Luận văn: Xây dựng, triển khai và quản lí mô hình mạng

TỔNG LIÊN ĐOÀN LAO ĐỘNG VIỆT NAM TRƢỜNG ĐẠI HỌC TÔN ĐỨC THẮNG KHOA CÔNG NGHỆ THÔNG TIN KHÓA LUẬN/ĐỒ ÁN TỐT NGHIỆP XÂY DỰNG, TRIỂN KHAI VÀ QUẢN LÝ MÔ HÌNH MẠNG Ngƣời hƣớng dẫn : Thầy NGUYỄN THÀNH LONG Cô DƢƠNG THỊ THÙY VÂN Ngƣời thực hiện: NGUYỄN TRẦN HOÀNG HƢNG NGUYỄN HÒA AN Lớp:10050302 Khoá :14 THÀNH PHỐ HỒ CHÍ MINH, NĂM 2014TỔNG LIÊN ĐOÀN LAO ĐỘNG VIỆT NAM TRƢỜNG ĐẠI HỌC TÔN ĐỨC THẮNG KHOA CÔNG NGHỆ THÔNG TIN KHÓA LUẬN/ĐỒ ÁN TỐT NGHIỆP XÂY DỰNG, TRIỂN KHAI VÀ QUẢN LÝ MÔ HÌNH MẠNG Ngƣời hƣớng dẫn : Thầy NGUYỄN THÀNH LONG Cô DƢƠNG THỊ THÙY VÂN Ngƣời thực hiện: NGUYỄN TRẦN HOÀNG HƢNG NGUYỄN HÒA AN Lớp:10050302 Khoá :14 THÀNH PHỐ HỒ CHÍ MINH,NĂM 2014i LỜI CẢM ƠN Trong suốt thời gian từ khi bắt đầu học tập ở giảng đƣờng đại học đến nay, chúng em đã nhận đƣợc rất nhiều sự quan tâm, giúp đỡ của quý Thầy Cô, gia đình và bạn bè. Với lòng biết ơn sâu sắc nhất, chúng em xin gửi đến quý Thầy Cô ở Khoa Công Nghệ Thông Tin – Trƣờng Đại Học Tôn Đức Thắng cùng với tri thức và tâm huyết của mình để truyền đạt vốn kiến thức quý báu cho chúng em trong suốt thời gian học tập tại trƣờng, cũng xin cảm ơn gia đình và bạn bè đã ở bên và giúp đỡ trong thời gian qua. Chúng em xin chân thành cảm ơn Thầy Nguyễn Thành Long đã tận tâm hƣớng dẫn chúng em qua những buổi nói chuyện, thảo luận về đề tài khóa luận chúng em làm. Nếu không có những lời hƣớng dẫn, dạy bảo của thầy thì chúng em nghĩ khóa luận này của chúng em rất khó có thể hoàn thiện đƣợc. Một lần nữa, chúng em xin chân thành cảm ơn thầy. Khóa luận đƣợc thực hiện trong khoảng thời gian 4 tháng. Bƣớc đầu đi vào thực tế nên kiến thức của em còn hạn chế và còn nhiều bỡ ngỡ. Do vậy, không tránh khỏi những thiếu sót là điều chắc chắn, chúng em rất mong nhận đƣợc những ý kiến đóng góp quý báu của quý Thầy Cô để kiến thức của em trong lĩnh vực này đƣợc hoàn thiện hơn. Sau cùng chúng em xin chúc quý thầy cô khoa Công Nghệ Thông Tin dồi dào sức khỏe, niềm tin để tiếp tục thực hiện sứ mệnh cao đẹp của mình là truyền đạt kiến thức cho thế hệ mai sau. TP. HCM, ngày 29 tháng 6 năm 2014 Sinh viên thực hiện : Nguyễn Hòa An Nguyễn Trần Hoàng Hƣngii CÔNG TRÌNH ĐƢỢC HOÀN THÀNH TẠI TRƢỜNG ĐẠI HỌC TÔN ĐỨC THẮNG Chúng tôi xin cam đoan đây là công trình nghiên cứu của riêng chúng tôi và đƣợc sự hƣớng dẫn khoa học của thầy Nguyễn Thành Long. Các nội dung nghiên cứu, kết quả trong đề tài này là trung thực và chƣa công bố dƣới bất kỳ hình thức nào trƣớc đây. Những số liệu trong các bảng biểu phục vụ cho việc phân tích, nhận xét, đánh giá đƣợc chính tác giả thu thập từ các nguồn khác nhau có ghi rõ trong phần tài liệu tham khảo. Ngoài ra, trong luận văn còn sử dụng một số nhận xét, đánh giá cũng nhƣ số liệu của các tác giả khác, cơ quan tổ chức khác đều có trích dẫn và chú thích nguồn gốc. Nếu phát hiện có bất kỳ sự gian lận nào tôi xin hoàn toàn chịu trách nhiệm về nội dung luận văn của mình. Trƣờng đại học Tôn Đức Thắng không liên quan đến những vi phạm tác quyền, bản quyền do tôi gây ra trong quá trình thực hiện (nếu có). TP. Hồ Chí Minh, ngày 29 tháng 6 năm 2014 Tác giả (ký tên và ghi rõ họ tên)iii TÓM TẮT Trong xu hƣớng phát triển của xã hội ngày nay, công nghệ thông tin luôn có mặt ở bất cứ lĩnh vực, ngành nghề nào. Mạng lƣới công nghệ thông tin trên thế giới phát triển một cách chóng mặt, mọi ngƣời ai cũng muốn cập nhật thông tin một cách nhanh nhất và chính xác nhất. trên thực tiễn đó các doanh nghiệp cũng không thể thiếu việc áp dụng công nghệ thông tin vào doanh nghiệp của mình để quản lý và phát triển. Đối với các doanh nghiệp hiện nay đặc biệt là doanh nghiệp có nhiều chi nhánh ở những vị trí địa lý xa nhau thì việc quản lý và chia sẻ tài nguyên giữa các chi nhánh rất khó khăn và tốn chi phí nếu không có công nghệ thông tin. Việc sử dụng máy tính trong doanh nghiệp nhƣ một công cụ để phục vụ cho công việc ngày càng nhiều vì vậy cần máy chủ để quản trị hệ thống mạng trong doanh nghiệp là rất thiết thực để có một hệ thống quản lý tốt, an toàn, có độ bảo mật cao, chi phí hợp lý và thuận tiện trong việc trao đổi thông tin giữa các chi nhánh,… Với những lý do trên chúng tôi quyết định lựa chọn đề tài “Xây dựng, triển khai và quản lý mô hình mạng” vừa và nhỏ sử dụng Windows Server 2003 trên phần mềm máy ảo VMWare để thực hiện. Đề tài rất thực tế và phù hợp với các yêu cầu đặt ra hiện nay cho các tổ chức, doanh nghiệp và nó còn giúp chúng tôi có thêm kinh nghiệm, hiểu biết rõ hơn về mô hình mạng và dễ dàng thích nghi với môi trƣờng công việc sau này khi ra trƣờng.1 MỤC LỤC LỜI CẢM ƠN ..............................................................................................................i TÓM TẮT ................................................................................................................. iii MỤC LỤC ................................................................................................................... 1 DANH MỤC CHỮ VIẾT TẮT ................................................................................... 4 DANH MỤC CÁC BẢNG BIỂU, HÌNH VẼ, ĐỒ THỊ ............................................. 6 CHƢƠNG 1 –MỞ ĐẦU ............................................................................................. 7 1.1 Yêu cầu đề tài ................................................................................................ 7 1.2 Phạm vi luận văn ........................................................................................... 7 1.3 Công cụ hộ trợ và kĩ thuật sử dụng ................................................................ 7 Sử dụng các công cụ hộ trợ nhƣ Vmware Workstation, GNS3, Visio 2010. .......... 7 1.4 Hƣớng phát triển cho để tài. .......................................................................... 7 CHƢƠNG 2–CƠ SỞ LÝ THUYẾT ........................................................................... 9 2.1 Mạng máy tính ............................................................................................... 9 2.2 Các thành phần mạng (Network Component) ............................................... 9 2.3 Các loại mạng máy tính ............................................................................... 10 2.4 Hệ thống Domain quản lí mạng LAN ......................................................... 11 2.5 Windows Server 2003 ................................................................................. 13 CHƢƠNG 3 - XÂY DỰNG HẠ TẦNG MẠNG...................................................... 15 3.1 Giới thiệu hạ tầng mạng .............................................................................. 15 3.2 Ảo hóa hạ tầng mạng ................................................................................... 17 3.3 VPN (Virtual Private Network) ................................................................... 20 CHƢƠNG 4 – THIẾT LẬP DỊCH VỤ ..................................................................... 27 4.1 Dịch vụ DHCP ............................................................................................. 27 4.1.1 Giới thiệu về DHCP .............................................................................. 27 4.1.2 Cách thức hoạt động của DHCP .......................................................... 27 4.1.3 DHCP Replay Agent ............................................................................. 29 4.1.4 Ưu điểm và nhược điểm của DHCP ..................................................... 29 4.2 Dịch vụ DNS (Domain Name System)........................................................ 31 4.2.1 Giới thiệu về DNS ................................................................................. 312 4.2.2 Cấu trúc của hệ thống DNS và DNS Server ......................................... 32 4.2.3 Cách hoạt động của DNS ...................................................................... 36 4.3 Web Server .................................................................................................. 40 4.3.1 Giới thiệu Web Server ........................................................................... 40 4.3.2 Hoạt động của máy chủ Web ................................................................ 41 4.4 Mail Server .................................................................................................. 43 4.4.1 Giới thiệu về Email ............................................................................... 43 4.4.2 Các giao thức Mail ............................................................................... 47 4.4.3 Nguyên tắc hoạt động của mail ............................................................ 49 4.4.4 Mdaemon Email Server ........................................................................ 50 4.5 FTP Server ................................................................................................... 51 4.5.1 Giới thiệu FTP ...................................................................................... 51 4.5.2 Mô hình hoạt động của FTP, các thành phần trong giao thức FTP .... 51 4.5.3 Thiết lập kênh điều khiển và chứng thực người dùng trong FTP ......... 54 4.5.4 Quản lý kênh dữ liệu FTP ..................................................................... 55 4.6 Domain Controller ....................................................................................... 58 4.7 Proxy Server ................................................................................................ 62 4.7.1 Giới thiệu Proxy Server ........................................................................ 62 4.7.2 Phân loại Proxy .................................................................................... 62 4.7.3 Tính năng của Proxy Server .................................................................. 64 4.7.5 Ưu điểm và nhược điểm của Proxy ....................................................... 66 4.8 Firewall ........................................................................................................ 68 4.8.1 Giới thiệu Firewall ............................................................................... 68 4.8.2 Chức năng của Firewall ....................................................................... 68 4.8.3 Nguyên lý hoạt động của Firewall ........................................................ 69 4.8.4 Các dạng Firewall ................................................................................ 72 4.8.5 ISA Server 2006 .................................................................................... 79 CHƢƠNG 5 -QUẢN LÝ VÀ DUY TRÌ HỆ THỐNG MẠNG ................................ 82 5.1 Các khái niệm .............................................................................................. 823 5.1.1 Khái niệm về Administrator .................................................................. 82 5.1.2 Khái niệm về Backup và restore ........................................................... 84 TÀI LIỆU THAM KHẢO ......................................................................................... 86 PHỤ LỤC .................................................................................................................. 87 III. Các bƣớc cài đặt dịch vụ. ................................................................................ 88 1. DHCP .............................................................................................................. 88 2. DNS (Domain Name System) ......................................................................... 92 3. Web Server ...................................................................................................... 98 4. MAIL SERVER ............................................................................................ 101 5. FTP ................................................................................................................ 105 6. Domain Controller ........................................................................................ 109 7. Firewall ......................................................................................................... 115 8. Proxy Server .................................................................................................. 1224 DANH MỤC CHỮ VIẾT TẮT DHCP: Dynamic Host Configuration Protocol DNS: Domain Name System FTP: File Transfer Protocol VPN: Virtual Private Network TCP/IP: Transmission Control Protocol/Internet Protocol MAC: Media Access Control HTML: HyperText Markup Language MUA: Mail User Agent MTA: Mail Transfer Agent PPP: Point-to-point Protocol UUCP Unix-To-Unix Copy Protocol NFS: Network File System IMAP: Internet Message Access Protocol SMTP: Simple Mail Transfer Protocol POP: Post Office Protocol MIME: Multipurpose Internet Mail Extensions DTP: Data Transfer Process User-PI: User Protocol Interpreter User-DTP: User Data Transfer Process Server-DTP: Server DataTransfer Process Server-PI: Server Protocol Interpreter ACK: Acknowledge5 OSI: Open Systems Interconnection FQDN fully qualified domain name6 DANH MỤC CÁC BẢNG BIỂU, HÌNH VẼ, ĐỒ THỊ DANH MỤC HÌNH I. Mô hình tổng quan ............................................................................................... 87 II. Sơ Đồ Mô Hình VPN ........................................................................................... 88 III. Các Bƣớc Cài Đặt Dịch Vụ ................................................................................. 88 1. DHCP ............................................................................................................. 88 2. DNS ................................................................................................................ 92 3. Web Server ..................................................................................................... 98 4. Mail .............................................................................................................. 101 5. FTP ............................................................................................................... 105 6. Domain Controller ....................................................................................... 109 7. Firewall ........................................................................................................ 115 8. Proxy Server ................................................................................................. 122 Hình 3.1: Sơ đồ của một hạ tầng mạng tiêu biểu ...................................................... 16 Hình 3.2: Ảnh minh họa Remote Access VPN ........................................................ 22 Hình 3.3: Site To Site VPN ....................................................................................... 23 Hình 3.4: Firewall-Based .......................................................................................... 23 Hình 4.1: Sơ đồ cây DNS .......................................................................................... 32 Hình 4.2: Root Server kết nối trực tiếp với Server tên miền cần truy vấn ................ 36 Hình 4.3: Root Server không kết nối trực tiếp với Server tên miền cần truy vấn..... 38 Hình 4.4: Hệ thống Email đầy đủ các thành phần..................................................... 45 DANH MỤC BẢNG Bảng 2.1: Yêu cầu hệ thống của từng phiên bản Windows Server 2003 .................. 147 CHƢƠNG 1 –MỞ ĐẦU 1.1 Yêu cầu đề tài Yêu cầu đƣa ra của đề tài là xây dựng đƣợc một mạng doanh nghiệp có 2 chi nhánh đặt ở 2 khu vực địa lý khác nhau nhƣ Hà Nội và TP Hồ Chí Minh, máy tính của chi nhánh này có thể truy cập và lấy thông tin từ máy tính của chi nhánh khác và thiết lập các quy tắc hợp lý cho các máy tính truy cập thông tin, các IP của máy tính đƣợc cấp phát một cách tự động và phải thiết lập các dịch vụ DHCP, mỗi chi nhánh sẽ có 1 Web Server riêng và 1 DNS Server với 1 địa chỉ riêng biệt. Mỗi User khi đăng nhập phải Join vào Domain riêng mới có thể chia sẻ và lấy tài nguyên từ máy chủ vì thế cần thiết phải cài đặt và cấu hình Domain Controller cho Server. Ngoài ra, xây dựng và cài đặt Mail Server riêng cho mỗi chinh nhánh để các User (Nhân viên) trao đổi thƣ nội bộ với nhau, cầu hình FPT Server để chia sẻ tài nguyên giữa các User. Với bảo mật, cần xây dựng Proxy Server, Firewall. 1.2 Phạm vi luận văn Luận văn đƣợc thực hiện trên môi trƣờng giả lập (máy ảo) Vmware. 1.3 Công cụ hộ trợ và kĩ thuật sử dụng Sử dụng các công cụ hộ trợ nhƣ Vmware Workstation, GNS3, Visio 2010. 