Luận văn Xây dựng hệ thống mạng doanh nghiệp sử dụng mã nguồn mở

Ngành đào tạo : Công nghệ thông tin Mã số ngành : 7480201 Họ và tên sinh viên : VŨ ANH NGỌC Người hướng dẫn luận văn tốt nghiệp : THS . TRẦN QUỐC HOÀN Hà Nội – 2020 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN . . ................ ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... Hà Nội , Ngày .. tháng .. năm .. GIÁO VIÊN HƯỚNG DẪN NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN . . . . . . . . . . . . . . . . . . . . . . . Hà Nội , Ngày .. tháng .. năm .. GIÁO VIÊN PHẢN BIỆN NHẬN XÉT CỦA HỘI ĐỒNG . . . . . . . . . . . . . . . . . . . . . . . Hà Nội , Ngày .. tháng .. năm .. CHỦ TỊCH HỘI ĐỒNG LỜI CAM ĐOAN Tôi xin cam đoan luận văn này là công trình nghiên cứu của cá nhân tôi, được thực hiện dưới sự hướng dẫn của thạc sĩ Trần Quốc Hoàn. Các số liệu, những kết luận nghiên cứu được trình bày trong luận văn này hoàn toàn trung thực. Các tài liệu tham khảo sử dụng được trích dẫn và ghi rõ nguồn gốc trong phần tài liệu tham khảo. Tôi xin hoàn toàn chịu trách nhiệm về lời cam đoan này. Hà Nội , Ngày .. tháng .. năm .. NGƯỜI CAM ĐOAN Vũ Anh Ngọc LỜI CẢM ƠN Chúng em xin được gửi lời cảm ơn trân trọng và sâu sắc nhất tới giáo viên hướng dẫn Thầy Trần Quốc Hoàn – người đã tận tình chỉ bảo, hướng dẫn, truyền đạt kiến thức chúng em trong suốt quá trình nghiên cứu thực hiện đề tài này. Trong quá trình học tập, triển khai nghiên cứu đề tài và những gì đạt được hôm nay, chúng em không thể quên được công lao giảng dạy và hướng dẫn của các Thầy, Cô trường Đại học Kinh tế - Kĩ thuật Công nghiệp Hà Nội , đặc biệt là các Thầy, Cô khoa Công nghệ thông tin trường Đại học Kinh tế - Kĩ thuật Công nghiệp Hà Nội. Xin được cảm ơn bạn bè đã luôn ở bên chúng em, giúp đỡ và tạo điều kiện thuận lợi cho chúng em được học tập, nghiên cứu, hoàn thành đề tài. Hà Nội , Ngày .. tháng .. năm .. SINH VIÊN THỰC HIỆN Vũ Anh Ngọc MỤC LỤC DANH MỤC HÌNH ẢNH Hình 1.1: Các kiến trúc Enterprise của Cisco 4 Hình 1.2 : Kiến trúc mạng Campus 5 Hình 1.3: Kiến trúc Data Center 6 Hình 1.4: Kiến trúc Branch 6 Hình 1.5: Mô hình phân cấp 8 Hình 1.6: Mô hình tường lửa 3 phần 9 Hình 1.7: Mô hình phân cấp để hỗ trợ thiết kế WAN 10 Hình 1.8 : Sơ đồ mạng Logic 12 Hình 1.9 : Mô hình thực nghiệm 13 Hình 2.1: Nội dung file cấu hình phân giải thuận 20 Hình 2.2: Nội dung file cấu hình phân giải ngược 20 Hình 2.3: DNS phân giải trong nslookup 21 Hình 2.4: Nội dung file cấu hình dhcp server 22 Hình 2.5 : Hiển thị được domain trên máy Client 23 Hình 2.6 : Giao diện PuTTy 25 Hình 2.7 : Màn hình đăng nhập Telnet bên Client 25 Hình 2.8 : Nội dụng file SSH 27 Hình 2.9: Giao diện phần mềm PuTTY 28 Hình 2.10 : Hình ảnh đăng nhập thành công SSH trên Client 28 Hình 2.11 : Mô hình client server 29 Hình 2.12 : Cấu trúc cây trong ldap 30 Hình 2.13 : Luồng thông điệp giữa client server 31 Hình 2.14 : Những thông điệp Client gửi cho server 32 Hình 2.15 : Nhiều kết quả tìm kiếm được trả về 32 Hình 2.16 : Giao diện web phpldapadmin 42 Hình 2.17 : Hiển thị các Port sử dụng NFS 45 Hình 2.18 : Mô hình samba 46 Hình 3.19 : Hiển thị mục share bên phía Server 50 Hình 3.1 : Luồng sự kiện đi qua firewall 51 Hình 3.2 : Kết quả hiện thị thành công cài đạt Iptable tại Port 22 53 Hình 3.2 : Nội dung file cấu hình iptables 54 Hình 3.23 : Vị trí proxy với client và server. 58 Hình 3.4 : File cấu hình Squid 60 Hình 3.5 : Cấu hình Proxy cho công cụ trình duyệt Mozilla Firefox 61 Hình 3.6 : Màn hình chứng thực thành công 61 Hình 3.7 : Thành phần Postfix 64 Hình 3.8 : tạo tài khoản Thunderbird 67 Hình 3.9 : Giao diện làm việc của Thunderbird 68 Hình 3.10 : Giao diện trang www.uneti.edu.vn 71 Hình 3.11 : Mô hình dịch vụ FTP 72 Hình 3.12 : Cài đặt thành công Openvpn Server 82 Hình 3.13 : Link trên trang chủ snort.org 86 Hình 3.14 : Hiển thị cài đặt và cấu hình thành công Snort 88 DANH MỤC CÁC TỪ VIẾT TẮT DNS: Domain Name System DHCP: Dynamic Host Configuration Protocol SSH: Secure Shell LDAP: Lightweight Directory Access Protocol NFS: Network File System UDP: User Datagram Protocol TCP: Transmission Control Protocol SMTP: Simple Mail Transfer Protocol POP: Post Office Protocol IMAP: Internet Message Access Protocol FTP: File Transfer Protocol VPN: Virtual Private Network IDS: Intrusion detection system IPS: Intrusion prevention systems LỜI NÓI ĐẦU Với sự phát triển nhanh chóng của công nghệ thông tin, thế giới dường như ngày càng thu nhỏ nhờ mạng Internet. Để có thể đáp ứng được đòi hỏi trình độ công nghệ thông tin ngày càng cao của thị trường, sinh viên ngành công nghệ thông tin nói riêng và các đối tượng hoạt động trong lĩnh vực công nghệ thông tin nói chung cần phải nắm được các kiến thức về mạng máy tính cũng như xây dựng, triển khai các ứng dụng mạng như: Truy nhập CSDL SQL server trên LAN, truy nhập Web trên LAN hay chat trên LAN ... Điều hiển nhiên là làm về mạng thì phải có mạng máy tính để thực hành. Thực tế điều kiện thực hành mạng còn nhiều điều bất cập như thời lượng thực hành tại đa số các cơ sở đào tạo chưa đủ; kinh phí hạn hẹp không cho phép có thể tự đầu tư nhiều bộ máy tính để nối mạng; sự thiếu kinh nghiệm của sinh viên có thể dẫn đến các sự cố đáng tiếc trong quá trình thực hành. Nắm bắt được tình hình chung này, tôi đề xuất giải pháp cài đặt và cấu hình mạng doanh nghiệp sử dụng mã nguồn mở để hỗ trợ giải quyết những khó khăn trên. Bố cục bài luận văn được chia thành: Chương 1: Tổng quan về hệ thống mạng doanh nghiệp Đưa ra lý do chọn đề tài , mục đích của đề tài , giới hạn đề tài, mục đích nghiên cứu , nghiên cứu về kiến trúc mạng Enterprise, mô hình mạng LAN và WAN. Chương 2: Hệ thống tên miền DNS và dịch vụ truy cập từ xa Giới thiệu và cách cài đặt cấu hình DNS trên server và các dịch vụ truy cập từ xa như Telnet, SSH,.. Chương 3: Bảo mật hệ thống và các giải pháp cho việc kết nối mạng dùng riêng ra Internet Giới thiệu và cách cài đặt cấu hình tường lửa Iptable và các dịch vụ sử dụng Internet CHƯƠNG 1 : TỔNG QUAN HỆ THỐNG MẠNG DOANH NGHIỆP 1.1. LÝ DO CHỌN ĐỀ TÀI 1.1.1. Lý do khách quan - Hiện nay, công nghệ thông tin đang đóng vai trò cực kỳ quan trọng không thể thiếu trong quá trình quản lý, điều hành các hoạt động sản xuất kinh doanh của mỗi doanh nghiệp. Do vậy, việc xây dựng được một hệ thống mạng với đầy đủ các dịch vụ cần thiết phục vụ kinh doanh là điều cực kỳ cấp thiết. - Ngoài các yếu tố phần cứng và nguồn nhân lực quản trị thì yếu tố phần mềm cũng đóng vai trò rất quan trọng khi xây dựng một hệ thống mạng. Nói đến phần mềm, một vấn đề lớn ở nước ta đó là bản quyền, chi phí mua bản quyền các dịch vụ để hoàn tất một hệ thống mạng là rất lớn. Nên để tiết kiệm một khoản lớn chi phí, người ta dần chuyển sang các sản phẩm dịch vụ từ mã nguồn mở. Ngoài việc chạy ổn định, ít bị tấn công, có một cộng đồng phát triển rất lớn thì ưu điểm lớn nhất và đáng quan tâm nhất của mã nguồn mở đó là không tốn phí. Vì những lý do trên, nhóm thực hiện đề tài: “Xây dựng hệ thống mạng doanh nghiệp sử dụng mã nguồn mở”. 1.1.2. Lý do chủ quan - Em thực hiện đề tài nhằm mục đích tìm hiểu thêm những kiến thức mới trong ngành Mạng máy tính. Để từ đó có thêm kiến thức phục vụ cho quá trình học cũng như có ích cho công việc sau khi tốt nghiệp ra trường. 