BÀI GIẢNG MƠN: MẠNG MÁY TÍNH Biên soạn: Vũ Quốc Oai GIỚI THIỆU MƠN HỌC • Mục đích mơn học – Kiến thức mạng máy tính – Mơ hình tham khảo OSI – Mơ hình TCP/IP • Thời lượng: buổi học GIỚI THIỆU MÔN HỌC • Nội dung mơn học – Chương 1: Tổng quan mạng máy tính – Chương 2: Cấu trúc mạng – Chương 3: Phương tiện truyền dẫn thiết bị mạng – Chương 4: Data link – Chương 5: TCP/IP – Chương 6: Khái niệm bảo mật mạng – Bài tập CHƯƠNG 1: • • • • TỔNG QUAN VỀ MẠNG MÁY TÍNH Khái niệm mạng máy tính Ứng dụng mạng máy tính Phân loại mạng máy tính Mơ hình OSI Khái niệm mạng máy tính • Một tập hợp máy tính độc lập kết nối cấu trúc • Hai máy tính gọi kết nối chúng trao đổi thơng tin • Kết nối dây đồng, cáp quang, sóng ngắn, sóng hồng ngoại, truyền vệ tinh… Ứng dụng mạng máy tính • Chia sẻ thơng tin • Chia sẻ phần cứng phần mềm • Quản lý tập trung Phân loại mạng máy tính • Cách phân loại mạng máy tính sử dụng phổ biến dựa theo khoảng cách địa lý mạng: Lan, Man, Wan • Theo kỹ thuật chuyển mạch mà mạng áp dụng: mạng chuyển mạch kênh, mạng chuyển mạch thơng báo, mạng chuyển mạch gói • Theo cấu trúc mạng: hình sao, hình tròn, tuyến tính… • Theo hệ điều hành mà mạng sử dụng: Windows, Unix, Novell… LANs (Local Area Networks) • • • • • • Có giới hạn địa lý Tốc độ truyền liệu cao Tỷ lệ lỗi truyền thấp Do tổ chức quản lý Sử dụng kỹ thuật Ethernet Token Ring Các thiết bị thường dùng mạng Repeater, Brigde, Hub, Switch, Router 802.3 Ethernet 802.5 Token Ring LANs MANs (Metropolitan Area Networks) • Có kích thước vùng địa lý lớn LAN • Do tổ chức quản lý • Thường dùng cáp đồng trục cáp quang 10 Bảo mật e-mail  Alice muốn gửi e-mail bí mật, m, đến Bob KS m KS( ) KS(m ) + KS + KB( ) KB+ KS(m ) Internet + KB(KS ) + KB(KS ) KS( ) m KS - KB ( ) KB- Alice: Bob:  sinh khóa riêng đối xứng ngẫu  dùng khóa riêng anh để giải nhiên, KS  mã hóa thơng điệp với KS  mã hóa KS với khóa công cộng Bob  gửi KS(m) KB(KS) cho Bob mã phục hồi KS  dùng KS để giải mã KS(m) phục hồi m 224 Bảo mật e-mail  Alice muốn cung cấp toàn vẹn thông điệp chứng thực người gửi KA+ KA- m H( ) - KA( ) - - KA(H(m)) KA(H(m)) + Internet m + KA( ) - H(m ) compare m H( ) H(m )  Alice ký số thông điệp  gửi thông điệp (dạng rõ ràng) chữ ký số 225 Bảo mật e-mail • Alice muốn cung cấp tồn vẹn thơng điệp chứng thực người gửi  bí mật KA- m H( ) - - KA(H(m)) KA( ) + KS KS( ) + m KS + KB( ) K+ B Internet + KB(KS ) Alice dùng khóa: khóa riêng ấy, khóa cơng cộng Bob, khóa đối xứng vừa tạo 226 Pretty good privacy (PGP) • • • • Chuẩn thực tế để mã hóa Một thơng điệp ký PGP email Internet Dùng mã hóa khóa đối xứng, -BEGIN PGP SIGNED MESSAGE khóa cơng cộng, hàm băm Hash: SHA1 chữ ký số trình bày Bob:My husband is out of town trước tonight.Passionately yours, A Hỗ trợ đồng nhất, chứng thực -BEGIN PGP SIGNATURE người gửi, bí mật Version: PGP 5.0 Charset: noconv Người phát minh: Phil yhHJRHhGJGhgg/12EpJ+lo8gE4vB3mqJ Zimmerman hFEvZP9t6n7G6m5Gw2 -END PGP SIGNATURE - 227 Secure sockets layer (SSL) • Bảo mật lớp transport với ứng dụng dựa TCP dùng dịch vụ SSL • Dùng trình duyệt Web, server thương mại điện tử • Các dịch vụ bảo mật: – Chứng thực server – Mã hóa liệu – Chứng thực client (tùy chọn) • Chứng thực server: – Trình duyệt cho phép SSL chứa khóa cơng cộng cho CA tin cậy – Trình duyệt yêu cầu chứng server, phát CA tin cậy – Trình duyệt dùng khóa cơng cộng CA để trích khóa cơng cộng server từ chứng • Kiểm tra trình duyệt