T Ổ NG QUAN V Ề B Ả O M Ậ T VÀ AN TOÀN M Ạ NG
T ổ ng quan v ề an toàn b ả o m ậ t m ạ ng
- Mô tả được các đối tượng tấng công hệ thống mạng
- Xác định được các lỗ hổng bảo mật
1.1 Giới thiệu về AAA: (Access Control, Authentication và Auditing)
Khi hệ thống mạng ra đời, nhu cầu trao đổi tài nguyên giữa người dùng trở nên cần thiết Qua thời gian, mạng ngày càng mở rộng và số lượng người tham gia tăng lên, dẫn đến việc cần thiết phải thực hiện các chính sách bảo mật và thiết lập quy định cho việc truy xuất tài nguyên mạng.
Công nghệ thông tin hiện đang được ứng dụng rộng rãi trong nhiều lĩnh vực như thương mại và hàng hải, trong đó "thông tin" đóng vai trò quan trọng nhất Tất cả các thiết bị máy tính như RAM, CPU, màn hình, và đĩa cứng, cùng với hạ tầng mạng như router và switch, đều góp phần vào sự phát triển này.
Công nghệ thông tin được phát triển để xử lý, lưu trữ, trình bày và vận chuyển thông tin, do đó, việc đảm bảo an toàn dữ liệu trên máy tính và bảo mật thông tin truyền tải qua mạng là rất quan trọng cho sự phát triển của ngành này Để nâng cao bảo mật và hạn chế truy cập trái phép vào dữ liệu, cũng như ngăn ngừa mất mát thông tin, thuật ngữ AAA (Kiểm soát truy cập, Xác thực và Kiểm tra) đã được giới thiệu.
AAA, viết tắt của Access Control, Authentication và Auditing, là khái niệm cốt lõi trong an ninh máy tính và mạng Các yếu tố này đóng vai trò quan trọng trong việc bảo vệ thông tin, đảm bảo toàn vẹn dữ liệu và duy trì tính sẵn sàng của hệ thống.
1.2 Điều khiển truy cập (Access Control) Điều khiển truy cập là một chính sách, được sự hỗ trợ của phần mềm hay phần cứng được dùng để cho phép hay từ chối truy cập đến tài nguyên, qui định mức độ truy xuất đến tài nguyên
Có ba mô hình được sử dụng để giải thích cho mô hình điều khiển truy cập:
- RBAC (Role Based Access Control)
Mô hình kiểm soát truy cập bắt buộc (MAC) là một hệ thống tĩnh, trong đó quyền truy cập vào các tập tin được xác định trước và thiết lập bởi người quản trị hệ thống Người quản trị có trách nhiệm cấu hình các tham số này cho từng tài khoản, tập tin hoặc tài nguyên cụ thể Mô hình MAC có những hạn chế nhất định, vì chỉ có người quản trị mới có quyền thay đổi quyền truy cập Người dùng không thể chia sẻ tài nguyên trừ khi đã có mối quan hệ tồn tại trước đó với tài nguyên đó.
Trong hệ thống Unix, mỗi tập tin hoặc thư mục đều có một chủ sở hữu (Owner) duy nhất Điều này có nghĩa là không thể có hai hoặc nhiều người cùng sở hữu một tập tin hoặc thư mục.
Quyền tập tin, thư mục trên Windows 2000 (Full control, Write, Read, List folder content, )
Mô hình DAC (Discretionary Access Control) cho phép người dùng xác định quyền truy cập trên các đối tượng, giúp chia sẻ và sử dụng tài liệu giữa các người dùng Nó sử dụng danh sách điều khiển truy cập (Access Control List) để xác định người dùng nào có quyền truy cập vào tài nguyên cụ thể Hơn nữa, mô hình này cho phép người dùng gán hoặc loại bỏ quyền truy cập cho từng cá nhân hoặc nhóm dựa trên từng tình huống cụ thể.
1.2.3 RBAC (Role Based Access Control)
Trong RBAC, việc quyết định quyền truy cập dựa trên vai trò của mỗI cá nhân và trách nhiệm của họ trong tổ chức
Quyền hạn dựa trên công việc và phân nhóm ngườI dùng Tuỳ thuộc vào từng quyền hạn của ngườI dùng mà chúng ta sẽ phân quyền cho phù hợp
Người quản trị hệ thống mạng có quyền quản lý toàn bộ, bao gồm việc thêm, xóa và sửa thông tin trên mạng Trong khi đó, nhân viên bình thường chỉ có quyền sử dụng máy tính mà không được phép thực hiện các thao tác quản trị khác.
Quá trình xác thực là bước cần thiết để đảm bảo rằng một máy tính hoặc người dùng đang cố gắng truy cập vào tài nguyên một cách hợp lệ Điều này bao gồm cách thức đăng nhập và sử dụng hệ thống một cách an toàn.
Quá trình xác thực người dùng rất đa dạng, bao gồm các phương pháp truyền thống như kiểm tra tên đăng nhập và mật khẩu, cũng như việc áp dụng công nghệ tiên tiến như nhận diện khuôn mặt và thiết bị sinh học.
