cập 101 được áp dụng đến cổng nối

tiếp bộ định tuyến và được xây dựng để cho phép bất kỳ máy chủ trên mạng 198.78.46.0thiết lập một kết nối TCP vào Internet. Danh sách truy cập thứ hai được đánh số 102

trong ví dụ trên được áp dụng cho giao diện Ethernet 0 (E0) được minh họa trước đó

trong hình 2.4. Phát biểu thứ nhất trong danh sách truy cập 102 cho phép bất kỳ gói TCP

mô tả một thiết lập kết nối xảy ra. Trong khi phát biểu thứ hai trong danh sách truy cập

cho phép các gói TCP từ bất kỳ địa chỉ nguồn nào chảy đến địa chỉ mạng định rõ

198.78.46.77 với giá trị cổng 25 để thông qua giao diện. Vì vậy, một kết nối vào qua cổng

32



25 phải xảy ra đúng thứ tự cho phát biểu thứ nhất trong danh sách truy cập 102 để cho

phép các gói tin thành công với số cổng lớn hơn con số 1023 thông qua bộ định tuyến.

Hạn chế

Mặc dù các danh sách truy cập cung cấp một khả năng đáng kể để lọc gói tin,

chúng được xem là một kỹ thuật bảo mật toàn diện. Như vậy, trong toàn bộ nghiên cứu

danh sách truy cập này của Cisco, chúng ta cần chú ý những vấn đề liên quan đến hạn chế

của chúng.

Trong nghiên cứu danh sách truy cập, chúng tôi lưu ý rằng chúng được xây dựng

bộ lọc dựa trên địa chỉ mạng. Điều này có nghĩa là chúng dễ bị tấn công để mạo danh địa

chỉ hoặc bắt chước. Thêm nữa khoá giới hạn liên kết với sử dụng của chúng trên thực tế

chúng không ghi chú hoặc không gói là một phần tồn tại lớp hội thoại hoặc vấn đề hội

thoại nhiều hướng. Điều này có nghĩa là người ta có thể chạy một từ điển tấn công thôngqua gói lọc khả năng (của bộ định tuyến) nếu địa chỉ của họ không bị chặn.Tương tự như

vậy, một máy chủ được phép truy cập ftp có thể phát hành một lệnh mget *.* và lấy một

vài gigabyte dữ liệu từ server, hiệu ứng tạo ra một cuộc tấn công từ chối dịch vụ. Vì các

giới hạn trước, hầu hết các tổ chức bổ sung định tuyến danh sách truy cập thông qua dịch

vụ proxy kết hợp với bức tường lửa mà nó là chủ đề của phần kế tiếp.

2.3 SỬ DỤNG DỊCH VỤ BỨC TƯỜNG LỬA (PROXY)Bằng việc sử dụng giao thức TCP/IP được mở rộng trong những năm 1990 với sự

tăng trưởng sử dụng Internet, các tổ chức bắt đầu nhận ra rằng một mối đe dọa đối với an

ninh mạng khi mạng của họ được kết nối vào Internet. Khi hội viên học viện, chính phủ

và các mạng lưới thương mại được nối vào Internet, chúng đã trở thành chủ đề để tấn

công không giới hạn người dùng máy tính nằm ở khắp nơi trên thế giới. Danh sách truy

cập bộ định tuyến cung cấp một kỹ thuật cho phép hoặc không cho phép luồng các gói

thông qua cổng bộ định tuyến dựa vào địa chỉ IP nguồn, IP đích và loại dữ liệu ứng dụng

được biểu diễn dưới dạng số cổng.Tổ chức bắt đầu nhận ra rằng bản thân danh sách truycập định tuyến không đủ ngăn chặn để ngăn cản nhiều loại hoạt động không mong muốn

đến máy chủ cư trú đằng sau bộ định tuyến. Một giải pháp được trình bày cung cấp mức

an ninh cao hơn đến tổ chức mạng là sử dụng một bức tường lửa sử dụng năng lực dịch

vụ proxy nằm đằng sau bộ định tuyến, dịch vụ proxy là tiêu điểm của phần này.

33



Trong phần này đầu tiên chúng ta xem ngắn gọn hoạt động danh sách truy cập định

tuyến và vài giới hạn của nó.Sử dụng thông tin này như là một cơ sở,rồi chúng ta sẽ mô tả

và thảo luận nhiều loại hoạt động khác nhau của dịch vụ tường lửa proxy và chúng có thể

sử dụng như thế nào để thu được một mức bảo vệ mạng nâng cao.