1.4 Hƣớng phát triển cho để tài. Hiện nay, hầu hết các mô hình máy tính lớn và nhỏ đều kết nối với nhau qua mạng Internet và liên kết nội bộ với nhau thông qua VPN. Với những ƣu điểm vƣợt trội của nó thì tƣơng lai VPN sẽ vẫn là sự lựa chọn cho các doanh nghiệp vừa và nhỏ để xây dựng mạng máy tính cho riêng mình. Đối với hệ điều hành, hiện nay, Microsoft đã phát triển lên Windows Server 2012 với nhiều tính năng vƣợt trội và cơ chế bảo mật cao cấp hơn và các phần mềm có liên quan cũng đƣợc cập nhật thêm những phiên bản mới để tăng hiệu năng sử dụng cùng với những tiện ích mới. Tóm lại, trong tƣơng lai, đối với những doanh nghiệp vừa và nhỏ thì VPN vẫn là 1 phƣơng án đầy tính khả thi khi xây dựng 1 mô hình mạng vừa và nhỏ. Và cùng với sự phát triển của công nghệ, các Router đƣợc nâng cấp, cầu hình Server8 đƣợc cải thiện cùng với các phần mềm đƣợc cập nhật thì dữ liệu, tài nguyên sẽ đƣợc bảo mật hợn, tốc độ chia sẻ nhanh hơn…9 CHƢƠNG 2–CƠ SỞ LÝ THUYẾT 2.1 Mạng máy tính Mạng máy tính (Computer Network) là tập hợp của 2 hay nhiều máy tính kết nối với nhau thông qua các phƣơng tiện kết nối (thiết bị kết nối – Switch, Hub, dây cáp, sóng vô tuyến,…) để chia sẻ các tài nguyên. Việc kết nối giữa các máy tính tuân theo các chuẩn về mạng máy tính (Network Standard), các công nghệ mạng và các giao thức (Protocol). Các máy tính trong mạng có thể gọi là nút mạng. Việc sử dụng mạng máy tính giúp các tổ chức, doanh nghiệp dễ dàng trong việc chia sẻ các tài nguyên cho ngƣời dùng. Các tài nguyên chia sẻ bao gồm các file, thƣ mục, máy in, kết nối Internet, ứng dụng dùng chung. 2.2 Các thành phần mạng (Network Component) Mỗi mạng máy tính bao gồm các máy tính, thiết bị mạng, máy in,… chúng đƣợc gọi là các thành phần mạng (Network Component) chúng bao gồm các thành phần chính sau: Máy chủ (Server) – là một máy tính chạy trên nền của một hệ điều hành nhất định (Windows Server, Linux…) và đƣợc dùng để thi hành các chƣơng trình dịch vụ trên toàn mạng. Các chƣơng trình dịch vụ trên Server chấp nhận mọi yêu cầu hợp lệ từ máy Client, thi hành dịch vụ và trả về kết quả cho máy Client. Mỗi máy chủ sẽ có một Policy riêng để xác thực và quản lý các User đăng nhập. Máy trạm (Client): Là các máy tính trong mạng có thể kết nối đến các máy chủ để yêu cầu các dịch vụ, chia sẻ và sử dụng các tài nguyên mạng. Máy trạm chạy hệ điều hành tƣơng ứng (WindowsXP, Vista…) và các phần mềm máy trạm. Phƣơng tiện truyền dẫn (Media): Là các thành phần chuyền dẫn vật lý giữa các máy tính nhƣ dây cáp (Cable), sóng radio,…10 Tài nguyên (Resources): Là các ứng dụng, dữ liệu, các phần cứng chuyên dụng,… đƣợc cung cấp bới các máy chủ trên mạng cho ngƣời dùng thông qua các máy trạm (files, máy in,…). Card mạng (Network Adapter): Là một thiết bị chuyên dụng giúp các máy tính có thể gửi dữ liệu tới các máy tính thông qua phƣơng tiện truyền dẫn. Các thiết bị kết nối nhƣ Hub, Switch, Router… Giao thức mạng (Network Protocol): Là tập hợp các quy luật, quy định giúp các máy tính có thể giao tiếp với nhau (hiểu đƣợc nhau – giống nhƣ ngôn ngữ mà con ngƣời sử dụng). Mô hình mạng (Network Topology): Là cấu trúc vật lý của mạng (Bus, Star, Ring,…), nó đƣợc phân loại dựa vào loại phƣơng tiện truyền dẫn (Media Type), giao thức mạng (Protocol), card mạng,…(Trong khuôn khổ đề tài này sẽ chỉ nghiên cứu về các thành phần quản lí và bảo mật mạng, các thiết bị ngoại vi hay các phần cứng về máy sẽ không đƣợc đề cập đến). 2.3 Các loại mạng máy tính Mạng máy tính có thể đƣợc phân loại theo một số cách khác nhau: phân loại theo phạm vi (Scope), theo kiến trúc (Architecture), theo hệ điều hành dùng trong mạng,…(ở đây chúng tôi chỉ xét phân loại theo phạm vi). Phân loại theo phạm vi Mạng nội bộ (LAN – Local Area Network): Là mạng máy tính trong đó các máy tính kết nối trực tiếp với nhau, trong một phạm vi địa lý nhỏ (phòng, toà nhà,…). Việc giới hạn này phụ thuộc vào phƣơng tiện truyền dẫn mà mạng nội bộ sử dụng. Mạng diện rộng (WAN – Wide Area Network): Là mạng có thể trải trên các phạm vi địa lý rộng lớn, nối các khu vực trong một quốc gia hoặc các vị trí ở các quốc gia khác nhau với nhau. Các phƣơng tiện kết nối có thể sử dụng nhứ cáp11 quang (Fiber Optic Cable), qua vệ tinh (Sateline), giây điện thoại (Telephone Line), các kết nối dành riêng (Lease Line). Tuy nhiên, giá thành của các kết nối này tƣơng đối cao. Mạng Internet: Là một loại hình mạng đặc thù của mạng diện rộng, ngày này mạng Internet đã trở thành một loại hình mạng phổ biến nhất. Mục đích của mạng Internet là đáp ứng lại các kết nối của ngƣời dùng ở bất kỳ đâu trên thế giới, giúp các tổ chức, doanh nghiệp có thể dễ dàng quảng bá các thông tin, cung cấp các dịch vụ chia sẻ dễ dàng với giá thành hợp lý. Một số loại mạng khác: Mạng nội đô (MAN – Metropolitan Area Network), Mạng lƣu trữ dữ liệu (SAN – Storage Area Network), mạng riêng ảo (VPN – Virtual Private Network), mạng không giây (Wireless Network),…Trong phạm vi của đề tài, với một công ty cỡ vừa và nhỏ bao gồm các máy chủ quản trị sử dụng Windows Server 2003 và một số máy Client (50-100 máy) chúng tôi chỉ xét phạm vi máy tính dạng Local Area Network (LAN) và mạng riêng ảo (VPN). Mạng riêng ảo (VPN): là sự mở rộng của các mạng riêng thông qua mạng công cộng. VPN là một mạng riêng lẻ sử dụng mạng chung để kết nối các site ở các vị trí địa lý khác nhau. Thay vì dùng kết nối thực (Lease Line) khá tốn kém chi phí thì VPN sử dụng kết nối ảo đƣợc dẫn đƣờng qua Internet từ mạng riêng của trạm chính tới các site. Để đảm bảo tính an toàn và bảo mật thông tin, VPN sử dụng cơ chế mã hóa dữ liệu trên đƣờng truyền, tạo ra một ống bảo mật giữa nơi gửi và nơi nhận (Tunnel), giống nhƣ một kết nối Point to Point trên mạng riêng. 2.4 Hệ thống Domain quản lí mạng LAN Cấu trúc tổ chức cơ bản của mô hình mạng Windows Server 2003 là Domain. Một Domain đại diện cho một đƣờng biên quản trị. Các máy tính, ngƣời dùng, và các đối tƣợng khác trong một Domain chia sẻ một cơ sở dữ liệu bảo mật chung.12 Sử dụng Domain cho phép các nhà quản trị phân chia mạng thành các ranh giới bảo mật khác nhau. Thêm vào đó, các nhà quản trị từ các Domain khác nhau có thể thiết lập các mô hình bảo mật riêng của họ. Bảo mật trong một Domain là riêng biệt để không ảnh hƣởng đến các môt hình bảo mật của các Domain khác. Chủ yếu Domain cung cấp một phƣơng pháp để phân chia mạng một cách logic theo tổ chức. Các tổ chức đủ lớn có hơn một Domain luôn luôn đƣợc phân chia để chịu trách nhiệm duy trì và bảo mật các nguồn riêng của họ. Một Domain Windows Server 2003 cũng đại diện cho một không gian tên tƣơng ứng với một cấu trúc tên. Một Domain khi tạo, nó sẽ cung cấp một số dịch vụ cơ bản cho hệ thống mạng nhƣ: - DNS (Domain Name System): đây là dịch vụ phân giải tên miền đƣợc sử dụng để phân giải các tên Host tuân theo chuẩn đặt tên FQDN thành các địa chỉ IP tƣơng ứng. - DHCP (Dynamic Host Configuration Protocol – Giao thức cấu hình địa chỉ IP động ): đây là dịch vụ quản lý và cấp địa chỉ IP cho các máy trạm. Nhờ dịch vụ này địa chỉ IP, DNS của các máy trong công ty đƣợc cấp phát nhanh chóng và trở nên dễ quản lí hơn. - Windows: cấu hình hệ điều hành và quản lý Server có cài đặt dịch vụ hệ thống. - Active Directory: quản lý và điều hành hoạt động của Domain Controller cung cấp dịch vụ Active Directory. - WindowsInternet Name Service (WINS): cung cấp khả năng phân giải tên máy tính bằng cách phân giải tên NetBIOS sang địa chỉ IP. Ngoài ra Windows Server 2003 còn cung cấp rất nhiều tính năng dạng máy chủ hỗ trợ khác nhƣ: máy chủ in ấn (Print Server), máy chủ File, máy chủ ứng dụng13 (ISS, ASP.NET), máy chủ thƣ điện tử (POP3, MSTP), máy chủ đầu cuối (Terminal), máy chủ VPN, máy chủ WINS. 2.5 Windows Server 2003 Windows Server 2003 còn gọi là Win2k3 là hệ điều hành dành cho máy chủ đƣợc sản xuất bởi Microsoft, đƣợc giới thiệu vào ngày 24 tháng 4 năm 2003. Phiên bản cập nhật là Windows Server 2003 R2 đƣợc phát hành ngày 6 tháng 12 năm 2005. Hệ điều hành tiếp theo phiên bản này là Windows Server 2008, phát hành vào 04 tháng 2 năm 2008. Windows Server 2003 đƣợc thiết kế để hỗ trợ các nền tảng thiết bị phần cứng và vai trò máy chủ khác nhau. 4 phiên bản của Windows Server 2003 là Web, Standard (tiêu chuẩn), Enterprise (doanh nghiệp) và Datacenter (trung tâm dữ liệu). Đối với mỗi phiên bản khác nhau Microsoft đƣa ra những yêu cầu phần cứng tối thiểu và phần cứng Microsoft khuyến nghị nhƣ sau:14 Đặc Tính Web edition Standard Edition Interprise Edition Datacenter Edition Dung lƣợng RAM tối thiểu 128MB 128MB 128MB 512MB Dung lƣợng RAM gợi ý 256MB 256MB 256MB 1GB Dung lƣợng RAM hỗ trợ tối đa 2GB 4GB 32GB cho dòng máy x86, 64GB cho dòng máy Itanium 64GB cho dòng máy x86, 512GB cho dòng máy Itanium Tốc độ tối thiểu của CPU 133Mhz 133Mhz 133Mhz cho dòng máy x86, 733Mhz cho dòng máy Itanium 400Mhz cho dòng máy x86, 733Mhz cho dòng máy Itanium Tốc độ CPU gợi ý 550Mhz 550Mhz 733Mhz 733Mhz Hỗ trợ nhiều CPU 2 4 8 8 đến 32 CPU cho dòng máy x86, 64 CPU cho dòng máy Itanium Dung lƣợng đĩa trống phục vụ quá trình cài đặt 1.5GB 1.5GB 1.5GB cho dòng máy x86, 2GB cho dòng máy Itanium 1.5GB cho dòng máy x86, 2GB cho dòng máy Itanium Số máy kết nối trong dịch vụ Cluster Không hỗ trợ Không hỗ trợ 8 máy 8 máy Bảng 2.1: Yêu cầu hệ thống của từng phiên bản Windows Server 2003 Nguồn: (Giáo trình quản trị mạng - Trung tâm Điện Toán Truyền Số Liệu KV1)15 CHƢƠNG 3 - XÂY DỰNG HẠ TẦNG MẠNG 3.1 Giới thiệu hạ tầng mạng Khái niệm: Cũng giống nhƣ cơ sở hạ tầng cơ bản của một đô thị, khi xây dựng một hệ thống mạng, chúng tôi cũng cần có một cơ sở hạ tầng riêng với bao gồm nhiều thiết bị khác nhau đƣợc lắp ráp với nhau để tạo nên một hệ thống khép kín nhƣng vẫn liên lạc đƣợc với thế giới bên ngoài thông qua Internet. Nói cách khác, đây là lắp đặt vật lý những thiết bị mạng với nhau: bấm cáp, nối cáp,… Vai Trò: Hạ tầng mạng đóng vai trò truyền tải thông tin ứng dụng trong doanh nghiệp, tùy theo quy mô và nhu cầu mà mức độ phức tạp của hạ tầng mạng khác nhau. Trong đề tài này, vì là mô hình nhỏ nên hạ tầng mạng sẽ rất đơn giản phù hợp với môi trƣờng LAB. Chi tiết: Khi nói đến một hạ tầng mạng chúng tôi có thể liên tƣởng một cách tổng thể về hệ thống và những thành phần trong hệ thống mạng mà thông tin, tài nguyên mạng đƣợc tổ chức, lƣu trữ và truyền tải trên đó. Cấu trúc vật lý của một hạ tầng mạng là bao gồm tất cả các thiết bị đƣợc phân bố và lắp đặt một cách hợp lý trên một địa điểm nhất định để đảm bảo thông tin đƣợc truyền đi tới tất cả các máy Client hoặc chia sẻ tài nguyên giữa các máy đƣợc diễn ra một cách an toàn, tin cậy, nhanh chóng đáp ứng đƣợc nhu cầu truy xuất thông tin đa dạng của doanh nghiệp hay mạng nội bộ.16 Hình 3.1: Sơ đồ của một hạ tầng mạng tiêu biểu Nguồn: (http://www.minierp.vn/Solution/Infrastructure.aspx - Truy cập: ngày 27/5/2014) Các thành phần vật lý của hạ tầng mạng thƣờng chia ra thành 3 lớp cơ bản sau (từ trong ra ngoài): - Lớp trung tâm (Core): bao gồm các thiết bị định tuyến (Router), các thiết bị chuyển mạch (Switch) cao cấp, thông tin đƣợc truyền tải ở tốc độ cao, thiết bị chuyển mạch phức tạp, đáp ứng đƣợc độ an toàn và hiệu quả của việc truyền tải thông tin và chia sẻ tài nguyên. - Lớp phân phối (Distribution): Bao gồm các thiết bị chuyển mạch (Switch) giúp thông tin đƣợc chuyển qua các Node trên đƣờng mạng mà ở đây là các máy Client ở các phòng ban, chúng liên kết đến các bộ phân chuyển mạch cấp thấp của phần truy cập. Các chính sách truyền tải thông tin, chia sẻ tài nguyên, truy cập sẽ đƣợc thực thi ở bộ phận này.17 - Lớp truy cập (Access): Bao gồm các thiết bị chuyển mạch đơn giản (Hub, Switch) dùng để kết nối đến ngƣời sử dụng, gồm các thiết bị chuyển mạch có dây (wire) và thiết bị chuyển mạch không dây (Wireless). Tùy theo nhu cầu và điều kiện tài chính của mỗi doanh nghiệp, mô hình mạng mà lựa chọn các thiết bị , thành phần sao cho thích hợp. Không nhất thiết một mô hình mạng phải đầy đủ 3 yếu tố trên nhất là những mô hình mạng của những doanh nghiệp vừa và nhỏ. 3.2 Ảo hóa hạ tầng mạng Bên cạnh việc xây dựng trực tiếp bằng tay hạ tầng mạng, ngày nay các nhà xây dựng hạ tầng mạng còn có một lựa chọn khác là xây dựng hạ tầng mạng của mình bằng phƣơng pháp ảo hóa. Mạng ảo hóa giúp cho các doanh nghiệp có thể tiết kiệm đƣợc một khoảng chi phí rất lớn so với việc xây dựng hạ tầng mạng vật lý. Khái niệm: Ảo hóa hạ tầng mạng là quá trình hợp nhất thiết bị mạng, tài nguyên, phần mềm, phần cứng thành một hệ thống ảo. Sau đó, các tài nguyên này sẽ đƣợc phân chia thành các Channel và gắn với máy chủ hoặc một thiết bị nào đó. Có nhiều phƣơng pháp để ảo hóa một hạ tầng mạng. Các phƣơng pháp này phụ thuộc vào các thiết bị hỗ trợ, tức là các nhà sản xuất ra các thiết bị đó, cũng nhƣ phụ thuộc vào hạ tầng mạng sẵn có và nhà cung cấp dịch vụ mạng (ISP). Một vài mô hình ảo hóa hệ thống mạng: Ảo hóa lớp mạng (Virtualized Overlay Network): trong mô hình này, nhiều hệ thống mạng ảo sẽ cùng tồn tại trên một lớp nền tài nguyên dùng chung. Các tài nguyên đó bao gồm các thiết bị mạng nhƣ Router, Switch, dây cáp, NIC (Network Interface Card). Việc lắp nhiều hệ thống mạng ảo này cho phép sự trao đổi thông suốt giữa các hệ thống mạng với nhau, sử dụng các giao thức và các phƣơng tiện truyền tải khác nhau (Internet).18 Mô hình ảo hóa Cisco: là mô hình ảo hóa đƣợc phân ra làm 3 khu vực với các chức năng chuyên biệt. Mỗi khu vực sẽ liên kết với các khu vực khác để cung cấp các giải pháp đến tay ngƣời dùng một cách nhanh nhất, an toàn, và hiệu quả nhất. - Khu vực quản lý truy cập (Access Controll): Có nhiệm vụ chứng thực ngƣời dùng muốn đăng nhập để sử dụng tài nguyên hệ thống, qua đó có thể ngăn chặn các truy xuất không hợp lệ của ngƣời dùng. Ngoài ra khu vực này còn kiểm tra, xác nhận và chứng thực việc truy xuất của ngƣời dùng vào trong các vùng hoạt động (Vlan, Access List). - Khu vực đƣờng dẫn (Path Isolation): nhiệm vụ của khu vực này là duy trì liên lạc thông qua tầng Network, vận chuyển liên lạc giữa các vùng khác nhau trong hệ thống. Ngoài ra, khu vực này còn có nhiệm vụ liên kết các đƣờng truyền dẫn với các vùng hoạt động ở 2 khu vực cạnh nó là Access Controll và Service Edge. - Khu vực liên kết dịch vụ (Service Edge): tại đây các nhà quản trị sẽ áp dụng chính sách phân quyền, bảo mật ứng dụng và tài nguyên theo từng vùng hoạt động cụ thể, đồng thời qua đó cung cấp quyền truy cập dịch vụ đến cho ngƣời dùng, các dịch vụ có nhiệm vụ chia sẽ hay phân tán, tùy thuộc vào môi trƣờng phát triển ứng dụng và yêu cầu của ngƣời dùng. Các thành phần của mạng ảo - Mạng phần cứng: các thiết bi chuyển mạch nhƣ: Router, Switch… hay các dây dẫn,…. - Thiết bị lƣu trữ mạng. - Mạng lƣới truyền thông: Ethernet, Fibre Channel.19 Ảo hóa mạng bên ngoài Các thành phần chính của ảo hóa mạng bên ngoài là các Vlan và chuyển đổi mạng. Sử dụng công nghệ Vlan và chuyển đổi, các nhà quản trị hệ thống có thể cấu hình hệ thống vật lý thuộc mạng cùng một địa phƣơng vào các mạng khác nhau ảo. Ngƣợc lại, công nghệ Vlan cho phép quản trị hệ thống kết hợp các hệ thống trên các mạng riêng biệt của địa phƣơng thành một Vlan mở rộng các giai đoạn của một mạng công ty lớn. Ví dụ về các công nghệ ảo hóa mạng bên ngoài Cisco Systems Service-Oriented Network Architecture cho phép ảo hóa mạng bên ngoài thông qua việc sử dụng phần cứng và phần mềm chuyển đổi mạng VLAN. Hewlett Packard đã thực hiện ảo hóa mạng bên ngoài thông qua X Blade của công nghệ ảo hóa. Đứng đầu trong số này là Virtual Connect, cho phép quản trị hệ thống để kết hợp các mạng cục bộ và mạng lƣới lƣu trữ thành một thực thể đơn lẻ mạng có dây và quản lý. Ảo hóa mạng nội bộ Bên cạnh ảo hóa mạng ngoài, các nhà cung cấp khác còn cung cấp công nghệ ảo hóa mạng nội bộ. Đây là một hệ thống đơn lẻ đƣợc cấu hình với các VMC (Virtual Machine Container), kết hợp với chƣơng trình kiểm soát Hypervisor hoặc giả giao diện nhƣ các VNIC, để tạo ra một “Network In Box”. Giải pháp này giúp cải thiện hiệu quả tổng thể của một hệ thống duy nhất bằng cách cách ly ứng dụng để đựng riêng biệt và / hoặc giả các giao diện.20 3.3 VPN (Virtual Private Network) Khi thực hiện đề tài này, mục đích chủ yếu là xây dựng, liên kết 2 mạng nội bộ từ 2 site khác nhau. Thông thƣờng, có 2 cách chủ yếu để liên kết 2 mạng nội bộ từ 2 site khác nhau lại. Đó là: - Lease line: thuê một đƣờng dây riêng để thực hiện việc kết nối. Cách này thƣờng đƣờng truyền sẽ rất nhanh và khá an toàn trong bảo mật nhƣng rất tốn kém và khó bảo trì. - VPN: dùng mạng kết nối riêng ảo để thực hiện kết nối, tuy tốc độ chậm hơn nhƣng đỡ tốn kém hơn và thƣờng dễ bảo trì hơn. Trong đề tài này vì là thực hiện trong mô hình LAB nên chúng tôi sẽ thực hiện demo bằng VPN. Khái niệm VPN: Xét trên tổng thể, VPN thuộc về công việc của Network Administrator. Vì vậy, đƣơng nhiên lắp đặt, cấu hình VPN thuộc về mảng lắp đặt hạ tầng mạng. VPN (Virtual Private Network) là mạng riêng ảo dùng để kết nối các máy tính của các mạng nội bộ lại với nhau thông qua Internet công cộng (thƣờng là các nhánh mạng con của các công ty con từ những địa điểm địa lý khác nhau tới mạng tổng ở trung tâm). Thay vì sử dụng kết nối thật bằng đƣờng dây thuê (Lease line) với một kết cấu phức tạp, VPN sẽ tạo nên các liên kết ảo đƣợc truyền qua Internet giữa các mạng.21 Mục đích - Cung cấp truy nhập từ xa đến tài nguyên của hệ thống máy chủ mọi lúc mọi nơi. - Kết nối các nhánh mạng từ các site lại với nhau. - Kiểm soát việc truy nhập của các Client “vô danh” tới tài nguyên của hệ thống. Chức năng (VPN sẽ đảm bảo các chức năng sau khi truyền gói tin từ node xuất phát tới node nhận): - Độ tin cậy: tất cả gói tin đƣợc gửi đi, khi qua tunnel sẽ đƣợc mã hóa toàn bộ nên ngƣời sử dụng sẽ không phải lo lắng về gói tin bị đánh cắp thông tin. - Tính toàn vẹn: node nhận sẽ có thể kiểm tra rằng dữ liệu đã đƣợc truyền qua mạng mà không có sự can thiệp hay thay đổi gì bởi khâu trung gian. - Xác thực nguồn tin: Node nhận có thể xác nhận lại gói tin đƣơc truyền tới, đảm bảo và công nhận gói tin.22 Các loại hình VPN Có 3 loại VPN chính là: Remote Access, Site to Site và Firewall-Based. Dù là loại nào đi nữa thì đặc điểm chung của VPN vẫn là 2 nút đầu cuối (Router, Firewall, Client Workstation, Servers) - Remote Access: giống nhƣ tên gọi, Remote Access cho phép các thiết bị truyền thông, mobile, remote đƣợc phép truy cập vào tài nguyên mạng của tổ chức. VPN này thƣờng đƣợc gọi là VPN truy cập từ xa. Hình 3.2: Ảnh minh họa Remote Access VPN Nguồn: (computer.howstuffworks.com) - Site To Site: Với một mô hình mạng có nhiều mạng con đƣợc đặt ở nhiều vị trí địa lý khác nhau thì VPN Site To Site sẽ tạo ra một kết nối mạng thông qua sử dụng một thiết bị chuyên dụng và bảo mật. Có 2 dạng VPN Site To Site là:  Intranet VPN: Intranet VPN là một VPN nội bộ đƣợc sử dụng để bảo mật các kết nối giữa các node trong một mô hình mạng với nhau. Điều này cho phép các Node có thể truy cập tới các nguồn tài nguyên cho phép trong toàn bộ hệ thống mạng.  