1.3.1 Username/Password Đây là phương thức xác nhận cổ điển và được sử dụng rất phổ biến (do tính năng đơn giản và dễ quản lý)
Mỗi người dùng sẽ được xác thực qua tên truy cập và mật khẩu, trong đó mật khẩu thường được lưu trữ trong cơ sở dữ liệu dưới dạng mã hóa hoặc không mã hóa Tuy nhiên, mật khẩu có thể bị đoán dễ dàng thông qua các phương pháp tấn công vét cạn.
- Mức độ không an toàn: ít hơn 06 ký tự
- Mức độ an toàn trung bình: 08 đến 13 ký tự
- Mức độ an toàn cao: 14 ký tự
Ngoài ra mật khẩu cần tuân theo một số yêu cầu sau:
- Kết hợp giữa các ký tự hoa và thường
- Sử dụng số, ký tự đặc biệt, không sử dụng các từ có trong tự điển
- Không sử dụng thông tin cá nhân để đặt mật khẩu (ngày sinh, số điện thoại, tên ngườI thân …)
Do sự yếu kém của thông tin User/Pass, dễ bị mất mát khi truyền tải qua mạng, cần thiết phải có phương pháp bảo vệ dữ liệu an toàn trong quá trình xác thực Giao thức CHAP là giải pháp đáp ứng yêu cầu này.
CHAP là một phương pháp bảo vệ thông tin xác nhận và kiểm tra kết nối tới tài nguyên hợp lệ thông qua việc sử dụng các thách thức và phản hồi được mã hóa Nó cho phép xác thực truy cập từ xa mà không cần gửi mật khẩu qua mạng, đảm bảo an toàn cho thông tin người dùng.
CHAP (Challenge Handshake Authentication Protocol) được sử dụng để xác định tính hợp lệ của người dùng thông qua cơ chế bắt tay ba bước Cơ chế này không chỉ được áp dụng khi khởi tạo kết nối mà còn được sử dụng nhiều lần để duy trì kết nối an toàn.
- Nơi cần xác nhận sẽ gửi một thông điệp “Challenge”
- Bên nhận sẽ sử dụng mật khẩu và một hàm băm một chiều để tính ra kết quả và trả lời cho bên cần xác nhận
Các d ạ ng t ấ n công
2.1 Giới thiệu Để xây dựng một hệ thống bảo mật, trước hết chúng ta phải hiểu rõ cách thức các Hacker sử dụng để tấn công vào hệ thống Việc tìm hiểu cách thức tấn công góp phần rất nhiều cho công tác bảo mật một hệ thống mạng, giúp việc ngăn chặn hiệu quả hơn rất nhiều Môi trường mạng ngày càng phát triển, do đó nhu cầu bào mật, bảo đảm an ninh trên mạng luôn phát triển
Hiện nay, các phương pháp tấn công rất đa dạng và phong phú Mặc dù có nhiều hình thức tấn công khác nhau, nhưng chúng có thể được phân loại thành một số nhóm chính.
- Theo mục tiêu tấn công: Ứng dụng mạng hay cả hai
- Theo cách thức tấn công: Chủ động (Active) hay thụ động (Passive)
- Theo phương pháp tấn công: Có nhiều loại ví dụ như bẻ khoá, khai thác lỗi, phần mềm hay hệ thống, mã nguy hiểm …
Ranh giới của các nhóm này dần khó nhận ra vì những cách tấn công ngày nay, ngày càng phức tạp, tổng hợp
Tuy nhiên, không phải mọi hacker đều tấn công nhằm mục đích phá hoại hệ thống
Có hai loại hacker chính: "White hat" là những người tấn công hệ thống với mục đích tìm ra lỗ hổng và thông báo cho quản trị viên để khắc phục, trong khi "Black hat" là những hacker xâm nhập với ý định khai thác lỗ hổng để vụ lợi cá nhân.
Nhiều người thường nhầm lẫn giữa hacker và cracker Cracker là người chuyên nghiên cứu phần mềm và bẻ khóa chúng, trong khi hacker là người tìm kiếm lỗ hổng trong hệ thống.
2.2 Minh hoạ khái quát một qui trình tấn công
Tùy thuộc vào mục tiêu tấn công, hacker sẽ áp dụng các kịch bản tấn công khác nhau Bài viết này sẽ minh họa một kịch bản tổng quát cho việc tấn công vào hệ thống.
Hình 1.1 Minh hoạ khái quát một qui trình tấn công
Các bước cơ bảncủa một cuộc tấn công
- Bước 1: Tiến hành thăm dò và đánh giá hệ thống
- Bước 2: Thực hiện bước thâm nhập vào hệ thống Sau đó có thể quay lại bước 1 để tiếp tục thăm dò, tìm thêm các điểm yếu của hệ thống
Để gia tăng quyền hạn, hãy tìm mọi cách thực hiện điều này Sau khi đạt được, bạn có thể quay lại bước 1 để tiếp tục thăm dò và phát hiện thêm các điểm yếu của hệ thống, hoặc chuyển sang bước 4 để tiến hành các bước tiếp theo.
- Bước 4: Duy trì truy cập, theo dõi hoạt động của hệ thống
- Bước 5: Thực hiện các cuộc tấn công (ví dụ: từ chốI dịch vụ …)
Các dạng tấn công mạng trực tiếp có thể gây hại nghiêm trọng cho hệ thống và ứng dụng, bao gồm việc khống chế máy chủ và tắt các dịch vụ, không chỉ dừng lại ở việc nghe lén hay thu thập thông tin.