2.3.1 Những giới hạn danh sách truy cập

Hầu hết các bộ định tuyến chứa một khả năng lọc gói được tạo thành bằng cách

mã hóa một hoặc nhiều phát biểu vào trong một vấn đề được dựa vào một danh sách truy

cập, sau đó áp dụng danh sách truy cập đến một giao diện định tuyến. Các phát biểu danh

sách truy cập gồm các tham số được định giá ngược lại các giá trị trong trường gói đã

định dạng tại lớp 3 và 4 trong mô hình tham khảo kết nối hệ thống mở OSI của tổ chức

chuẩn quốc tế ISO. Trong môi trường giao thức TCT/IP điều này nghĩa là một danh sách

truy cập đầu tiên hoạt động bằng việc kiểm tra địa chỉ IP nguồn và đích trong một gói vàsố cổng được chứa trong gói mà được định nghĩa ứng dụng đang được vận chuyển trong

gói đã định dạng ở lớp 3 và 4 của mô hình tham khảo ISO.

Một chìa khóa giới hạn kết hợp với việc sử dụng danh sách truy cập là sự thật mà

chúng là trong hiệu ứng che với khía cạnh đến hoạt động đang được cho phép. Những

kết quả này từ danh sách truy cập định tuyến không có khả năng nhìn xa hơn vào trong

các nội dung của một gói và xác định hoạt động có hại có xảy ra hay không và nếu vậy,

ngược lại dừng hoạt động hoặc phát ra một tin nhắn báo động thích hợp đến một hoặc

nhiều người trong dạng tín hiệu âm thanh , tin nhắn thư, trang báo động hoặc kết hợp cáckỹ thuật như vậy.

Minh họa tiềm năng giới hạn của danh sách truy cập định tuyến xem xét ứng dụng

giao thức vận chuyển tệp FTP (File Transfer Protocol) phổ biến dùng để truyền tệp giữa

các máy chủ. Khi sử dụng danh sách truy cập định tuyến ,bạn có thể cho phép hoặc từ

chối các phiên ftp dựa trên địa chỉ IP nguồn hoặc địa chỉ IP đích được chứa trong mỗi gói

thông tin ftp vận chuyển. Tin rằng tổ chức của bạn vận hành một ftp server hổ trợ truy cập

ẩn danh,cho phép bất cứ ai nối đến Internet để truy cập và lấy lại thông tin từ ftp server,

một sự kiện tương đối chung trên Internet. Chúng ta hãy cho thêm rằng tổ chức của bạn

có số tệp lớn trên server có khả năng tải dữ liệu. Điều này có nghĩa người ta có thể cố ý

hoặc không cố ý sử dụng lệnh ftp mget(multiple get) để lấy lại một số tệp lớn với một

dòng lệnh vào ftp. Trên thực tế nếu người ta truy cập, ftp server của tổ chức bạn đưa ra

lệnh mget sử dụng dấu hoa thị (*) trong tên tệp(file) hoạt động wildcard và vị trí tệp mở

rộng được tạo thành từ dòng lệnh mget *.* rồi lệnh này đưa đến trong ftp server của tổ

34



chức bạn tải xuống mọi tệp trong thư mục, sau đó đến người dùng đầu xa. Nếu tổ chức

của bạn có số tệp lớn, dữ liệu lưu trữ tập hợp vài gigabytes và tốc độ kết nối vào Internet

thấp, chẳng hạn 56 kbps,64 kbps hoặc kết nối T1, sử dụng một lệnh mget *.* có thể liên

kết ra ngoài dùng kết nối Internet nhiều giờ và nhiều ngày. Nếu tổ chức của bạn hoạt đông

một word wide web server cũng như một ftp server và cung cấp truy cập Internet đếnnhân viên qua một đường dây truy cập, sử dụng mget trên cơ sở cố ý xem xét để mô tả

được đơn giản nhưng phương pháp từ chối dịch vụ tấn công hiệu quả (DOS). Loại tấn

công này là hoàn toàn hợp pháp,như người ta thuê lệnh mget đang thực hiện một vận hành

hoàn toàn hợp lệ,thậm chí thông qua kết quả vận hành có thể liên kết kết nối tổ chức của

bạn đến Internet cho nhiều giờ hoặc thậm chí nhiều ngày. Một cách tương tự, cho phép

người ta có khả năng tải dữ liệu đến ftp server của tổ chức bạn nghĩa là chúng có thể xem

xét sử dụng mget ngược lại.,đó là lệnh mput. Thông qua sử dụng mput với wildcard,

chúng có thể cài đặt thiết bị 286 cũ và bơm nhiều gigabyte dữ liệu đến ftp server của bạn,cản trở phần chia về đường dây truy cập Internet của tổ chức bạn. Thừa nhận rằng cần

nghiên cứu hoạt động lớp ứng dụng và cung cấp các tổ chức với khả năng điều khiển ứng

dụng dẫn đến phát triển khả năng dịch vụ proxy với bức tường lửa.