Extranet VPN: Khác với Intranet chỉ giới hạn trong nội bộ mạng thì Extranet sẽ cho phép mô hình mạng này liên lạc với mô hình mạng khác.23 Hình 3.3: Site To Site VPN Nguồn: (www.network-insider.net) - Firewall-Based: là một hình thức khác của VPN qua từng site, đƣợc thiết lập để đảm bảo an toàn thông tin. Chúng tôi có thể thiết lập để hạn chế số cổng mở, loại gói tin và giao thức đƣợc chuyển qua. Hình 3.4: Firewall-Based nguồn: (www.isaServer.org)24 Bảo Mật Trong VPN - Hiện nay, bảo mật đang là vấn đề hết sức trong quan trọng khi chúng tôi cài đặt và vận hành bất cứ cái gì liên quan đến môi trƣờng mạng. VPN cũng vậy khi truyền tin, làm sao để đảm bảo các gói tin đƣợc an toàn, không bị thất lạc và cũng không bị đánh cắp thông tin bên trong. - VPN cung cấp những công cụ bảo mật nhƣ: Firewall, Xác thực (Authentication), mã hóa (Encryption) và Tunneling.  Firewall: Firewall sẽ đƣơc đặt bên trong mạng Intranet của mô hình mạng, vai trò là ngăn chặn sự truy cập trái phép, nhằm bảo vệ các nguồn tin nội bộ và hạn chế sự thâm nhập không mong muốn vào hệ thống. Firewall cung cấp 2 chức năng cho nhà quản trị: Thứ nhất là kiểm soát những gì mà Anonymos Client có thể thấy đƣợc và những dịch vụ nào đƣợc phép sử dụng trong mạng nội bộ và Thứ hai là kiểm soát những nơi, những dịch vụ nào của Internet mà một User có thể đƣợc truy cập và sử dụng.  Xác thực (Authentication): phƣơng pháo này đảm bảo các bên tham gia truyền tin, trao đổi dữ liêu đúng ngƣời nhận, đúng Host. Tƣơng tự nhƣ Windows nhƣng VPN yêu cầu tính xác thực nghiêm ngặt và chặt chẽ hơn để xác nhận tính hợp lệ. Cơ chế khóa của VPN đƣợc dựa trên mã băm.  Mã hóa (Encryption): quá trình mã hóa dữ liệu trên gói tin để đảm bảo rằng gói tin đƣợc chuyển đi luôn luôn an toàn và không bị lấy cắp hay sửa đổi bởi bất kì ai. Quá trình mã hóa khi một gói tin đƣợc truyền đi sẽ theo một quy tắc nhất định mà bên nhận hợp lệ sẽ có thể giải mã đƣợc. Cơ chế mã hóa sẽ bao gồm 2 loại: Mã hóa sử dụng khóa riêng (Symmectric Key Encryption) và Mã hóa sử dụng khóa công khai (Public Key Encryption).25  Tunneling: Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp Header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những "đƣờng ống" riêng (Tunnel). Khi gói tin đƣợc truyền đến đích, chúng đƣợc tách lớp Header và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức (Tunnel Protocol). Giao thức của gói tin bọc ngoài đƣợc cả mạng và hai điểm đầu cuối nhận biết. Hai điểm đầu cuối này đƣợc gọi là giao diện Tunnel (Tunnel Interface), nơi gói tin đi vào và đi ra trong mạng. - Trên đây là 4 phƣơng pháp bảo mât phổ biến ngoài ra VPN còn có các phƣơng pháp bảo mật khác: Packet Filtering Router, Bastion Host …..(Trong bài này chúng tôi Demo trên mô hình VPN Site to Site và cơ chế bảo mật Firewall). Ví dụ về các công nghệ ảo hóa mạng nội bộ Microsoft Virtual Server sử dụng các máy ảo nhƣ những cung cấp bởi Xen (một Hypervisor sử dụng một thiết kế Microkernel, cung cấp dịch vụ cho phép nhiều hệ điều hành máy tính để thực hiện trên phần cứng máy tính cùng một lúc) để tạo ra một mạng lƣới trong hộp kịch bản cho các hệ thống x86. VMC có thể chạy hệ điều hành khác nhau, chẳng hạn nhƣ Windowshoặc Linux, và đƣợc liên kết với hoặc độc lập của NIC của hệ thống.26 Kết hợp công nghệ ảo hóa mạng nội bộ và bên ngoài Một số nhà cung cấp cung cấp cả phần mềm ảo hóa mạng nội bộ và bên ngoài trong dòng sản phẩm của họ. Ví dụ, VMware cung cấp sản phẩm cung cấp cả công nghệ ảo hóa mạng nội bộ và bên ngoài. Cách tiếp cận cơ bản của VMware là mạng trong hộp trên một hệ thống duy nhất, bằng cách sử dụng các máy ảo đƣợc quản lý bởi phần mềm ảo. VMware sau đó cung cấp phần mềm cơ sở hạ tầng VMware để kết nối và kết hợp các mạng trong các hộp nhiều vào một kịch bản ảo hóa bên ngoài.27 CHƢƠNG 4 – THIẾT LẬP DỊCH VỤ 4.1 Dịch vụ DHCP 4.1.1 Giới thiệu về DHCP DHCP là viết tắt của Dynamic Host Configuration Protocol, là giao thức cấu hình Host động đƣợc thiết kế làm giảm thời gian chỉnh cấu hình cho mạng TCP/IP bằng cách tự động gán các địa chỉ IP cho khách hàng khi họ vào mạng. Dich vụ DHCP là một thuận lợi rất lớn đối với ngƣời điều hành mạng. Nó làm yên tâm về các vấn đề cố hữu phát sinh khi phải khai báo cấu hình thủ công. DHCP Server có chức năng quản lý sự cấp phát địa chỉ IP động và các dữ liệu cấu hình TCP/IP. Ngoài ra còn có nhiệm vụ trả lời khi DHCP Client có yêu cầu về thời gian cấp phát và gia hạn IP. DHCP Client có chức năng để đăng ký, cập nhật thông tin về địa chỉ IP và các bản ghi DNS cho chính bản thân nó. DHCP Client sẽ gửi yêu cầu đến DHCP Server khi nó cần đến 1 địa chỉ IP và các tham số TCP/IP cần thiết để làm việc trong hệ thống mạng của tổ chức và trên Internet. 4.1.2 Cách thức hoạt động của DHCP Cơ chế hoạt động của DHCP là khi một DHCP Client khởi động sẽ gửi cho Server 1 thông điệp, DHCP sẽ tìm 1 IP còn rỗi trong dãy IP để cấp cho Client, sau đó đƣa ra 1 thông điệp thông báo trên toàn mạng về địa chỉ IP cua Client đó. Cụ thể nhƣ sau: - Đầu tiên máy Client sẽ gửi đi 1 gói tin quảng bá tên là DHCP Discover, nhằm yêu cầu cho việc lấy các thông tin cấu hình IP Address, Subnet Mask, Defaut Gateway, Preferred DNS ..... Lúc này, vì Client chƣa có địa chỉ Ip cho nên nó sẽ dùng một địa chỉ Source (nguồn) là 0.0.0.0, đồng thời cũng không biết một địa chỉ Broadcast là 255.255.255.255 và sau đó gói tin DHCP Discover này sẽ quảng bá đi toàn mạng. Gói tin này chứa một địa chỉ MAC (là địa chỉ mà mỗi một card mạng28 đƣợc nhà sản xuất cấp cho là mã để phân biệt các card mạng với nhau). Ngoài ra nó còn chứa tên của máy Client để Server có thể biết đƣợc Client nào gởi yêu cầu đến. - Sau khi nhận đƣợc gói tin DHCP Discover của Client, nếu có một DHCP Server hợp lệ (nghĩa là nó có khả năng cung cấp địa chỉ IP cho Client) thì nó sẽ trả lời lại bằng một gói tin DHCP Offer. Gói tin này chứa một địa chỉ Ip đề nghị cho thuê trong một khoảng thời gian nhất định (mặc định là 8 ngày, sau một khoảng thời gian 50% tức 4 ngày, nó sẽ tự thu hồi IP Address đã cấp nếu nhƣ Client không sử dụng) kèm theo là địa chỉ MAC của Client đƣợc cấp, một Subnet Mask và địa chỉ IP của DHCP Server đã cấp phát. trong thời gian này Server sẽ không cấp phát địa chỉ IP vừa đề nghị cho một Client nào khác. - Máy Client sau khi nhận đƣợc những lời đề nghị là gói tin DHCP Offer trên mạng (trƣờng hợp trong mạng có nhiều hơn 1 DHCP Server) sẽ tiến hành chọn lọc một gói tin phù hợp và sau đó phản hồi lại bằng một gói tin là DHCP Request (bao gồm thông tin về DHCP Server cấp phát địa chỉ cho nó) để chấp nhận lời đề nghị đó. Điều này giúp cho việc các gói tin còn lại không đƣợc chấp nhận sẽ đƣợc các Server rút lại và dùng để cấp phát cho Client khác. - Khi DHCP Server nhận đƣợc DHCP Request, nó sẽ trả lời lại DHCP Client bằng gói tin là DHCP Acknowledgement nhằm mục đích thông báo là đã chấp nhận cho DHCP Client đó thuê địa chỉ IP. Gói tin này bao gồm địa chỉ IP và các thông tin cấu hình khác (DNS Server, Wins Server....) cuối cùng Client nhận đƣợc gói DHCP Acknowledgement thì cũng có nghĩa là kết thúc quá trình thuê và cấp phát địa chỉ IP và địa chỉ IP này chính thức đƣợc Client sử dụng. Quá trình gia hạn cấp phát IP: Khi hết hạn sử dụng IP, máy Client gửi lại cho Server gói tin DHCP Request trong một nửa thời gian sử dụng IP của máy Client. Nếu đƣợc Server gia hạn (Server sẽ gửi lại cho Client gói tin DHCP ACK) thì thời gian sử dụng IP sẽ đƣợc tính lại từ đầu. Nếu không nhận đƣợc phản hồi từ Server thì Client tiếp tục liên lạc với Server. Đến 87,5% thời gian cho phép thì Client sẽ gửi 1 gói tin DHCP Discover yêu cầu xin cấp IP lên trên toàn hệ thống29 mạng, sau khi hết thời gian thì Server sẽ thu hồi lại IP đã cấp cho Client đã không đƣợc gia hạn. 4.1.3 DHCP Replay Agent DHCP Replay Agent là một máy tính hoặc một Router đƣợc cấu hình để lắng nghe và chuyển tiếp các gói tin giữa DHCP Client và DHCP Server từ Subnet này sang Subnet khác. DHCP Replay Agent là bộ trung chuyển DHCP Discover (hoặc DHCP Request) đến DHCP Server. DHCP Replay Agent cho phép forward các truy vấn từ DHCP Client đến DHCP Server và trả lại IP cho Clients (làm nhiệm vụ nhƣ Proxy). Trong trƣờng hợp DHCP Client và DHCP Server không nằm cùng subnet và đƣợc kết nối qua bộ định tuyến (Router) thì cần phải có giải pháp cho phép truy vấn từ DHCP Client vƣợt qua Router để đến DHCP Server. DHCP Relay Agent là một thực thể trung gian cho phép chuyển tiếp (relay) các DHCP Discover (hoặc DHCP request), mà thƣờng bị chặn ngay ở Router, từ DHCP Client đến DHCP Server. Dịch vụ Routing và Remote Access của Window Server 2003 hỗ trợ tính năng cấu hình một DHCP Relay Agent nên chúng tôi không cần cài thêm chƣơng trình khác mà chỉ cần kích hoạt tính năng này trong routing & remote access. Cấu hình DHCP Reservations bằng cách lấy địa chỉ Mac của vài Client, tạo Reservations mới. Reservations phục vụ cho mục đích lựa chọn IP cố định cho một Client nào đó. 4.1.4 Ưu điểm và nhược điểm của DHCP - Ƣu điểm  Quản lý TCP/IP tập trung Thay vì phải quản lý địa chỉ IP và các tham số TCP/IP khác vào một cuốn sổ nào đó (đây là việc mà quản trị mạng phải làm khi cấu hình TCP/IP bằng tay) thì DHCP Server sẽ quản lý tập trung trên giao diện30 của nó. Giúp các nhà quản trị vừa dễ quản lý, cấu hình, khắc phục khi có lỗi xảy ra trên các máy trạm.  Giảm gánh nặng cho các nhà quản trị hệ thống Thứ nhất, trƣớc đây các nhà quản trị mạng thƣờng phải đánh cấu hình IP bằng tay (gọi là IP tĩnh) nhƣng nay nhờ có DHCP Server nó sẽ cấp IP một cách tự động cho các máy trạm. Nhất là trong môi trƣờng mạng lớn thì sự cần thiết và hữu ích của dịch vụ mạng này mới thấy rõ ràng nhất. Thứ hai, trƣớc đây với kiểu cấu hình bằng tay thì ngƣời dùng họ có thể thay đổi IP. Với trƣờng hợp có 1 Client thay đổi lung tung DNS Server sau đó quên không nhớ IP của DNS Server là gì để đặt lại cho đúng lại với quản trị mạng, có Client đặt IP làm trùng với IP của Client khác, Client khác đặt IP trùng với Default Gateway,… làm cho quản trị mạng khốn khổ vì phải chạy. Nhƣng kiểu này không có ở IP động. Client nào thích thay đổi cũng không đƣợc. Chỉ có ngƣời quản trị DHCP Server họ mới có quyền thay đổi.  Giúp hệ thống mạng luôn đƣợc duy trì ổn định Địa chỉ IP cấp phát động cho các máy trạm lấy từ dải IP cấu hình sẵn trên DHCP Server. Các tham số (Default Gateway, DNS Server …) cũng cấp cho tất cả các máy trạm là chính xác. Sự trùng lặp IP không bao giờ xảy ra. Các máy trạm luôn luôn có một cấu hình TCP/IP chuẩn. Làm cho hệ thống hoạt động liên tục, vừa giảm gánh nặng cho ngƣời quản trị vừa tăng hiệu quả làm việc cho User nói riêng và doanh nghiệp nói chung.  Linh hoạt và khả năng mở rộng Ngƣời quản trị có thể thay đổi cấu hình IP một cách dễ dàng khi cơ sở hạ tầng mạng thay đổi. Do đó làm tăng sự linh hoạt cho ngƣời quản trị hệ thống mạng. Ngoài ra DHCP phù hợp từ mạng nhỏ đến mạng lớn. Nó có thể phục vụ 10 máy khách cho đến hàng ngàn máy khách.31 - Nhƣợc điểm: DHCP Server không có quá trình xác thực cấp phát hay kiểm soát truy cập nên DHCP Server không thể biết đƣợc rằng nó đang liên lạc với Client có hợp pháp hay không và ngƣợc lại, Client không thể biết đƣợc Server mà nó đang liên lạc có hợp pháp hay không. Điều này gây ra những cuộc tấn công từ chối dịch vụ DHCP làm cho những Client hợp pháp sau khi đã đăng nhập đƣợc sẽ còn IP để đƣợc cấp phát hoặc tấn công bằng nhiều cách khác nếu Server là một máy chủ bất hợp pháp, khi đó Client hợp pháp sau khi đăng nhập vào sẽ bị tấn công theo kiểu Man In A Middle hay Redirect. Nhƣ vậy, nhƣợc điểm lớn nhất của DHCP chính là việc bảo mật về An Toàn Thông Tin cho các máy Client. 4.2 Dịch vụ DNS (Domain Name System) 4.2.1 Giới thiệu về DNS Mỗi máy tính, thiết bị mạng tham gia vào mạng Internet đều giao tiếp với nhau bằng địa chỉ IP (Internet Protocol). Để thuận tiện cho việc sử dụng và dễ nhớ chúng tôi dùng tên (Domain Name) để xác định thiết bị đó. Hệ thống tên miền (Domain Name System) đƣợc sử dụng để ánh xạ tên miền thành địa chỉ IP. Vì vậy, khi muốn liên hệ tới các máy, chúng chỉ cần sử dụng chuỗi ký tự dễ nhớ (Domain Name) nhƣ: www.microsoft.com, www.ibm.com..., thay vì sử dụng địa chỉ IP là một dãy số dài khó nhớ. Ban đầu, khi DNS chƣa ra đời, ngƣời ta sử dụng một file tên Host.txt, file này sẽ lƣu thông tin về tên Host và địa chỉ của Host của tất cả các máy trong mạng, file này đƣợc lƣu ở tất cả các máy để chúng có thể truy xuất đến máy khác trong mạng. Khi đó, nếu có bất kỳ sự thay đổi về tên Host, địa chỉ IP của Host thì ta phải cập nhật lại toàn bộ các file Host.txt trên tất cả các máy. Do vậy đến năm 1984 Paul Mockpetris thuộc viện USC’s Information Sciences Institute phát triển một hệ thống quản lý tên miền mới lấy tên là Hệ thống tên miền – Domain Name.32 Hệ thống tên miền này cũng sữ dụng một file tên Host.txt, lƣu thông tin của tất cả các máy trong mạng, nhƣng chỉ đƣợc đặt trên máy làm máy chủ tên miền (DNS). Khi đó, các Client trong mạng muốn truy xuất đến các Client khác, thì nó chỉ việc hỏi DNS. Nói ngắn gọn DNS là phân giải địa chỉ tên máy thành địa chỉ IP và ngƣợc lại. 4.2.2 Cấu trúc của hệ thống DNS và DNS Server Cấu trúc của hệ thống DNS Cấu trúc hệ thống tên miền đƣợc phân cấp theo hình cây. Với .Root Server là đỉnh của cây và sau đó các Domain phân nhánh dần xuống và phân quyền quản lý. Khi một Client truy vấn một tên miền nó sẽ lần lƣợt đi từ Root phân cấp lần lƣợt xuống dƣới để đến DNS quản lý Domain cần truy vấn. hình 4.1: Sơ đồ cây DNS Nguồn: (Giáo trình quản trị mạng - Trung tâm Điện toán Truyền số liệu KV1) Hệ thống tên trong DNS đƣợc sắp xếp theo mô hình phân cấp và cấu trúc cây logic và chúng đƣợc gọi là DNS Namespace.33 Hiện nay hệ thống tên miền đƣợc phân thành nhiêu cấp : - Gốc (Domain Root): Nó là đỉnh của nhánh cây của tên miền. Nó có thể biểu diễn đơn giản chỉ là dấu chấm “.”