Những dạng tấn công phổ biến như: Dos, Ddos, Buffer overflow, IP spoofing …
Tấn công từ chối dịch vụ (DOS) là hình thức tấn công làm cho hệ thống bị quá tải, dẫn đến việc không thể cung cấp dịch vụ hoặc ngừng hoạt động Mục đích chính của kiểu tấn công này là gây gián đoạn hoạt động, trong khi khả năng đánh cắp thông tin hoặc dữ liệu là rất hạn chế.
Mục tiêu chính của các cuộc tấn công từ chối dịch vụ thường là các máy chủ như FTP, Web và Mail, nhưng cũng có thể nhắm đến các thiết bị mạng như Router, Switch và Firewall.
Tấn công từ chối dịch vụ (DoS) không chỉ diễn ra qua mạng internet mà còn có thể xảy ra trên máy cục bộ hoặc trong mạng cục bộ, được gọi là tấn công DoS logic chống lại các máy chủ.
Tấn công từ chối dịch vụ (DoS) ban đầu khai thác những điểm yếu của giao thức TCP, sau đó đã phát triển thành tấn công từ chối dịch vụ phân tán (DDoS) Các hình thức tấn công từ chối dịch vụ có thể được phân loại thành nhiều dạng như Broadcast Storm, SYN Flood, Finger, Ping Flooding, và nhiều hình thức khác.
Hai vấn đề của tấn công từ chối dịch vụ là:
Các cuộc tấn công tiêu thụ tài nguyên, hay còn gọi là tấn công từ chối dịch vụ, thường nhằm vào việc làm quá tải hệ thống thông qua việc khai thác một lượng lớn yêu cầu Những tài nguyên chính thường bị tấn công bao gồm băng thông, ổ cứng (thường là mục tiêu của bom mail), RAM và CPU.
Lỗi trong việc xử lý các chuỗi, dữ liệu đầu vào và gói tin đặc biệt do kẻ tấn công tạo ra (tấn công gói tin bị lỗi) thường xảy ra trên router hoặc switch Khi hệ thống nhận những gói tin hoặc chuỗi này, lỗi phần mềm có thể dẫn đến việc router hoặc switch bị sập.
Tấn công từ chối dịch vụ (DDoS) không cho phép attacker kiểm soát hệ thống, nhưng lại là một hình thức tấn công rất nguy hiểm, đặc biệt trong lĩnh vực giao dịch điện tử và thương mại điện tử Thiệt hại về tài chính, danh tiếng và uy tín do loại tấn công này gây ra thường rất khó ước lượng Hơn nữa, việc phòng ngừa tấn công DDoS cũng gặp nhiều khó khăn, vì người dùng thường chỉ nhận biết khi đã bị tấn công Đối với các hệ thống bảo mật tốt, tấn công từ chối dịch vụ thường được xem là phương pháp cuối cùng mà attacker sử dụng để làm suy yếu hệ thống.
Tấn công từ chối dịch vụ phân tán (DDoS) là một hình thức tấn công mạng sử dụng nhiều máy tính để làm quá tải hệ thống mục tiêu So với tấn công từ chối dịch vụ đơn giản (DoS), DDoS có mức độ nguy hiểm cao hơn rất nhiều, gây ra thiệt hại nghiêm trọng cho các dịch vụ trực tuyến.
Tấn công DDos bao gồm hai thành phần:
Các phương pháp phòng chố ng
3.1 Giới thiệu công cụ Essential NetTools:
Essential NetTools là bộ công cụ hữu ích bao gồm các lệnh như Netstat, Nslookup, Tracert và Ping Sử dụng các lệnh này trên Windows có thể phức tạp, nhưng với Essential NetTools, quá trình trở nên đơn giản hơn nhờ vào giao diện thân thiện và dễ sử dụng, cùng với tài liệu hướng dẫn chi tiết và đầy đủ.
Với công cụ Essential NetTools, quản trị mạng có khả năng giám sát toàn bộ hoạt động trên hệ thống máy tính, bao gồm việc phát hiện các cuộc tấn công như SYN flood.