2.3.2 Các dịch vụ proxy

Các dịch vụ proxy mô tả thuật ngữ có đặc điểm chung kết hợp với việc sử dụng

proxy server. Proxy server thông thường được thực hiện như một khối mã hóa phần mềm

trên bức tường lửa và hổ trợ một hoăc nhiều ứng dụng cho các hành động phục vụ nhưmột vật trung gian hoặc proxy giữa một yêu cầu và phục vụ hiện tại cái mà cung cấp yêu

cầu phục vụ .Khi đã thực hiện trong cách này,tất cả yêu cầu cho ứng dụng định rõ được

xem xét đầu tiên bằng dịch vụ hoạt động proxy trên proxy server.Nếu dịch vụ proxy được

cấu hình trước cho phép hoặc không cho phép một hoặc nhiều chức năng ứng dụng với

ứng dụng TCP/IP định rõ thì dịch vụ proxy xem xét nội dung mỗi gói tin và có thể một

chuỗi gói tin và so sánh nội dung đến cấu hình dịch vụ proxy. Nếu nội dung của gói tin

hoặc chuỗi gói tin biểu thị một hoạt động định rõ được cho phép bởi cấu hình của dịch vụ

proxy thì dịch vụ cho phép gói tin chảy đến server thích hợp. Ngược lại gói tin ngay lậptức gửi đến một ít thùng lớn trong bầu trời hoặc có thể phép. Server tạo ra tin nhắn cảnh

báo và một báo động hoặc tin nhắn cảnh báo đến quản trị bức tường lửa hoặc người có

trách nhiệm khác .

Để minh họa việc sử dụng dịch vụ proxy, chúng ta quay trở lại ví dụ truy cập ftp

server của chúng ta. Một dịch vụ ftp proxy chung cho phép quản trị bức tường lửa cho

35



phép hoặc làm mất hiệu lực các lệnh ftp khác nhau. Sử dụng chức năng này, quản trị bức

tường lửa có thể điều khiển khả năng người dùng ftp để đưa ra các loại lệnh ftp khác

nhau, chẳng hạn như mget và mput.

Trong môi trường Microsoft Window bạn có thể sử dụng mget kiểu luồng hoăc

kiểu tương tác lẫn nhau.Liên quan nữa, ftp sẽ nhắc nhở bạn thông qua việc sử dụng dấu

hỏi(?) là tệp kế tiếp sẽ được truyền hoặc không được truyền. Một ví dụ sử dụng mget

được minh họa trong hình 2.5. Chú ý rằng bằng sự nhập vào đơn giản một sự điều khiển

trở lại là nhắc nhở? bên cạnh tệp được truyền. Vì vậy ,nó dễ dàng liên hệ cho một tin tặc

ghi một mã đến luồng tệp khi sử dụng mget dưới kiểu tương tác lẫn nhau của Window và

ano-brain dưới kiểu luồng của nó.

Nếu bạn quen với cách trong ftp server được cấu hình,bạn hầu như chắc chắn nhận

ra rằng quản trị ftp server được giới hạn chỉ định đọc và/hoặc viết cho phép đến danhmục và có thể, tùy theo hệ thống hoạt động được dùng đến các tệp trong một danh mục

cho người sử dụng ẩn danh hoặc không ẩn danh, sau đó một thuật ngữ thường biểu thị

người có một tài khoảng trên server. Tuy nhiên ,không có kỹ thuật mà tác giả này có nhận

thức cho phép một quản trị ftp server hoặc một quản trị định tuyến cho phép chọn lựa

hoặc làm mất hiệu lực các lệnh ftp riêng lẻ. Vì vậy, một dịch vụ ftp proxy cung cấp quản

trị server ftp với một khả năng nâng cao đáng kể được sử dụng để cấu hình khả năng và

chức năng dịch vụ ftp mà những người sử dụng khác có thể truy cập.

Hình 2.5

36



Hình 2.5 Sử dụng mget dưới windows NT đòi hỏi một trả lời đến mỗi tệp nhắc

nhở, có thể một điều khiển trở lại.

Khả năng thuê dịch vụ proxy là dựa vào sử dụng vị trí bức tường lửa nằm giữa

một bộ định tuyến và mạng server được nối đến một mạng LAN đằng sau bộ định

tuyến.Vì vậy,loại dịch vụ proxy đó có thể được cung cấp chỉ giới hạn bởi nhu cầu của

một tổ chức và chương trình của các chương trình bức tường lửa.Vài loại dịch vụ proxy

phổ biến nữa gồm dịch vụ proxy đầu cuối xa Tenet , TN3720 ,Hypertext Transport

Protocol(HTTP),dịch vụ proxy ftp đã thảo luận trước đó và dịch vụ proxy ICMP.Sau đây

mô tả một loại dịch vụ proxy đặc biệt và xứng đáng thảo luận kỹ lưỡng vì nâng cao khả

năng an ninh, nó chắc chắn cung cấp những gì chống lại các loại tấn công của tin tặc.

2.3.3 Các dịch vụ proxy ICMP

Giao thức tin nhắn điều khiển Internet ICMP (Internet Control Message Protocol)mô tả mmột giao thức lớp 3 trong giao thức TCP/IP. ICMP quen với truyền tin nhắn lỗi

cũng như các câu hỏi trạng thái và trả lời những câu hỏi đó. Những gói ICMP được tạo

thành bằng việc sử dụng một tiêu đề giao thức Internet IP chứa một số thích hợp trong

trường loại (Type) của nó .