. - Tên miền cấp một (Top-level-Domain): gồm vài kí tự xác định một nƣớc, khu vƣc hoặc tổ chức. Nó đƣơc thể hiện là “.com” , “.edu”,… Tầng này mỗi tên miền bao gồm 2 đến 5 kí tự, riêng tên miền 2 kí tự dành riêng cho mỗi quốc gia ví dụ nhƣ Việt Nam là “.vn”, Mĩ là “.us”. - Tên miền cấp hai (Second-level-Domain): Nó rất đa dạng rất đa dạng có thể là tên một công ty, một tổ chức hay một cá nhân, ví dụ nhƣ “microsoft.com” hay “.com.vn”. - Tên miền cấp nhỏ hơn (SubDomain) : Chia thêm ra của tên miền cấp hai trở xuống thƣờng đƣợc sử dụng nhƣ chi nhánh, phòng ban của một cơ quan hay chủ đề nào đó. Công thức tổng quát của tên miền: HostName + Domain Name + Root Trong đó Domain Name = SubDomain.Second-level-Domain.Top-level_Domain.Root. Ví dụ: chúng tôi có tên miền: WebServer.training.microsoft.com. Trong đó: WebServer là tên Host, training là subDomain, microsoft là second-level-Domain, com là top-level-Domain, dấu chấm là Root. Zone: Hệ thống DNS cho phép phân chia tên miền để quản lý và nó chia hệ thống tên miền ra thành Zone và trong Zone chứa thông tin Domain cấp thấp hơn và có khả năng chia thành các Zone cấp thấp hơn và phân quyền cho DNS Server khác quản lý. Ví dụ nhƣ Zone “.com” thì DNS Server quản lý Zone “.com” chƣa thông tin các bản ghi có đuôi là “.com” và có khả năng chuyển quyền quản lý (Delegate) các Zone cấp thấp hơn cho các DNS khác quản lý nhƣ “microsoft.com” là vùng Zone do tập đoàn microsoft quản lý.34 Root Server - Là Server quản lý toàn bộ cấu trúc của hệ thống DNS. - Root Server không chứa dữ liệu thông tin vềcấu trúc hệ thống DNS mà nó chỉ chuyển quyền quản lý xuống các cấp thấp hơn và do đó Root Server có khả năng xác định đƣờng đến của một Domain tại bất cứ đâu trên mạng. - Hiện nay trên thế giới có khoảng 13 Root Server quản lý toàn bộ hệ thống Internet DNS Server - DNS Server là một cơ sở dữ liệu chứa các thông tin về vị trí của các DNS Domain và phân giải các truy vấn xuất phát từ các Client. - DNS Server có thể cung cấp các thông tin do Client yêu cầu, và chuyển đến một DNS Server khác để nhờ phân giải hộ trong trƣờng hợp nó không thể trả lời đƣợc các truy vấn về những tên miền không thuộc quyền quản lý và cũng luôn sẵn sàng trả lời các máy chủ khác về các tên miền mà nó quản lý. DNS Server lƣu thông tin của Zone, truy vấn và trả kết quả cho DNS Client. - Máy chủ quản lý DNS cấp cao nhất là Root Server do tổ chức ICANN quản lý. Phân loại DNS Server Primary Server : - Đƣợc tạo khi thêm một Primary Zone mới thông qua New Zone Wizard. - Thông tin về tên miền do nó quản lý đƣợc lƣu trữ tại đây và sau đó có thể đƣợc chuyển sang cho các Secondary Server. - Các tên miền do Primary Server quản lý thì đƣợc tạo và sửa đổi tại Primary Server và đƣợc cập nhật đến các Secondary Server.35 Secondary Server : - DNS đƣợc khuyến nghị nên sử dụng ít nhất là hai DNS Server để lƣu cho mỗi một Zone. Primary DNS Server quản lý các Zone và Secondary Server sử dụng để lƣu trữ dự phòng cho Primary Server. Secondary DNS Server đƣợc khuyến nghị dùng nhƣng không nhất thiết phải có. - Secondary Server đƣợc phép quản lý Domain nhƣng dữ liệu về tên miền (Domain), nhƣng Secondary Server không tạo ra các bản ghi về tên miền mà nó lấy về từ Primary Server. - Khi lƣợng truy vấn Zone tăng cao tại Primary Server thì nó sẽ chuyển bớt tải sang cho Secondary Server. Hoặc khi Primary Server gặp sự cố không hoạt động đƣợc thì Secondary Server sẽ hoạt động thay thế cho đến khi Primary Server hoạt động trở lại. - Primary Server thƣờng xuyên thay đổi hoặc thêm vào các Zone mới. Nên DNS Server sử dụng cơ chế cho phép Secondary lấy thông tin từ Primary Server và lƣu trữ nó. Có hai giải pháp lấy thông tin về các Zone mới là lấy toàn bộ (full) hoặc chỉ lấy phần thay đổi (Incremental). Caching-only Server - Tất cả các DNS Server đều có khả năng lƣu trữ dữ liệu trên bộ nhớ Cache của máy để trả lời truy vấn một cách nhanh chóng. Nhƣng hệ thống DNS còn có một loại Caching-Only Server. - Loại này chỉ sử dụng cho việc truy vấn, lƣu giữ câu trả lời dựa trên thông tin có trên Cache của máy và cho kết quả truy vấn. Chúng không hề quản lý một Domain nào và thông tin mà nó chỉ giới hạn những gì đƣợc lƣu trên Cache của Server. - Lúc ban đầu khi Server bắt đầu chạy thì nó không lƣu thông tin nào trong Cache. Thông tin sẽ đƣợc cập nhật theo thời gian khi các Client36 Server truy vấn dịch vụ DNS. Nếu sử dụng kết nối mạng WAN tốc độ thấp thì việc sử dụng caching-only DNS Server là giải pháp hữu hiệu cho phép giảm lƣu lƣợng thông tin truy vấn trên đƣờng truyền. - Caching-only có khả năng trả lời các câu truy vấn đến Client. Nhƣng không chứa Zone nào và cũng không có quyền quản lý bất kì Domain nào. Nó sử dụng bộ Cache của mình để lƣu các truy vấn của DNS của Client. Thông tin sẽ đƣợc lƣu trong Cache để trả lời các truy vấn đến Client. 4.2.3 Cách hoạt động của DNS Để biết đƣợc DNS hoạt động nhƣ thế nào tôi xét 2 ví dụ sau đây. Trƣờng hợp Root Server kết nối trực tiếp với Server tên miền cần truy vấn Hình 4.2: Sơ đồ Root Server kết nối trực tiếp với Server tên miền cần truy vấn Nguồn: (Giáo trình quản trị mạng - Trung tâm Điện toán Truyền số liệu KV1)37 Trong trƣờng hợp Root Server biết đƣợc DNS Server quản lý tên miền cần truy vấn thì các bƣớc truy vấn nhƣ sau: Bƣớc 1: PC A truy vấn DNS Server tên miền vdc.com.vn (là Local Name Server) tên miền www.abc.com. Bƣớc 2: DNS Server tên miền vdc.com.vn không quản lý tên miền www.abc.com. nên nó sẽ chuyển truy vấn lên Root Server. Bƣớc 3: Root Server xác định đƣợc rằng DNS Server quản lý tên miền www.abc.com là DNS.abc.com và nó chuyển truy vấn đến DNS Server DNS.abc.com để trả lời. Bƣớc 4: DNS Server: DNS.abc.com sẽ xác định bản ghi www.abc.com và trả lời lại Root Server Bƣớc 5: Root Server sẽ chuyển câu trả lời lại cho Server vdc.com.vn Bƣớc 6: DNS Server vdc.com.vn sẽ chuyển câu trả lời về cho PC A và từ đó PC A kết nối tới PC B (quản lý www.abc.com) và bây giờ DNS Server vdc.com.vn đã có thông tin về www.abc.com cho những lần truy vấn sau của các Client.38 Trƣờng hợp Root Server không kết nối trực tiếp với Server tên miền cần truy vấn Hình 4.3: Sơ đồ Root Server không kết nối trực tiếp với Server tên miền cần truy vấn Nguồn: (Giáo trình quản trị mạng - Trung tâm Điện toán Truyền số liệu KV1) Trong trƣờng hợp không kết nối trực tiếp thì Root Server sẽ hỏi Server trung gian (phân lớp theo hình cây) để đến đƣợc Server tên miền quản lý tên miền cần truy vấn. Bƣớc 1: PC A truy vấn DNS Server tên miền vdc.com.vn (là Local Name Server) tên miền www.abc.com.sg. Bƣớc 2: DNS Server tên miền vdc.com.vn không quản lý tên miền www.abc.com.sg nên nó sẽ chuyển truy vấn lên Root Server. Bƣớc 3: Root Server sẽ không xác định đƣợc DNS Server quản lý trực tiếp tên miền www.abc.com.sg nên nó sẽ căn cứ vào hệ thống tên miền để chuyển đến DNS39 Server quản lý cấp cao hơn của tên miền www.abc.com.sg đó là com.sg và nó xác định đƣợc rằng DNS Server DNS.com.sg quản lý tên miền com.sg. Bƣớc 4: DNS.com.sg sau đó sẽ xác định đƣợc rằng DNS Server DNS.abc.com.sg có quyền quản lý tên miềnwww.abc.com.sg. Bƣớc 5: DNS.abc.com.sg sẽ lấy bản ghi xác định cho tên miền www.abc.com.sg để trả lời DNS Server DNS.com.sg. Bƣớc 6: DNS.com.sg sẽ lại chuyển câu trả lời lên Root Server. Bƣớc 7: Root Server sẽ chuyển câu trả lời trở lại DNS Server vdc.com.vn. Bƣớc 8: Và DNS Server vdc.com.vn sẽtrả lời về PC A câu trả lời và PC A đã kết nối đƣợc đến Host quản lý tên miền www.abc.com.sg. Và bây giờ DNS Server vdc.com.vn đã có thông tin về www.abc.com.sg cho những lần truy vấn sau của các Client. Quá trình làm việc của DNS có thể chia làm 2 mảng: Forward Lookup Query: một Forward Lookup Query là một yêu cầu chuyển đổi từ một tên sang địa chỉ IP. Reverse Lookup Query: một Reverse Lookup Query là một yêu cầu chuyển đổi từ một IP sang tên.40 4.3 Web Server 4.3.1 Giới thiệu Web Server Web Server (máy phục vụ Web): máy tính mà trên đó cài đặt phần mềm phục vụ Web, đôi khi ngƣời ta cũng gọi chính phần mềm đó là Web Server. Tất cả các Web Server đều hiểu và chạy đƣợc các file *.htm và *.html, tuy nhiên mỗi Web Server lại phục vụ một số kiểu file chuyên biệt chẳng hạn nhƣ IIS của Microsoft dành cho *.asp, *.aspx...; Apache dành cho *.php...; Sun Java System Web Server của SUN dành cho *.jsp... Máy Web Server là máy chủ có dung lƣợng lớn, tốc độ cao, đƣợc dùng để lƣu trữ thông tin nhƣ một ngân hàng dữ liệu, chứa những Website đã đƣợc thiết kế cùng với những thông tin liên quan khác (các mã Script, các chƣơng trình, và các file Multimedia). Web Server có khả năng gửi đến máy khách những trang Web thông qua môi trƣờng Internet (hoặc Intranet) qua giao thức HTTP - giao thức đƣợc thiết kế để gửi các file đến trình duyệt Web (Web Browser), và các giao thức khác. Tất cả các Web Server đều có một địa chỉ IP (IP Address) hoặc cũng có thể có một Domain Name. Giả sử khi đánh vào thanh Address trên trình duyệt một dòng http://www.abc.com sau đó gõ phím Enter nó sẽ gửi một yêu cầu đến một Server có Domain Name là www.abc.com. Server này sẽ tìm trang Web có tên là index.htm rồi gửi nó đến trình duyệt. Bất kỳ một máy tính nào cũng có thể trở thành một Web Server bởi việc cài đặt lên nó một chƣơng trình phần mềm Server Software và sau đó kết nối vào Internet. Khi máy tính kết nối đến một Web Server và gửi đến yêu cầu truy cập các thông tin từ một trang Web nào đó, Web Server Software sẽ nhận yêu cầu và gửi lại những thông tin mong muốn.41 Giống nhƣ những phần mềm khác đã từng cài đặt trên máy tính, Web Server Software cũng chỉ là một ứng dụng phần mềm. Nó đƣợc cài đặt, và chạy trên máy tính dùng làm Web Server, nhờ có chƣơng trình này mà ngƣời sử dụng có thể truy cập đến các thông tin của trang Web từ một máy tính khác ở trên mạng (Internet, Intranet). Web Server Software còn có thể đƣợc tích hợp với CSDL (Database), hay điều khiển việc kết nối vào CSDL để có thể truy cập và kết xuất thông tin từ CSDL lên các trang Web và truyền tải chúng đến ngƣời dùng. Server phải hoạt động liên tục 24/24 giờ, 7 ngày một tuần và 365 ngày một năm, để phục vụ cho việc cung cấp thông tin trực tuyến. Vị trí đặt Server đóng vai trò quan trọng trong chất lƣợng và tốc độ lƣu chuyển thông tin từ Server và máy tính truy cập. 4.3.2 Hoạt động của máy chủ Web Để hiểu rõ hơn về hoạt động của máy chủ Web chúng tôi xét ví dụ sau đây: Client thực hiện một kết nối tới máy chủ Web yêu cầu một trang Web tên là http://maychuvietnam.com.vn. Trình duyệt Web tách địa chỉ Website làm 3 phần: Tên giao thức “http”, Tên miền của máy chủ Web http://maychuvietnam.com.vn và Tên tệp HTML “Web-Server.htm” Trình duyệt liên hệ với máy chủ tên miền (DNS Server) để chuyển đổi tên miền “http://maychuvietnam.com.vn” ra địa chỉ IP tƣơng ứng. Sau đó, trình duyệt sẽ gửi tiếp một kết nối tới máy chủ của Website có địa chỉ IP này qua cổng 80. Dựa trên giao thức HTTP, trình duyệt gửi yêu cầu GET đến máy chủ, yêu cầu tệp HTML “Web-Server.htm”. (Chú ý: một cookies cũng sẽ đƣợc gửi kèm theo từ trình duyệt Web đến máy chủ).42 Tiếp đến, máy chủ sẽ gửi một file văn bản có các thẻ HTML đến trình duyệt Web (một cookies khác cũng đƣợc gửi kèm theo từ máy chủ tới trình duyệt Web, cookies này đƣợc ghi trên đầu trang của mỗi trang Web). Trình duyệt Web đọc các thẻ HTML để xác lập định dạng (hình thức trình bày) trang Web và kết xuất nội dung trang ra màn hình. Trong giao thức HTTP nguyên bản cần cung cấp đầy đủ đƣờng dẫn của tên tệp, ví dụ nhƣ “/” hoặc “/tên tệp.htm”. Sau đó, giao thức sẽ tự điều chỉnh để có thể đƣa ra một địa chỉ URL đầy đủ. Điều này cho phép các công ty kinh doanh dịch vụ lƣu trữ có thể lƣu trữ nhiều tên miền ảo (virtual Domains), có nghĩa nhiều tên miền cùng tồn tại trên một máy chủ và sử dụng cùng một địa chỉ IP duy nhất. Ví dụ: trên máy chủ của Máy chủ Việt Nam, địa chỉ IP là 123.30.171.44, nhƣng nó có hàng trăm tên miền khác nhau cùng tồn tại. Rất nhiều máy chủ Web đƣa thêm các chế độ bảo mật trong nhiều tiến trình xử lý. Ví dụ, khi truy cập vào một trang Web và trình duyệt đƣa ra một hộp hội thoại yêu cầu đƣa vào tên truy cập và mật khẩu, lúc này trang Web đang truy cập đã đƣợc bảo vệ bằng mật khẩu. Máy chủ Web hỗ trợ ngƣời quản lý trang Web duy trì một danh sách tên và mật khẩu cho phép những ngƣời đƣợc phép truy cập vào trang Web. Đối với những máy chủ chuyên nghiệp, yêu cầu mức độ bảo mật lớn hơn, chỉ cho phép những kết nối đã đƣợc mã hóa giữa máy chủ và trình duyệt, do đó những thông tin nhạy cảm nhƣ mã số thẻ tín dụng… có thể đƣợc truyền tải tên Internet.43 4.4 Mail Server 4.4.1 Giới thiệu về Email Email là một phƣơng tiện thông tin rất nhanh. Một mẫu thông tin (thƣ từ) có thể đƣợc gửi đi ở dạng mã hoá hay dạng thông thƣờng và đƣợc chuyển qua các mạng máy tính đặc biệt là mạng Internet. Nó có thể chuyển mẫu thông tin từ một máy nguồn tới một hay rất nhiều máy nhận trong cùng lúc. Ngày nay, Email chẳng những có thể truyền gửi đƣợc chữ, nó còn có thể truyền đƣợc các dạng thông tin khác nhƣ hình ảnh, âm thanh, phim, và đặc biệt các phần mềm thƣ điện tử kiểu mới còn có thể hiển thị các Email dạng sống động tƣơng thích với kiểu tệp HTML. Phần mềm thƣ điện tử (Email Software) là loại phần mềm nhằm hỗ trợ cho ngƣời dùng việc chuyển và nhận các mẫu thông tin (thƣờng là dạng chữ). Thông tin có thể đƣa vào phần mềm thƣ điện tử bằng cách thông dụng nhất là gõ chữ bàn phím hay cách phƣơng cách khác ít dùng hơn nhƣ là dùng máy quét hình (Scanner), dùng máy ghi hình số (Digital Camera) đặc biệt là các Webcam. Phần mềm thƣ điện tử giúp đỡ cho việc tiến hành soạn thảo, gửi, nhận, đọc, in, xoá hay lƣu giữ các (điện) thƣ. Có hai trƣờng hợp phân biệt phần mềm thƣ điện tử là: Loại phần mềm thƣ điện tử đƣợc cài đặt trên từng máy tính của ngƣời dùng gọi là Email Client, hay phần mềm thƣ điện tử (cho) máy khách. Ví dụ nhƣ Microsoft Outlook, Microsoft Outlook Express, Netscape Comunicator, hay Eudora. Phần mềm thƣ điện tử này còn có tên là MUA (Mail User Agent) tức là tác nhân sử dụng thƣ. Ngƣợc lại, loại phần mềm thƣ điện tử không cần phải cài đặt mà nó đƣợc cung ứng bởi các máy chủ (Web Server) trên Internet gọi là WebMail, hay Phần mềm thƣ điện tử qua Web. Để dùng đƣợc các phần mềm loại này thƣờng các máy44 tính nối vào phải có một máy truy cập tƣơng thích với sự cung ứng của WebMail. Ví dụ loại này là mail.Yahoo.com, hay hotmail.com. Nơi cung ứng phần mềm cũng nhƣ phƣơng tiện chuyển thƣ điện tử gọi là nhà cung ứng dịch vụ thƣ điện tử (Email Sevice Provider). Máy tính làm việc cung ứng các dịch vụ thƣ điện tử là MTA (Mail Transfer Agent) hay là đại lý chuyển thƣ. Các dịch vụ thƣ điện tử có thể đƣợc cung ứng miễn phí hay có lệ phí tuỳ theo nhu cầu và mụch đích của ngƣòi dùng. Ngày nay, Email thƣờng đƣợc cung cấp kèm với các phƣơng tiện Internet khi ngƣời tiêu dùng ký hợp đồng với các dịch vụ Internet một cách miễn phí.45 Các thành phần trong hệ thống Mail Một hệ thống mail thông thƣờng ít nhất có 2 thành phần đó là mail Server và mail Client có thể định vị trên hai hệ thống khác nhau hay trên cùng một hệ thống. Ngoài ra còn có những thành phần khác nhƣ mail Gateway và mail Host. Hình 4.4: Hệ thống Email đầy đủ các thành phần Mail Gateway Một mail Gateway là một máy kết nối giữa các mạng dùng các giao thức truyền thông khác nhau hoặc kết nối các mạng khác nhau dùng chung giao thức.Ví dụ một mail Gateway có thể kết nối một mạng TCP/IP với một mạng chạy bộ giao thức Systems Network Architecture (SNA). Một mail Gateway đơn giản nhất dùng để kết nối hai mạng dùng chung giao thức hoặc mailer. Khi đó mail Gateway chuyển mail giữa Domain nội bộ và các Domain bên ngoài.46 Mail Host Một mail Host là máy giữ vai trò máy chủ Mail chính trong hệ thống mạng. Nó dùng nhƣ thành phần trung gian để chuyển Mail giữa các vị trí không kết nối trực tiếp đƣợc với nhau. Mail Host phân giải địa chỉ ngƣời nhận để chuyển giữa các Mail Server hoặc chuyển đến mail Gateway. Một ví dụ về mail Host là máy trong mạng cục bộ LAN có modem đƣợc thiết lập liên kết PPP hoặc UUCP dùng đƣờng dây thoại. Mail Host cũng có thể là máy chủ đóng vai trò Router giữa mạng nội bộ và mạng Internet. Mail Server Mail Server chứa mailbox của ngƣời dùng, nhận mail từ mail Client gửi đến và đƣa vào hàng đợi để gửi đến mail Host.Mail Server nhận mail từ mail Host gửi đến và đƣa vào mailbox của ngƣời dùng. Ngƣời dùng sử dụng NFS (Network File System) để gắn kết (mount) thƣ mục chứa mailbox trên mail Server để đọc mail. Nếu NFS không đƣợc hỗ trợ thì ngƣời dùng phải login vào mail Server để nhận thƣ. Trong trƣờng hợp mail Client hỗ trợ POP/IMAP và trên mail Server cũng hỗ trợ POP/IMAP thì ngƣời dùng có thể đọc thƣ bằng POP/IMAP. Mail Client Là những chƣơng trình hỗ trợ chức năng đọc và soạn thảo thƣ, mail Client sử dụng 2 giao thức SMTP và POP, SMTP hỗ trợ tính năng chuyển thƣ từ Client đến mail Server, POP hỗ trợ nhận thƣ từ mail Server về mail Client.Ngoài ra, mail Client hỗ trợ các giao thức IMAP, HTTP để thực thi chức năng nhận thƣ cho ngƣời dùng.47 Các chƣơng trình mail Client thƣờng đƣợc sử dụng nhƣ: Microsoft Outlook Express, Microsoft Office Outlook, Eudora…. 