Chương 13: Internet trong doanh nghiệp, Quản lý Internet Giảng viên: Ngô Hồng Sơn Bộ môn Truyền thông và Mạng máy tính 1
Nội dung Internet trong doanh nghiệp NAT, Firewall, VPN Quản lý Internet Các tổ chức chuẩn hóa Tiêu chuẩn 2
Enterprise Internet 3
Enterprise Internet Các tổ chức doanh nghiệp sử dụng Internet như thế nào? Các thành phần của mạng doanh nghiệp NAT (Network Address Translation) Firewall VPN (Virtual private network) Spam Mail Filter, Web Contents Filter. 4
Nhìn lại lịch sử Internet Internet ngày xưa: Dùng cho các tổ chức nghiên cứu và giáo dục An toàn, an ninh chưa phải là vấn đề lớn Người sử dụng toàn là người tốt Internet ngày nay: Dùng cho rất nhiều mục đích, e.g kinh doanh, thương mại, Người sử dụng: đa dạng Vấn đề an toàn an ninh phải được quan tâm 5
Một mạng doanh nghiệp ISP Internet ISP VPN US Office Application SV1 Firewall VPN Headquarter ISP VPN PC PC European Office Application SV2 Application SV3 Router WEB Mail DMZ (De Militarized Zone) ISP PC PC CC Mobile PC With VPN Client Department 1 Department 2 Department Server 1 Router Router Department Server 1 Domestic Branch 1 CC CC Branch 2 PC PC PC PC PC PC PC PC PC PC PC PC CC Communication Controller Leased Line
NAT Network Address Translation IPv4: Một tổ chức chỉ có vài đ/c IP thực Địa chỉ IP riêng được sử dụng bên trong NAT: Chuyển Private Address (Port Number) sang Global Address và ngược lại NAT (phần mềm chạy trên router/server): có một bảng chuyển đổi địa chỉ Reserved addresses for private network Prefix Lowest Address Highest Address Number of Hosts 10.0.0.0/8 10.0.0.0 10.255.255.255 16,777,216 172.16.0.0/12 172.16.0.0 172.31.255.255 1,048,576 192.168.0.0/16 192.168.0.0 192.168.255.255 65,536
NAT cơ bản Fonctionnement général @ip-src @ip_dst @ip-src @ip_dst 10.1.55.42 134.205.1.5 data 200.2.1.11 134.205.1.5 data INTERNET @ip-src @ip_dst @ip-src @ip_dst 134.205.1.5 10.1.55.42 data 134.205.1.5 200.2.1.11 data Sécurité : Seules les machines autorisées sont visibles de l extérieur @privée @publique 10.1.55.42 200.2.1.11 10.1.55.56 200.2.1.12 Conception et architectures des réseaux 8
Port Address Translation - PAT NAT cơ bản: 1 địa chỉ riêng <-> 1 địa chỉ công cộng PAT ({@ip_riêng, #port riêng}; {@ip công cộng, #port công cộng}) Conception et architectures des réseaux 9
PAT Bảng ánh xạ @ip_privée Port privé @ip_pub Port_pub 10.1.55.42 2051 200.1.2.11 2051 10.1.55.42 2044 200.1.2.11 2044 10.1.55.75 2067 200.1.2.11 2067 10.1.55.75 2044 200.1.2.11 2068 Conception et architectures des réseaux 10
Protocole DHCP Dynamic Host Configuration Protocol Cho phép mỗi máy khi tham gia vào mạng có thể lấy cấu hình một cách tự động Được sử dụng để phân phối địa chỉ IP cho các trạm. Conception et architectures des réseaux 11
Fonctionnement de DHCP Server DHCP : Phân phối địa chỉ IP Có 1 địa chỉ IP tĩnh Cơ chế: Client broadcasst gói DHCPDISCOVER để tìm DHCP server trong mạng Server trả lời với gói DHCPOFFER (broadcast), với các tham số Client thiết lập cấu hình bằng cách gửi DHCPREQUEST để hợp thức hóa IP của nó; Server trả lời bằng DHCPAK xác nhận địa chỉ IP Conception et architectures des réseaux 12
DHCP Serveur DHCP 3. Request : yêu cầu địa chỉ 1. Discover : Tìm kiếm server 2. Offer : Cung cấp địa chỉ 4. Ack :Khởi Offer tạo địa chỉ 5. Giải phóng địa chỉ Client DHCP Serveur DHCP Conception et architectures des réseaux 13
Bức tường lửa - Firewall Firewall (Phần cứng/mềm) Chặn các gói tin không mong muốn/cho phép các gói tin cần thiết đi vào/ra mạng một tổ chức. Về cơ bản, có 2 loại: Packet Filtering Application Gateway Internet Internal Network Firewall 14