- Loại bỏ những dịch vụ không cần thiết
- Sử dụng tường lửa hay IP Sec để lọc thông tin không cần thiết
- Sử dụng IDS để phát hiện các thăm dò và thông báo các truy cập khả nghi
3.2 Giới thiệu công cụ Microsoft Baseline Security Analyzer:
Tìm hiểu cách thực phát hiện lỗ hỏng bảo mật trên máy cục bộ và mạng, diễn giải được các bản báo cáo trả về
- Sử dụng công cụ Microsoft Baseline Security Analyzer (MBSA) để kiểm tra lỗ hỏng trên hệ điều hành windows
- Nghiên cứu các lỗ hỏng bảo mật được tìm thấy và cung cấp cách vá những lỗ hỏng đó
- Sử dụng MBSA để quét những điểm yếu của hệ thống windows
Kích hoạt chương trình MBSA
Chọn Start Scan để bắt đầu dò lỗ hỏng, bản báo cáo sẽ được trả lời như sau:
Với những Score có biểu tượng X là những lỗ hỏng nghiêm trọng nhất
Chọn mục Result details để xem chi tiết về lỗ hỏng bảo mật chọn mục how to correct this để tìm ra phương thức khắc phục vấn đề
Chú ý: khi muốn quét lỗi bảo mật từ các hệ thống khác, chúng ta chỉ cần nhập tên hay
IP của máy cần quét
3.3 Sử dụng công cụ Tenable NeWT Scanner:
Tìm hiểu cách thứcphát hiện lỗ hỏng bảo mật trên máy cục bộ, diễn giải được các báo cáo trả về
- Sử dụng NeWT để dò những lỗ hỏng bảo mật trên máy cục bộ
- Tìm hiểu các lỗ hỏng được tìm thấy và cung cấp cách vá lỗ hỏng
- Sử dụng NeWT để quét những nơi bị tấncông trên hệ thống cục bộ
Cài đặt chương trình Tenable NeWT Scanner:
Kích hoạt chương trình NeWT Security Scanner
Chọn New Scan task để bắt đầu quá trình quét
Nhập vào tên hoặc địa chỉ IP của máy cần quét chọn Next
Chọn Scan now để bắt đầu scan Sau khi quá trình quét thành công Một thông báo sẽ hiển thị ra như sau:
Dựa trên bản báo cáo trả về, chúng ta đưa ra các giải pháp để khắc phục lỗi
3.4 Xây dựng Firewall để hạn chế tấn công: Để ngăn chặn sự xâm nhập bắt hợp pháp của người dùng mạng, chúng ta cần xây dựng các hệ thống phòng thủ Firewall là một giải pháp tốt cho vấn đề này Việc xây dựng firewall có thể dùng thiết bị phần cứng hoặc sử dụng giải pháp phần mềm Trong phần này chúng ta sẽ hiểu hai giải pháp này
Hiện nay, thị trường có nhiều sản phẩm firewall từ đơn giản đến phức tạp, bao gồm cả các thiết bị ADSL và Load Balance Router, cũng như các giải pháp chuyên dụng như Fortinet, Juniper, và Check Point Lựa chọn loại firewall phù hợp phụ thuộc vào mức độ phức tạp của hệ thống mạng Bài viết này sẽ khám phá một số tính năng của firewall trong các sản phẩm Load Balance Router.
Với thiết bị Load Balance Router của hãng Dray tek (vigor 3300V) sử dụng các tính năng để hạn chế người dùng trong và ngoài mạng như:
A/ IP Filter: Đây là một tính năng để lọc các thông tin từ mạng trong đi ra ngoài và ngược lại
B/ Dos: Đây là một tính năng cho phép giới hạn sự tấn công của các máy tính bên ngoài sử dụng Dos
C/ URL Filter: Đây là một tính năng cho phép lọc nội dung địa chỉ website truy cập
D/ Bind IP to MAC: Đây là một tính năng để giới hạn những người dùng không hợp lệ có thể truy cập sử dụng đường internet hiện tại
E/IM/P2P Blocking là tính năng cho phép chặn một hoặc nhiều địa chỉ IP truy cập vào dịch vụ tin nhắn, VoIP và các dịch vụ chia sẻ dữ liệu ngang hàng.
Để tăng cường bảo mật máy tính, ngoài việc sử dụng phần cứng, chúng ta có thể áp dụng các giải pháp phần mềm nhằm hạn chế sự xâm nhập từ các máy khác Từ phiên bản Windows XP trở đi, các hệ điều hành này đã tích hợp sẵn tính năng thiết lập firewall cơ bản Để bảo vệ an toàn trên mạng, có nhiều phần mềm như ISA, Kerio Win Route Firewall, và Zone Alarm có thể được sử dụng Trong bài viết này, chúng ta sẽ tập trung vào việc sử dụng ISA 2004 để xây dựng firewall hiệu quả.
Phần mềm ISA 2004 cung cấp giải pháp hiệu quả cho việc xây dựng firewall và ngăn chặn sự xâm nhập trái phép từ người dùng trên mạng Các mô-đun đã được tìm hiểu cho phép thiết lập bộ lọc để kiểm soát quyền truy cập của người dùng ra bên ngoài, đồng thời mở một số cổng dịch vụ cần thiết cho phép truy cập từ bên ngoài vào mạng nội bộ Hơn nữa, ISA 2004 còn hỗ trợ giới hạn số lượng phiên (session) mở đồng thời và bảo vệ hệ thống khỏi các cuộc tấn công từ chối dịch vụ (DoS).
Bài tập của học viên
1: Trình bày các kiểu tấn công mạng
2: Trình bày các mã độc hại?
3: Thế nào là Auditing – Logging, system scanning, thao tác trên server 2019 4: Thực hiện tấn công DDoS bằng công cụ Hammer
1 Trình bày các kiểu tấn công mạng, tham khảo mục 2 trang 32 của giáo trình
2 Trình bày các mã độc hại, tham khảo mục 2 trang 37 của giáo trình
3 Thế nào là Auditing – Logging, system scanning và thao tác trên server 2019
Phải chuột Default Domain Controllers Policy -> Edit -> Computer
Configuration (audit policy chỉ có ở mục này) -> Policies -> Windows Settings -
> Security Settings -> Local Policies -> Audit Policy
Hình 1.10 Hộp thoại Audit Policy Để mở Event Viewer trên Server: ta vào Server Manager -> Tools -> Event
Để mở Event Viewer trên PC, bạn có thể sử dụng lệnh run và nhập "compmgmt.msc" Phương pháp này đặc biệt hữu ích khi bạn muốn truy cập Event Viewer của Server từ xa bằng cách chọn "Connect to ".