4.4.2 Các giao thức Mail SMTP (Simple Mail Transfer Protocol) SMTP là giao thức tin cậy chịu trách nhiệm phân phát Mail, nó chuyển Mail từ hệ thống mạng này sang hệ thống mạng khác, chuyển Mail trong hệ thống mạng nội bộ. Giao thức SMTP đƣợc định nghĩa trong RFC 821, SMTP là một dịch vụ tin cậy, hƣớng kết nối (Connection-Oriented) đƣợc cung cấp bởi giao thức TCP (Transmission Control Protocol), nó sử dụng số hiệu cổng (well-known port) 25. SMTP là hệ thống phân phát mail trực tiếp từ đầu đến cuối (từ nơi bắt đầu phân phát cho đến trạm phân phát cuối cùng), điều này rất hiếm khi sử dụng. hầu hết hệ thống mail sử dụng giao thức Store and Forward nhƣ UUCP và X.400, hai giao thức này di chuyển Mail đi qua mỗi hop, nó lƣu trữ thông điệp tại mỗi hop và sau đó chuyển tới hệ thống tiếp theo, thông điệp đƣơc chuyển tiếp cho tới khi nó tới hệ thống phân phát cuối cùng. POP (Post Office Protocol) POP là giao thức cung cấp cơ chế truy cập và lƣu trữ hộp thƣ cho ngƣời dùng. Có hai phiên bản của POP đƣợc sử dụng rộng rãi là POP2, POP3. POP2 đƣợc định nghĩa trong RFC 937, POP3 đƣợc định nghĩa trong RFC 1725. POP2 sử dụng Port 109 và POP3 sử dụng Port 110. Các câu lệnh trong hai giao thức này không giống nhau nhƣng chúng cùng thực hiện chức năng cơ bản là kiểm tra tên đăng nhập và Password của User và chuyển Mail của ngƣời dùng từ Server tới hệ thống đọc Mail cục bộ của User.48 IMAP (Internet Message Access Protocol) Là giao thức hỗ trợ việc lƣu trữ và truy xuất hộp thƣ của ngƣời dùng, thông qua IMAP ngƣời dùng có thể sử dụng IMAP Client để truy cập hộp thƣ từ mạng nội bộ hoặc mạng Internet trên một hoặc nhiều máy khác nhau. Một số đặc điểm chính của IMAP: - Tƣơng thích đầy đủ với chuẩn MIME. - Cho phép truy cập và quản lý message từ một hay nhiều máy khác nhau. - Hỗ trợ các chế độ truy cập "online", "offline". - Hỗ trợ truy xuất mail đồng thời cho nhiều máy và chia sẽ mailbox. - Client không cần quan tâm về định dạng file lƣu trữ trên Server. MIME (Multipurpose Internet Mail Extensions). MIME cung cấp cách thức kết hợp nhiều loại dữ liệu khác nhau vào trong một thông điệp duy nhất có thể đƣợc gửi qua Internet dùng Email hay Newgroup. Thông tin đƣợc chuyển đổi theo cách này trông giống nhƣ những khối ký tự ngẫu nhiên. Những thông điệp sử dụng chuẩn MIME có thể chứa hình ảnh, âm thanh và bất kỳ những loại thông tin nào khác có thể lƣu trữ đƣợc trên máy tính. Hầu hết những chƣơng trình xử lý thƣ điện tử sẽ tự động giải mã những thông báo này và cho phép bạn lƣu trữ dữ liệu chứa trong chúng vào đĩa cứng. Nhiều chƣơng trình giải mã MIME khác nhau có thể đƣợc tìm thấy trên NET. X.400 X.400 là giao thức đƣợc ITU-T và ISO định nghĩa và đã đƣợc ứng dụng rộng rãi ở Châu Âu và Canada. X.400 cung cấp tính năng điều khiển và phân phối E-mail, X.400 sử dụng định dạng nhị phân do đó nó không cần mã hóa nội dung khi truyền dữ liệu trên mạng.49 4.4.3 Nguyên tắc hoạt động của mail Khi nhấn nút send mail thì Mail Server gửi (Sender) làm nhiệm vụ nhận thƣ gửi. Sender truy vần DNS để tìm MX Record (IP) của Domain đích. Sender Telnet Port 25 của Receiver để báo hiệu muốn gửi Mail. Receiver kiểm tra một số điều kiện để quyết định có nhận mail của sender không. Nếu Receiver đồng ý thì Sender dùng Protocol SMTP để gửi mail cho Receiver. Có thể vì lý do nào đó, receiver từ chối không nhận mail của sender, sender phải Forward Mail cần gửi sang một Server trung gian để Server này gửi giúp, quá trình này gọi là Relay Mail. Có rất nhiều nhà cung cấp dịch vụ Mail Relay. Ví dụ nhƣ google. Mail Server nhận (Receiver) nhận mail từ Sender và để trong box mail (Hộp lƣu trữ mail). Khi ngƣời nhận muốn đọc thƣ thì gửi yêu cầu và chuyển về thƣ về Client thông qua giao thức POP3. Có 2 mô hình Mail Server: - Mô hình online: Mail từ internet gởi thẳng về server của ta. Cài mail server nội bộ, publish port 25 của mail server ra firewall, NAT port 25 từ ADSL về Firewall. Tuỳ theo tình huống thực tế sẽ có những điều chỉnh phù hợp, ví dụ Firewall có IP Public thì không cần công đoạn NAT port ... - Mô hình offline: Chúng ta phải thuê server trung gian nào đó đứng ra nhận mail giúp, sau đó ta cấu hình mail server nội bộ kết nối đến server này tải mail về. Ƣu và nhƣợc điểm của mỗi mô hình: - Mail online đòi hỏi phải có 1 hạ tầng hoàn chỉnh và ổn định. Yêu cầu khá tốn kém cả về nhân lực lẫn tài nguyên. Nhƣng chúng ta sẽ làm chủ mọi thứ. Từ khâu cấu hình và quản lý…50 - Mail offline thì ko cần những thứ trên nhƣng bù lại bạn ko làm chủ đƣợc mail, ví dụ: rò rỉ thông tin, mất mail ... Lƣu ý: Muốn gửi - nhận mail trên Internet phải mua domain Quốc tế, domain local chỉ có thể gửi - nhận mail trong local và gửi ra internet nhƣng không thể nhận về, một số domain Quốc tế từ chối không nhận mail gửi từ domain local. Nếu domain quốc tế khác domain local (vnme.info và vnme.local) thì phải dùng email address policy (Exchange 2007) hoặc Receipient Policy (Exchange 2003) để đổi email address trƣớc khi gửi ra, Mdaemon thì khai báo trong phần Primary Domain. Domain quốc tế là phải đƣợc đăng ký, mua tên miền. Còn domain local tự đặt. 4.4.4 Mdaemon Email Server Mdaemon Email Server phiên bản dành cho hệ điều hành Windows, Mdaemon hỗ trợ các giao thức IMAP, SMTP, and POP3 và mang lại hiệu quả cao từ những thiết kế tính năng phong phú. Một giải pháp thay thế đáng tin cậy cho Microsoft Exchange, MDaemon Email Server cung cấp các tính năng phần mềm nhóm xuất sắc, kết hợp với Microsoft Outlook (sử dụng Outlook Connector cho Mdaemon) và cung cấp Webmail Client đa ngôn ngữ cho việc truy cập ở bất cứ nơi nào khác. Mdaemon mail Server cung cấp an toàn, tuân thủ các tiêu chuẩn và chi phí thấp mà đảm bảo đầy đủ tính năng cho các doanh nghiệp nhỏ đến trung bình trong nhiều ngôn ngữ, trong khi danh sách gửi thƣ hỗ trợ, lọc nội dung, hỗ trợ nhiều miền, quản lý linh hoạt, và một mở các tiêu chuẩn thiết kế để truy cập di động. MDaemon Email Server hỗ trợ hầu hết các thiết bị di động có quyền truy cập vào lịch, Email và địa chỉ liên lạc…51 4.5 FTP Server Trong đề tài này chúng tôi xây dựng hệ thống mạng của một công ty có chi nhánh nằm ở những vùng lãnh thổ cách xa nhau. Để các cơ sở này có thể sử dụng và liên kết dữ liệu nhƣ đang hoạt động trên cùng 1 công ty, giải pháp gửi mail sẽ không phải là một phƣơng pháp tốt và hiệu quả đối với việc cập nhật dữ liệu thƣờng xuyên và chƣa kể dữ liệu gửi có dung lƣợng lớn sẽ khiến việc gửi mail trở nên chậm chạp. Lúc này, giải pháp về máy chủ FTP là tất cả những gì chúng tôi cần. 4.5.1 Giới thiệu FTP FTP (viết tắt từ File Transfer Protocol, giao thức truyền tải file) là một giao thức dùng để tải lên (Upload) các file từ một trạm làm việc (Workstation) hay máy tính cá nhân tới một FTP Server hoặc tải xuống (Download) các file từ một máy chủ FTP về một trạm làm việc (hay máy tính cá nhân). Đây là cách thức đơn giản nhất để truyền tải các file giữa các máy tính trên Internet. Khi tiếp đầu ngữ ftp xuất hiện trong một địa chỉ URL, có nghĩa rằng ngƣời dùng đang kết nối tới một file Server chứ không phải một Web Server. Khác với Web Server, hầu hết FTP Server yêu cầu ngƣời dùng phải đăng nhập (log on) vào Server đó để thực hiện việc truyền tải file. FTP hiện đƣợc dùng phổ biến để Upload các trang Web từ nhà thiết kế Web lên một máy chủ Host trên Internet, truyền tải các file dữ liệu qua lại giữa các máy tính trên Internet, cũng nhƣ để tải các chƣơng trình, các file từ các máy chủ khác về máy tính cá nhân. Dùng giao thức FTP, chúng tôi có thể cập nhật (xóa, đổi tên, di chuyển, copy) các file tại một máy chủ nếu đƣợc cấp quyền. 4.5.2 Mô hình hoạt động của FTP, các thành phần trong giao thức FTP Giao thức FTP đƣợc mô tả một cách đơn giản thông qua mô hình hoạt động của FTP. Mô hình này chỉ ra các nguyên tắc mà một thiết bị phải tuân theo khi tham gia vào quá trình trao đổi file, cũng nhƣ về hai kênh thông tin cần phải thiết lập giữa52 các thiết bị đó. Nó cũng mô tả các thành phần của FTP đƣợc dùng để quản lý các kênh này ở cả hai phía – truyền và nhận. FTP là một giao thức dạng Client/Server truyền thống, tuy nhiên thuật ngữ Client thông thƣờng đƣợc thay thế bằng thuật ngữ User – ngƣời dùng – do thực tế là ngƣời sử dụng mới là đối tƣợng trực tiếp thao tác các lệnh FTP trên máy Clients. Bộ phần mềm FTP đƣợc cài đặt trên một thiết bị đƣợc gọi là một tiến trình. Phần mềm FTP đƣợc cài đặt trên máy Server đƣợc gọi là tiến trình Server-FTP, và phần trên máy Client đƣợc gọi là tiến trình User-FTP. Mặc dù giao thức này sử dụng kết nối TCP, nhƣng nó không chỉ dùng một kênh TCP nhƣ phần lớn các giao thức truyền thông khác. Mô hình FTP chia quá trình truyền thông giữa bộ phận Server với bộ phận Client ra làm hai kênh logic: - Kênh điều khiển: đây là kênh logic TCP đƣợc dùng để khởi tạo một phiên kết nối FTP. Nó đƣợc duy trì xuyên suốt phiên kết nối FTP và đƣợc sử dụng chỉ để truyền các thông tin điều khiển, nhƣ các lệnh và các hồi đáp trong FTP. Nó không đƣợc dùng để truyền file. - Kênh dữ liệu: Mỗi khi dữ liệu đƣợc truyền từ Server tới Client, một kênh kết nối TCP nhất định lại đƣợc khởi tạo giữa chúng. Dữ liệu đƣợc truyền đi qua kênh kết nối này – do đó nó đƣợc gọi là kênh dữ liệu. Khi file đƣợc truyền xong, kênh này đƣợc ngắt. Việc sử dụng các kênh riêng lẻ nhƣ vậy tạo ra sự linh hoạt trong việc truyền truyền dữ liệu – mà ta sẽ thấy trong các phần tiếp theo. Tuy nhiên, nó cũng tạo cho FTP độ phức tạp nhất định. Do các chức năng điều khiển và dữ liệu sử dụng các kênh khác nhau, nên mô hình hoạt động của FTP cũng chia phần mềm trên mỗi thiết bị ra làm hai thành phần logic tƣơng ứng với mỗi kênh. Thành phần Protocol Interpreter (PI) là thành phần quản lý kênh điều khiển, với chức năng phát và nhận lệnh. Thành phần Data Transfer Process (DTP) có chức năng gửi và nhận dữ liệu giữa phía Client với53 Server. Ngoài ra, cung cấp cho tiến trình bên phía ngƣời dùng còn có thêm thành phần thứ ba là giao diện ngƣời dùng FTP - thành phần này không có ở phía Server. Do đó, có hai tiến trình xảy ra ở phía Server, và ba tiến trình ở phía Client. Các tiến trình này đƣợc gắn với mô hình FTP để mô tả chi tiết hoạt động của giao thức FTP. Các tiến trình phía Server: - Server Protocol Interpreter (Server-PI): chịu trách nhiệm quản lý kênh điều khiển trên Server. Nó lắng nghe yêu cầu kết nối hƣớng tới từ Users trên cổng dành riêng. Khi kết nối đã đƣợc thiết lập, nó sẽ nhận lệnh từ phía User-PI, trả lời lại, và quản lý tiến trình truyền dữ liệu trên Server. - Server DataTransfer Process (Server-DTP): làm nhiệm vụ gửi hoặc nhận file từ bộ phận User-DTP. Server-DTP vừa làm nhiệm thiết lập kết nối kênh dữ liệu và lắng nghe một kết nối kênh dữ liệu từ User. Nó tƣơng tác với Server file trên hệ thống cục bộ để đọc và chép file. Các tiến trình phía Client: - User Protocol Interpreter (User-PI): chịu trách nhiệm quản lý kênh điều khiển phía Client. Nó khởi tạo phiên kết nối FTP bằng việc phát ra yêu cầu tới phía Server-PI. Khi kết nối đã đƣợc thiết lập, nó xử lý các lệnh nhận đƣợc trên giao diện ngƣời dùng, gửi chúng tới Server-PI, và nhận phản hồi trở lại. Nó cũng quản lý tiến trình User-DTP. - User Data Transfer Process (User-DTP): là bộ phận DTP nằm ở phía ngƣời dùng, làm nhiệm vụ gửi hoặc nhận dữ liệu từ Server-DTP. User-DTP có thể thiết lập hoặc lắng nghe yêu cầu kết nối kênh dữ liệu trên Server. Nó tƣơng tác với thiết bị lƣu trữ file phía Client. - User Interface: cung cấp giao diện xử lý cho ngƣời dùng. Nó cho phép sử dụng các lệnh đơn giản hƣớng ngƣời dùng, và cho phép ngƣời điều khiển phiên FTP theo dõi đƣợc các thông tin và kết quả xảy ra trong tiến trình.54 4.5.3 Thiết lập kênh điều khiển và chứng thực người dùng trong FTP Mô hình hoạt động của FTP mô tả rõ các kênh dữ liệu và điều khiển đƣợc thiết lập giữa FTP Client và FTP Server. Trƣớc khi kết nối đƣợc sử dụng để thực sự truyền file, kênh điều khiển cần phải đƣợc thiết lập. Một tiến trình chỉ định sau đó đƣợc dùng để tạo kết nối và tạo ra phiên FTP lâu bền giữa các thiết bị để truyền files. Nhƣ trong các giao thức Client/Server khác, FTP Server tuân theo một luật passive trong kênh điều khiển. Bộ phận Server Protocol Interpreter (Server-PI) sẽ lắng nghe cổng TCP dành riêng cho kết nối FTP là cổng 21. Phía User-PI sẽ tạo kết nối bằng việc mở một kết nối TCP từ thiết bị ngƣời dùng tới Server trên cổng đó. Nó sử dụng một cổng bất kỳ làm cổng nguồn trong phiên kết nối TCP. Khi TCP đã đƣợc cài đặt xong, kênh điều khiển giữa các thiết bị sẽ đƣợc thiết lập, cho phép các lệnh đƣợc truyền từ User-PI tới Server-PI, và Server-PI sẽ đáp trả kết quả là các mã thông báo. Bƣớc đầu tiên sau khi kênh đã đi vào hoạt động là bƣớc đăng nhập của ngƣời dùng (login sequence). Bƣớc này có hai mục đích: - Access Control - Điều khiển truy cập: quá trình chứng thực cho phép hạn chế truy cập tới Server với những ngƣời dùng nhất định. Nó cũng cho phép Server điều khiển loại truy cập nhƣ thế nào đối với từng ngƣời dùng. - Resource Selection - Chọn nguồn cung cấp: Bằng việc nhận dạng ngƣời dùng tạo kết nối, FTP Server có thể đƣa ra quyết định sẽ cung cấp những nguồn nào cho ngƣời dùng đã đƣợc nhận dạng đó. Quy luật chứng thực trong FTP khá đơn giản, chỉ là cung cấp UserName/password.55 Trình tự của việc chứng thực nhƣ sau: - Ngƣời dùng gửi một UserName từ User-PI tới Server-PI bằng lệnh USER. Sau đó password của ngƣời dùng đƣợc gửi đi bằng lệnh PASS. - Server kiểm tra tên ngƣời dùng và password trong database ngƣời dùng của nó. Nếu ngƣời dùng hợp lệ, Server sẽ gửi trả một thông báo tới ngƣời dùng rằng phiên kết nối đã đƣợc mở. Nếu ngƣời dùng không hợp lệ, Server yêu cầu ngƣời dùng thực hiện lại việc chứng thực. Sau một số lần chứng thực sai nhất định, Server sẽ ngắt kết nối. Giả sử quá trình chứng thực đã thành công, Server sau đó sẽ thiết lập kết nối để cho phép từng loại truy cập đối với ngƣời dùng đƣợc cấp quyền. Một số ngƣời dùng chỉ có thể truy cập vào một số file nhất định, hoặc vào một số loại file nhất định. Một số Server có thể cấp quyền cho một số ngƣời dùng đọc và viết lên Server, trong khi chỉ cho phép đọc đối với những ngƣời dùng khác. Ngƣời quản trị mạng có thể nhờ đó mà đáp ứng đúng các nhu cầu truy cập FTP. - Một khi kết nối đã đƣợc thiết lập, Server có thể thực hiện các lựa chọn tài nguyên dựa vào nhận diện ngƣời dùng. Ví dụ: trên một hệ thống nhiều ngƣời dùng, ngƣời quản trị có thể thiết lập FTP để khi có bất cứ ngƣời dùng nào kết nối tới, anh ta sẽ tự động đƣợc đƣa tới "home directory" của chính anh ta. Lệnh tùy chọn ACCT (account) cũng cho phép ngƣời dùng chọn một tài khoản cá nhân nào đó nếu nhƣ anh ta có nhiều hơn một tài khoản. 