Mặc dầu sử dụng ICMP là đầu tiên được định hướng theo vận chuyển tin nhắn lỗi

giữa thiết bị hoạt động giao thức TCT/IP và vận chuyển đến người sử dụng mạng,giao

thức cũng được sử dụng phổ biến bởi nhiều cá nhân mà hầu như không biết chắc chắn

rằng chúng đang sử dụng gói truyền dẫn ICMP.

Hai trong các loại gói ICMP phổ biến là yêu cầu phản hồi(Echo Request) và yêu

cầu trả lời ( Response Request), loại được biết đến hầu hết mọi người là hoạt động Ping

hoặc ứng dụng. Ứng dụng Ping được thực hiện trên một giao thức TCP/IP định rõ, một

người dùng tiêu biểu vào tên lệnh ứng dụng Ping tiếp theo tên máy chủ (host) hoặc địa chỉ

IP máy chủ và một hoặc nhiều tham số tùy chọn mà các tham số đó ảnh hưởng đến cách

hoạt động của Ping.

Sử dụng Ping với ý định ban đầu như một kỹ thuật cho phép người dùng xác địnhmột máy chủ từ xa là hoạt động và sử dụng giao thức TCP/IP. Ping một máy chủ ở xa

một gói yêu cầu phản hồi (Echo Request ) ICMP kết quả máy chủ ở xa gửi lại một gói trả

lời (Echo Response ) ICMP nếu máy chủ ở xa nhận được, sẵn sàng hoạt động và thực

hiện chức năng TCT/IP. Lý do sử dụng Ping cũng lưu ý nếu một máy chủ ở xa nhận

được và Ping timeout nghĩa là máy chủ ở xa không hoạt động ,một hoặc nhiều thiết bị

truyền thông trong đường dẫn đến máy chủ xa có thể bị rớt mạch.Tuy nhiên ,hầu hết các

37



trường hợp Ping mô tả phương pháp xử lý sự cố đầu tiên dùng khi nó xuất hiện mà một

máy chủ không trả lời câu hỏi.

Bổ sung thêm rằng một máy chủ sẵn sàng đón nhận và sẵn sàng hoạt động ,sử

dụng Ping cung cấp thông tin liên quan quanh độ ngắt vòng trễ đến máy chủ từ xa. Kết

quả thông tin này từ ứng dụng Ping trên việc cài đặt đồng hồ khởi đầu và ghi nhớ thời

gian cho đến khi nhận được một câu trả lời hoặc thời gian không làm gì xảy ra và thu

được câu không trả lời. Thời gian giữa truyền Ping và nhận một câu trả lời mô tả gói tin

thời gian trễ trọn vòng và cung cấp thông tin quí giá là tại sao một hoạt động phụ thuộc

thời gian như sản phẩm thoại trên IP (VoIP).

Khi thời gian đầu bạn Ping một đích sử dụng tên máy chủ,giao tức của bạn có thể

phải thực hiện một hoạt động giả pháp địa chỉ để xác định địa chỉ IP cần cho định tuyến

trực tiếp chính xác gói tin đến đúng đích của nó, ảnh hưởng thêm một sự trễ. Do đó, hầuhết thực hiện Ping bằng mặt định phát ra giữa từ ba đến năm gói yêu cầu liên tục phản

hồi. Tuy nhiên, một vài thực hiện của Ping cho phép người dùng đặt một tùy chọn mà kết

quả trong máy chủ liên tục phát ra Ping, cho đến khi người ta điều khiển máy tính tạo ra

Ping đưa ra một CTRL-BREAK để kết thúc ứng dụng.

Mặc dầu liên tục Ping xuất hiện có thể không có hại, trong thực tế nó mô tả một

phương pháp cho tin tặc để bắt đầu một tấn công từ chối dịch vụ. Điều này bởi vì Ping

máy chủ phải dừng điều nó đang làm, thậm chí chỉ vài mili giây và trả lời Ping với một

gói trả lời ICMP. Nếu người ta cài đặt ứng dụng Ping để Ping liên tục cũng cài đặt kích cỡ gói ở kích cỡ mặc định 32 hoặc 64 bytes, tùy theo sự thực hiện,mà người ta bắt buộc đích

đến trả lời với độ dài trả lời tăng, một điều đòi hỏi dùng thêm tài nguyên mạng.

Vấn đề nữa kết hợp không giới hạn sử dụng Ping là có thể dùng kỹ thuật để khám

phá máy chủ làm việc ở xa mạng bằng cách tấn công máy chủ từ xa.Ví dụ, một tin tặc có

thể ghi một mã theo chu kỳ thông qua tất cả 254 địa chỉ trên lớp C mạng IP bằng kỹ thuật

khám phá địa chỉ hoạt động hiện tại.