1.2. MỤC TIÊU ĐỀ TÀI - Tìm hiểu kiến trúc mạng doanh nghiệp. - Đề xuất một mô hình mạng doanh nghiệp. - Cài đặt và cấu hình các dịch vụ theo mô hình đã đề xuất. 1.3. GIỚI HẠN ĐỀ TÀI - Đề tài “Xây dựng hệ thống mạng doanh nghiệp sử dụng mã nguồn mở” được nhóm chúng tôi lựa chọn để thực hiện khóa luận. - Để xây dựng được mô hình mạng doanh nghiệp chạy ổn định và an toàn, kiểm soát hầu hết các lỗi và các tấn công trong mạng internet cần cài đặt và cấu hình rất nhiều dịch vụ tịch hợp với nhau. Do thời gian cũng như kiến thức và kinh nghiệm của nhóm chưa có, nên đề tài chỉ cài đặt và cấu hình các dịch vụ cơ bản nhất của một hệ thống mạng cần có. 1.3. MỤC ĐÍCH NGHIÊN CỨU 1.3.1. Mục đích trước mắt - Nhằm mục đích tiếp thu những kiến thức mới để nâng cao trình độ phục vụ cho công việc khi ra trường. Thông qua đó tạo được tác phong nghiên cứu khoa học, năng lực tư duy và biết lập kế hoạch tạo tiền đề tốt cho quá trình nghiên cứu sau này. 1.3.2. Mục đích cụ thể Mục đích cụ thể nhóm nghiên cứu sẽ giải quyết các vấn đề sau : - Giới thiệu nội dung. - Đề xuất mô hình. - Cài đặt và cấu hình dịch vụ. 1.3.3. Mục đích lâu dài Về lâu dài, đồ án có thể làm tài liệu cho các sinh viên chuyên ngành cũng như ai yêu thích công nghệ thông tin. 1.5. THỂ THỨC NGHIÊN CỨU 1.5.1. Dàn ý chi tiết - Phần mở đầu + Lý do chọn đề tài. + Mục tiêu đề tài. + Giới hạn đề tài + Mục đích nghiên cứu. + Thể thức nghiên cứu. - Phần nội dung + Chương 1: Tổng quan hệ thống mạng doanh nghiệp + Chương 2: Hệ thống tên miền DNS và dịch vụ truy cập từ xa + Chương 3: Bảo mật hệ thống và các giải pháp cho việc kết nối mạng dùng riêng ra Internet - Phần kết luận – đề nghị. 1.5.2. Đối tượng nghiên cứu Đối tượng nghiên cứu: hệ thống Centos 7. 1.5.3. Phương pháp nghiên cứu - Phương pháp tham khảo tài liệu: thu thập các tài liệu liên quan, phục vụ cho quá trình nghiên cứu. - Phương pháp tổng kết kinh nghiệm: thu thập các ý kiến, các phương pháp của thầy (cô) giảng dạy bộ môn chuyên ngành, kết hợp với những kinh nghiệm của bản thân rồi đúc kết để đưa vào bài báo cáo này. 1.5.3. Phương tiện nghiên cứu - Máy tính - Các tài liệu - Các phần mềm hổ trợ 1.6. HỆ THỐNG MẠNG DOANH NGHIỆP Chương này trình bày kiến trúc mạng Cisco và các loại mô hình mạng trong doanh nghiệp, từ đó sẽ xây dựng một mô hình mạng thực nghiệm cho đề tải. 1.6.1 Kiến trúc mạng Enterprise Cisco - Kiến trúc tích hợp đầy đủ và tối ưu hóa các cơ sở hạ tầng mạng, dịch vụ tương tác, và các ứng dụng trên toàn bộ doanh nghiệp. Các kiến trúc cụ thể: Campus, Data Center, Branch, Teleworker, MAN và WAN. Hình 1.1: Các kiến trúc Enterprise của Cisco 1.6.2. Kiến trúc mạng Campus - Là một mạng lưới gồm một tòa nhà hoặc một nhóm các tòa nhà được kết nối vào một mạng doanh nghiệp đó bao gồm nhiều mạng LAN. Thường giới hạn trong một khu vực địa lý cố định. Hình 1.2 : Kiến trúc mạng Campus - Ví dụ: Một khu liên hợp công nghiệp, môi trường công viên kinh doanh. - Kiến trúc khuôn viên cho các doanh nghiệp mô tả các phương pháp để tạo ra một mạng lưới khả năng mở rộng, giải quyết các nhu cầu của hoạt động kinh doanh. - Là mô hình mạng thông minh do Cisco đưa ra bao gồm 3 phần chính: + Access Layer + Distribution Layer + Core Layer 1.6.3. Kiến trúc Data Center - Là trung tâm dữ liệu có trách nhiệm quản lý và duy trì hệ thống dữ liệu và quan trọng đối với hoạt động kinh doanh hiện đại. + Nhân viên, đối tác và khách hàng dựa trên dữ liệu và các nguồn lực trong trung tâm dữ liệu để có hiệu quả cộng tác và tương tác. + Trong thập kỷ qua, sự phát triển của Internet và công nghệ trên nền web dã làm cho trung tâm dữ liệu trở nên quan trọng hơn bao giờ hết, nâng cao năng suất, nâng cao quy trình kinh doanh và thay đổi tốc độ. Hình 1.3: Kiến trúc Data Center 1.6.4. Kiến trúc Branch - Là kiến trúc hỗ trợ doanh nghiệp mở rộng ứng dụng văn phòng và tích hợp hàng loạt các dịch vụ trên router tại chi nhánh cho các doanh nghiệp khi triển khai dịch vụ mở. Hình 1.4: Kiến trúc Branch - Cisco tích hợp bảo mật, chuyển mạch, mạng lưới phân tích, lưu trữ và hội tụ các dịch vụ thoại và video vào một loạt các dịch vụ tích hợp bộ định tuyến trong ngành để các doanh nghiệp có thể triển khai dịch vụ mới khi họ đã sẵn sàng mà không cần mua thiết bị mới. 1.6.7. Kiến trúc Teleworker - Nhiều doanh nghiệp ngày nay cung cấp một môi trường làm việc linh hoạt cho nhân viên của họ, cho phép họ liên lạc từ văn phòng về nhà. - Kiến trúc cho phép doanh nghiệp quản lý tập trung, giảm thiểu các chi phí IT hỗ trợ và bảo mật tích hợp mạnh mẽ. - Nhân viên có thể đăng nhập an toàn vào mạng qua một VPN luôn sẵn sàng và truy cập được vào các ứng dụng có thẩm quyền và các dịch vụ từ một nền tảng hiệu quả duy nhất. 1.6.8. Kiến trúc WAN và MAN - Kiến trúc Enterise của Cisco về WAN và MAN cung cấp sự hội tụ của thoại, video, và các dịch vụ dữ liệu trên một mạng Truyền thông IP. Cách tiếp cận này cho phép doanh nghiệp tiết kiệm chi phí làm việc trong một khu vực địa lý rộng lớn. 1.6.8.1. Mô hình mạng LAN 1.6.8.1.1. Mô hình phân cấp (Hierarchical models) - Cấu trúc + Tầng Core (Core Layer): Đây là đường trục chuyển mạch tốc độ cao của mạng. Tầng Core có các đặc tính như: độ tin cậy cao, có công suất dư thừa, có khả năng tự khắc phục lỗi, có khả năng thích nghi cao, đáp ứng nhanh, dễ quản lý, có khả năng lọc gói, hay lọc các tiến trình đang truyền trong mạng. + Tầng phân tán (Distribution Layer): Lớp phân tán là ranh giới giữa tầng truy nhập và tầng Core của mạng. Tầng phân tán thực hiện các chức năng như đảm bảo gửi dữ liệu đến từng phân đoạn mạng, bảo mật, phân đoạn mạng theo nhóm công tác, chia miền broadcast/multicast, định tuyến giữa các LAN ảo (VLAN), chuyển môi trường truyền dẫn, định tuyến giữa các miền, tạo biên giới giữa các miền trong định tuyến tĩnh và động, thực hiện các bộ lọc gói (theo địa chỉ, theo số hiệu cổng,...), thực hiện các cơ chế đảm bảo chất lượng dịch vụ QoS. Hình 1.5: Mô hình phân cấp + Tầng truy nhập (Access Layer): Tầng truy nhập cung cấp cho người dùng cục bộ hay từ xa truy nhập vào mạng. Thường được thực hiện bằng các bộ chuyển mạch (switch) trong môi trường campus, hay các công nghệ WAN. - Đánh giá mô hình + Giá thành thấp + Dễ cài đặt + Dễ mở rộng + Dễ cô lập lỗi 1.6.8.1.2. Mô hình dự phòng (Redundant Models) - Khi thiết kế một hệ thống mạng cho khách hàng, cần phải xác định khả năng thất bại của các thành phần trong hệ thống và thiết kế dự phòng khi cần thiết. - Các loại thiết kế dự phòng: + Workstation-to-router dự phòng + Máy chủ dự phòng + Route dự phòng + Thiết bị dự phòng 1.6.8.1.3. Mô hình an ninh-an toàn (Secure models) - Hệ thống tường lửa 3 phần (Three-Part Firewall System), đặc biệt quan trọng trong thiết kế WAN. Ở đây, chúng tôi chỉ nêu một số khía cạnh chung nhất cấu trúc của mô hình sử dụng trong thiết kế mạng LAN. Hình 1.6: Mô hình tường lửa 3 phần - Một mạng LAN cô lập làm vùng đệm giữa mạng nội bộ của công ty với mạng bên ngoài (trong một số tài liệu mạng LAN này được gọi là vùng phi quân sự (DMZ)) - Một router hoạt động như một bộ lọc gói tin được đặt giữa DMZ và mạng nội bộ. - Một router khác hoạt động như một bộ lọc gói tin được đặt giữa DMZ và mạng ngoài. - Các dịch vụ có thể cài đặt ở vùng DMZ: + Anonymous FTP server + Web server + DNS server + Telnet + Phần mềm bảo mật Terminal Access Controller Access Control System (TACACS) 1.6.8.2. Mô hình mạng WAN - Khái niệm mô hình phân cấp: Mô hình phân cấp để hỗ trợ thiết kế WAN thường là mô hình phân cấp ba tầng: tầng 1 là tầng lõi (xương sống của WAN – backbone), tầng 2 phân tán, tầng 3 là tầng truy nhập, gọi tắt là mô hình phân cấp phục vụ cho việc khảo sát và thiết kế WAN. Hình 1.7: Mô hình phân cấp để hỗ trợ thiết kế WAN + Tầng lõi là phần kết nối mạng (WAN backbone): kết nối các trung tâm mạng (NOC) của từng vùng, thông thường khoảng cách giữa các NOC là xa hay rất xa, do vậy chi phí kết nối và độtin cậy cần phải được xem xét kỹ. Hơn nưa vấn đề đảm bảo chất lượng dịch vụ QoS cũng được đặt ra, dẫn đến phân loại, phân cấp ưu tiên dịch vụ. + Tầng phân tán là phần kết nối các điểm đại diện POP, hay các nhánh mạng vào NOC. +Tầng truy nhập từ xa là phần kết nối của người dùng di động, hay các chi nhánh nhỏ vào POP hay vào NOC. - Các ưu điểm của mô hình phân cấp: Nhờ mô hình phân cấp người thiết kết WAN dễ tổ chức khảo sát, dễ lựa chọn các phương án và công nghệ kết nối, dễ tổ chức triển khai, cũng như đánh giá kết quả. 1.7. MÔ HÌNH MẠNG ĐỂ XUẤT 1.7.1. Các yêu cầu về dịch vụ Để xây dựng được một hệ thống mạng cục bộ, phục vụ hầu hết các công việc kinh doanh, cần có: - DNS primary server để phân giải tên miền nội bộ. - DNS seconday để dự phòng cho primary DNS server - DHCP server để cấp địa chỉ IP cho các host. - DC server kết hợp samba để chứng thực tập trung cho các users. - Web server để phục vụ trang web giới thiệu, quảng bá về công ty. - Mail server để gởi nhận mail trong nội bộ và nếu muốn gởi mail ra ngoài thì phải đăng ký tên miền trên internet. - FTP server để trao đổi file. - Cài đặt dịch vụ SAMBA để chia sẻ file trong mạng cục bộ giữa client windows và linux. - Cài đặt dịch vụ NFS để chia sẻ file trong mạng cục bộ giữa các client linux với nhau. - Cài đặt firewall, proxy, IDS để lọc gói tin, ngăn chặn và phát hiện tấn công đến các server. - Cài đặt telnet, ssh để điều kiển server từ xa. - Cài đặt VPN server giúp remote client truy xuất mạng cục bộ. Switch 24 port 1.7.2. Sơ đồ mạng logic P. Hội Đồng P. Kỹ Thuật P. Kinh Doanh P. Kế Hoạch P. Giám Đốc P. Canteem P. Kế Toán Laptop 10 Laptop 10pc 5pc 1 Lap 10pc 10pc Hình 1.8 : Sơ đồ mạng Logic - Công ty có Web server và Mail server riêng + Đặt cùng Switch + được NAT tĩnh ra bên ngoài - Các nhân viên có thể truy cập Internet + Thuê đương truyền ADSL, NAT out - Nhân viên ở Canteen có thể truy nhập Internet qua Wireless - Công ty có 1 chi nhánh - Từ trung tâm kết nối đến văn phòng Chi nhánh qua Internet - Chi nhánh công ty cũng có các phòng ban, chia VLAN - Người dùng ở ngoài có thể truy nhập Web server của công ty - Các máy tính trong công ty và chi nhánh có thể liên lạc với nhau - Chia VLAN phòng Hội đồng và phòng Kỹ thuật 1.7.3. Sơ đồ mạng thực tế Dựa vào những yêu cầu trên, nhóm đề xuất mô hình mạng và các dải địa chỉ IP như sau. - Web server, mail server, ftp server địa chỉ: 192.168.1.4/24 - DC server, DNS secondary server, samba, nfs địa chỉ: 192.168.1.2/24 - DHCP server, DNS primary server,VPN server địa chỉ: 192.168.1.3/24 - Mạng cục bộ chứa các client có dãi địa chỉ : 192.168.2.0/24 Eth0 : 192.168.1.1/24 DHCP Server 1 Firewall, IDS/IPS,Proxy Eth1 : 192.168.2.1/24 Client Server 4 DHCP, DNS Server VPN Server Server 2 Web Server, Mail Server FPT Server Server 3 DC Server, DNS Secondary Samba , NFD Hình 1.9 : Mô hình thực nghiệm 1.7.4. Sơ đồ mạng thực nghiệm - Bảng địa chỉ IP IP Subnet mask Default gateway DNS Server 1 eth0:192.168.1.1 255.255.255.0 eth1:192.168.2.1 255.255.255.0 eth2: DHCP Server 2 eth0:192.168.1.4 255.255.255.0 192.168.1.1 192.168.1.3 192.168.1.2 Server 4 eth0:192.168.1.2 255.255.255.0 192.168.1.1 192.168.1.3 192.168.1.2 Server 5 eth0:192.168.1.3 255.255.255.0 192.168.1.1 192.168.1.3 192.168.1.2 Server 6 DHCP CHƯƠNG 2 : HỆ THỐNG TÊN MIỀN DNS VÀ DỊCH VỤ TRUY CẬP TỪ XA 2.1. DỊCH VỤ DNS 2.1.1. Giới thiệu về DNS - Mỗi máy tính trên mạng muốn trao đổi thông tin với nhau thì cần phải biết rõ địa chỉ IP của nhau. - Mỗi máy tính ngoài địa chỉ IP còn có một tên (HOSTNAME). Để liên lạc thì việc nhớ địa chỉ IP của nhau là việc rất khó khăn, đặc biệt là việc địa chỉ IPV4 càng ngày không thể cung cấp đủ số lượng nhu cầu thì việc chuyển sang dùng IPV6 là điều tất yếu và việc phải nhớ một dãy số hexa 32 số là việc không tưởng. - Do những khó khăn trên nên người ta nghĩ ra việc, làm sao để ánh xạ địa chỉ ip của mỗi máy thành hostname của nó và ngược lại. Để khi trao đổi với nhau người ta chỉ cần nhớ tên hostname của máy tính bên kia. - Ban đầu do quy mô mạng ARPA NET( tiền thân của mạng internet) còn nhỏ, nên chỉ có một tập tin HOST.TXT lưu thông tin và ánh xạ tên máy thành địa chỉ IP. Trong đó, tên máy chỉ là chuỗi văn văn bản không phân cấp (plat name). Tập tin này được duy trì tại một máy chủ và các máy chủ khác lưu giữ bản sao của nó. Tuy nhiên khi quy mô mạng lớn hơn, việc sử dụng tập tin HOST.TXT có các nhược điểm sau : + Lưu lượng mạng và máy chủ duy trì tập tin HOST.TXT bị quá tải. + Xung đột tên: do tên máy không phân cấp và không có cơ quản lý tập tin nên có nguy cơ bị xung đột tên. + Không đảm bảo sự toàn vẹn: việc duy trì tập tin trên một mạng lớn rất khó khăn. Ví dụ: khi tập tin HOST.TXT vừa cập nhật chưa kịp chuyển đến máy chủ ở xa thì đã có sự thay đổi địa chỉ trên mạng rồi. - Tóm lại: việc sử dụng tập tin HOST.TXT không phù hợp cho mạng lớn vì thiếu cơ chế phân tán và mở rộng . Do đó dịch vụ DNS ra đời nhằm khắc phục các nhược điểm này. 2.1.1.1. Hệ thống tên miền – DNS - DNS hoạt động theo mô hình client - server. Máy chủ server chứa các thông tin CSDL. Phía client là trình phân giải tên resolver, nó chỉ là các hàm thư viện dùng để tạo các query và gởi chúng đến máy chủ DNS server. - DNS hoạt động như một giao thức tầng application trong mạng TCP/IP. - DNS là một cơ sở dữ liệu phân tán. Có nhiệm vụ chuyển đổi tên miền sang địa chỉ IP và ngược lại. Hệ thống DNS ra đời nhằm mục đích giúp người sử dụng một tên dễ nhớ, dễ sử dụng. - Nguyên tắc làm việc của DNS: + Mỗi nhà cung cấp dịch vụ vận hành và duy trì DNS server của riêng mình. Khi có yêu cầu tìm kiếm một website nào đó, thì DNS server phân giải tên website này phải là DNS server của chính tổ chức quản lý website đó. + INTERNIC - Internet Network Information Center chịu trách nhiệm quản lý các tên miền và DNS server tương ứng. + DNS server có khả năng truy vấn các DNS server khác. Ngoài việc phân giải tên miền cho các máy trong nội bộ thì nó cũng hỗ trợ các truy vấn từ các máy ngoài mạng internet vào bên trong. + DNS server cũng có khả năng nhớ lại các tên vừa phân giải, để dùng cho những lần truy vấn lần sau. Số lượng tên miền được lưu lại phụ thuộc vào quy mô của từng DNS server. 