4.5.4 Quản lý kênh dữ liệu FTP Chuẩn FTP chỉ định hai phƣơng thức khác nhau để tạo ra kênh dữ liệu. Khác biệt chính của hai phƣơng thức đó là ở mặt thiết bị: phía Client hay phía Server là phía đã đƣa ra yêu cầu khởi tạo kết nối.56 Kết nối dạng chủ động (Active FTP) Ở chế độ chủ động (Active), máy khách FTP (FTP Client) dùng 1 cổng ngẫu nhiên không dành riêng (cổng N > 1024) kết nối vào cổng 21 của FTP Server. Sau đó, máy khách lắng nghe trên cổng N+1 và gửi lệnh PORT N+1 đến FTP Server. Tiếp theo, từ cổng dữ liệu của mình, FTP Server sẽ kết nối ngƣợc lại vào cổng dữ liệu của Client đã khai báo trƣớc đó (tức là N+1). Ở khía cạnh Firewall, để FTP Server hỗ trợ chế độ Active các kênh truyền sau phải mở: - Cổng 21 phải đƣợc mở cho bất cứ nguồn gửi nào (để Client khởi tạo kết nối) - FTP Server's port 21 to ports > 1024 (Server trả lời về cổng điều khiển của Client) - Cho kết nối từ cổng 20 của FTP Server đến các cổng > 1024 (Server khởi tạo kết nối vào cổng dữ liệu của Client) - Nhận kết nối hƣớng đến cổng 20 của FTP Server từ các cổng > 1024 (Client gửi xác nhận ACKs đến cổng data của Server) Các bƣớc kết nối: - Bƣớc 1: Client khởi tạo kết nối vào cổng 21 của Server và gửi lệnh PORT 1027. - Bƣớc 2: Server gửi xác nhận ACK về cổng lệnh của Client. - Bƣớc 3: Server khởi tạo kết nối từ cổng 20 của mình đến cổng dữ liệu mà Client đã khai báo trƣớc đó. - Bƣớc 4: Client gửi ACK phản hồi cho Server. Khi FTP Server hoạt động ở chế độ chủ động, Client không tạo kết nối thật sự vào cổng dữ liệu của FTP Server, mà chỉ đơn giản là thông báo cho Server biết rằng nó đang lắng nghe trên cổng nào và Server phải kết nối ngƣợc về Client vào57 cổng đó. Trên quan điểm Firewall đối với máy Client điều này giống nhƣ 1 hệ thống bên ngoài khởi tạo kết nối vào hệ thống bên trong và điều này thƣờng bị ngăn chặn trên hầu hết các hệ thống Firewall. Kết nối dạng bị động (Passive FTP) Để giải quyết vấn đề là Server phải tạo kết nối đến Client, một phƣơng thức kết nối FTP khác đã đƣợc phát triển. Phƣơng thức này gọi là FTP thụ động (passive) hoặc PASV (là lệnh mà Client gửi cho Server để báo cho biết là nó đang ở chế độ passive). Ở chế độ thụ động, FTP Client tạo kết nối đến Server, tránh vấn đề Firewall lọc kết nối đến cổng của máy bên trong từ Server. Khi kết nối FTP đƣợc mở, Client sẽ mở 2 cổng không dành riêng N, N+1 (N > 1024). Cổng thứ nhất dùng để liên lạc với cổng 21 của Server, nhƣng thay vì gửi lệnh PORT và sau đó là Server kết nối ngƣợc về Client, thì lệnh PASV đƣợc phát ra. Kết quả là Server sẽ mở 1 cổng khôngdành riêng bất kỳ P (P > 1024) và gửi lệnh PORT P ngƣợc về cho Client. Sau đó Client sẽ khởi tạo kết nối từ cổng N+1 vào cổng P trên Server để truyền dữ liệu. Từ quan điểm Firewall trên Server FTP, để hỗ trợ FTP chế độ passive, các kênh truyền sau phải đƣợc mở: - Cổng FTP 21 của Server nhận kết nối từ bất nguồn nào (cho Client khởi tạo kết nối) - Cho phép trả lời từ cổng 21 FTP Server đến cổng bất kỳ trên 1024 (Server trả lời cho cổng control của Client) - Nhận kết nối trên cổng FTP Server > 1024 từ bất cứ nguồn nào (Client tạo kết nối để truyền dữ liệu) - Cho phép trả lời từ cổng FTP Server > 1024 đến các cổng > 1024 (Server gửi xác nhận ACKs đến cổng dữ liệu của Client)58 Các bƣớc kết nối: - Bƣớc 1: Client kết nối vào cổng lệnh của Server và phát lệnh PASV. - Bƣớc 2: Server trả lời bằng lệnh PORT 2024, cho Client biết cổng 2024 đang mở để nhận kết nối dữ liệu. - Buớc 3: Client tạo kết nối truyền dữ liệu từ cổng dữ liệu của nó đến cổng dữ liệu 2024 của Server. - Bƣớc 4: Server trả lời bằng xác nhận ACK về cho cổng dữ liệu của Client. Trong khi FTP ở chế độ thụ động giải quyết đƣợc vấn đề phía Client thì nó lại gây ra nhiều vấn đề khác ở phía Server. Thứ nhất là cho phép máy ở xa kết nối vào cổng bất kỳ > 1024 của Server. Điều này khá nguy hiểm trừ khi FTP cho phép mô tả dãy các cổng >= 1024 mà FTP Server sẽ dùng (ví dụ WU-FTP Daemon). Vấn đề thứ hai là một số FTP Client lại không hổ trợ chế độ thụ động. Ví dụ tiện ích FTP Client mà Solaris cung cấp không hổ trợ FTP thụ động. Khi đó cần phải có thêm trình FTP Client. Một lƣu ý là hầu hết các trình duyệt Web chỉ hổ trợ FTP thụ động khi truy cập FTP Server theo đƣờng dẫn URL ftp://. 4.6 Domain Controller Domain là một trong những khái niệm quan trọng nhất của Windows, nó tập hợp các tài khoản ngƣời dùng và các máy tính đƣợc nhóm lại với nhau để dễ quản lý và Domain Controller đƣợc sinh ra là để quản lý các Domain và giúp việc khai thác tài nguyên trở nên dễ dàng hơn. Điều này cho thấy Domain Controller đối lập với môi trƣờng Work Group (việc quản lý thực hiện trên từng máy). Và đối với một môi trƣờng có nhiều máy (công ty, tập đoàn…) thì Domain Controller là sự lựa chọn tối ƣu. Các thành phần trong Domain Controller - Domain Controller: Máy Server để quản lý.59 - Workstation: Vùng làm việc, bao gồm các máy Client đã Join Domain. - Member Server: Các Server khác trong hệ thống để liên lạc giữa các Domain với nhau. - Và các thành phần khác: OU, Account… đƣợc gọi chung là Object. Trong cấu hình Domain Controller, thành phần quan trọng nhất đó chính là Active Directory. Diretory Service: là hệ thống tập tin chứa trong NTDS.DIT và các chƣơng trình quản lý và khai thác các tập tin này. Mục đích của Directory Service là thuận lợi cho việc quản lý các Object (Account, OU…) trong Domain nên ngƣời ta tổ chức phân cấp chúng . Tầm quan trọng của Domain Controller Trong mô hình mạng dù là lớn hay nhỏ thì cũng chứa rất nhiều máy Client, với một máy Client đã cài đặt hệ điều hành (thƣờng là Windows) thì thƣờng sẽ có nhiều tài khoản khác nhau với mỗi tài khoản là một chức năng riêng, thêm vào đó hệ điều hành còn cho phép tạo mới thêm nhiều User khác nhau. Nếu các tài khoản chỉ dừng ở mức User Client thì chúng không thể điều khiển truy cập tài nguyên mạng vì chúng sẽ thêm gánh nặng rất lớn cho việc quản lý tài nguyên mạng. Thêm vào đó, không ai muốn phải chuyển tài khoản ngƣời dùng từ máy này sang máy khác.Và khi đó Domain Controller sẽ giải quyết các vấn đề này, chúng sẽ tập trung hóa các tài khoản ngƣời dùng. Điều này sẽ làm cho việc quản lý dễ dàng hơn và giúp cho ngƣời dùng có thể đăng nhập tài khoản của mình ở bất cứ máy nào đó trong Forest. Chức năng của Domain Controller Công việc của Domain Controller là chạy dịch vụ Active Directory. Active Directory hoạt động nhƣ một nơi lƣu trữ các đối tƣợng thƣ mục (trong đó có tài khoản ngƣời dùng-User Account).60 Phải lƣu ý rằng, Domain Controller cung cấp dịch vụ thẩm định, chứ Domain Controller không cung cấp dịch vụ cấp phép. Điều đó có nghĩa Domain Controller chỉ kiểm tra tính đúng đắn và tồn tại của UserName và Password của ngƣời dùng khi họ truy cập vào chứ Domain Controller sẽ không cho ngƣời dùng biết họ có thể đƣợc phép truy cập vào tài nguyên nào. Điều này sẽ đƣợc điểu khiển bởi Danh Sách Điều Khiển Truy Cập (ACL). ACL là danh sách ghi nhớ những quyền mà ngƣời dùng có thể có khi truy cập tài nguyên mạng. Khi một ngƣời dùng cố gắng truy cập, họ sẽ đƣa ra nhận dạng của mình cho máy chủ đó, sau khi kiểm tra thì máy chủ sẽ tham chiếu đến ACL để xem danh sách ngƣời dùng có thể có đƣợc những quyền gì khi truy cập vào tài nguyên mạng. Active Directory - Thành phần quan trọng nhất của Domain Controller Active Directory là một hệ thống chuẩn tập trung, dùng để tự động hóa việc quản lý mạng dữ liệu ngƣời dùng, bảo mật các nguồn tài nguyên đƣợc phân phối cho phép tƣơng tác với các thƣ mục khác. Active Directory đƣợc thiết kế đặc biệt cho môi trƣờng kết nối mạng đƣợc phân bổ theo dạng nào đó: ví dụ là nhóm rừng (Forest) trong Domain Controller. Active Directory cung cấp một tham chiếu đƣợc gọi là Directory Service đến tất cả các đối tƣợng trong mạng: User, Group, Computer, Policy, Permission. Chức năng: Active Directory cung cấp khả năng dự phòng và tự động chuyển đổi dự phòng khi trong sơ đồ mạng có 2 hay nhiều Domain đƣợc triển khai. Thực thi Active Directory có thể quản lý đƣợc sự trao đổi giữa các Domain để đảm bảo mạng đƣợc duy trì, ngƣời dùng có thể truy cập tài nguyên mạng với chỉ một lần đăng nhập. Với cơ chế bảo mật khá cao thì khi truy cập cơ chế bảo mật này định dạng ngƣời dùng và quyền hạn truy cập đối với mỗi tài nguyên. Các hệ thống có thể đƣợc quản lý thông qua Group Policies. Đây là mô hình tổ chức có thứ bậc linh hoạt, dễ dàng quản lý và ủy nhiệm trách nhiệm quản trị. Các thành phần của một Active Directory: Forest, Domain, Organization Unit và Site.61 Trong đó: - Forest: nhóm đối tƣợng có cú pháp, thuộc tính chung. - Domain: nhóm máy tính tập trung với chính sách chung, tên, cơ sở dữ liệu chung. - Organization Unit: nhóm các mục trong miền nào đó. - Site: nhóm vật lý những thành phần đọc lập của miền và cấu trúc OU. Quản lý Group Policy trong Active Directory: là một thành phần quan trọng trong Active Directory. Nó đƣợc dùng để thiết lập ngƣời dùng và máy tính trong toàn mạng, các thiết lập này đƣợc cấu hình và đƣợc lƣu trữ Group Policy Object. Thông qua Group Policy, ngƣời quản trị có thể cấu hình toàn cục trên máy tính ngƣời dùng, hạn chế, cho phép truy cập đối với bất kì thƣ mục nào trong mạng. Group Policy Object đƣợc áp dụng theo thứ tự sau: Các chính sách máy nội bộ đƣợc sử dụng trƣớc, sau đó là các chính sách site, chính sách miền, chính sách đƣợc sử dụng cho các OU riêng. Ở một thời điểm nào đó, một đối tƣợng ngƣời dùng hoặc máy tính chỉ có thể thuộc về một site hoặc một miền, vì vậy chúng sẽ chỉ nhận các GPO liên kết với site hoặc miền đó. Với Active Directory thì các Domain Controller có thể dễ dàng liên lạc với nhau giúp cho việc quản lý trở nên dễ dàng hơn và các tài nguyên đƣợc linh hoạt và bảo mật hơn.62 4.7 Proxy Server Ở hệ thống mạng doanh nghiệp việc các nhân viên ra mạng Internet để tìm kiếm thông tin, liên lạc với khách hàng, trao đổi dữ liệu,… là điều không thể thiếu. Nhƣng để đảm bảo an toàn không để các attacker xâm nhập vào máy nội bộ công ty, hay không cho các nhân viên vào những trang Web cấm, đọc báo, chơi game trong giờ làm việc thì cần phải quản lý ra vào Internet của các máy tính trong nội bộ mạng bằng việc xây dựng hệ thống máy chủ Proxy (Proxy Server). 4.7.1 Giới thiệu Proxy Server Proxy Server là một Server đóng vai trò cài đặt Proxy làm trung gian giữa ngƣời dùng trạm (Workstation User) và Internet. Với Proxy Server, các máy khách (Clients) tạo ra các kết nối đến các địa chỉ mạng một cách gián tiếp. Những chƣơng trình Client của ngƣời sử dụng sẽ qua trung gian Proxy Server thay thế cho Server thật sự mà ngƣời sử dụng cần giao tiếp. Proxy Server xác định những yêu cầu từ Client và quyết định đáp ứng hay không đáp ứng, nếu yêu cầu đƣợc đáp ứng, Proxy Server sẽ kết nối với Server thật thay cho Client và tiếp tục chuyển tiếp đến những yêu cầu từ Client đến Server, cũng nhƣ đáp ứng những yêu cầu của Server đến Client. Vì vậy Proxy Server giống cầu nối trung gian giữa Server và Client. Hiểu một cách đơn giản là : Proxy Server là một trung tâm cài đặt các Proxy mà các Proxy này nằm giữa máy tính của chúng tôi và tài nguyên internet (bộ đệm) mà chúng tôi đang truy nhập. Dữ liệu mà chúng tôi yêu cầu đến Proxy trƣớc , rồi sau đó nó mới truyền dữ liệu cho chúng tôi và ngƣợc lại. 4.7.2 Phân loại Proxy HTTP Proxy: HTTP Proxy là một Proxy Server phổ biến nhất. Trƣớc đây, với sự trợ giúp của loại Proxy này, ta chỉ có thể xem trang Web, hình ảnh, và tải file. Tuy nhiên, ngày ngay, các phiên bản chƣơng trình mới (ICQ,..) đã biết cách63 làm việc xuyên qua các Proxy Server loại này. Bất kỳ phiên bản trình duyệt nào cũng có thể làm việc với chúng. SOCKS Proxy: Các Proxy Server loại này biết cách làm việc với bất kỳ loại thông tin nào trên Internet (mạng dùng giao thức TCP/IP), tuy nhiên cách dùng của chúng trong các chƣơng trình nên đƣợc chỉ rõ là có khả năng làm việc với Socks Proxy. Cần phải có chƣơng trình phụ thêm nào đó để dùng Socks Proxy với trình duyệt (các trình duyệt không biết cách làm việc xuyên qua các Socks Proxy). Tuy nhiên, bất kỳ phiên bản ICQ nào (và nhiều chƣơng trình thông dụng khác) cũng có thể làm việc hoàn hảo thông qua các Socks proxies. CGI Proxy: Loại Proxy Server chỉ có thể đƣợc truy cập với trình duyệt mà thôi. Trong các chƣơng trình khác, việc dùng loại Proxy này là phức tạp (và ngƣời ta không cần thiết điều đó, vì đã có các HTTP proxies). Tuy nhiên, bởi loại Proxy này lúc đầu đƣợc thiết kế là để làm việc với trình duyệt, ngƣời ta có thể dùng nó một cách rất đơn giản. Hơn thế nữa, ta có thể tạo cấu trúc chuỗi từ các Proxy loại này một cách khá dễ dàng. FTP Proxy: Loại Proxy này đƣợc chuyên biệt hóa để chỉ làm việc với các máy chủ truyền file (FTP Servers), ta có thể dùng các Proxy loại này trong hầu hết các trình quản lý file (FAR. WindowsCommander,...), các trình tải file thông dụng (CuteFTP, GetRight,...) và trong các trình duyệt.64 4.7.3 Tính năng của Proxy Server Tƣờng lửa và filtering (Tính lọc ứng dụng) Đối với các nhà cung cấp dịch vụ đƣờng truyền internet: Do internet có nhiều lƣợng thông tin mà theo quan điểm của từng quốc gia, từng chủng tộc hay địa phƣơng mà các nhà cung cấp dịch vụ internet khu vực đó sẽ phối hợp sử dụng Proxy với kỹ thuật tƣờng lửa để tạo ra một bộ lọc gọi là Firewall Proxy nhằm ngăn chặn các thông tin độc hại hoặc trái thuần phong mỹ tục đối với quốc gia, chủng tộc hay địa phƣơng đó. Địa chỉ các Website mà khách hàng yêu cầu truy cập sẽ đƣợc lọc tại bộ lọc này, nếu địa chỉ không bị cấm thì yêu cầu của khách hàng tiếp tục đƣợc gửi đi, tới các DNS Server của các nhà cung cấp dịch vụ. Firewall Proxy sẽ lọc tất cả các thông tin từ internet gửi vào máy của khách hàng và ngƣợc lại. Chia sẻ kết nối với Proxy Server Nhiều sản phẩm phần mềm dành cho chia sẻ kết nối trên các mạng gia đình đã xuất hiện trong một số năm gần đây. Mặc dù vậy, trong các mạng kích thƣớc lớn và trung bình, Proxy Server vẫn là giải pháp cung cấp sự mở rộng và hiệu quả trong truy cập Internet. Thay cho việc gán cho mỗi máy khách một kết nối Internet trực tiếp thì trong trƣờng hợp này, tất cả các kết nối bên trong đều có thể đƣợc cho qua một hoặc nhiều Proxy và lần lƣợt kết nối ra ngoài. Proxy Servers và Caching Caching của các trang Web có thể cải thiện chất lƣợng dịch vụ của một mạng theo 3 cách. Thứ nhất, nó có thể bảo tồn băng thông mạng, tăng khả năng mở rộng. Tiếp đến, có thể cải thiện khả năng đáp trả cho các máy khách. Ví dụ, với một HTTP Proxy Cache, Web page có thể load nhanh hơn trong trình duyệt Web. Cuối cùng, các Proxy Server Cache có thể tăng khả năng phục vụ. Các Web page hoặc các dòng khác trong Cache vẫn còn khả năng truy cập thậm chí nguồn nguyên bản hoặc liên kêt mạng trung gian bị offline.65 4.7.4 Hoạt động của Proxy Server Nguyên tắc hoạt động cơ bản của Proxy Server là : Proxy Server xác định những yêu cầu từ phía Client và quyết định đáp ứng hay không đáp ứng, nếu yêu cầu đƣợc đáp ứng, Proxy Server sẽ kết nối tới Server thật thay cho Client và tiếp tục chuyển tiếp đến những yêu cầu từ Client đến Server, cũng nhƣ đáp ứng những yêu cầu của Server đến Client. Để hiểu rõ hơn cơ chế hoạt động của Proxy Server chúng tôi tìm hiểu về phân loại các hệ thống Proxy. Dạng kết nối trực tiếp Phƣơng pháp đầu tiên đƣợc sử dụng trong kỹ thuật Proxy là cho ngƣời sử dụng kết nối trực tiếp đến Firewall Proxy, sử dụng địa chỉ của Firewall và số cổng của Proxy (ví dụ Proxy 221.7.197.130:3128 cổng của Proxy là 3128), sau đó Proxy hỏi ngƣời sử dụng cho địa chỉ của Host hƣớng đến, đó là một phƣơng pháp brute force (vét cạn) sử dụng bởi Firewall một cách dễ dàng.Và đó cũng là một vài nguyên nhân tại sao nó là phƣơng pháp ít thích hợp. Trƣớc tiên, yêu cầu ngƣời sử dụng biết địa chỉ của Firewall, kế tiếp nó yêu cầu ngƣời sử dụng nhập vào hai địa chỉ cho mỗi sự kết nối: Địa chỉ của Firewall và địa chỉ của đích hƣớng đến. Cuối cùng nó ngăn cản những ứng dụng hoặc những nguyên bản trên máy tính của ngƣời sử dụng điều đó tạo ra sự kết nối cho ngƣời sử dụng, bởi vì chúng sẽ không biết nhƣ thế nào điều khiển những yêu cầu đặc biệt cho sự truyền thông với Proxy.66 Dạng thay đổi Client Phƣơng pháp kế tiếp sử dụng Proxy setup phải thêm vào những ứng dụng tại máy tính của ngƣời sử dụng. Ngƣời sử dụng thực thi những ứng dụng đặc biệt đó với việc tạo ra sự kết nối thông qua Firewall. Ngƣời sử dụng với ứng dụng đó hành động chỉ nhƣ những ứng dụng không sửa đổi. Ngƣời sử dụng cho địa chỉ của Host đích hƣớng tới. Những ứng dụng thêm vào biết đƣợc địa chỉ Firewall từ file config (file thiết lập) cục bộ, cài đặt sự kết nối đến ứng dụng Proxy trên Firewall, và truyền cho nó địa chỉ cung cấp bởi ngƣời sử dụng. Phƣơng pháp này rất có hiệu quả và có khả năng che dấu ngƣời sử dụng, tuy nhiên, cần có một ứng dụng Client thêm vào cho mỗi dịch vụ mạng là một đặc tính trở ngại. 4.7.5 Ưu điểm và nhược điểm của Proxy Ƣu điểm Proxy không chỉ có giá trị bởi nó làm đƣợc nhiệm vụ của một bộ lọc thông tin, nó còn tạo ra đƣợc sự an toàn cho các khách hàng của nó, firewal Proxy ngăn chặn hiệu quả sự xâm nhập của các đối tƣợng không mong muốn vào máy của khách hàng. Proxy lƣu trữ đƣợc các thông tin mà khách hàng cần trong bộ nhớ, do đó làm giảm thời gian truy tìm làm cho việc sử dụng băng thông hiệu quả. Proxy Server giống nhƣ một vệ sĩ bảo vệ khỏi những rắc rối trên Internet. Một Proxy Server thƣờng nằm bên trong tƣờng lửa, giữa trình duyệt Web và Server thật, làm chức năng tạm giữ những yêu cầu Internet của các máy khách để chúng không giao tiếp trực tiếp Internet. Ngƣời dùng sẽ không truy cập đƣợc những trang Web không cho phép (bị cấm). Mọi yêu cầu của máy khách phải qua Proxy Server, nếu địa chỉ IP có trên Proxy, nghĩa là Website này đƣợc lƣu trữ cục bộ, trang này sẽ đƣợc truy cập mà không cần phải kết nối Internet, nếu không có trên Proxy Server và trang này không bị cấm, yêu cầu sẽ đƣợc chuyển đến Server thật, DNS Server… và ra Internet.67 Proxy Server lƣu trữ cục bộ các trang Web thƣờng truy cập nhất trong bộ đệm để giảm chi phí kết nối, giúp tốc độ duyệt Web nhanh hơn. Proxy Server bảo vệ mạng nội bộ khỏi bị xác định bởi bên ngoài bằng cách mang lại cho mạng hai định danh: một cho nội bộ, một cho bên ngoài. Điều này tạo ra một “bí danh” đối với thế giới bên ngoài và gây khó khăn đối với nếu ngƣời dùng “tự tung tự tác” hay