Dựa trên cơ sở có trước, nhiều tổ chức có thể ước muốn điều khiển hoạt động Pingvà các loại tin nhắn ICMP khác. Trong khi nhiều sanh sách truy cập định tuyến cung cấp

người quản trị khả năng lọc gói ICMP dựa trên địa chỉ IP nguồn và/hoặc đích và loại tin

nhắn ICMP, như vậy lọc danh sách truy cập là một hoạt động toàn bộ hoặc không. Tức

là,một danh sách truy cập định tuyến không thể xem xét chọn lựa và lưu ý rằng chuỗi yêu

cầu phản hồi ICMP từ cùng địa chỉ nguồn đã xảy ra sau một số yêu cầu xác định trước

được truyền qua bộ định tuyến và yêu cầu tiếp theo là ngăn chặn. So sánh một chức năng

38



dịch vụ proxy ICMP có thể cấu hình khác nhau giữa chuỗi gói yêu cầu phản hồi đơn và cố

ý hoặc không cố ý cài đặt ứng dụng Ping để liên tục Ping một host. Tương tự, một khả

năng dịch vụ proxy ICMP có thể được thuê để phân biệt giữa một người có truy cập một

server khó khăn và một người khác đang sử dụng ứng dụng Ping trong một nổ lực khám

phá tất cả host trên mạng của tổ chức bạn. Vì vậy, dịch vụ proxy ICMP mô tả một loạidịch vụ proxy quan trọng ,một dịch vụ có thể nâng cao an ninh cho mạng.

2.3.4 Hạn chế

Mặc dầu dịch vụ proxy có thể cung cấp một nghiên cứu nâng cao về an ninh mạng,

tuy nhiên chúng ta cần thảo luận những hạn chế của chúng. Trước tiên, một dịch vụ proxy

đòi hỏi xem xét nội dung chi tiết của các gói tin riêng lẻ và chuỗi riêng lẻ nhưng liên quan

đến các gói tin, buộc các ứng dụng cần phải tìm hiểu sâu về cấu trúc của mỗi một gói tin.

Điều này dẫn đến một xử lý thêm xảy ra trên mỗi một gói, mở đầu là mức độ trễ. Thứ hai,chuỗi gói có được xem xét để quyết định nếu nó chấp nhận cho phép các gói truyền đến

đích của chúng. Điều này nghĩa là một hoặc nhiều gói trong mỗi chuỗi phải làm vật đệm

hoặc lưu trữ tạm thời cho đến khi dịch vụ proxy xác định nếu các gói tiếp tục đi đến đích

của chúng hoặc sẽ được gửi đến bộ lưu trữ. Điều này có nghĩa là đòi hỏi thêm bộ đệm lưu

trữ trong dịch vụ proxy hoặc bức tường lửa và lưu trữ tạm thời các gói tin trước khi đưa

đến server. Trên thực tế, theo kiểm tra cho phép bởi vài thí nghiệm kiểm tra truyền thông,

sử dụng dịch vụ proxy từ các nhà cung cấp bức tường lửa khác nhau kết quả từ 20% đến

40% băng thông của một kết nối Internet tại server proxy . Điều này cũng dẫn đến mất góitừ 20% đến 40%. Vì vậy, bạn phải xem xét hiệu quả trễ dịch vụ proxy và tiềm năng cần

đến để nâng cấp đường dây truy cập Internet của bạn phòng xa tiềm năng nâng cao an

ninh mạng cho tổ chức mạng của bạn.

2.3.5 Ví dụ hoạt động

Bây giờ chúng ta đánh giá khả năng của bức tường lửa proxy,chúng ta sẽ kết luận

phần này bằng việc xem xét vài cấu hình màn hình chặn bức tường lửa của GA Atlanta

(sản phẩm bức tường lửa cảu GA Atlanta).

Hình 10.6 Minh họa màn hình Interceptor’s Advanced Policy Options (tùy chọn chính

sách ngăn chặn trước) trên màn hình con trỏ biểu diễn điểm bật tắt kiểm tra kết hợp với

lệnh FTP PUT đến khối tải lên FTP.Trong xem xét hình 10.6 và màn hình hiển thị chặn,

chú ý rằng chúng mô tả màn hình hiển thị HTML sử dụng Netscape browser. Kỹ thuật

chặn bức tường lửa phát ra dạng HTML cho phép người quản lý mạng xem và sửa đổi cấu

hình dữ liệu bức tường lửa. Để bảo vệ hoạt động, bức tường lửa sử dụng mật mã

39



(encryption) và cho phép bằng hổ trợ giao thức SSL của Netscape (Netscape’s Secure

Socket Layer) với mật mã tất cả lưu thông giữa bức tường lửa và Web browser dùng cấu

hình bức tường lửa trong khi mật mã được sử dụng xác thực.Điều này có nghĩa người

quản lý mạng có thể cấu hình an toàn bức tường lửa qua Word Wide Web.

