Bảo mật mạng - Bí quyết và giải pháp - Chương 3: An ninh trong kiến trúc giao thức có phân lớp

h cho quản trị mạng (một số ví dụ được trình bày trong chương 15) hay 
ác ứng dụng với các mục đích chính khác. Những ngoại lệ của mức bố trí 
này có thể xuất hiện, ví dụ như, khi các thay đổi quản trị phím được liên kết 
chặt c ẽ với xử lý mã hoá ở các lớp thấp. Chủ đề này sẽ được bàn đến trong 
chương 4 và 7. 
Kết lu n 
Các k n trúc giao thức có phân lớp cho phép các thiết kế mạng thích ứng 
với các ứng dụng không hạn chế, thích ứng với các công nghệ phương tiện 
truyền thông cơ sở không hạn chế và các kỹ thuật kết nối liên thông không 
có giớ hạn. Kiến trúc OSI cung cấp một mô hình chung có thể làm cơ sở 
ho việc phân lớp. Trong kiến trúc này có bảy lớp và được chia ra thành 
ụng, Lớp trình diễn và Lớp phiên làm 
kết dữ 
liệ à
các Internet TCP/IP 
địn n
các
địn hống cuối, mức 
mạ
gia
gia yêu cầu an ninh nhất định đòi hỏi một giải pháp 
tại mứ
cung cấp sự bảo vệ trên cơ sở hệ thống cuối đến hệ thống cuối. Điều này có 
thể
ph
cần cung cấp sự bảo vệ trên các 
mạng con nhất định bên trong Lớp mạng hoặc (trong trường hợp các mạng 
C
ợp pháp. 
 như vậy thường yêu cầ năng truy
húng đang bảo vệ
i đa các truyền t
truyền thông 
iến trúc thì các chức năng quản trị a
d
c
h
ậ
iế
i
c
nhóm lớp trên (gồm có Lớp ứng d
việc) và nhóm lớp dưới (gồm có Lớp truyền tải, Lớp mạng, Lớp liên 
u v Lớp vật lý). Các tiêu chuẩn OSI khác định nghĩa các dịch vụ lớp và 
 giao thức đặc trưng cho bảy lớp. Bộ giao thức mạng 
h ghĩa các giao thức thay thế có thể ánh xạ thẳng tới mô hình OSI. 
Khi cung cấp các dịch vụ an ninh cần chú ý xác định lớp (các lớp) đặt 
 dịch vụ bảo vệ an ninh. Để hỗ trợ cho việc ra quyết định người ta đã xác 
h bốn mức kiến trúc an ninh là: mức ứng dụng, mức hệ t
ng con và mức liên kết trực tiếp. Mức ứng dụng liên quan đến các phần tử 
o thức an ninh phụ thuộc ứng dụng và yêu cầu cần có sự hỗ trợ trong các 
o thức lớp trên. Những 
c đó. Mức hệ thống cuối liên quan đến các phần tử giao thức an ninh 
 sử dụng các giao thức an ninh ở Lớp truyền tải hoặc Lớp mạng; cả hai 
ương án đều có sẵn và có các yếu tố khác nhau cho mỗi phương án mà ta 
 cân nhắc và quyết định. Mức mạng con
LAN)
dịch vụ an ninh cần có các chức năng khác nhau và hầu hết 
ch
 để duy trì sự bảo vệ thích đáng. An vật lý như vậy có thể rất 
đắt. Để giảm chi phí này, nên đặt dịch vụ an ninh ở mức (các mức) 
ượng 
 là trong Lớp liên kết dữ liệu. Mức lj trực tiếp cung cấp sự bảo vệ trên 
cơ sở theo từng đương liên kết trên các bộ phận của môi trường mạng; mức 
này liên quan đến Lớp vật lý hoặc Lớp liên kết dữ liệu. Các tương tác với 
người dùng (đặc biệt đối với các mục đích cấp phép) không hoàn toàn phù 
hợp với bốn mức trên đây và chúng yêu cầu có sự cân nhắc đặc biệt. 
Quản trị các 
úng được cung cấp thông qua các ứng dụng quản trị mạng. 
Bài tập 
1. Khi có một dữ liệu không được bảo vệ bên trong thiết bị chuyển mạch 
mạng (chẳng hạn như, các cầu nối, các bộ chuyển tuyến hoặc các 
chuyển mạch gói), thì thiết bị này có thể cần phải được đảm bảo về 
mặt vật lý
nào?
2. Trong một tin nhắn giao dịch tài chính, cần phải chuyển một số nhận 
dạng cá nhân PIN mã hoá trong khi các chi tiết gia dịch khác thì 
không cần phải bảo vệ. Cần sử dụng mức (các mức) kiến trúc nào 
trong bốn mức đã biết để bố trí dịch vụ an ninh và vì sao? 