Bộ lọc gói tin Tất cả các gói tin vào/ra đều phải đi qua firewall Bộ lọc kiểm soát gói tin dựa vào : - IP source, destination address - IP Protocol Type :TCP,UDP,ICMP,OSPF - TCP/UDP source, destination port. Việc lọc dựa trên các chính sách của tổ chức đó Chính sách được thể hiện qua việc đặt các rule cho firewall An example of filtering rule # Source Destination Protocol Source Port Dest Port Action 1 10.1.2.3 * * * * Deny 2 * 10.2.3.* TCP * 25 Allow 3 * 10.1.* TCP * 25 Allow 4 * * * * * Deny *: Means any 15
Gateway ứng dụng Gateway ứng dụng, kết hợp với bộ lọc gói, cung cấp phương pháp truyền thông an toàn cho các ứng dụng vào/ra của tổ chức Một số ứng dụng: Telnet, FTP,HTTP có thể được cấu hình để chỉ sử được qua gateway Gateway kiểm soát tên truy cập/mật khẩu Bộ lọc chỉ cho phép ứng dụng xuất phát từ gateway. Telnet to Gateway from inside Department Telnet to outside host from Gateway Internet Router Department Server 1 Application Gateway PC PC PC PC User A Firewall Filtering 16
VPN Mạng riêng ảo VPN: cho phép sử dụng kết nối Internet như đường truyền riêng. Các công nghệ cơ bản: Mã hóa Xác thực Ví dụ: IPSec (IP security protocol): Họ giao thức IP. ESP protocol (Một dạng của IPSec) cho phép mã hóa các đoạn tin TCP bên trong gói tin IP authenticated encrypted IP header ESP header TCP/UDP segment ESP Trailer ESP authent The ESP fields in the IP datagram 17
Internet Governance 18
Ai quản lý Internet? 1969, RFC1 1973, Ethernet 1990, ISP thương mại đầu tiên (The World) 1993, InterNIC (Network Information Center) 1998, ICANN (Internet Corporation for Assigned Names and Numbers) 19
Chuẩn hóa Internet 20
Các tổ chức liên quan đến việc chuẩn hóa Internet ISOC (Internet Society) Chịu trách nhiệm về chuẩn hóa Internet IAB (Internet Architecture Board) IESG (Internet Engineering Steering Group) Ủy ban của ISOC, chịu trách nhiệm duyệt, thông qua chuẩn kỹ thuật IANA (Internet Assigned Numbers Authority) Cấp phát tài nguyên: địa chỉ, số hiệu mạng ICANN (Internet Corporation for Assigned Names and Numbers) Quản lý cấp phát tên miền và địa chỉ IP IETF (Internet Engineering Task Force) Phát triển các chuẩn kỹ thuật 21
ISOC IAB IESG RFC-Editor IRTF ISTF ICANN IETF IANA area area area WG WG WG WG WG WG 22
IETF 23
IETF Tổ chức phi lợi nhuận Xây dựng các tài liệu kỹ thuật (RFC) về Internet Free http://www.ietf.org/ 24
Tài liệu liên quan RFC (Request For Comments) Internet-Drafts Miễn phí trên Internet 25
IETF Working Group Có khoảng 100 WGs trong 8 lĩnh vực http://www.ietf.org/html.charters/wg-dir.html Application General Internet Operations and Management Routing Security Transport Sub-IP Hướng dẫn về WG: RFC1603 Thành viên: tham gia với tư cách cá nhân 26
ISO vs. IETF Quốc gia vs. Cá nhân Vote vs. Discuss De jure vs. De facto 27
Quy trình đưa ra giao thức trong IETF 1. Đề xuất giao thức Internet Draft Lấy ý kiến: Request for comment (RFC) 2. Các bước phải thông qua Standards Track Proposed Standard Draft Standard Standard 3. Được chấp nhận rộng rãi như 1 giao thức 28
Một số tổ chức khác IEEE: Institute of Electrical and Electronic Engineers ITU:International Telecommunication Unit (http://www.itu.int/) ISO:International Organization for Standardization (http:// www.iso.ch/) W3C:World Wide Web Consortium (http://www.w3.org/) WIPO, INTA DAVIC USENIX ACM Sigcomm etc.. 29
Vấn đề quản lý địa chỉ ICANN IANA 30
Acknowledgement This course materials contains charts and texts provided by Keio University, Japan 31