Hình 2.6 Sử dụng kỹ thuật cấu hình màn hình chặn bức tường lửa để khóa tất cả lệnh FTPPUT

Các lớp sử dụng

Kỹ thuật chặn bức tường lửa gồm có một lớp định nghĩa khả năng cung cấp người

dùng với một kỹ thuật để thay thế các mẫu địa chỉ,thời gian trong ngày hoặc URLs bằng

các tên biểu tượng.Các lớp được bắt đầu bằng sự chọn lựa các lớp phím ấn trên trái phần

chia của cấu hình màn hình.Bằng cách sử dụng ký hiệu dấu bằng làm tiền tố ,chúng được

phân biệt từ các mẫu chữ.Thông qua sử dụng các lớp, có thể xem xét khả năng cấu hình của bức tường

lửa.Ví dụ muốn điều khiển truy cập từ người dùng đằng sau bức tường lửa đến dịch vụ

Internet. Để làm điều đó, đầu tiên bạn vào địa chỉ IP của máy tính, máy tính sẽ cho phép

truy cập các dịch vụ chung mà bạn mong ước sử dụng. Rồi thì định nghĩa tên lớp mà sẽ

40



kết hợp với nhóm địa chỉ IP và tạo ra một chính sách định nghĩa dịch vụ mà các thành

viên của lớp được cho phép dùng.

Hình 2.7 Minh họa sử dụng cấu hình màn hình kỹ thật biên tập chính sách ngăn

chặn cho phép lưu thông vào với FTP, HTTP,Telnet và SNMP. Lưu ý rằng chính sách

này sử dụng tên lớp ‘=ALL-Internal-Host’ trong hộp có nhãn ‘From’. Mặc dầu không

biểu diễn, bạn sẽ có sử dụng cấu hình lớp đầu tiên để vào tên lớp đó và địa chỉ IP mà bạn

muốn kết hợp lớp đó.Rồi thì, chính sách biên tập mới này sẽ cho phép những địa chỉ IP đó

trong lớp đã định trước = ALL-Internal-Host sử dụng FTP, HTTP, Telnet và ứng dụng

SMTP.

Hình 2.7

Hình 2.7 Sử dụng kỹ thật chặn bức tường lửa để tạo một chính sách cho phép lưu

thông ra ngoài lFTP, HTTP, Telnet và SMTP từ tất cả người dùng trong lớp ‘All-Internal-Host’định rõ trước.

Phát báo động

Khả năng của bức tường lửa được nâng cao đáng kể bởi khả năng phát ra báo

động,cho phép bức tường lửa báo động người quản lý mạng hoặc quản trị mạng để có thể

41



tấn công vào mạng của họ.Hình 2.8 minh họa màn hình hiển thị kỹ thuật chặn Add Alert,

với mẫu biểu diễn chọn lựa IP-Spoof.

Trong ví dụ biểu diễn trong hình 2.8 báo động IP-Spoof được sử dụng bằng kỹ

thuật biểu thị một yêu cầu kết nối xảy ra từ máy chủ đòi hỏi có một địa chỉ IP không

thuộc về nó.

Hình 10.8 Sử dụng kỹ thuật cấu hình màn hình Add Alert chặn bức tường lửa

Trong thực tế,nó rất khó nhận thấy IP-Snoof xảy ra. Điều này bởi vì, trừ phi bức

tường lửa thu nhận thông tin về địa chỉ IP trước, chẳn hạn như vị trí của chúng trên các

đoạn truy cập là giành được qua các cổng bức tường lửa khác nhau hoặc ghi chú sự giới

hạn trên địa chỉ IP, giả sử rằng một địa chỉ IP là hợp lệ. So sánh,các mẫu khác, chẳng hạn

từ chối kết nối hoặc thất bại cho phép là dễ nhận thấy hơn. Với mỗi một báo động, đầu

tiên bạn phải chỉ rõ tên cho định nghĩa báo động, chẳng hạn IP-Snoof cho mẩu đó. Sau đóchọn lựa mẩu, bạn có thể chỉ rõ ngày, giờ và tầng số xảy ra báo động, khi được phù hợp

sẽ tạo ra một báo động. Sự chặn hoặc hổ trợ hai phương pháp tạo ra báo động hoặc qua

thư điện tử hoặc trang Web. Nếu bạn chọn lựa sử dụng trang web để truyền báo động, có

thể gồm một tin nhắn, chẳng hạn như mã báo động số, nétchủ yếu của loại báo động.

Gói lọc

42



Trong toàn bộ xem xét hoạt động bức tường lửa vắn tắt, chúng ta xem xét lọc gói

ban đầu. Mặc dầu khả năng lọc gói của chức năng bức tường lửa tương tự chức năng định

tuyến, bức tường lửa thường cấu hình dễ hơn và cung cấp tính mềm dẻo hơn trong sự cho

phép hoặc không cho phép truy cập dựa trên cài đặt các qui tắc.

Hình 2.9 Sử dụng kỹ thuật cấu hình màn hình chặn bức tường lửa để biên tập dịch vụmạng HTTP.