2.1.1.2. Hoạt động của DNS server trong LINUX - Phân loại DNS server + Primary name server: Nguồn xác thực thông tin chính thức cho các domain mà nó được phép quản lý. + Secondary name server: server dự phòng cho primary server. + Caching name server: Lưu lại các lần truy vấn của client, giúp cho các lần truy vấn sau được nhanh chóng và giảm tải cho server. - DNS zone là gì? + Là tập hợp các ánh xạ từ Host đến địa chỉ IP và từ IP tới Host trong một phần liên tục trong một nhánh của Domain. + Thông tin DNS Zone là những Record gồm tên Host và địa chỉ IP được lưu trong DNS Server . DNS Server quản lí và trả lời những yêu cầu này từ Client liên quan đến DNS Server này. + Hệ thống tên miền cho phép phân chia tên miền để quản lí và chia hệ thống tên miền thành Zone và trong Zone quản lí tên miền được phân chia đó. · Zone file lưu thông tin Zone ở dạng text hoặc trong Active Directorry. + Zone thuận và Zone nghịch · Zone thuận - Forward Lookup Zone để phân giải tên máy (Hostname) thành địa chỉ IP. · Zone nghịch - Reverse Lookup Zone để phân giải địa chỉ IP thành tên máy (Hostname). - Các loại truy vấn + Truy vấn đệ quy (Recursive query) : Khi name server nhận được truy vấn dạng này, nó bắt buộc phải trả về kết quả tìm được hoặc thông báo lỗi nếu như truy vấn này không phân giải được. Nameserver không thể tham chiếu truy vấn đến một name server khác. Namesserver có thể gửi truy vấn dạng đệ quy hoặc tương tác đến nameserver khác nhưng nó phải thực hiện cho đến khi nào có kết quả mới thôi. + Truy vấn tương tác: khi nameserver nhận được truy vấn dạng này, nó trả lời cho resolver với thông tin tốt nhất mà nó có được vào thời điểm đó. Bản thân nameserver không thực hiện bất cứ một truy vấn nào thêm. Thông tin tốt nhất trả về có thể lấy từ dữ liệu cục bộ (kể cả cache). Trong trường hợp nameserver không tìm thấy trong dữ liệu cục bộ nó sẽ trả về tên miền và địa chỉ IP của nameserver gần nhất mà nó biết. - Các file cấu hình chính. + Host.conf: là tệp điều khiển hoạt động của resolver, nó quy định các dịch vụ sử dụng của resolver và thứ tự sử dụng của chúng. + Resolver (bộ giải): khi một chương trình cần giải một tên host thì cần sử dụng một cơ chế gọi là bộ giải. Bộ giải đầu tiên sẽ tra cứu file /etc/host.conf và xác định phương thức nào sẽ được sử dụng để giải các tên host (local file, name server, NIS hay ldap server). + File named.conf: file cấu hình chính cùa DNS. + Các tệp cơ sở dữ liệu DNS - các file phận giải thuận, phân giải nghịch. Thành phần cơ bản là bản ghi nguồn RR( Resource Record). Mỗi bản ghi có một kiểu dữ liệu, bao gồm: · SOA (Start of Authority): Trong mỗi tập tin cơ sở dữ liệu phải có một và chỉ một record SOA. Record SOA chỉ ra rằng máy chủ name server là nơi cung cấp thông tin tin cậy từ dữ liệu có trong zone. · NS (Name Server): tên server · MX (Mail Exchange): chuyểnmail trên mạng Internet · A (Address): ánh xạ tên máy (hostname) vào địa chỉ IP · CNAME (Canonical Name): tên bí danh của server · PTR: dùng để ánh xạ địa chỉ IP thành Hostname. 2.1.2. Cài đặt và cấu hình 2.1.2.1. Cài đặt - Cần download và cài đặt gới BIND trên máy linux. Thường thì tên file cài đặt BIND bắt đầu là bind, sau đó là version, ví dụ: bind-9.6.2-5.P2.fc12.i686 - Nếu không biết version nào, gõ: bind* - Thông thường có 2 cách cài đặt BIND là cài từ source và từ gói compile sẵn (RPM - Redhat Package Manager). + Cài từ gói rpm: · rpm –ivh bind-9.3.3-10.el5.rpm · rpm –ivh bind-chroot-9.3.3-10.el5.rpm · Hoặc nếu có internet thì cài bằng lệnh yum như sau: yum –y install bind* + Cài từ source · Mount thư mụcchứa gói cài đặt DNS vào máy chủ Centos: #mount /dev/cdrom/media/ · Liệt kê các gói bind: #cd Centos · Cài đặt các gói phục vụ cho dịchvụ DNS: #rpm –ivh bind.*.rpm (* là phiên bản của gói cài đặt). 2.1.2.2. Cấu hình DNS Cấu hình master DNS options { listen-on port 53 { 127.0.0.1;192.168.1.1; }; #listen-on-v6 port 53 { ::1; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; recursing-file "/var/named/data/named.recursing"; secroots-file "/var/named/data/named.secroots"; allow-query { localhost;192.168.1.0/24; }; }; zone "." IN { type hint; file "named.ca"; }; zone "uneti.edu.vn" IN{ type master; file "forward.uneti.edu.vn"; }; zone "1.168.192.in-addr.arpa" IN{ type master; file "reverse.uneti.edu.vn"; }; · Named.ca chứa địa chỉ của DNS root server trên toàn cầu. · zone "uneti.edu.vn" là zone phân giải thuận trong miền nội bộ của hệ thống. · zone "1.168.192.in-addr.arpa" là zone phân giải nghịch trong miền nội bộ. Phân giải trong miền nội bộ phụ thuộc rất lớn vào 2 file này. + Cấu hình file “forward.uneti.edu.vn” trong thư mục /var/named/ Hình 2.1: Nội dung file cấu hình phân giải thuận + Cấu hình file phần giải nghịch “reverse.uneti.edu.vn” trong thư mục /var/named/ Hình 2.2: Nội dung file cấu hình phân giải ngược Sau khi cấu hình xong file này và ping thành công 2 máy thì khi restart lại dịch vụ, DNS slave tự động cập nhật các cấu hình bên máy Master qua file cấu hình. - Kiểm tra dịch vụ DNS phân giải trong nslookup Hình 2.3: DNS phân giải trong nslookup 2.2. DỊCH VỤ DHCP 2.2.1. Giới thiệu DHCP 2.2.1.1. Dịch vụ cung cấp IP động DHCP - Hệ thống cần cung cấp IP mỗi máy tính để các máy này có thể liên lạc với nhau. - Với mô hình mạng tương đối nhỏ việc cấp IP tương đối dễ dàng. Nhưng với 1 mô hình mạng lớn thì việc cung cấp IP trở nên khó khăn. => Cần phải có một dịch vụ cung cấp IP tự động cho các máy client trong hệ thống mạng - DHCP là một dịch vụ cung cấp IP động cho các Client. - Hoạt động theo mô hình Client – Server. - Ngoài ra DHCP còn có nhiều tính năng khác cho client như: cung cấp địa chỉ của máy tính dùng để giải quyết tên miền DNS, địa chỉ của một Gateway router, 2.2.1.2. Cấu hình DHCP server bao gồm bốn thông số sau: - Options: Dùng để cung cấp các yếu tố cho phía client như địa chỉ IP, địa chỉ subnet mask, địa chỉ Gateway, địa chỉ DNS - Scope: Một đoạn địa chỉ được quy định trước trên DHCP server dùng để gán cho các máy client. - Reservation: Là những đoạn địa chỉ dùng để “để dành” trong một scope đã được quy định ở trên. - Lease: Thời gian “cho thuê” địa chỉ IP đối với mỗi client. 3.2.2. Cấu hình và cài đặt - Để cấu hình dịch vụ DHCP, bạn cần phải cài đặt gói dịch vụ DHCP. Có 2 cách cài đặt: + Cách 1: cài đặt từ đĩa cd #rpm –ivhdhcp-*.rpm (với * là phiên bản của gói dịch vụ). + Cách 2: cài đặt bằng cách tải từ trên mạng #yum –y install dhcp - Kiểm tra gói cài đặt :# rpm –qa|grepdhcp - Cấu hình + Bước 1: tạo file cấu hình dhcpd.conf bằng cách sử dụng câu lệnh # nano /etc/dhcp/dhcpd.conf + Bước 2 : Sửa đổi file cấu hình Hình 2.4: Nội dung file cấu hình dhcp server Ý nghĩa của một số options: · subnet netmask : địa chỉ subnet và netmask · option router: Default gateway · option domain-name: Domain name · option domain-name-servers: IP DNS server · range dynamic-bootp: vùng địa chỉ cấp cho các clients · default-lease-time: thời gian mặc định cấp cho 1 client · max-lease-time: thời gian tối đa cấp cho 1 client + Bước 3. Khởi động dịch vụ · Khởi động dịch vụ DHCP: # service dhcpd restart · Để dịch vụ khởi động khi khởi động máy tính, dùng lệnh: # chkconfig dhcpd on · Để tắt dịch vụ, dùng lệnh: # service dhcpd stop + Trên máy client win 7 : cmd -> ipconfig Hình 2.5 : Hiển thị được domain trên máy Client 2.3. DỊCH VỤ TELNET 2.3.1. Giới thiệu telnet - Telnet viết tắt của Terminal Network là một giao thức mạng. - Telnet là một giao thức khách – chủ cho phép người quản trị điều khiển máy chủ từ xa. - Telnet sử dụng giao thức TCP để truy cập.Thường kết nối vào cổng 23 của máy chủ. - Ngày nay người ta càng ít dùng telnet vì 3 nguyên nhân sau: + Càng ngày càng phát hiện các điểm yếu trong các daemon của telnet. + Telnet không mã hóa dữ liệu trên đường truyền, kể cả mật khẩu. + Telnet không chứng thực người dùng. - Tuy nhiên telnet vẫn được dùng trong các trường hợp không cần mã hóa thông tin như gỡ lỗi, tìm các sai sót trong các dịch vụ mạng, tham gia cộng đồng online. 