các hacker muốn xâm nhập trực tiếp máy tính nào đó. Nhƣợc điểm Nhƣợc điểm đầu tiên mà chúng tôi thấy do không truy xuất trực tiếp ra bên ngoài mà phải không qua một Proxy Server nên tốc độ truy xuất chậm hơn so với thực tế . Không phải lúc nào chúng tôi cũng có thể kiếm một Proxy Server còn sống (alive) để sử dụng .Và nguy cơ có thể bị tấn công nếu Proxy Server đó mang thông tin nguy hiểm nhƣ hacker lập ra để phúc vụ mục đích xấu. Đôi khi cần một Proxy khác nhau cho mỗi nghi thức, bởi vì Proxy Server phải hiểu nghi thức đó để xác định những gì đƣợc phép và không đƣợc phép. Để thực hiện nhiệm vụ nhƣ là Client đến Server thật và Server thật đến Proxy Client, sự kết hợp, install và config tất cả những Server khác nhau đó có thể rất khó khăn . Mặc dù phần mềm Proxy có hiệu quả rộng rải những dịch vụ lâu đời và đơn giàn nhƣ FPT và Telnet, những phần mềm mới và ít đƣợc sử dụng rộng rãi thì hiếm khi thấy. Thƣờng đó chính là sự chậm trễ giữa thời gianxuất hiện một dịch vụ mới và Proxy cho dịch vụ đó, khoảng thời gian phụ thuộc vào phƣơng pháp thiết kế Proxy cho dịch vụ đó, điều này cho thấy khá khó khăn khi đƣa dịch vụ mới vào hệ thống khi chƣa có Proxy cho nó thì nên đặt bên ngoài fire wall, bởi vì nếu đặt bên trong hệ thống thì đó chính là yếu điểm.68 4.8 Firewall 4.8.1 Giới thiệu Firewall Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật đƣợc tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhâp không mong muốn vào hệ thống. Firewall đƣợc miêu tả nhƣ là hệ phòng thủ bao quanh với các “chốt” để kiểm soát tất cả các luồng lƣu thông nhập xuất. Có thể theo dõi và khóa truy cập tại các chốt này. Các mạng riêng nối với Internet thƣờng bị đe dọa bởi những kẻ tấn công. Để bảo vệ dữ liệu bên trong ngƣời ta thƣờng dùng Firewall. Firewall có cách nào đó để cho phép ngƣời dùng hợp đi qua và chặn lại những ngƣời dùng không hợp lệ. Firewall có thể là thiết bị phần cứng hoặc chƣơng trình phần mềm chạy trên Host bảo đảm hoặc kết hợp cả hai. Trong mọi trƣờng hợp, nó phải có ít nhất hai giao tiếp mạng, một cho mạng mà nó bảo vệ, một cho mạng bên ngoài. Firewall có thể là Gateway hoặc điểm nối liền giữa hai mạng, thƣờng là một mạng riêng và một mạng công cộng nhƣ là Internet. Các Firewall đầu tiên là các Router đơn giản. 4.8.2 Chức năng của Firewall Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. - Cho phép hoặc cấm những dịch vụ truy cập ra ngoài. - Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong. - Theo dõi luồng dữ liệu mạng giữa Internet và Intranet - Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập69 - Kiểm soát ngƣời sử dụng và việc truy cập của ngƣời sử dụng. Kiểm soát nội dung thông tin lƣu chuyển trên mạng. Một Firewall khảo sát tất cả các luồng lƣu lƣợng giữa hai mạng để xem nó có đạt chuẩn hay không. Nếu nó đạt, nó đƣợc định tuyến giữa các mạng, ngƣợc lại nó bị hủy. Một bộ lọc Firewall lọc cả lƣu lƣợng ra lẫn lƣu lƣợng vào. Nó cũng có thể quản lý việc truy cập từ bên ngoài vào nguồn tài nguyên mạng bên trong. Nó có thể đƣợc sử dụng để ghi lại tất cả các cố gắng để vào mạng riêng và đƣa ra cảnh báo nhanh chóng khi kẻ thù hoặc kẻ không đƣợc phân quyền đột nhập. Firewall có thể lọc các gói dựa vào địa chỉ nguồn, địa chỉ đích và số cổng của chúng. Điều này còn đƣợc gọi là lọc địa chỉ. Firewall cũng có thể lọc các loại đặc biệt của lƣu lƣợng mạng. Điều này đƣợc gọi là lọc giao thức bởi vì việc ra quyết định cho chuyển tiếp hoặc từ chối lƣu lƣợng phụ thuộc vào giao thức đƣợc sử dụng, ví dụ HTTP, FTP hoặc Telnet. Firewall cũng có thể lọc luồng lƣu lƣợng thông qua thuộc tính và trạng thái của gói. Một số Firewall có chức năng thú vị và cao cấp, đánh lừa đƣợc những kẻ xâm nhập rằng họ đã phá vỡ đƣợc hệ thống an toàn. Về cơ bản, nó phát hiện sự tấn công và tiếp quản nó, dẫn dắt kẻ tấn công đi theo bằng tiếp cận “nhà phản chiếu” (Hall of Mirrors). Nếu kẻ tấn công tin rằng họ đã vào đƣợc một phần của hệ thống và có thể truy cập xa hơn, các hoạt động của kẻ tấn công có thể đƣợc ghi lại và theo dõi. Nếu có thể giữ kẻ phá hoại trong một thời gian, ngƣời quản trị có thể lần theo dấu vết của họ. Ví dụ, có thể dùng lệnh finger để theo vết kẻ tấn công hoặc tạo tập tin “bẫy mồi” để họ phải mất thời gian truyền lâu, sau đó theo vết việc truyền tập tin về nơi của kẻ tấn công qua kết nối Internet. 4.8.3 Nguyên lý hoạt động của Firewall Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận đƣợc từ các ứng dụng trên mạng, hay nói70 chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS …) thành các gói dữ liệu (data Packets) rồi gán cho các Packet này những địa chỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các Packet và những con số địa chỉ của chúng. Bộ lọc Packet cho phép hay từ chối mỗi Packet mà nó nhận đƣợc. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ của lọc Packet hay không. Các luật lệ lọc Packet này là dựa trên các thông tin ở đầu mỗi Packet (Header), dùng để cho phép truyền các Packet đó ở trên mạng. Bao gồm:Địa chỉ IP nơi xuất phát (Source), Địa chỉ IP nơi nhận (Destination), Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …), Cổng, TCP/UDP nơi xuất phát, Cổng TCP/UDP nơi nhận, Dạng thông báo ICMP, Giao diện Packet đến, Giao diện Packet đi. Nếu Packet thỏa các luật lệ đã đƣợc thiết lập trƣớc của Firewall thì Packet đó đƣợc chuyển qua, nếu không thỏa thì sẽ bị loại bỏ. Việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định đƣợc phép mới vào đƣợc hệ thống mạng cục bộ. Cũng nên lƣu ý là do việc kiểm tra dựa trên header của các Packet nên bộ lọc không kiểm soát đƣợc nội dụng thông tin của Packet. Các Packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. Trong các phần sau chúng tôi sẽ cùng tìm hiểu các kỹ thuật để vƣợt tƣờng lửa. Firewall trong các mô hình mạng OSI và TCP/IP Firewall hoạt động ở các lớp khác nhau sử dụng các chuẩn khác nhau để hạn chế lƣu lƣợng. Lớp thấp nhất mà Firewall hoạt động là lớp 3. Trong mô hình OSI đây là lớp mạng. Trong mô hình TCP/IP đây là lớp IP (Internet Protocol). Lớp này có liên quan tới việc định tuyến các gói tới đích của chúng. Ở lớp này, một Firewall có thể xác định rằng một gói từ một nguồn đáng tin cậy, nhƣng không xác định gói chứa những gì. Ở lớp transport, Firewall biết một ít thông tin về gói và có thể cho71 phép hoặc từ chối truy cập dựa vào các tiêu chuẩn. Ở lớp ứng dụng, Firewall biết nhiều về những gì đang diễn ra và có sự lựa chọn trong việc gán quyền truy cập. IP spoofing (sự giả mạo IP) Nhiều Firewall nghiên cứu các địa chỉ IP nguồn của các gói để xác nhận nếu chúng hợp lý. Một Firewall có thể cho phép luồng lƣu thông nếu nó đến từ một Host đáng tin cậy. Một cracker giả mạo địa chỉ IP nguồn của các gói gửi tới Firewall. Nếu Firewall nghĩ rằng các gói đến từ một Host tin cậy, nó có thể cho chúng đi qua trừ khi một vài chuẩn khác không thỏa. Tất nhiên cracker muốn tìm hiểu về luật của Firewall để khai thác vào điểm yếu này. Một biện pháp hiệu quả chống lại sự giả mạo IP là việc sử dụng giao thức mạng riêng ảo (Virtual Private Network - VPN) nhƣ là IPSec. Biện pháp này đòi hỏi việc mã hóa dữ liệu trong các gói cũng nhƣ địa chỉ nguồn. Phần mềm hoặc phần sụn VPN giải mã gói và địa chỉ nguồn để tiến hành một cuộc kiểm tra (Checksum). Nếu cả dữ liệu lẫn địa chỉ nguồn đã bị giả mạo thì gói sẽ bị hủy. IPSec IPSec có vai trò rất quan trọng trong việc giải quyết các vấn đề mà chúng tôi cố giải quyết nó với Firewall. IPSec (IP Security) đề ra một tập các chuẩn đƣợc phát triển bởi Internet Engineering Tast Force (IETF). IPSec giải quyết hai vấn đề gây hại cho bộ giao thức IP: Sự xác thực Host-to-Host (cho các Host biết là chúng đang nói chuyện với nhau mà không phải là sự giả mạo) và việc mã hóa (ngăn chặn những kẻ tấn công xem dữ liệu trong luồng lƣu lƣợng giữa hai máy). Đây là các vấn đề mà Firewall cần giải quyết. Mặc dù Firewall có thể làm giảm nguy cơ tấn công trên Internet mà không cần sự xác thực và mã hóa, nhƣng vẫn còn hai vấn đề lớn ở đây: tính toàn vẹn và sự riêng tƣ của thông tin đang truyền72 giữa hai Host và sự giới hạn trong việc đặt ra các loại kết nối giữa các mạng khác nhau. IPSec giúp giải quyết các vấn đề này. Có vài khả năng đặc biệt khi chúng tôi xem xét sự kết hợp giữa các Firewall với các Host cho phép IPSec. Cụ thể là, VPN, việc lọc gói tốt hơn (lọc những gói mà có tiêu đề xác thực IPSec), và các Firewall lớp ứng dụng sẽ cung cấp sự xác minh Host tốt hơn bằng cách sử dụng tiêu đề xác thực IPSec thay cho “just trusting” địa chỉ IP hiện tại. 4.8.4 Các dạng Firewall Bất cứ thiết bị nào điều khiển luồng dữ liệu trên mạng vì lý do an toàn đều đƣợc gọi là Firewall. Có nhiều ngƣời, nhiều tài liệu vì những lý do khác nhau mà phân chia Firewall ra thành nhiều loại khác nhau. Từ sự tìm hiểu các tài liệu đó, ở đây chúng tôi chia Firewall làm ba loại dùng các chiến lƣợc khác nhau để bảo vệ tài nguyên trên mạng. Thiết bị Firewall cơ bản nhất đƣợc xây dựng trên các bộ định tuyến và làm việc ở các tầng thấp hơn trong ngăn xếp giao thức mạng. Chúng lọc các gói dữ liệu và thƣờng đƣợc gọi là bộ định tuyến kiểm tra (Screening Router). Các cổng Proxy Server ở đầu cuối trên (High-End) vận hành ở mức cao hơn trong ngăn xếp giao thức. Firewall loại ba dùng kỹ thuật giám sát trạng thái. Các bộ định tuyến thƣờng đƣợc dùng cùng với các Gateway để tạo nên hệ thống phòng thủ nhiều tầng. Riêng với các sản phẩm Firewall thƣơng mại có thể cung cấp tất cả các chức năng tùy theo nhu cầu. Bộ định tuyến kiểm tra (Lọc theo gói - Packet Filtering) Firewall lọc gói hoạt động ở lớp mạng của mô hình OSI, hoặc lớp IP của TCP/IP. Chúng thƣờng là một phần của Router. Router là thiết bị nhận gói từ một mạng và chuyển gói tới mạng khác. Trong Firewall lọc gói, mỗi gói đƣợc so sánh với tập các tiêu chuẩn trƣớc khi nó đƣợc chuyển tiếp. Dựa vào gói và tiêu chuẩn,73 Firewall có thể hủy gói, chuyển tiếp hoặc gởi thông điệp tới nơi tạo gói. Các luật bao gồm địa chỉ IP, số cổng nguồn và đích và giao thức sử dụng. Hầu hết các Router đều hỗ trợ lọc gói. Tất cả các luồng lƣu thông trên Internet đều ở dạng gói. Một gói là một lƣợng dữ liệu có kích thƣớc giới hạn, đủ nhỏ để điều khiển dễ. Khi lƣợng lớn dữ liệu đƣợc gửi liên tục, dễ xảy ra tình trạng hỏng trong việc truyền và tái hợp ở nơi nhận. Một gói là một chuỗi số cơ bản truyền đạt các thứ sau: - Dữ liệu, kiến thức, yêu cầu hoặc dòng lệnh từ hệ thống bắt đầu. - Địa chỉ IP và cổng của nguồn. - Địa chỉ IP và cổng của đích. - Thông tin về giao thức (tập các luật) điều khiển gói. - Thông tin kiểm tra lỗi. Có vài sự sắp xếp thông tin về kiểu và tình trạng của dữ liệu đang đƣợc gửi Trong Packet filtering, chỉ protocol và thông tin địa chỉ của mỗi gói đƣợc kiểm tra. Nội dung và ngữ cảnh (mối liên hệ với các gói khác) của nó bị bỏ qua. Filtering chứa các gói vào ra và cho phép hoặc không cho phép việc lƣu thông của chúng hoặc chấp nhận dựa trên một tập luật nào đó, đƣợc gọi là chính sách (policies). Các chính sách lọc gói có thể căn cứ trên các điều sau: - Cho phép hoặc không cho phép gói dựa vào địa chỉ IP nguồn. - Cho phép hoặc không cho phép gói dựa vào cổng đích. - Cho phép hoặc không cho phép gói dựa theo giao thức. Bộ định tuyến kiểm tra nhìn vào thông tin liên quan đến địa chỉ cứng (hardwired) của máy tính, địa chỉ IP của nó (lớp mạng) và loại kết nối (lớp74 transport), và sau đó lọc các gói dữ liệu dựa trên những thông tin này. Bộ định tuyến kiểm tra có thể là thiết bị định tuyến độc lập hoặc máy tính gắn hai card mạng. Bộ định tuyến nối giữa hai mạng và thực hiện lọc gói dữ liệu để điều khiển luồng lƣu thông giữa các mạng. Ngƣời quản trị lập trình cho thiết bị với các luật xác định cách lọc gói dữ liệu. Ví dụ, bạn có thể thƣờng xuyên ngăn các gói của một dịch vụ nào đó nhƣ FTP (File Transfer Protocol) hay HTTP (Hyper Text Transfer Protocol). Tuy vậy, các luật bạn xác định cho bộ định tuyến có thể không đủ để bảo vệ tài nguyên trên mạng. Những luật này có thể rất khó cài đặt và dễ có lỗi, tạo nên những lỗ hỏng trong hệ thống phòng thủ. Đây là kiểu cơ bản nhất của Firewall. Ƣu điểm: - Tƣơng đối đơn giản và tính dễ thực thi. - Nhanh và dễ sử dụng. - Chi phí thấp và ít ảnh hƣởng đến performance của mạng. - Rất hiệu quả trong việc đóng khối các kiểu riêng biệt của lƣu lƣợng, và đôi khi nó là một phần của hệ thống Firewall tổng quan. Ví dụ, telnet có thể dễ dàng đƣợc đóng khối bằng cách áp dụng một filter để đóng khối TCP cổng 23 (telnet). Nhƣợc điểm: - Thông tin địa chỉ trong một gói có thể bị xuyên tạc hoặc bị đánh lừa bởi ngƣời gửi - Dữ liệu hoặc các yêu cầu chứa trong một gói cho phép có thể có điều không mong muốn xảy ra, một hacker khai thác một chỗ sai sót trong một chƣơng trình Web Server hoặc sử dụng một mật mã bất chính để thu đƣợc quyền điều khiển hoặc truy cập. - Packet Filter không thể thực hiện việc xác thực ngƣời dùng.75 Các Proxy Server Gateway Gateway là các thiết bị mức ứng dụng, cung cấp nhiều cơ hội hơn để theo dõi và điều khiển truy cập mạng. Một fireware Gateway hoạt động nhƣ ngƣời trung gian, chuyển tiếp các thông điệp giữa khách/dịch vụ nội và ngoại. Dịch vụ ủy thác (Proxy service) có thể “biểu diễn” ngƣời dùng nội trên internet bằng cách thay đổi địa chỉ IP của khách trong các gói dữ liệu sang địa chỉ IP của riêng nó. Kỹ thuật này về cơ bản che dấu hệ thống nội và bảo đảm rằng những ngƣời dùng nội không kết nối trực tiếp với hệ thống bên ngoài. Proxy Server có thể đánh giá và lọc tất cả các gói dữ liệu đến hoặc ngăn các gói dữ liệu đi ra. Một số Proxy Server đƣợc thiết kế để cho phép chỉ những ngƣời dùng nội truy cập internet và không cho phép bất cứ ngƣời dùng ngoại nào trong mạng. Vì mọi yêu cầu đến internet Server đều tạo ra phản hồi, Proxy Server phải cho phép luồng giao thông quay về, nhƣng nó thực hiện điều này bằng cách chỉ cho phép luồng lƣu thông là một phản hồi nào đó của ngƣời dùng nội. Các loại Proxy Server khác cung cấp dịch vụ chuyển tiếp an toàn theo cả hai chiều. Proxy Server còn có thể cung cấp dịch vụ Cache cho ngƣời dùng nội. Nó lƣu trữ thông tin về các nơi (Site) để ngƣời dùng truy cập nhanh hơn. Khi ngƣời dùng truy cập đến những nơi này, thông tin đƣợc lấy từ vùng Cache đã lƣu trữ trƣớc đó. Có hai loại Proxy Server: mức bản mạch và mức ứng dụng. Gateway mức-MẠNG Còn đƣợc gọi là “Circuit Level Gateway”, đây là hƣớng tiếp cận Firewall thông qua kết nối trƣớc khi cho phép dữ liệu đƣợc trao đổi. Circuit Level Gateway (CLG) hoạt động ở lớp session của mô hình OSI, hoặc lớp TCP của mô hình TCP/IP. Chúng giám sát việc bắt tay TCP (TCP handshaking) giữa các gói để xác định rằng một phiên yêu cầu là phù hợp. Thông tin tới máy tính từ xa thông qua một CLG, làm cho máy tính ở xa đó nghĩ là thông76 tin đến từ Gateway. Điều này che dấu đƣợc thông tin về mạng đƣợc bảo vệ. CLG thƣờng có chi phí thấp và che dấu đƣợc thông tin về mạng mà nó bảo vệ. Ngƣợc lại, chúng không lọc các gói. Firewall không chỉ cho phép (Allow) hoặc không cho phép (Disallow) gói mà còn xác định kết nối giữa hai đầu cuối có hợp lệ theo các luật hay không, sau đó mở một session (phiên làm việc) và cho phép luồng lƣu thông và có sự giới hạn thời gian. Một kết nối đƣợc xem là hợp lệ phải dựa vào các yếu tố sau: - Địa chỉ IP và/hoặc cổng đích, Địa chỉ IP và/hoặc cổng nguồn, Thời gian trong ngày (time of day), Giao thức (protocol), Ngƣời dùng (User), Mật khẩu (password). - Mỗi phiên trao đổi dữ liệu đều đƣợc kiểm tra và giám sát. Tất cả các luồng lƣu lƣợng đều bị cấm trừ khi một phiên đƣợc mở. Loại Proxy Server này cung cấp kết nối (có điều khiển) giữa các hệ thống nội và ngoại. Có một mạch ảo giữa ngƣời dùng nội và Proxy Server. Các yêu cầu internet đi qua mạch này đến Proxy Server, và Proxy Server chuyển giao yêu cầu này đến internet sau khi thay đổi địa chỉ IP. Ngƣời dùng ngoại chỉ thấy địa chỉ IP của Proxy Server. Các phản hồi đƣợc Proxy Server nhận và gởi đến ngƣời dùng thông qua mạch ảo. Mặc dù luồng lƣu thông đƣợc phép đi qua, các hệ thống ngoại không bao giờ thấy đƣợc hệ thống nội. Loại kết nối này thƣờng đƣợc dùng để kết nối ngƣời dùng nội “đƣợc ủy thác” với internet. Circuit Level Filtering có ƣu điểm nổi trội hơn so với Packet Filter. Nó khắc phục đƣợc sự thiếu sót của giao thức UDP đơn giản và dể bị tấn công. Bất lợi của Circuit Level Filtering là hoạt động ở lớp Transport và cần có sự cải tiến đáng kể của việc cài đặt để cung cấp các chức năng truyền tải (chẳng hạn nhƣ Winsock).77 Gateway Mức-Ứng-Dụng (Application Gateway) Các Gateway mức ứng dụng, còn đƣợc gọi là các Proxy, tƣơng tự nhƣ các Gateway mức mạng ngoại trừ việc chỉ định các ứng