3. Nếu thông tin nhạy cảm có thể được gom nhặt bằng cách hỉen thị các 
thông tin địa chỉ trong một thay đổi thiết lập kết nối hoặc trong một 
đơn vị dữ liệu không kết nối ta có thể sử dụng mức (các mức) kiến 
trúc nào để đảm bảo sự bảo vệ thích đáng. 
4. Một công ty lớn có một mạng trải rộng qua một số phân xưởng. Theo 
yêu cầu của các người dùng trên mạng có cho truyền tải một l
thông tin tài sản thực tế của công ty. Công ty muốn áp dụng bảo vệ 
bao trùm lên các bộ phận mạng có khả năng bị tổn hại chống lại sự 
tiết lộ các thông tin tài sản này của công ty ra ngoài. Trong mỗi cấu 
hình dưới đây thì mức kiến trúc nào là thích hợp nhất để áp dụng các 
dịch vụ bảo mật và tại sao? 
(a) Mạng gồm các mạng LAN cục bộ trong khu vực của công ty có 
một kết nối liên thông mạng diện rộng các vị trí này. 
(b) Mạng gồm các mạng LAN cục bộ trong khu vực của công ty 
với một số ít các đường thuê bao kết nối liên thông các cổng LAN 
tại các vị trí này. 
(c) Mạng gồm một số các đường truyền thông khác nhau đáng tin 
có thể mở rộng mà người dùng không có quyền kiểm soát an ninh 
của bộ chuyển hướng được dùng cho mỗi lần truyền. 
Tài liệu tham khảo 
[BLA1] U. Black, “OSI: A model for computer Communications”, Prentice 
: Principles, 
rotocols and Architecture”, Prentice Hall, Englewood Clifts, NI, 1988. 
D. H. Croker, “Standard for the Format of ARPA Internet Text 
Me
1982. 
[DIC1
Hall, E
[HEN
Communication Standard”, Prentice Hall, Englewood Clifts, NI, 1990. 
[PO
comm
[POS2
comm
[PO
(RFC)
[POS4
Intern
[RO
Prenti
[STE1
and R
[TOR1
Secon
Các tiêu 
Tiêu chuẩ iên thông các 
hệ thống 
X.200). 
Tiêu chuẩ : Công nghệ thông tin – Kết nối liên thông các 
hệ thống 
cáo ITU X
Tiêu chuẩ thông các hệ 
thống mở - Định nghĩa dịch vụ truyền tải có kết nối (cũng còn gọi là 
Khuyến cáo ITU X.214). 
8073: Công nghệ thông tin – Kết nối liên thông các hệ 
Hall, Englewood Clifts, NI, 1991. 
[COM1] D. E. Comer, “ Internetworking with TCP/IP
P
[CRO1] 
ssages”, Request for comments (RFC) 822, Internet Activities Board, 
] G. Dickson and A. Lloyd, “Open Systems Interconnection”, Prentice 
nglewood Clifts, NI, 1991. 
1] J. Henshall and S. Shaw, “OSI Explain: End-to-End Computer 
S1] J. B. Postel, “Simple Mail Transfer Protocol”, Request for 
ents (RFC) 821, Internet Activities Board, 1982. 
] J. B. Postel, “Transmission Control Protocol”, Request for 
ents (RFC) 793, Internet Activities Board, 1981. 
S3] J. B. Postel, “User Datagram Protocol”, Request for comments 
 768, Internet Activities Board, 1981. 
] J. B. Postel, “Internet Protocol”, Request for comments (RFC) 791, 
et Activities Board, 1981. 
S1] M. T. ROSE, “The Open Book: A Practical Perspective on OSI”, 
ce Hall, Englewood Clifts, NI, 1990. 
] D. Steedman, “Abstract Syntax Notation One (ASN.1): The Tutorial 
eference”, Technical Appraisals Ltd.., Isleworth, Enghland, 1990. 
] D. J. Torrieri, “Principles of Secure Communication Systems”, 
d edition, Artech House, Inc., Norwood, MA, 1992. 
chuẩn 
n ISO/IEC 7498-1: Công nghệ thông tin – Kết nối l
mở - Mô hình tham chiếu cơ sở (cũng còn gọi là Khuyến cáo ITU 
n ISO/IEC 7498-1
mở - Mô hình tham chiếu cơ sở - phần 2 (cũng còn gọi là Khuyến 
.800). 
n ISO/IEC 8072: Công nghệ thông tin – Kết nối liên
Tiêu chuẩn ISO/IEC 
thống mở - Định nghĩa giao thức truyền tải có kết nối ( cũng còn gọi là 
Khuyến cáo ITU X.224) 
Tiêu chuẩn ISO/IEC 8208: Công nghệ thông tin – Truyền thông dữ liệu – 
Giao thức mức gói X.25 đối với các thiết bị đầu cưối dữ liệu. 