Cơ bản 1 máy tính cài HDH Windwos luôn có 3 loại log: Application, Security,
System Máy tính cài thêm dịch vụ gì thì sẽ xuất hiện thêm Event Viewer của dịch vụ đó Ví dụ: Domain Controller có thêm: Directory Service, DNS server v.v
Những sự kiện giám sát bằng Audit Policy đều lưu trong Security Log
Ta bung Windows Logs -> Security Bên phải là những sự kiện mà mặc định hệ thống sẽ tự Audit.
4 Thực hiện tấn công DDoS bằng công cụ Hammer
Công cụ này làm bằng Python và chạy yêu cầu Python 3
Hoặc đơn giản hơn là chạy lần lượt các lệnh sau [ Với thao tác này thì ta sẽ bỏ qua bước 2 ]
1 git clone https://github.com/cyweb/hammer.git
Bước 2 : Khởi chạy công cụ
Để chạy công cụ trên Ta chỉ cần bật Terminal lên và gõ lệnh sau :
[ Chú ý là hãy giải nén công cụ vừa tải về Sau đó sử dụng lệnh ” cd ” để di chuyển đến thư mục đó ] python3 hammer.py
Bước 3 : Xem các tùy chọn của công cụ :
Đây là danh sách các tùy chọn mà hammer hỗ trợ
Bước 4 : Xác định mục tiêu cần tấn công
Ví dụ là trang example.com với địa chỉ ip là 1.1.1.1
Để attack tôi sử dụng tùy chọn sau : python3 hammer.py -s -p -t
Và tôi sẽ tấn công trang example với lệnh đơn giản như sau : python3 hammer.py -s example.com
Còn các tùy chọn khác đa số là công cụ tự động mặc định Muốn thì có thể gán vào
-t : Chức năng như nghĩa của nó
Việc còn lại là đợi cho nó sập thôi
Chú ý : Không được đi phá hoại người khác
Những trọng tâm cần chú ý:
- Trình bầy đầy đủ nội dung Các kiểu tấn công, có cho ví dụ cụ thể
- Trình bày các bước tấn công của DDOS đầy đủ chính xác, chỉ làm trên hệ thống của bài thực hành
- Trình bày xác định rủi ro, xác định chính xác mối đe dọa
- Trình bày các mã độc hại tấn công hệ thống để phòng chống hợp lý
- Thao tác đúng các bước cài đặt, cấu hình Auditing – Logging, system scanning Windows server 2019
Bài mở rộng và nâng cao
Cài Đặt Chương Trình diệt virus Symantec Antivirus cho Server và client trên hệ thống
Yêu cầu đánh giá kết quả học tập
Trình bày được Các kiểu tấn công trên hệ thống
Trình bày được Các mã độc hại tấn công trên hệ thống
Trình bày được các bước cài đặt, cấu hình chương trình diệt Virus symantec antivirus server và symantec antivirus client trên Windows Server 2019
Trình bày được các bước cài đặt, cấu hình chương trình diệt Virus symantec antivirus client
+ Thao tác thành thạo các bước cài đặt, cấu hình chương trình diệt Virus symantec antivirus server và symantec antivirus client trên Windows Server 2019
+ Thực hiện đúng các thao tác bước cài đặt, cấu hình chương trình diệt Virus symantec antivirus client
Năng lực tự chủ và trách nhiệm: Tỉ mỉ, cẩn thận, chính xác, linh hoạt và ngăn nắp trong công việc
Về kiến thức: Đánh giá bằng hình thức kiểm tra viết, trắc nghiệm, vấn đáp
Về kỹ năng: Đánh giá kỹ năng thực hành thực hiện cài đặt, cấu hình diệt Virus symantec antivirus
Năng lực tự chủ và trách nhiệm: Tỉ mỉ, cẩn thận, chính xác, linh hoạt và ngăn nắp trong công việc.
MÃ HÓA THÔNG TIN
Cơ bả n v ề mã hoá (Cryptography)
- Trình bày được nhu cầu sử dụng mã hóa;
- Mô tả được quá trình mã hóavà giải mã
Những điều căn bản về mã hoá
Khi bắt đầu khám phá mã hoá, nhiều người thường thắc mắc về tầm quan trọng của việc sử dụng mã hoá và lý do tồn tại của nhiều thuật toán mã hoá khác nhau Việc hiểu rõ những câu hỏi này giúp chúng ta nhận thức được vai trò quan trọng của mã hoá trong bảo mật thông tin và sự đa dạng của các phương pháp mã hoá hiện có.
1.1 Tại sao cần phải sử dụng mã hoá
Thuật toán Cryptography là ngành khoa học chuyên nghiên cứu về mã hoá và giải mã thông tin, chuyển đổi dữ liệu từ dạng rõ (clear text) sang dạng mờ (cipher text) và ngược lại Phương pháp này đóng vai trò quan trọng trong việc bảo vệ dữ liệu khỏi truy cập bất hợp pháp trên mạng, đảm bảo thông tin được truyền đi ở dạng mờ, không thể đọc được bởi những kẻ cố tình xâm nhập.