dụng. Chúng có thể lọc gói ở lớp ứng dụng của mô hình OSI. Các gói vào hoặc ra không thể truy cập các dịch vụ mà không có Proxy. Một Gateway mức ứng dụng đƣợc cấu hình nhƣ một Web Proxy sẽ không cho bất kỳ FTP, Gopher, Telnet hoặc lƣu lƣợng khác xuyên qua. Bởi vì chúng kiểm tra các gói ở lớp ứng dụng, chúng có thể lọc các dòng lệnh chỉ định ứng dụng nhƣ http:post và get, etc. Điều này không thể đƣợc thực hiện với Firewall lọc gói và Firewall mức mạch, cả hai điều không biết gì về thông tin lớp ứng dụng. Các Gateway mức ứng dụng còn có thể đƣợc sử dụng để ghi lại các hoạt động và các login của User. Chúng đề ra cấp độ bảo mật cao, và có sự tác động mạnh về Performance của mạng. Bởi vì sự thay đổi ngữ cảnh mà làm chậm mạng truy cập một cách đột ngột. Chúng không dễ thực hiện (Transparent) ở đầu cuối ngƣời dùng và yêu cầu sự cấu hình thủ công ở mọi máy Client. Một Proxy Server là cách để tập trung các dịch vụ ứng dụng thông qua một máy đơn lẻ. Nó hoạt động nhƣ một trung gian giữa một Client và một Server, và đƣợc thi hành nhƣ một ứng dụng đang chạy cùng chung với một hệ điều hành đa năng (General-Purpose OS). Một máy đơn lẻ (Bastion Host) hoạt động nhƣ một Proxy Server với nhiều giao thức (Telnet, SMTP, FTP, HTTP,...) nhƣng cũng có một máy đơn lẻ chỉ hoạt động với mỗi một dịch vụ. Thay vì kết nối trực tiếp với Server bên ngoài, Client kết nối với Proxy Server, Proxy Server kết nối với Server bên ngoài. Proxy Server mức ứng dụng cung cấp tất cả các chức năng cơ bản của Proxy Server, cho phép các cuộc trao đổi dữ liệu với hệ thống từ xa nhƣng hệ thống này không thấy đƣợc máy ở bên trong Firewall. Nó còn phân tích các gói dữ liệu. Khi các gói từ bên ngoài đến cổng này, chúng đƣợc kiểm tra và đánh giá để xác định chính sách an toàn có cho phép gói78 này đi vào mạng nội bộ hay không. Proxy Server không chỉ đánh giá địa chỉ IP, nó còn nhìn vào dữ liệu trong gói để ngăn những kẻ đột nhập cất dấu thông tin trong đó. Với các Proxy Server, các chính sách an toàn mạnh hơn và mềm dẻo hơn nhiều vì tất cả thông tin trong các gói đƣợc ngƣời điều hành sử dụng để ghi các luật xác định cách xử lý các gói. Có thể giám sát dễ dàng mọi việc xảy ra trên Proxy Server. Các Gateway mức ứng dụng đƣợc xem là loại an toàn nhất của Firewall. Chúng có những khả năng tinh vi nhất. Firewall mức ứng dụng có khuynh hƣớng cung cấp các report chi tiết và có khuynh hƣớng an toàn hơn các Firewall mức mạng. Tuy nhiên, việc cài đặt rất phức tạp, yêu cầu sự quan tâm chi tiết các ứng dụng riêng lẻ sử dụng Gateway. Stateful Multilayer Inspection Firewall Các Firewall kiểm tra nhiều lớp kết hợp hình thức của ba loại Firewall (lọc gói, mức mạng và mức ứng dụng). Chúng lọc các gói ở lớp mạng, xác định các gói phù hợp và đánh giá nội dung các gói tại lớp ứng dụng. Chúng cho phép kết nối trực tiếp giữa Client và Host, làm giảm vấn đề do Transparent gây ra ở các Gateway mức ứng dụng. Chúng dựa vào các thuật toán để nhận ra và xử lý dữ liệu lớp ứng dụng thay cho việc chạy các Proxy chỉ định ứng dụng. Stateful Multilayer Inspection Firewalls đề ra cấp độ bảo mật cao, Performance tốt và Transparent đối với đầu cuối ngƣời dùng. Tuy nhiên, chi phí rất đắt, và độ phức tạp của nó có thể làm giảm độ an toàn hơn so với các loại Firewall thông thƣờng nếu nhƣ không đƣợc quản trị bởi đội ngũ thành thạo.79 4.8.5 ISA Server 2006 Giới thiệu về ISA Server 2006 Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm xây dựng bức tƣờng lửa (Firewall) khá nổi tiếng và đƣợc sử dụng khá phổ biến của hãng phần mềm Microsoft. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, Firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tƣơng thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ Cache thông minh, với tính năng lƣu Cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động Download thông tin trên các WebServer lƣu vào Cache và máy con chỉ cần lấy thông tin trên các WebServer đó bằng mạng LAN). Ngoài ra còn rất nhiều các tính năng khác nữa. Các phiên bản của ISA Server 2006 Standard : ISA Server 2006 Standard đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công ty có quy mô trung bình. Enterprise :ISA Server 2006 Enterprise đƣợc sử dụng trong các mô hình mạng lớn, đáp ứng nhiều yêu cầu truy xuất của ngƣời dùng bên trong và ngoài hệ thống. Ngoài những tính năng đã có trên ISA Server 2006, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải).80 Tính năng chính của ISA Server 2006 ISA Server là một trong các phần mềm máy chủ thuộc dòng .NET Enterprise Server. Các sản phẩm thuộc dòng .NET Enterprise Server là các Server ứng dụng toàn diện của Microsoft trong việc xây dựng, triển khai, quảnlý, tích hợp, các giải pháp dựa trên Web và các dịch vụ. ISA Server mang lạimột số các lợi ích cho các tổ chức cần kết nối Internet nhanh, bảo mật, dễ quảnlý. - Truy cập Web nhanh với Cache hiệu suất cao:  Ngƣời dùng có thể truy cập Web nhanh hơn bằng các đối tƣợng tại chỗ trong Cache so với việc phải kết nối vào Internet lúc nào cũng tiềm tàng nguy cơ tắc nghẽn.  Giảm giá thành băng thông nhờ giảm lƣu lƣợng internet.  Phân tán nội dung của các Web Server và các ứng dụng thƣơng mại điệnt ử một cách hiệu quả, đáp ứng đƣợc nhu cầu khách hàng trên toàn cầu (khả năng phân phối nội dung Web chỉ có trên phiên bản ISA Server Enterprise). - Kết nối Internet an toàn nhờ nhiều lớp  Bảo vệ mạng trƣớc các truy nhập bất hợp pháp bằng cánh giám sát lƣu lƣợng mạng tại nhiều lớp.  Bảo vệ các máy chủ Web, Email và các ứng dụng khác khỏi sự tấn công từ bên ngoài bằng việc sử dụng Web và Server quảng bá để xử lý một cách an toàn các yêu cầu đến.  Lọc lƣu lƣợng mạng đi và đến để đảm bảo an toàn.  Cung cấp truy cập an toàn cho ngƣời dùng hợp lệ từ Internet tới mạng nội tại nhờ sử dụng mạng riêng ảo (VPN) . - Quản lý thống nhất với sự quản trị tích hợp  Điều khiển truy cập tập trung để đảm bảo tính an toàn và phát huy hiệu lực của các chính sách vận hành.81  Tăng hiệu xuất nhờ việc giới hạn truy cập tới internet của một số các ứng dụng và đích đến.  Cấp phát băng thông để phù hợp với các ƣu tiên.  Cung cấp các công cụ giám sát để chỉ ra các kết nối internet đƣợc sử dụng nhƣ thế nào.  Tự động hóa các dịch vụ nhờ sử dụng script. - Khả năng mở rộng  Chú trọng tới an toàn và thi hành nhờ sử dụng ISA Server Software development kit (SDK) với các thành phần bổ sung.  Chƣc năng mở rộng an toàn cho các sản xuất thứ ba.  Tự động các tác vụ quản trị với các đối tƣợng script COM (Component Object Model).82 CHƢƠNG 5 -QUẢN LÝ VÀ DUY TRÌ HỆ THỐNG MẠNG 5.1 Các khái niệm 5.1.1 Khái niệm về Administrator Là ngƣời quản trị một phần hay toàn bộ hệ thống mạng từ phần cứng cho đến phần mềm. Administrator có thể là ngƣời thiết lập hệ thống mạng hoặc đƣợc trao quyền quản lý sau khi hệ thống mạng đã đƣợc cài đặt. Administrator có thể chia ra làm 2 loại: System Adminstrator và Network Administror. - System Administrator:  Là ngƣời quản trị về phần hệ thống nhƣ cài đặt dịch vụ mạng, triền khai phần mềm, quản lý ngƣời dùng…  System Administrator làm việc liên quan đến các tầng cao trong mô hình OSI. Cụ thể là các tầng: tầng giao vận , tầng phiên, tầng trình diễn và tầng ứng dụng.  Theo đó, System Administrator là ngƣời sẽ làm việc trực tiếp với hệ điều hành của máy chủ, xây dựng và triển khai các dịch vụ mạng, thiết lập các quyền truy cập, quản lý ngƣời dùng, quản lý tài nguyên trong hệ thống mạng…  System Administrator sẽ làm việc trực tiếp với Active Directory và sẽ xây dựng các Rule trong Group Policy để đảm bảo tính bảo mật cho các tài nguyên mạng. Cùng với đó, System Administrator cũng phải xây dựng một hệ thống vững chắc và có những biện pháp hợp lý để đứng vững trƣớc những cuộc tấn công từ bên ngoài, đảm bảo thông tin trong hệ thống mạng đƣợc tồn tại. Nhƣ vậy System Administrator là ngƣời sẽ xây dựng, triển khai và quản lý 8 dịch vụ đã nêu ở chƣơng trƣớc: DHCP, DNS, Mail Server, Web Server, FTP, Domain Controller, Proxy, Firewall. Thiết lập các Rule, quản lý tài nguyên và bảo mật thông tin.83 - Network Administrator:  Là ngƣời quản trị thiên về phần cứng, là những ngƣời có hiểu biết về phần vật lý, nguyên lý hoạt động của hệ thống. Cụ thể, họ sẽ làm việc trực tiếp với Router, Switch, Hub… Họ sẽ quản lý việc hoạt động và kết nối các hệ thống mạng với nhau nhƣ thế nào.  Network Administrator sẽ làm việc liên quan đến 3 tầng còn lại trong mô hình OSI: tầng vật lý, tầng liên kết và tầng mạng.  Trong công việc, Network Administrator là ngƣời xây dựng nền móng đầu tiên cho mô hình mạng, Network Administrator sẽ định hình trong đầu hạ tầng mạng mà mình sẽ xây dựng sau đó hiển thị mô hình đó lên bảng vẽ bằng các công cụ nhƣ: Microsoft Visio…  Sau khi đã thể hiên đƣợc ý tƣởng lên bảng vẽ thì Network Administrator sẽ bắt tay vào thực hiện ý tƣởng. Trong đề tài này, nhiệm vụ của Network Administrator sẽ là xây dựng mô hình VPN, cấu hình VPN cho 2 nhánh, cấu hình IP hợp lý cho từng nhánh, phân chia môi trƣờng trong 1 nhánh… Vậy Network Administrator là những ngƣời quản trị hạ tầng mạng , họ làm việc trực tiếp với phần cứng và bộ phận vật lý trong hệ thống mạng. Họ là ngƣời tạo ra mô hình mạng và xây dựng nó một cách hoàn chỉnh trƣớc khi giao lại cho System Administrator thực hiện các dịch vụ. Tuy nhiên, cũng có trƣờng hợp ngoại lệ. Đối với các doạnh nghiệp nhỏ, mô hình mạng đơn giản thì Network Administrator và System Administrator thƣờng là một ngƣời. Họ sẽ thiết kế mô hình mạng, xây dựng, quản lý và chạy các dịch vụ trong hệ thống mạng.84 5.1.2 Khái niệm về Backup và restore Backup và Restore Là tiện ích cần thiết mà Windows Server cung cấp cho nhà quản trị hệ thống. Backup Là một tiện ích để đề phòng hệ thống gặp sự cố. Quá trình Backup sẽ sao lƣu toàn bộ thông tin của hệ thống và những dữ liệu quan trọng vào một file nén riêng biệt và nhà quản trị có thể lƣu trữ nó trên bất cứ một thiết bị ngoại vi nào khác. Thông thƣờng, khi một mô hình mạng hoạt động ở thế giới thực, hệ thống luôn đứng trƣớc nguy cơ bị tấn công từ bên ngoài. Đó có thể là những cuộc tấn công có chủ đích từ những Hacker, các công ty đối địch hay chỉ là nhiễm những con Virus, Trojan đƣợc phát tán bừa bãi trên Internet. Thậm chí là khi hoạt động một thời gian, hệ thống sẽ phát sinh những lỗi ngoài ý muốn. Với những nguy cơ trên, cho dù các nhà quản trị có phòng chống hay cẩn thận đến đâu đi chăng nữa thì cũng không thể kiểm soát 100% việc mất mát dữ liệu khi xảy ra sự cố ngoài ý muốn. Có những dữ liệu sau khi mất vẫn có thể làm lại, nhƣng có những dữ liệu khi mất đi sẽ không thể làm lại hoặc làm lại sẽ mất rất nhiều thời gian. Khi một hệ thống bị sập, việc cần thiết là phải phục hồi dữ liệu cho hệ thống một cách nhanh nhất vì hệ thống máy chủ là hệ thống điều khiển toàn bộ hệ thống mạng vận hành, khi hệ thống máy chủ sập thì xem nhƣ toàn bộ hệ thống mạng sẽ bị tê liệt hoàn toàn. Với các công ty thì việc này sẽ có lợi một chút nào cả. Vì vậy, việc Backup cho hệ thống máy chủ là việc hết sức quan trọng khi triển khai bất cứ mô hình mạng nào. Có thể Backup toàn bộ dữ liệu của hệ thống (khi đó dung lƣợng file nén sẽ rất lớn, quá trình phục hồi lâu hơn) hoặc Backup những dữ liệu quan trọng: Cơ sở dữ liệu, thông tin ngƣời dùng, tài nguyên quan trọng… (khi đó dung lƣợng file nén sẽ nhỏ hơn quá trình phục hồi nhanh hơn).85 Thông thƣờng, trong hệ thống mạng thực, các nhà quản trị thƣờng có 2 máy chủ: một máy chủ hoạt động chính và một máy chủ dự phòng. Khi đó, việc Backup sẽ diễn ra rất nhanh chóng với những dữ liệu quan trọng và file nén thƣờng là không quá lớn. Khi máy chủ chính bị lỗi hoặc bị tấn công thì nhà quản trị sẽ khởi động máy chủ dự phòng và Restore dữ liệu từ máy chủ chính sang. Việc Restore này sẽ diễn ra rất nhanh chóng và đảm bảo cho một hệ thống mạng đƣợc trở lại hoạt động bình thƣờng một cách sớm nhất có thể. Restore Là một quá trình phục hồi dữ liệu trƣớc đó đã đƣợc Backup khi hệ thống xảy ra lỗi ngoài ý muốn hoặc bị tấn công từ thế giới bên ngoài. Tùy theo dung lƣợng file nén trƣớc đó Backup mà tốc độ và thời gian Restore thay đổi.86 TÀI LIỆU THAM KHẢO TIẾNG VIỆT 1. Giáo trình mạng máy tính và quản trị mạng Windows Server 2003 (http://nhuttrung.wordpress.com). 2. nhiều tác giả, Giáo trình quản trị mạng. 3. Tìm hiểu về FTP (http://4vn.eu) truy cập ngày 23/04/2014. 4. http://vi.wikipedia.org. 5. computer.howstuffworks.com. 6. www.network-insider.net. 7. www.isaServer.org. 8. Giới thiệu về hệ thống Mail (http://mang.forumb.biz). Truy cập ngày 01/05/2014 TIẾNG ANH 9. SAP Virtual Machine Container (https://help.sap.com) truy cập ngày 12/04/2014 10. XenServer (http://www.xenserver.org) truy cập ngày 12/05/2014 11. VPN, Windows Server 2003, DHCP, Domain Controller, DNS, Mail, Web, FTP, Proxy, Firewall (http://en.wikipedia.org)87 PHỤ LỤC I. Mô Hình Tổng Quan.88 II. Sơ Đồ Mô Hình VPN. III. Các bƣớc cài đặt dịch vụ. 1. DHCP - Từ cử sổ Configure Your Server Winzard chọn DHCP Server89 - Đặt tên cho DHCP - Chọn range IP đƣợc phép cấp (IP sẽ đƣợc Domain Controller từ 192.168.2.10/24 tới 192.168.2.253/24)90 - Chọn range IP đặc thù.91 - Test: - Vào command line: gõ ipconfig /release để gõ bỏ địa chỉ IP hiện tại. - Gõ ipconfig /renew để xin cấp IP động. Yêu cầu: IP đƣợc cấp phải cùng đƣờng mạng với Server cấp IP.92 2. DNS (Domain Name System) - Tại Windows Server 2003: Vào Start -> Administrator Tools -> Manage Your Server -> Add Server Role. - Tạo Forward lookup Zone và reverse lookup Zone93 - Tạo Primary Zone94 - TạoZoneName:95 - Tạo Reverse Lookup Zone: - Nhấn Next96 - Tạo NewHost Và NewAlias tại Forward Lookup Zone97 - Tạo PTR tại Reverse Lookup Zone98 3. Web Server - Cài đặt dịch vụ IIS cho Server. - Từ cửa sổ Configure Your Server Winzard chọn Application Server (IIS, ASP.NET) - Tạo New Website99 - Chọn IP đƣợc sử dụng cho Website - Chọn đƣờng dẫn tới thƣ mục chứa trang Web nội bộ100 - Thêm tiêu đê trang Web và Moveup nó lên đầu - Test:101 4. MAIL SERVER - Cài đặt phần mềm Mail Server: MDaemon (khai báo IP và DNS hiện tại của Server trong phần cài đặt). - Sau khi chạy chƣơng trình sẽ có giao diện nhƣ sau - Tạo tài khoản mail102 - Nhập đầy đủ thông tin để tạo tài khoản Mail: - Sau khi tạo xong tài khoản ta vào edit để xem tài khoản đã đƣợc thêm vào hay chƣa103 - Sau khi tạo xong ta test: Vào Outlook của Server 2003 và đăng nhập tài khoàn 1. - Đăng nhập tài khoản 2 với máy XP Client104 - Dùng tài khoản XP gửi mail cho máy Server 2003 - Máy Server2003 nhận mail thành công. Quá trình cài đặt hoàn tất.105 5. FTP - Cài đặt FTP Server - Sau khi cài đặt xong, ta chạy IIS và tạo 1 FTP Site mới.106 - Cài đặt IP để trao đổi file và mặc định là Port 21. - Chọn Users có thể trao đổi file: ở đây ta chọn Do not isolation User.107 - Chọn thƣ mục nguồn, nơi lƣu file cần trao đổi. - Chọn quyền khi thực hiện trao đổi.108 - Test:109 6. Domain Controller - Cài đặt Domain Controller với Manager Your Server.110 - Chọn cài đặt DC cho 1 Domain mới.111 - Chọn tên Domain để cài đặt DC. - Chọn đƣờng dẫn để chứa file source của DC sau đó nhấn next 2 lần112 - Quá trình cài đặt bắt đầu. - Lƣu ý: khi cài đặt DC thì dịch vụ DHCP cần phải authorize lại 1 lần nữa mới chạy đƣợc.113 - Sau khi cài đặt xong, ta tạo thêm các OU, Users, Group.114 - Test:115 7. Firewall - Khi cài đặt Firewall cần lƣu ý: Firewall Server cần có 2 card mạng là: Internal (kết nối với các máy trong cùng đƣờng mạng nội bộ) và External (kết nối với các máy tính bên ngoài, khác đƣờng mạng). - Chọn Card Local Area Connection làm card External. - Set IP cho card External116 - Chọn Card: Local Area Connection 2 làm card Internal. - Cài đặt phần mềm ISA Management để cài đặt Firewall.117 - Sau khi cài đặt xong, chọn Firewall Policy sau đó chọn Creat Access Rule để tạo rule cho Firewall - Chọn Allow hoặc Deny để cho phép hoặc chặn.118 - Chọn Traffic mà áp dụng Rule. - Chọn Source áp dụng rule119 - Chọn Destination để áp dụng rule - Chọn Users để áp dụng rule120 - Chọn apply để áp dụng các cài đặt121 - Test:122 8. Proxy Server - Đối với Proxy Server thì ta cũng cần có 2 card mạng là External và Internal. - Chọn Card Local Area Connection làm card External. - Đặt IP cho card123 - Chọn Card Local Area Connection 2 làm card Internal. - Đặt IP124 - Cài đặt ISA Management 2006125 - Để cấu hình Proxy đầu tiên ta cấu hình dung lƣợng bộ nhớ Cache.126 - Tạo Rule - Destination là External127 - Nhấn next 2 lần128 - Đối với những Object có size lớn hơn 10MB thì không Cache.129 - Cấu hình Firewall cho để ra Internet. - Khởi động Web Proxy130 - Không cho các máy đi ra net thông qua cơ chế NAT