Tiêu chuẩn ISO/IEC 8326: Công nghệ thông tin – Kết nối liên thông các hệ 
thống mở - Định nghĩa dịch vụ phiên làm việc có kết nối cơ sở (cũng còn 
gọi là Khuyến cáo ITU X215). 
hiên làm việc có kết nối cơ sở (cũng còn 
iệu – 
yền thông dữ liệu – 
nối liên thông các hệ 
 tin – Kết nối liên thông các hệ 
- Truyền thông dữ liệu - Tổ chức nội bộ về lớp 
t nối các hệ thống mở - Định 
ả 
O/IEC 8802: Công nghệ thông tin – Các mạng khu vực trung tâm và địa 
 8823: Công nghệ thông tin - Sự kết nối các hệ thống mở - ặc tả 
Tiêu chuẩn ISO/IEC 8327: Công nghệ thông tin – Kết nối liên thông các hệ 
thống mở - Định nghĩa giao thức p
được gọi là Khuyến cáo ITU X.225). 
Tiêu chuẩn ISO/IEC 8348: Công nghệ thông tin – Truyền thông dữ l
Định nghĩa dịch vụ mạng (cũng còn được gọi là Khuyến cáo ITU X.213). 
Tiêu chuẩn ISO/IEC 8473: Công nghệ thông tin – Tru
Giao thức cung cấp dịch vụ mạng chế độ không kết nối. 
Tiêu chuẩn ISO/IEC 8571: Công nghệ thông tin – Kết 
thống mở - Truyền tệp, truy nhập và quản trị (FTAM). 
Tiêu chuẩn ISO/IEC 8602: Công nghệ thông
thống mở - Giao thức cung cấp dịch vụ truyền tải chế độ không kết nối. 
ISO/IEC 8648: Công nghệ thông tin
mạng. 
ISO/IEC 8649: Công nghệ thông tin - Sự kế
nghĩa các dịch vụ để kiểm soát liên kết ( cả ITU-T Sự giới thiệu X.217). 
ISO/IEC 8650: Công nghệ thông tin - Sự kết nối các hệ thống mở - Đặc t
giao thức cho sự liên kết để kiểm soát dịch vụ phần tử( cả ITU-T Sự giới 
thiệu X.227). 
IS
phương. 
ISO/IEC 8822: Công nghệ thông tin - Sự kết nối các hệ thống mở - Sự định 
nghĩa dịch vụ trình bày định hướng kết nối( cả ITU-T Sự giới thiệu X.216). 
ISO/IEC Đ
giao thức trình bày định hướng kết nối( cả ITU-T Sự giới thiệu X.226). 
ISO/IEC 8824: Công nghệ thông tin - Sự kết nối các hệ thống mở - Đặc tả ký 
hiệu cú pháp trừu tượng (ASN.1) ( cả ITU-T X.680 các giới thiệu). 
ISO/IEC 8825: Công nghệ thông tin - Sự kết nối các hệ thống mở - Đặc tả 
các quy tắc mã hoá ASN1( cả ITU-T X 690 các giới thiệu ). 
ISO/IEC 8878: Công nghệ thông tin - Truyền thông dữ liệu - Cách sử dụng 
X.25 để cung cấp dịch vụ mạng kiểu ít kết nối . 
ISO/IEC 8880: Công nghệ thông tin - Truyền thông dữ liệu - Sự kết hợp 
giao thức để cung cấp và hỗ trợ dịch vụ mạng OSI. 
ISO/IEC 8881: Công nghệ thông tin - Truyền thông dữ liệu - Sử dụng giao 
thức lớp trọn gói X.25 trong mạng nội bộ. 
ISO/IEC 9072: Công nghệ thông tin - Sự kết nối các hệ thống mở Các thao 
tác từ xa. 
ISO/IEC 9545: Công nghệ thông tin - Sự kết nối các hệ thống mở - Cấu trúc 
n lớp giao thông( cả ITU-T Sự giới 
chế ộ gói và ã kết 
lớp các ứng dụng ( cả ITU-T Sự giới thiệu X.207). 
ISO/IEC 10736: Công nghệ thông tin - Truyền thông và chuyển đổi thông 
tin giữa các hệ thống – giao thức an toà
thiệu X.824). 
ISO/IEC 11577: Công nghệ thông tin - Truyền thông và chuyển đổi thông 
tin giữa các hệ thống – Giao thức an toàn lớp mạng ( cả ITU-T Sự giới thiệu 
X.823).( bán sỉ) 
ITU-T Sự giới thiệu X.25: Giao diện giữa thiết bị trạm dữ liệu (DTE) và 
thiết bị mạch cuối dữ liệu(DCE) cho các thao tác trong đ đ
nối tới các mạng bởi mạch chuyên môn (ISO/IEC 8208).