1.2 Nhu cầu sử dụng kỹ thuật mã hoá
Không phải tất cả mọi người hay ứng dụng đều cần sử dụng mã hóa Nhu cầu mã hóa xuất hiện khi các bên muốn bảo vệ thông tin quan trọng hoặc gửi chúng một cách an toàn Các tài liệu quan trọng này có thể bao gồm tài liệu quân sự, tài chính, kinh doanh, hoặc thông tin cá nhân riêng tư.
Như chúng ta đã biết, Internet hình thành và phát triển từ yêu cầu của chính phủ
Internet là môi trường không an toàn và tiềm ẩn nhiều rủi ro khi chúng ta trao đổi thông tin, vì không có gì đảm bảo rằng thông tin không bị đọc trộm Do đó, mã hoá là một biện pháp quan trọng giúp bảo vệ bản thân và thông tin cá nhân Ngoài ra, mã hoá còn đảm bảo tính toàn vẹn của dữ liệu, mang lại sự an tâm cho người sử dụng.
Tại sao lại có quá nhiều thuật toán mã hoá
Theo một số tài liệu, trước đây, tính an toàn và bí mật của một thuật toán phụ thuộc vào cách thức hoạt động của nó Nếu sự an toàn chỉ dựa vào bí mật của thuật toán, thì đó được gọi là thuật toán hạn chế (Restricted Algorithm) Mặc dù Restricted Algorithm từng có tầm quan trọng trong lịch sử, nhưng ngày nay nó đã trở nên lỗi thời và ít được sử dụng Hạn chế lớn của nó là khi một người dùng rời khỏi nhóm, toàn bộ nhóm phải chuyển sang thuật toán khác Hơn nữa, nếu thông tin về thuật toán bị tiết lộ, hoặc nếu ai đó phát hiện ra bí mật của nó, thuật toán sẽ bị phá vỡ, buộc tất cả người dùng còn lại phải thay đổi, dẫn đến mất thời gian và công sức.
Hệ thống mã hoá hiện nay dựa vào khoá (Key) như một yếu tố quan trọng, tách rời khỏi thuật toán mã hoá Với các thuật toán thường được công khai, tính an toàn của mã hoá giờ đây phụ thuộc chủ yếu vào khoá, có thể là bất kỳ giá trị chữ hoặc số nào Phạm vi các giá trị có thể có của khoá được gọi là Keyspace Cả hai quá trình mã hoá và giải mã đều sử dụng khoá, và hiện nay, thuật toán được phân loại dựa trên số lượng cũng như đặc tính của khoá được sử dụng.
Mã hoá là quá trình che giấu thông tin bằng thuật toán, không làm cho thông tin biến mất mà chuyển từ dạng tỏ sang dạng mờ Thuật toán là tập hợp các câu lệnh giúp chương trình xáo trộn hoặc phục hồi dữ liệu Ví dụ, một thuật toán đơn giản có thể mã hoá thông điệp cần gửi đi.
Bước 1: Thay thế toàn bộ chữcái “e” thành số“3”
Bước 2: Thay thế toàn bộ chữ cái “a” thành số “4”
Bước 3: Đảo ngược thông điệp
Thuật toán mã hóa là một công cụ quan trọng trong bảo mật thông tin Để hiểu rõ hơn về cách thức hoạt động của nó, chúng ta cần nắm vững một số thuật ngữ cơ bản Những khái niệm này sẽ giúp chúng ta tiếp cận và áp dụng thuật toán mã hóa hiệu quả hơn trong thực tế.
Hinh 2.1: Minh hoạ quá trình mã hóa và giải mã
Sender/Receiver: Người gửi/Người nhận dữ liệu
- Plaintext (Cleartext): Thông tin trước khi được mã hoá Đây là dữ liệu ban đầu ở dạng rõ - Ciphertext: Thông tin, dữ liệu đã được mã hoá ở dạng mờ
- Key: Thành phần quan trọng trong việc mã hoá và giải mã
- CryptoGraphic Algorithm: Là các thuật toán được sử dụng trong việc mã hoá hoặc giải mã thông tin
- CryptoSystem: Hệ thống mã hoá bao gồm thuật toán mã hoá, khoá, Plaintext, Ciphertext
Kí hiệu chung: P là thông tin ban đầu, trước khi mã hoá E() là thuật toán mã hoá D() là thuật toán giải mã C là thông tin mã hoá K là khoá
1.3 Quá trình mã hoá và giải mã như sau:
- Quá trình mã hoá được mô tả bằng công thức: EK(P)=C
- Quá trình giải mã được mô tả bằng công thức: DK(C)=P
Mã hoá không chỉ giúp che giấu nội dung thông tin mà còn đảm bảo các mục tiêu quan trọng như tính bí mật, tính xác thực, tính toàn vẹn và tính không thể chối bỏ Tính bí mật đảm bảo dữ liệu được truyền an toàn và chỉ những người được phép mới có thể đọc thông tin gốc Tính xác thực giúp người nhận xác định chắc chắn rằng dữ liệu họ nhận là nguyên bản, ngăn chặn kẻ giả mạo Tính toàn vẹn cho phép người nhận kiểm tra rằng dữ liệu không bị thay đổi trong quá trình truyền, đảm bảo không có dữ liệu giả mạo Cuối cùng, tính không thể chối bỏ đảm bảo rằng cả người gửi và người nhận không thể phủ nhận việc đã gửi hoặc nhận thông tin.