Lưu ý rằng giao thức HTTP được chọn lựa biểu diễn ,cũng như biên tập dịch vụ

đó .Chú ý các cột dán nhãn ‘Max’ và ‘rate’. Cột được dán nhãn ‘Max’chỉ thị số lớn nhất

của các kết nối đồng thời cho phép mỗi một dịch vụ trong khi cột được dán nhãn

‘Rate’chỉ thị tốc độ lớn nhất của kết nối mới cho mỗi một dịch vụ trên cơ sở cho phép.

Bằng cách định rõ các mục cho một hoặc hai cột, bạn có thể điều khiển truy cập đáng kể

dịch vụ mạng mà bạn cung cấp cũng như cân bằng tải trên các dịch vụ sử vụ nặng.

43



Hình 2.10 Sử dụng cấu hình hiển thị kỹ thuật biên tập dịch vụ chặn bức tường lửa để

cài đặt một chuỗi qui tắt khống chế đến HTTP

Trong ví dụ này ,dịch vụ HTTP được phép kết nối đến 256 và xếp hàng đợi vào

kích cỡ 64 , giá trị giới hạn trong khi chờ đợi kết nối TCP HTTP. Tốc độ vào lớn nhất

300 mô tả tốc độ lớn nhất của các kết nối mới được cho phép vào một dịch vụ HTTP. Chỉ

một lần tốc độ này vượt quá, bức tường lửa sẽ không cho phép tạm thời truy cập đến dịchvụ đó khoảng thời gian một phút. Nếu bạn cho phép cả truy cập bên trong và truy cập bên

ngoài đến một Web server, khả năng điều khiển tốc độ lớn nhất của kết nối vào đến dịch

vụ liên quan có thể là một vũ khí quan trọng trong chiến tranh chống lại các cuộc tấn công

từ chối dịch vụ. Với kỹ thuật này, người ta cố tình làm hại hoặc nhóm tin tặc lập trình một

hoặc nhiều máy tính để đưa ra dịch vụ giả ban đầu yêu cầu sử dụng địa chỉ IP ngẫu nhiên.

Từ mỗi kết quả yêu cầu truy cập dẫn đến server ban đầu một trả lời bắt tay, sự trả lời trực

tiếp đến địa chỉ giả mà không đáp ứng. Server sẽ giữ kết nối 60 hoặc 120 giây, điều này

mô tả khoảng thời gian một người dùng hợp lệ không cho phép truy cập server trong khikhả năng kết nối của nó là lớn nhất.

Trong khi không có một hình thức giải pháp đến vấn đề này,bạn có thể dùng tùy

chọn kết nối Max để giới hạn kết nối HTTP vì bạn luôn có thể cho phép người dùng bên

trong truy cập Web server của bạn. Thêm nữa, nếu bạn định rõ tốc độ kết nối Max thấp,

44



bạn có thể phủ nhận vài úng lụt của kết nối giả, cho phép vài người dùng hợp lệ với tới

Web server của tổ chức bạn.

Khoảng trống xem xét

Trong khi định tuyến và bức tường lửa có thể được sử dụng để ngăn cản không

chứng thực truy cập đến mạng máy chủ, chúng không bảo đảm an ninh kết nối truyền

thông giữa máy khách và server hoặc an ninh dữ liệu được vận chuyển. Để giành được an

ninh này, bạn phải sử dụng vài loại chứng thực và mã hóa. Ví dụ, khi sử dụng Web

browser,bạn nên xem xét sử dụng hai quan hệ giao thức Internet, SSL(Secure Sockets

Layer) được phát triển bởi Netscape hoặc S-HTTP(Secure Hypertext Transfer

Protocol) được phát triển bởi Enterprise Intergration Technologies, cũng như giấy chứng

nhận số có thể sử dụng từ vài tổ chức.Vài trợ kỹ thuật mật mã cũ sử dụng khóa mật mã

công cộng cho chứng nhận số cho phép cung cấp chứng thực.

2.4 BIÊN DỊCH ĐỊA CHỈ MẠNG

Như được đề cập đầu tiên của chương này ,chúng ta sẽ kết luận chức năng định

tuyến và bức tường lửa.Chức năng đó là biên dịch địa chỉ mạng NAT(Network Address

Translation). Điều này được tiến triển bởi vì sự khan hiếm địa chỉ IPv4. Vì sử dụng

Internet mở rộng,khả năng tổ chức giành được đăng ký địa chỉ IP từ các nhà cung cấp

dịch vụ của họ trở nên khó khăn hơn. Thực tế nhận ra rằng chỉ một phần nhỏ người sửdụng mạng nội hạt truy cập Internet cùng lúc, có thể các tổ chức chỉ định mỗi trạm một

địa chỉ IP riêng, tiêu biểu từ một trong khối địa chỉ dự trữ trong RFC 1918, nó được bao

trùm trong chương trước. Rồi thì, một biên dịch địa chỉ được dùng để sắp đặt hoặc biên

dịch địa chỉ IP riêng trong địa chỉ đã đăng ký trên thiết bị. Nếu một tổ chức có 1000 trạm,

sắp xếp 1000 địa chỉ IP riêng không đăng ký đến địa chỉ 254 trong lớp C mạng cho phép

một địa chỉ mạng lớp C được sử dụng thay vì bốn. Tuy nhiên, nhiều hơn 254 người dùng