2.3.2. Cấu hình và cài đặt Bước 1 : Cài đặt : yum install telnet-server –y Bước 2 : Khởi động telnet và cho phép telnet khởi động cùng hệ thống ta dùng : # systemctl start telnet.socket && systemctl enable telnet....ort 80,3128 -j ACCEPT iptables -t nat -A PREROUTING -i eth1 -d 0/0 -p tcp --dport 80 -j DNAT --todestination 192.168.1.151:3128 + Đối với mô hình mạng đã đề xuất. Cấn cấu hình cho client mạng nội bộ truy cập đến các sever. Đa phần các rule này là FORWARD vì firewall chỉ làm trung gian chuyển tiếp giữa client và server. Tùy theo dịch vụ, sẽ mở port tương ứng. + Danh sách mô tả các luật: · Client xin địa chỉ IP, firewall làm DHCP replay agent nhận yêu cầu từ client và gởi đến DHCP server nên loại luật là INPUT và OUPUT, firewall mở port 67,68. · Client phân giải các địa chỉ IP trong nội bộ phải trỏ prefer DNS đến DNS server. Ở đây firewall chỉ làm nhiệm vụ chuyển tiếp nên rule là FORWARD, mở port 53. · Để client sử dụng được dịch vụ SAMBA, server cần mở port 137,138,139 và 445. Rule là FORWARD. · Để client sử dụng được dịch vụ NFS, server cần mở port 111, 2049, 32803, 32769, 892, 875, 662. Rule là FORWARD. Trong NFS server, chỉnh sửa file/etc/sysconfig/nfs.Uncommand các dòng sau: LOCKD_TCPPORT=32803LOCKD_UDPPORT=32769 MOUNTD_PORT=892 STATD_PORT=662 · Để client sử dụng truy cập web, server cần mở port 80. Rule là FORWARD. · Để client sử dụng truy cập FTP, server cần mở port 20, 21. Rule là FORWARD. · Để client sử dụng được dịch vụ mail, server cần mở port 25, 110. Rule là FORWARD. · Để client sử dụng được dịch vụ VPN, server cần mở port 1723. Rule là FORWARD. · Để client sử dụng truy cập DC server, server cần mở port 389, 636. Rule là FORWARD + Cấu hình client xin ip + Cấu hình cho nội bộ ra ngoài internet + Cấu hình truy cập web + Cấu hình mở port ftp + Cấu hình truy cập DNS 3.2. DỊCH VỤ PROXY 3.2.1. Giới thiệu proxy - Proxy là một server để forward các request của client đến nơi nó cần đến và nhận kết quả trả về cho client - Những chương trình client của người sử dụng sẽ qua trung gian proxy server thay thế cho server thật sự mà người sử dụng cần giao tiếp. - Proxy server xác định những yêu cầu từ client và quyết định đáp ứng hay không đáp ứng, nếu yêu cầu được đáp ứng, proxy server sẽ kết nối với server thật thay cho client và tiếp tục chuyển tiếp đến những yêu cầu từ clientđến server, cũng như đáp ứng những yêu cầu của server đến client. Vì vậy, proxy server giống cầu nối trung gian giữa server và client . Hình 3.23 : Vị trí proxy với client và server. - Phân loại proxy + Theo mức độ ẩn danh · Anonymous: Đôi khi còn được gọi là web proxy, giúp người dùng giấu IP. · High Anonymity: Mức độ che dấu tung tích cao hơn anonymous. Http Proxy hoàn toàn không gửi đi bất kì thông số nào của các . HTTP_X_FORWARDED_FOR,HTTP_VIAvàHTTP_PROXY_CONNECTION Do vậy Internet Host không thể biết bạn đang dùng Proxy server, cũng như không phát hiện được real IP của bạn. · Transparent: Proxy xuyên suốt, user không nhận thức được mình đang truy cập internet qua một “cổng giám sát”. Yêu cầu truy cập của Client đước chuyển đến gateway sau đó gateway chuyển sang Proxy server xử lý. User chỉ cần thiết lập địa chỉ IP của gateway do Admin cung cấp, mà không phải xác lập các thông số Proxy trong trình duyệt cũng như Internet applications khác. + Theo khả năng hỗ trợ · HTTP/HTTPS Proxy: Các proxy servers sẵn sàng cho các dịch vụ thông thường trên internet, ví dụ như: một HTTP proxy được dùng cho truy cập Web, một FTP proxy được dùng cho truyền File. · SOCKS hay Sockets: SOCKS ban đầu là hệ thống Proxy được sủ dụng cho các traffic như FTP, Telnet, .., nhưng không dành cho HTTP. SOCKS4 kiểm soát các TCPconnections (là phần lớn các Application trên Internet), SOCKS5 còn hỗ trợ thêm UDP, ICMP, xác thực User (user authentication) và giải quyết hostname (DNSservice). SOCKS bắt buộc Client phải được cấu hình để chuyển trực tiếp các yêu cầu đến SOCKS server, hoặc ngược lại SOCKS driver sẽ ngăn chặn các Clients chuyểncác yêu cầu nonSOCKS application. · CGI Proxy server: Hỗ trợ giao thức trên Net là HTTP (có khi hỗ trợ HTTPS – HTTP Security & FTP). Được cung cấp qua 1 số website dưới dạng nhập 1 URL vào 1 textbox. CGI proxy được biết đến như là một proxy web miễn phí. Chỉ cần mở trang này, nhập URL trong "URL", và nhấp vào "Go" (hoặc "Surf" hoặc "Submit", vv ...). Bạn sẽ đi đến các trang web yêu cầu, nhưng URL sẽ là một "ảo thư mục con" của CGI proxy · FTP Proxy server: Loại proxy này được chuyên biệt hóa để chỉ làm việc với các máy chủ truyền file (FTP servers). · SSL Proxy server: Hỗ trợ mã hóa dữ liệu trên đường truyền, hỗ trợ xác thực cả 2 phía. - Các chức năng của proxy - squid + Cahing + NAT + Filtering 3.2.2. Cài đặt và cấu hình 3.2.2.1. Cài đặt: dùng lệnh yum install squid 3.2.2.2. Cấu hình Bước 1 : Mở file cấu hình Squid : # nano /etc/squid/squid.conf Hình 3.4 : File cấu hình Squid Bước2 : Thay 10.0.0.0/8 thành địa chỉ mạng máy Server 192.168.11.0/24 trong file squid.conf rồi sau đó lưu file lại. Bước 3 : Cấu hình tường lửa Iptables cho Squid # nano /etc/systemconf/iptables Thêm câu lệnh để cho phép Squid chạy cổng HTTP-Port mặc định là 3128 A INPUT -p tcp -m tcp --dport 3128 -j ACCEPT . Rồi sau đó lưu file lại. Bước 4 : Khởi động lại dịch vụ Iptables # service iptables restart Bước 5 : Khởi động dichj vụ Squid # systemctl start squid #systemctl enable squid Bước 6 : Vào web cấu hình lại mạng rồi sau đó trình duyệt lại để kiểm tra Hình 3.5 : Cấu hình Proxy cho công cụ trình duyệt Mozilla Firefox Hình 3.6 : Màn hình chứng thực thành công 3.2.2.3. Cài đặt và cấu hình Squidclamav - Squidclamav là một phần mở rộng của squid kết hợp với antivirus để tạo thêm một lớp bảo vệ cho hệ thống - Squid proxy sẽ chuyển tất cả nội dung qua dịch vụ clamd. Nhưng bản thân squid không làm được như vậy cho nên ta cần một dịch vụ trung gian là c-icap. - SquidClamav được cài như một module của c-icap - Cài đặt clamav - Cài đặt clamav + tải xuống từ EPEL # yum --enablerepo=epel -y install clamav clamav-update # sed -i -e "s/^Example/#Example/" /etc/freshclam.conf + cập nhật tệp mẫu # freshclam + Quét virus # clamscan --infected --remove --recursive /home + Bây giờ test thử , tạo một con virus giả #curl -O + Dùng lệnh để xoá con virus vừa tạo # clamscan --infected --remove --recursive . 3.4. MAIL SERVER 3.4.1. Giới Thiệu Về Mail Server: 3.4.1.1. Mail Server Mail server là máy chủ dùng để nhận và gửi mail, với các chức năng chính: - Quản lý account - Nhận mail của người gửi và gửi cho người nhận hoặc mail server của người nhận. - Nhận mail từ mail server của người gửi (từ bên ngoài) và phân phối mail cho người trong hệ thống. - Tùy thuộc vào việc cài đặt mà mail-server cho phép người dùng sử dụng webmail để nhận mail (giống yahoo), hay cho phép sử dụng outlook, hay cả 2 (giống như gmail). 