Độ an toàn c ủ a thu ậ t toán
- Trình bày được các thuật toán mã hóa
Nguyên tắc cơ bản trong mã hóa là "Tất cả các thuật toán đều có thể bị phá vỡ" Mỗi thuật toán cung cấp mức độ an toàn khác nhau, tùy thuộc vào độ phức tạp của việc phá vỡ chúng Độ an toàn của một thuật toán sẽ thay đổi theo thời gian và phụ thuộc vào nhiều yếu tố khác nhau.
Nếu chi phí cần thiết để phá vỡ một thuật toán vượt quá giá trị của thông tin mà thuật toán đó bảo vệ, thì thuật toán đó có thể được xem là an toàn trong một thời gian nhất định.
- Nếu thời gian cần thiết dùng để phá vỡ một thuật toán là quá lâu thì thuật toán đó tạm thời được coi là an toàn
Nếu lượng dữ liệu cần thiết để phá vỡ một thuật toán vượt quá lượng dữ liệu đã được mã hóa, thuật toán đó có thể được coi là an toàn trong thời gian tạm thời.
Thuật toán mã hóa chỉ đảm bảo an toàn trong một khoảng thời gian nhất định, và luôn có khả năng bị phá vỡ bởi những kẻ tấn công Sự an toàn của thuật toán phụ thuộc vào thời gian, công sức, đam mê và tính kiên trì của các hacker Với sự gia tăng tốc độ xử lý của CPU và khả năng tính toán của máy tính, không ai có thể chắc chắn rằng thuật toán sẽ luôn an toàn Trong lĩnh vực mạng máy tính, luôn tồn tại hai phe đối lập: những kẻ tấn công và những người phòng thủ Cuộc chiến giữa họ giống như một trận cờ, nơi mỗi nước đi quyết định số phận của cả hai bên Ai có trình độ tốt hơn sẽ giành chiến thắng, và trong thế giới mã hóa, mọi thứ đều phụ thuộc vào kỹ năng và thời gian, tạo nên sự thú vị cho trò chơi này.
Phân lo ạ i các thu ậ t toán mã hoá
Có nhiều loại thuật toán mã hóa, từ những thuật toán công khai cho phép người dùng áp dụng như chuẩn chung cho việc mã hóa dữ liệu, đến những thuật toán không được công bố Các thuật toán mã hóa có thể được phân loại thành nhiều nhóm khác nhau.
Phân loại theo các phương pháp:
- Mã hoá cổ điển (Classical cryptography)
- Mã hoá đối xứng (Symetric cryptography)
- Mã hoá bất đối xứng(Asymetric cryptography)
Phân loại theo sốlượng khoá:
- Mã hoá khoá bí mật (Private-key Cryptography)
- Mã hoá khoá công khai (Public-key Cryptography)
Các phương pháp mã hoá cổ điển không sử dụng khoá đã xuất hiện trong lịch sử, với thuật toán đơn giản và dễ hiểu Những từ chính của các phương pháp này đã tạo nền tảng cho việc phát triển các thuật toán mã hoá đối xứng hiện đại mà chúng ta sử dụng ngày nay.
02 phương pháp nổi bật đó là:
- Mã hoá thay thế (Substitution Cipher):
Phương pháp mã hóa này thay thế từng ký tự hoặc nhóm ký tự trong bản rõ (Plaintext) bằng một ký tự hoặc nhóm ký tự khác, tạo ra bản mờ (Ciphertext) Để phục hồi lại bản rõ ban đầu, bên nhận chỉ cần đảo ngược quá trình thay thế trên bản mờ.
Mã hóa Ceasar, được phát minh bởi Julius Ceasar, là hình thức mã hóa sớm nhất và lần đầu tiên được áp dụng trong quân sự Phương pháp này đơn giản, thay thế mỗi chữ trong bản rõ bằng chữ thứ ba tiếp theo trong bảng chữ cái.
Meet me after the toga party
PHHW PH DIWHU WKH WRJD SDUWB c = E(p) = (p + 3) mod (26) p = D(c) = (c –3) mod (26)
Mã hoá Shift cipher (Mã dịch vòng)
Phần này sẽ mô tả mã dịch (MD) dựa trên số học theo modulo Trước tiên sẽ điểm qua một số định nghĩa cơ bản của số học này
Giả sử a và b là các số nguyên, và m là một số nguyên dương Ta có thể viết a ≡ b (mod m) nếu m chia hết cho b-a, và mệnh đề này được gọi là "a đồng dư với b theo modulo m" Trong đó, số nguyên m được gọi là modulus.