đòi hỏi truy cập Internet đồng thời, vài yêu cầu người dùng phải được xếp hàng cho đến

khi một địa chỉ đăng ký sử dụng trước cho phép. Mặc dầu NAT được phát triển đầu tiênnhư một kỹ xảo để bảo tồn địa chỉ Ipv4, bên cạnh lợi ích của sử dụng nó là ẩn địa chỉ của

trạm bên cạnh bộ biên dịch. Điều này nghĩa là một tấn công trực tiếp trên tổ chức máy

chủ là không thể dài hơn và dẫn đến chức năng ngăn chặn NAT được thêm vào bức tường

lửa trong định tuyến.

Bất chấp thiết bị sử dụng cho phép NAT,hoạt động của nó là tương đương. Tức

là,bằng các gói đến thiết bị cho phép NAT, địa chỉ nguồn riêng được biên dịch vào trong

45



địa chỉ công cộng. So sánh,các gói vào có địa chỉ IP công cộng của chúng đã biên dịch

vào trong địa chỉ IP riêng tương đương của chúng dựa trên trạng thái bản đồ địa chỉ IP

được duy trì bởi thiết bị.

==============================================================

2.4.1 Biên dịch các loại địa chỉ

Có ba loại NAT mà thiết bị có thể thuê.Các loại này hoặc các phương pháp biên

dịch địa chỉ gồm NAT tĩnh, pooled NAT và mức cổng NAT với trễ cũng dựa vào biên

dịch địa chỉ cổng PAT(Port Address Translate).

NAT tĩnh

NAT tĩnh dẫn đến bản đồ cố định của mỗi máy chủ trên một mạng bên trong đến

một địa chỉ trên mạng mở rộng.Mặc dù bản đồ tĩnh không cung cấp một tái tạo số địa chỉ

IP cần bởi tổ chức, sau đó nó được cấu hình thêm hoạt động cần thiết và bảng tra cứu đơn

giản của nó giảm đến mức tối thiểu.

Góp vốn NAT

Khi một kỹ thuật góp vốn NAT được sử dụng,một phần địa chỉ trên mạng mở

rộng được sử dụng cho chỉ định địa chỉ IP động trong vị trí địa chỉ riêng trên mạng bên

trong. Mặc dầu góp vốn NAT cho phép người dùng bảo tồn sử dụng địa chỉ IP công

cộng, sử dụng của nó có thể chắc chắn ảnh hưởng bất lợi các loại ứng dụng. Ví dụ, SNMP

quản lý vết các thiết bị dựa trên địa chỉ IP thiết bị và nhận dạng đối tượng. Bởi vì góp vốn NAT có nghĩa là địa chỉ mạng sẽ là nhiều hơn giống như thay đổi vượt thời gian, điều này

nghĩa là các thiết bị phía trước thiết bị biên dịch không được cấu hình để chắc chắn truyền

các bẫy lỗi đến thiết bị đằng sau thiết bị biên dịch. Một giải pháp có thể cho vấn đề này là

bản đồ lâu dài một quản lý SNMP đến địa chỉ IP trong khi tất cả những thiết bị khác chia

sẻ địa chỉ còn lại trong vốn địa chỉ. Dĩ nhiên, thiết bị đó hổ trợ góp vốn NAT cũng phải

cho phép khả năng hổ trợ bản đồ tĩnh.

Biên dịch cổng địa chỉ

Một loại kết quả biên dịch địa chỉ thứ ba trong bản đồ địa chỉ bên trong đến một

địa chỉ IP đơn trên mạng mở rộng. Để hoàn thành điều này, bộ biên dịch địa chỉ chỉ định

số cổng khác nhau đến trường cổng nguồn TCP và UDP. Số cổng được sử dụng cho bản

đồ là trên 1023, cung cấp 64512(=65535-1023) đồng thời TCP/IP hoặc UDP/IP kết nối

trên một địa chỉ đơn. Bởi vì bản đồ xảy ra đến một địa chỉ đơn thông qua việc sử dụng số

cổng khác nhau, kỹ thuật này được dựa vào biên dịch địa chỉ cổng PAT (Port Address

46



Translate). Sử dụng kết quả PAT trong tất cả lưu lượng truyền dẫn về phía trên mạng

công cộng xuất hiện đến từ địa chỉ IP đơn.

Bất kể phương pháp sử dụng NAT, sử dụng của nó ẩn địa chỉ IP hiện tại của tổ

chức mạng. Khi được kết hợp chặt chẽ vào trong bức tường lửa, NAT mô tả một kỹ thuật

buộc địa chỉ IP trực tiếp tấn công bức tường lửa và hy vọng rằng các lý thuyết về bức

tường lửa làm tiền đề để nghiên cứu phần cứng để chống lại các tấn công trên mạng.

47

Documents

Tiểu luận an ninh mạng