3.4.1.2. Công việc cần để quản trị mail server: - Thiết lập cấu hình và cấu trúc của của dịch vụ thư điện tử để máy chủ hoạt động tối ưu và phù hợp với năng lực của hệ thống để đảm bảo hoạt động ổn định của hệ thống. Thiết lập các chính sách và các điều khiển chống Virus và chống Spam. 3.4.1.3. Postfix - Postfix - Mail Transfer Agent (MTA) là một phần mềm mã nguồn mở (miễn phí) dùng để gửi nhận email. - Postfix được viết bởi Wietse Venema trong thời gian ở tại trung tâm Nghiên cứu Thomas J. Watson (IBM), và tiếp tục được tích cực phát triển ngày hôm nay. Postfix lần đầu tiên được phát hành vào giữa năm 1999. - Ưu điểm của Postfix: Nhanh chóng, dễ dàng để quản lý, an toàn và được sử dụng rộng rãi. - Cấu trúc của postfix + Postfix chia nhỏ công việc ra thành cách chức năng riêng biệt và được 1 chương trình riêng thực thi, hoàn toàn không liên quan tới các tiến trình khác. Hầu hết các chương trình đó có dạng daemons, nghĩa là chạy ở chế độ background trong hệ thống. Master daemons được khởi động đầu tiên và nó sẽ gọi các chương trình liên quan khi cần thiết. Master daemons luôn hiện diện và nó lấy thông tin cấu hình khi khởi động từ 2 file main.cf và master.cf. + Nhìn chung, có thể nói cấu trúc của Postfix như sau: nhận messages (receives messages), đưa vào hàng đợi (queue them) và cuối cùng là chuyển chúng đi (delivery them). Ở mỗi một bước, 1 tập hợp các chương trình của postfix sẽ làm việc riêng biệt. Hình 3.7 : Thành phần Postfix 3.4.1.3. Dovecot - Dovecot là một Mail Delivery Agent, được viết rất bảo mật, nó hổ trợ cả hai định dạng mailbox đó là mbox và maildir. - Dovecot cũng là một phần mềm mã nguổn mở để xây POP và IMAP server cho hệ thống Linux/Unix. - Dovecot là một lựa chọn hoàn hỏa cho 1 hệ thống email nhỏ cũng như 1 hệ thống email lớn bởi vì nó hoạt động nhanh, dễ dàng cài đặt và sử dụng rất ít bộ nhớ và tài nguyên của hệ thống. - Dovecot còn rất nhiều tính năng mạnh mẽ khác như: có thể hoạt động được với NFS và clustered filesystems, hỗ trợ nhiều authentication databases và mechanisms, có thể làm nhiệm vụ chứng thực smtp và có thể tích hợp nhiều plugins như quota và ACL. 3.4.2. Cài đặt Phần này trình bày các bước cài đặt các dịch vụ postfix, dovecot, thunderbird, squirrel mail trên mail server. 3.4.2.1. Postfix - Cài Postfix sử dụng câu lệnh : # yum -y install postfix Cấu hình file vi /etc/postfix/main.cf như sau # line 75: uncomment and specify hostname myhostname = localhost.domain # line 83: uncomment and specify domain name mydomain = server.uneti.edu.vn # line 99: uncomment myorigin = $mydomain # line 116: change inet_interfaces = all # line 164: add mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain # line 264: uncomment and specify your local network mynetworks = 192.168.11.0/24, 192.168.1.0/24 # line 419: uncomment (use Maildir) home_mailbox = Maildir/ # line 574: add smtpd_banner = $myhostname ESMTP # add follows to the end # limit an email size for 10M message_size_limit = 10485760 # limit a mailbox for 1G mailbox_size_limit = 1073741824 # for SMTP-Auth smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = $myhostname smtpd_recipient_restrictions=permit_mynetworks,permit_auth_destination, permit_sasl_authenticated, reject Khởi động dịch vụ # systemctl restart postfix # systemctl enable postfix Nếu Firewalld đang chạy , cho phép dịch vụ SMTP. SMTP sử dụng cổng 25 / TCP. 3.4.2.2. Dovecot - Cài đặt : # yum -y install dovecot - Cấu hình : + Mở file : # vi /etc/dovecot/dovecot.conf Dòng 24: Bỏ # protocols = imap pop3 lmtp Dòng 30: Bỏ # và thay đổi ( nếu không sử dụng IPv6 ) listen = * + Mở file # vi /etc/dovecot/conf.d/10-auth.conf Dòng 10: Bỏ # và thay đổi ( Không cho phép plain text auth ) disable_plaintext_auth = no Dòng 100: Thêm auth_mechanisms = plain login + Mở file vi /etc/dovecot/conf.d/10-mail.conf Dòng 30: Bỏ # và thêm : mail_location = maildir:~/Maildir + Mở file vi /etc/dovecot/conf.d/10-master.conf Từ dòng 96-98: Sửa # Postfix smtp-auth unix_listener /var/spool/postfix/private/auth { mode = 0666 user = postfix group = postfix } + Mở file vi /etc/dovecot/conf.d/10-ssl.conf Dòng 8 : Thay đổi : (not require SSL) ssl = no + Khởi động dịch vụ : # systemctl start dovecot # systemctl enable dovecot + Nếu Firewalld đang chạy , cho phép các dịch vụ POP / IMAP. POP sử dụng 110 / TCP, IMAP sử dụng 143 / TCP. 3.4.2.3. Cài đặt và cấu hình Thunderbird trên linux +  Cài đặt kho lưu trữ REMI # rpm -Uvh #rpm -Uvh + Kiểm tra phiên bản Thunderbird hiện có : # yum list thunderbird + Cài dặt Thunderbird : # yum install thunderbird + Khởi động Thunderbird lên ( Internet -> Thunderbird ) và tạo tài khoản Hình 3.8 : tạo tài khoản Thunderbird + Giao diện làm việc của Thunderbird Hình 3.9 : Giao diện làm việc của Thunderbird 3.5. WEB SERVER 3.5. Giới thiệu 3.5.1.1. Giới thiệu Apache - Apache là một phần mềm có nhiều tính năng mạnh và linh hoạt dùng để làm Webserver. - Cung cấp source code đầy đủ với license không hạn chế. - Môi trường tốt nhất để sử dụng Apache là Unix. - Hỗ trợ đầy đủ các giao thức HTTP, HTTPS, FTP - Chạy trên nhiều hệ điều hành: Unix, Windows, Linux, Netware, OS/2. 3.5.1.2. Chứng thực - Yêu cầu chứng thực khi người dùng truy xuất đến những thông tin cần bảo mật. + Thông tin chứng thực gồm:Username và Password. - Có 2 loại chứng thực: + Xác thực thông thường (Basic Authentication) · Đây là cách xác thực được sử dụng phổ biến. Trong đó, username và password mà bạn đã cung cấp chỉ có tác dụng trong lần giao dịch của web browser với web server lúc đó. Nếu lần sau truy cập lại website này, phải nhập lại username và password. · Giúp kiểm tra user nào được phép truy cập trang web. · Có thể giới hạn truy cập qua thông tin users. Những user được kiểm tra username/pass đúng mới được truy cập. · Gồm 3 bước: Bước 1: Tạo user và file password. Bước 2: tạo tập tin group. Bước 3: Cấu hình chứng thực trên apache. + Xác thực mã hóa (digest authentication) · Digest authentication cung cấp một phương pháp bảo vệ nội dung web một cách luân phiên. Digest authentication được cung cấp bởi module mod_auth_digest, với phương pháp này username và password sẽ không được gởi ở dạng plain text mà chúng được mã hóa (thông qua thuật toán MD5). Giống như xác thực thông thường, gồm 3 bước: Bước 1: Tạo user và file password. Bước 2: tạo tập tin group. Bước 3: Cấu hình chứng thực trên apache. 3.5.1.3. Virtual Host - Là tính năng cho phép tạo ra nhiều hơn một website trên server. + IP-based virtual host: Nhiều địa chỉ ip khác nhau cho từng domain. + Names-based virtual host: nhiều tên miền cùng chia sẽ một địa chỉ IP. 3.5.1.4. Bảo mật Web với Modsecurity - ModSecurity là một tường lửa mức ứng dụng được Ivan Ristic phát triển dành cho Web Server Apache đứng trước Webserver và có khả năng xử lý traffic trước khi đưa vào Webserver. Mọi yêu cầu gửi đến Webserver từ phía client sẻ được gửi qua modsecurity. - Các khả năng của modsecurity + Request filtering: Tất cả các request gửi đến web server đều được phân tích và lọc trước khi chúng được đưa đến các modules khác để xử lý. + Understanding of the HTTP protocol: ModSecurity có khả năng cản lọc dựa trên các thông tin ở HTTP Header hay có thể xem xét đến từng thông số hay cookies của các request... + POST payload analysis: Ngoài việc cản lọc dựa trên HTTP Header, ModSecurity có thể dựa trên nội dung của POST requests. + Audit logging: Mọi requests đều có thể được ghi lại (bao gồm cả POST) để người quản trị có thể theo dõi nếu cần. + HTTPS filtering: ModSecurity có thể phân tích HTTPS. + Compressed content filtering: ModSecurity sẽ phân tích sau khi đã giải nén các các dữ liệu được yêu cầu 3.5.2. Cài đặt - Dùng lệnh #yum install httpd để cài đặt (nếu chưa có). Xoá trang chào mừng # rm -f /etc/httpd/conf.d/welcome.conf - Cấu hình httpd. Thay thế tên máy chủ vào môi trường của riêng bạn. # vi /etc/httpd/conf/httpd.conf # Dòng 86: Thay đổi admin's email address ServerAdmin root@vungoc # Dòng 95: Thay đổi server's name của bạn ServerName