bạn để thấy CA tin cậy 228 SSL (tt) Mã hóa phiên làm việc SSL : • SSL: sở IETF Transport Layer Security • Trình duyệt sinh khóa (TLS) phiên đối xứng, mã hóa với khóa cơng cộng • SSL dùng cho server, gửi khóa (đã mã hóa) ứng dụng khơng Web, cho server IMAP • Dùng khóa riêng, server giải • Chứng thực client mã khóa phiên hồn thành với chứng client • Trình duyệt, server biết khóa phiên – Tất liệu gửi vào TCP socket (do client server) mã hóa khóa phiên 229 IPSec: bảo mật lớp Network • • • Bảo mật lớp Network: • – host gửi mã hóa liệu IP datagram – đoạn TCP & UDP; thông điệp ICMP & SNMP • Chứng thực lớp Network: – host đích chứng thực • địa IP nguồn giao thức bản: – authentication header (AH) – encapsulation security payload (ESP) Với AH ESP, nguồn – đích bắt tay nhau: – tạo kênh logic lớp network gọi security association (SA) Mỗi SA theo chiều nhất xác định bởi: – giao thức bảo mật (AH ESP) – địa IP nguồn – ID kết nối 32-bit 230 Giao thức AH • Hỗ trợ chứng thực nguồn, tồn vẹn liệu, khơng tin cậy • AH header chèn vào IP header, trường liệu • Trường giao thức: 51 • Trung gian xử lý datagram bình thường IP header AH header AH header chứa: • Nhân dạng kết nối • Dữ liệu chứng thực: thơng điệp ký từ nguồn tính tốn dựa IP datagram gốc • Trường header kế tiếp: xác định kiểu liệu (vd: TCP, UDP, ICMP) liệu (vd: TCP, UDP, ICMP) 231 Giao thức ESP • Hỗ trợ tồn vẹn liệu, chứng thực host, tính bí mật • Mã hóa liệu, ESP trailer • Trường header nằm ESP trailer • Trường chứng thực ESP tương tự AH • Protocol = 50 chứng thực mã hóa ESP ESP IP header ESP TCP/UDP segment header trailer authent 232 Bảo mật IEEE 802.11 • Khảo sát: – 85% việc sử dụng mà khơng có mã hóa/chứng thực – Dễ dàng bị phát hiện/nghe ngóng nhiều loại cơng khác! • Bảo mật 802.11 – Mã hóa, chứng thực – Thử nghiệm bảo mật 802.11 Wired Equivalent Privacy (WEP): có thiếu sót – Thử nghiệm tại: 802.11i 233 Wired Equivalent Privacy (WEP): • Chứng thực giao thức ap4.0 – host yêu cầu chứng thực từ access point – access point gửi 128 bit – host mã hóa dùng khóa đối xứng chia sẻ – access point giải mã, chứng thực host • Khơng có chế phân bố khóa • Chứng thực: cần biết khóa chia sẻ 234 Wi-Fi Protected Access (WPA) • Hai cải tiến so với WEP: – Mã hóa liệu cải tiến thơng qua giao thức Temporal Key Integrity Protocol (TKIP) TKIP scrambles key sử dụng thuật tốn hashing đặc tính kiểm tra số ngun, đảm bảo Key không bị giả mạo – Chứng thực người dùng, thơng qua EAP • WPA tiêu chuẩn tạm thời mà thay với chuẩn IEEE 802.11i 235 802.11i: cải tiến bảo mật • Rất nhiều (và chắn hơn) dạng mã hóa • Hỗ trợ phân bố khóa • Dùng chứng thực server tách riêng khỏi AP 236 EAP: Extensible Authentication Protocol • EAP gửi “link” riêng biệt – mobile-đến-AP (EAP LAN) – AP đến server chứng thực (RADIUS UDP) wired network EAP TLS EAP EAP over LAN (EAPoL) IEEE 802.11 RADIUS UDP/IP 237 TÀI LIỆU THAM KHẢO, ĐỊA CHỈ LIÊN LẠC • Giáo trình Mạng máy tính, KS Nguyễn Bình Dương, TS Đàm Quang Hồng Hải • Giáo trình hệ thống Mạng máy tính CCNA, Nguyễn Hồng Sơn • CCNA: Cisco Certified Network Associate – Study Guide, Todde Lammle - 2007 • Computer Networking: A Top Down Approach Featuring the Internet, 3rd edition Jim Kurose, Keith Ross 2004 • Computer Networks, 4th edition Andrew S Tanenbaum 2003 • Địa liên lạc: Trần Bá Nhiệm – Khoa Mạng máy tính & Truyền thơng – ĐH CNTT – 34 Trương Định, Q3, Tp.HCM Email: tranbanhiem@yahoo.com 238