www.uneti.edu.vn:80 # Dòng 151: Thay đổi AllowOverride All # Dòng 164: add file name that it can access only with directory's name DirectoryIndex index.html index.cgi index.php # Thêm vào cuối # Tiêu đề của máy chủ ServerTokens Prod # keepalive bật ON KeepAlive On Khởi động http # systemctl start httpd # systemctl enable httpd Nếu Firewalld đang chạy , cho phép dịch vụ HTTP. HTTP sử dụng 80 / TCP. # firewall-cmd --add-service=http –permanent # firewall-cmd –reload Tạo một trang thử nghiệm HTML và truy cập nó từ PC khách bằng trình duyệt web. Không sao nếu trang sau được hiển thị. Mở file # vi /var/www/html/index.html Hello World! - Chạy trên trình duyện kiểm thử Hình 3.10 : Giao diện trang www.uneti.edu.vn 3.6. FPT SERVER 3.6.1. Giới thiệu FTP 3.6.1.1. FTP (File Transfer Protocol) - FTP (File Transfer Protocol) là một trong những dịch vụ thông dụng để truyền (upload) và nhận (download) tập tin giữa máy cục bộ (Local) và máy ở xa (Remote). - Giao thức FTP được xây dựng dựa trên chuẩn TCP/IP. - FTP có 2 thành phần chính: FTP Client và FTP Server. Hình 3.11 : Mô hình dịch vụ FTP - Dịch vụ FTP sử dụng 2 port: + Port 20: dùng để truyền dữ liệu (data port). + Port 21: dùng để truyền lệnh (command port). - Có 2 cơ chế hoạt động: Active (Chủ động) và Passive (Bị động) 3.6.1.2. FTP server - FTP Server là máy chủ lưu giữ những tài nguyên và hỗ trợ giao thức FTP để giao tiếp với những máy tính khác cho phép truyền dữ liệu trên Internet. + Một số chương trình FTP Server sử dụng trên Linux: Vsftpd, wu-ftpd, pureFTPd, proFTPD , - Có 3 cách cài đặt FTP server: + Anonymous ftp: Khi thiết lập Anonymous FTP. Mọi người có thể truy cập tới Server chỉ + Với Anonymous acount mà không có password, người quản trị server sẽ thiết lập giới hạn để hạn chế các user upload những files không được phép upload lên Server như: Music, Films, games + FTP với anonymous access và users account có password: Khi sử dụng giao thức này để các truy cập vào server thì chỉ cần truy cập tới Directory (ngoại trừ user root), chúng ta có thể view/modify/delete tất cả các files hay tất cả các forders. + FTP với Mysql hỗ trợ Virtual users authentication: Giao thức này chỉ cho phép một số nhóm người dùng truy cập tới Server. 3.6.1.3. FTP client - FTP Client: là máy khách đăng truy xuất vào FTP Server. - Chương trình FTP Client: là chương trình giao tiếp với FTP Server. + Hầu hết các hệ điều hành đều hỗ trợ FTP Client: Command terminal, Command Dos, Internet Explore, Windows Commander. - Để mở kết nối tới FTP Server ta dùng lệnh: #ftp - Để thiết lập một phiên giao dịch, ta cần phải có địa chỉ IP (hoặc tên máy tính), một tài khoản (username, password). - Username mà FTP hỗ trợ sẵn cho người dùng để mở một giao dịch FTP có tên là anonymous với password rỗng. 3.6.1.3. Giới thiệu vsftpd - vsftpd (Very secure file transfer protocol deamon) là một package giúp cấu hình FTP Server - vsftpd được phát triển xoay quanh tính năng nhanh, ổn định và an toàn. - vsftpd có khả năng quản lý số lượng kết nối lớn một cách hiệu quả và an toàn. - Mặc định, gói vsftpd cho phép các user download và upload ở thư mục home của họ với một FTP Client bằng cách xác thực username và password khi login. - Ngoài ra, Vsftpd còn tự động tạo ra một FTP anonymous cho phép người dùng nặc danh truy cập vào FTP Server mà không cần xác thực. Anonymous chỉ yêu cầu username và email. - Những tập tin được cài đặt liên quan đến vsftpd: + /etc/pam.d/vsftpd: tập tin cấu hình PAM cho vsftpd. Tập tin này định nghĩa những yêu cầu mà người dùng phải cung cấp khi đăng nhập vào ftp server. + /etc/vsftpd/vsftpd.conf: tập tin cấu hình chính. + /etc/vsftpd/ftpusers: liệt kê những người dùng không được phép login vào + vsftpd. Mặc định danh sách này gồm: root, bin, deamon và những người khác. + /etc/vsftpd/user_list: tập tin này được cấu hình để cấm hay cho phép những người dùng được liệt kê trong user_list truy cập vào ftp server. Điều này phụ thuộc vào tuỳ chọn userlist_deny được xét là YES hay NO trong tập tin vsftpd.conf. Những người dùng đã liệt kê trong tập tin này thì không được xuất hiện trong /etc/vsftpd/ftpusers + /var/ftp/: thư mục chứa những tập tin đáp ứng cho vsftpd. Nó cũng chứa thư mục public cho người dùng anonymous. Thư mục này chỉ có thể đọc, chỉ có root mới có khả năng ghi - Mặc định dịch vụ FTP sử dụng phần mềm vsftpd cho phép người dùng anonymous, người dùng cục bộ trong hệ thống quyền login vào FTP server, chỉ có user root và những uer khác có UID < 100 không được login. + Đối với anonymous được login vào FTP server và có thư mục gốc /var/ftp với quyền truy xuất read (đọc và truy xuất tài liệu). + Đối với người dùng cục bộ được quyền login vào dịch vụ FTP và có thư mục root là /home/username (username là tên user login) với quyền read, write. 3.6.2. Cài đặt Phần này trình bày các bước cấu hình dịch vụ ftp trên FTP server. + Cài đặt vsftpd : # yum -y install vsftpd + Mở file : # vi /etc/vsftpd/vsftpd.conf # dòng 12: không ẩn danh anonymous_enable=NO # dòng 82,83: uncomment (cho phép chế độ ascii) ascii_upload_enable = YES ascii_doad_enable = YES # dòng 100, 101: uncomment (bật chroot) chroot_local_user = YES chroot_list_enable = YES # dòng 103: uncomment (chỉ định danh sách chroot) chroot_list_file = / etc / vsftpd / chroot_list # dòng 109: không chú ý ls_recurse_enable = YES # dòng 114: thay đổi (nếu sử dụng IPv4) Listen = YES # dòng 123: thay đổi (chuyển sang TẮT nếu không cần) listen_ipv6 =NO # thêm theo sau đến cuối # chỉ định thư mục gốc (nếu không chỉ định, thư mục chính của người dùng sẽ trở thành thư mục chính của FTP) local_root = public_html # sử dụng giờ địa phương use_localtime = YES # tắt cho bộ lọc seccomp (nếu bạn không thể đăng nhập, hãy thêm dòng này) seccomp_sandbox = NO + Mở file # vi /etc/vsftpd/chroot_list # thêm người dùng mà bạn cho phép di chuyển qua thư mục chính của họ : Cent + Khởi động vsftpd # systemctl start vsftpd # systemctl enable vsftpd + Nếu tường lửa đang chạy sử dụng cậu lệnh cho FPT # firewall-cmd --add-service=ftp --permanent # firewall-cmd –reload + Nếu SELinux được bật , hãy thay đổi cài đặt boolean. # setsebool -P ftpd_full_access on 3.7. VIRTUAL PRIVATE NETWORK (VPN) 3.7.1. Giới thiệu 3.7.1.1. Giới thiệu Virtual Private Network (VPN) - VPN (Virtual Private Network) là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với môt mạng LAN ở trụ sở trung tâm. - VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng từ xa. - Phân loại: + VPN truy cập từ xa ( Remote Access):hay còn gọi là Virtual Private Dial-up Network (VPDN), đây là kết nối User to LAN dành cho nhân viên muốn kết nối từ xa đến mạng cục bộ công ty bằng Dial-up. + VPN cục bộ (INTRANET): Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa, đây là một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung. + VPN mở rộng (EXTRANET VPN): Tương tự như INTRANET, nhưng điểm khác biệt cơ bản giữa chúng là phạm vi các ứng dụng cho phép các đối tác EXTRANET. - Lợi ích: + Giảm chi phí. + Nâng cao khả năng kết nối. + Bảo mật các giao dịch. + Sử dụng hiệu quả băng thông. + Nâng cao khả năng mở rộng. + Một số bất lợi của VPN như phụ thuộc nhiều vào Internet, khi sự thực thi trên Internet không đảm bảo có thể ảnh hưởng hoặc từ chối hoạt động của toàn bộ mạng dựa trên VPN. 3.7.1.2. OpenVPN - OpenVPN là một giải pháp dựa trên nền tảng SSL/TLS, sử dụng để xây dựng VPN cho Intranet với đường hầm dữ liệu thông qua một cổng TCP/UDP trên một mạng không an toàn như Internet. - OpenVPN có thể được cài đặt trên gần như bất kỳ nền tảng bao gồm cả Linux, Windows 2000/XP/Vista, OpenBSD, FreeBSD, NetBSD, Mac OS X và Solaris. - OpenVPN dựa trên kiến trúc client / server. Nó phải được cài đặt trên các thành viên VPN, được chỉ định trong những máy chủ cũng như máy khách. - OpenVPN tạo ra một đường hầm TCP hoặc UDP, sau đó mã hóa dữ liệu bên trong đường hầm. - Cổng mặc định của OpenVPN là UDP 1194, dựa trên một cổng được gán bởi tổ chức cấp phát số hiệu Internet IANA (Internet Assigned Numbers Authority). - Có thể xây dựng Ethernet (Bridged) hoặc IP (Routed) VPN với sự trợ giúp tương ứng của trình điều khiển mạng TAP hoặc TUN. - Ưu điểm: + OpenVPN sử dụng các mô-đun chuẩn, nên đảm bảo cho cả hệ thống an toàn và hoạt động tốt . + OpenVPN sử dụng công cụ SSL/TLS an toàn, ổn định. 3.7.2. Cài đặt và cấu hình - Trước tiên ta cần add thêm EPEL repository yum -y install epel-release Sau đó ta cài OpenVPN với RSA để tạo ra cặp khóa SSL dùng để tăng tính bảo mật cho kết nối yum install openvpn easy-rsa Giờ chúng ta sẽ đến phần cấu hình OpenVPN. Trước tiên là copy file cấu hình server.conf cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/ Di chuyển tới file cd /usr/share/easy-rsa/3.0.3. Trước khi xây dựng khóa máy chủ và máy khách, chúng ta cần khởi tạo thư mục PKI (Cơ sở hạ tầng khóa công khai) và xây dựng khóa CA. Bắt đầu thư mục PKI và xây dựng khóa CA bằng câu lệnh : ./easyrsa init-pki ./easyrsa build-ca nopass xây dựng khóa máy chủ và chúng tôi sẽ xây dựng khóa máy chủ có tên ‘ ‘server1’ . Xây dựng khóa máy chủ ‘server1’ bằng lệnh bên dưới. + nopass = tùy chọn vô hiệu hóa mật khẩu cho khóa 'server1'. Cần xây dựng các khóa cho khách hàng. Chúng tôi sẽ tạo khóa khách hàng mới có tên 'client1'. Tạo khóa 'client1' bằng lệnh bên dưới. Ký khóa 'server1' bằng chứng chỉ CA . Ký khoá client1 bằng chứng chỉ CA : Chỉnh sửa file vi /etc/openvpn/server.conf + Dòng 78 : ca /usr/share/easy-rsa/3.0.7/pki/ca.crt + Dòng 79 : cert /usr/share/easy-rsa/3.0.7/pki/issued/server1.crt + Dòng 80 : key /usr/share/easy-rsa/3.0.7/pki/private/server1.key # This file should be kept secret + Dòng 85 : dh /usr/share/easy-rsa/3.0.7/pki/dh.pem + Dòng 200 : sửa thành push "dhcp-option DNS 8.8.8.8" + Dòng 201 : sửa push "dhcp-option DNS 8.8.3.4" + Dòng 274 : uncomment user nobody +Dòng 275 : uncomment group nobody Đóng và lưu file lại Tạo khóa Diffie-Hellman là cần thiết để bảo mật tốt hơn. Và chúng tôi sẽ tạo khóa DH '2048' dựa trên tệp cấu hình 'vars' đã được tạo ở trên cùng. Tạo khóa Diffie-Hellman bằng lệnh bên dưới. Kích hoạt port forwarding + Sửa file : vi /etc/sysctl.conf Thêm vào phần cuối: net.ipv3.ip_forward = 1. Cho phép tưởng lửa chạy Openvpn Copy và đổi tên file # cp /etc/openvpn/server.conf /etc/openvpn/service.conf Khởi động dịch vụ OpenVPN và cho phép chạy cùng hệ thống # systemctl start openvpn@server # systemctl enable openvpn@server Kiểm tra # systemctl status openvpn@server Hình 3.12 : Cài đặt thành công Openvpn Server 3.8. IDS-IPS 3.8.1. Giới thiệu - IDS Là một thiết bị hay software có khả năng theo dõi các gói tin xảy ra trên hệ thống mạng để phát hiện ra các hoạt động xâm nhập vào hệ thống dựa vào các rules đã đề ra. - Hệ thống IDS sẽ thu thập thông tin từ nhiều nguồn trong hệ thống, sau đó phân tích thông tin đó theo các cách khác nhau để phát hiện những xâm nhập trái phép. - Khi một hệ thống có khả năng ngăn chặn những xâm nhập mà nó phát hiện thì được gọi là một hệ thống phòng chống xâm nhập hay IPS. - Sự khác nhau giữa IDS và IPS + Các hệ thống IDS được thiết kế nhằm phát hiện và cảnh báo các xâm nhập trái phép. Trong khi đó một hệ thống IPS ngoài khả năng phát hiện còn có thể tự động chống lại các nguy cơ xâm nhập này theo các quy định đã được thiết lập của nhà quản trị. + Tuy nhiên trong thực tế sự khác biệt này không thật rõ ràng. Các hệ thống IDS cũng được thiết lập chức năng ngăn chặn như một chức năng tùy chọn, còn hệ thống IPS lại không mang chức năng phòng chống theo đúng nghĩa. + Dựa vào mô hình, tính chất từng mạng cụ thể và các chính sách an ninh để người ta chọn giữa IDS hay IPS. Thông thường, với mạng nhỏ ngưởi ta chọn IPS do tích hợp các tính chất vừa phát hiện vừa ngăn chặn, với quy mô mạng lớn, các chức năng phát hiện và ngăn chặn sẽ được tách riêng cho từng máy. Ngăn chặn sẽ được giao cho firewall. Sự phân chia trách nhiệm sẽ an ninh hơn và linh động hơn. 3.8.1.1. Phân loại IDS/IPS Người ta dựa vào đặc điểm của nguồn dữ liệu thu được để phân chia IDS (cũng như IPS) thành các loại: - Host-based IDS (HIDS): sử dụng dữ liệu kiểm tra từ một máy trạm đơn. + NIDS thường có 2 thành phần: · Bộ cảm biến- sensor: đặt tại một đoạn mạng. · Trạm quản lý: nhận các tín hiệu từ bộ cảm biến và thông báo cho người quản trị + Ưu điểm · Chi phí thấp: chỉ cần cài đặt NIDS ở những vị trí trọng yếu có thể giám sát toàn lưu lượng mạng. · Phát hiện các tấn công mà HIDS bỏ qua. NIDS kiểm tra header của tất cả gói tin vì thế nó không bỏ sót các dấu hiệu khả nghi nào · Khó xóa bỏ dấu vết. Các file log có thể bị hacker xóa bỏ gây khó khăn cho HIDS, nhưng NIDS sử dụng lưu thông hiện hành nên kẻ đột nhập không thể xóa được dấu vết. · Phát hiện và đối phó kịp thởi. NIDS phát hiện tấn công ngay nên cảnh báo và ngăn chặn sẽ nhanh hơn. · Có tính độc lập cao: lỗi hệ thống không ảnh hưởng đến các sensor trên mạng + Nhược điểm: · Bị hạn chế bởi switch. Switch chia hệ thống mạng thành nhiều nhánh khác nhau, gây khó khăn cho NIDS thu thập dữ liệu. Do NIDS chỉ kiểm tra các đoạn mạng nối trực tiếp với nó. · Hạn chế về hiệu suất: NIDS gặp khó khi phải xử lý tất cả các gói tin trên mạng diện rộng hoặc mật độ lưu thông cao. · Tăng thông lượng mạng: với một gói tin sẽ sinh ra một lượng lớn tải phân tích · Gặp khó khăn trong các cuộc tấn công có mã hóa · NIDS gặp khó khăn với các gói tin phân mảnh, làm cho NIDS hoạt động sai hoặc đổ vỡ. - Network-based IDS (NIDS): sử dụng dữ liệu trên toàn bộ lưu thông mạng, cùng với dữ liệu lấy từ một vài máy trạm để phát hiện xâm nhập + Tìm kiếm sự xâm nhập từ một máy cục bộ. Nó thường kiểm tra, tìm kiếm các hoạt động bất thường như login, truy nhập file không thích hợp, leo thang các đặc quyền không được chấp nhận. Ví dụ: đặc quyền của người sử dụng cao cấp được thực hiện thông qua lệnh su- user, như vậy những cố gắng liên tục để login vào tài khoản root được xem như là một tấn công. + Ưu điểm: · Xác định được kết quả của tấn công: có thể biết được kết quả tấn công hay thất bại cao hơn NIDS. Do đó, có thể kết hợp với NIDS bổ sung thông tin tiếp theo khi cuộc tấn công xảy ra. · Giám sát được các hoạt động của hệ thống. HIDS có thể giám sát các hoạt động mà NIDS không làm đươc như truy nhập file, thay đổi quyền,.. · Phát hiện các xâm nhập mà NIDS bỏ qua như kẻ xâm nhập sử dụng bàn phím truy nhập · Việc chuyển mạch và mã hóa trên mạng không ảnh hưởng đến HIDS · Không yêu cầu thêm phần cứng. + Nhược điểm: · Khó quản trị: Các HIDS phải được cài đặt trên tất cả các máy muốn bảo vệ · Thông tin nguồn không an toàn: HIDS phải tin vào nhật ký và mức độ an toàn của sererver. · Hệ thống HIDS tương đối đắt. · Chiếm tài nguyên hệ thống. 3.8.1.2. Cơ chế hoạt động của hệ thống IDS/IPS - Có 2 cách tiếp