Khi chia a và b cho m, ta thu được phần thương nguyên và phần dư, với phần dư nằm trong khoảng từ 0 đến m-1, tức là a = q1m + r1 và b = q2m + r2, trong đó 0 ≤ r1 ≤ m-1 và 0 ≤ r2 ≤ m-1 Điều này cho thấy a ≡ b (mod m) khi và chỉ khi r1 = r2 Ký hiệu a mod m được sử dụng để xác định phần dư khi a chia cho m, tức là giá trị r1 Do đó, a ≡ b (mod m) khi và chỉ khi a mod m = b mod m Nếu thay a bằng a mod m, ta nói rằng a được rút gọn theo modulo m.
Nhiều ngôn ngữ lập trình xác định a mod m là phần dư trong dải -m+1 đến m-1 có cùng dấu với a Ví dụ, -18 mod 7 cho kết quả -4, khác với giá trị 3 theo công thức Tuy nhiên, để thuận tiện, a mod m thường được xác định là một số không âm.
Số học modulo m, ký hiệu là Zm, là tập hợp {0, 1, , m-1} với hai phép toán cơ bản là cộng và nhân Trong Zm, phép cộng và nhân được thực hiện tương tự như trên các số thực, nhưng kết quả sẽ được rút gọn theo modulo m.
Ví dụ tính 11× 13 trong Z16 Tương tự như với các số nguyên ta có 11 ×13 = 143 Để rút gọn 143 theo modulo 16, ta thực hiện phép chia bình thường:
Giả sử P = C = K = Z26 với 0 ≤ k ≤ 25, định nghĩa:
Nhận xét:Trong trường hợp K = 3, hệ mật thường được gọi là mã Caesar đã từng được Julius Caesar sử dụng
Ta sẽ sử dụng MDV với modulo 26 để mã hóa văn bản tiếng Anh thông thường Sự tương ứng giữa các ký tự và các thặng dư theo modulo 26 được thiết lập như sau: A tương ứng với 0, B với 1, và tiếp tục đến Z tương ứng với 25 Phép tương ứng này sẽ được ghi lại để tiện sử dụng trong các ví dụ sau.
Hệ mã hóa thay thế(Substitution Cipher)
Chọn một hoán vị p: Z26 Z26 làm khoá
- Mã hoá hoán vị (Transposition Cipher):
Ngoài phương pháp mã hóa thay thế, mã hóa hoán vị cũng là một phương pháp cổ điển nổi tiếng Trong mã hóa thay thế, các ký tự trong Plaintext được thay thế hoàn toàn bằng các ký tự khác trong Ciphertext Ngược lại, trong mã hóa hoán vị, các ký tự trong Plaintext được giữ nguyên nhưng thay đổi vị trí, tạo ra Ciphertext mà không làm thay đổi bản chất của các ký tự ban đầu.
Mã hoán vị - Permutation Cipher
Chuyển đổi vị trí bản thân các chữ cái trong văn bản gốc từng khối m chữ cái
Trong đó, π: Z26 Z26 là một hoán vị, π’:=π-1 là nghịch đảo của π
“shesellsseashellsbytheseashore” shesel | lsseas | hellsb | ythese | ashore
EESLSH | SALSES | LSHBLE | HSYEET | HRAEOS
Trong cả hai hệ mã MDV và MTT, mỗi ký tự được ánh xạ vào một ký tự duy nhất, khiến các hệ mật này còn được gọi là hệ thay thế đơn biểu Một trong những hệ mật nổi tiếng không sử dụng bộ chữ đơn là hệ mã Vigenère, được đặt theo tên của Blaise de Vigenère, người sống vào thế kỷ XVI.
Sử dụng phép tương ứng A 0, B 1, , Z 25 mô tả ở trên, ta có thể gắn cho mỗi khóa K với một chuỗi kí tự có độ dài m được gọi là từ khoá
Mật mã Vigenère sẽ mã hoá đồng thời m kí tự: Mỗi phần tử của bản rõ tương đương với m ký tự
Ví dụ về mã hóa
Ví dụ về giải mã
MDV là một trường hợp đặc biệt của MTT, bao gồm 26 hoán vị của 26 phần tử Một trường hợp khác của MTT là mã Affine, trong đó chỉ xét các hàm mã có dạng e(x) = ax + b mod 26 với a, b thuộc Z26 Các hàm này được gọi là hàm Affine, và khi a = 1, ta có MDV Để giải mã thành công, hàm Affine cần phải là đơn ánh, nghĩa là với bất kỳ y thuộc Z26, đồng nhất thức ax + b ≡ y (mod 26) phải có nghiệm x duy nhất Đồng dư thức này tương đương với ax ≡ y - b (mod 26).
Vì y thay đổi trên Z26 nên y-b cũng thay đổi trên Z 26 Bởi vậy, ta chỉ cần nghiên cứu phương trình đồng dư: ax ≡ y (mod 26) (y Z26)
Phương trình này chỉ có một nghiệm duy nhất cho mỗi y khi và chỉ khi UCLN(a, 26) = 1 Nếu giả sử UCLN(a, 26) = d > 1, thì đồng dư thức ax ≡ 0 (mod).
26) sẽ có ít nhất hai nghiệm phân biệt trong Z 26 là x = 0 và x = 26/d Trong trường hợp này, e(x) = ax + b mod 26 không phải là một hàm đơn ánh và bởi vậy nó không thể là hàm mã hoá hợp lệ
Ví dụ, do UCLN(4,26) = 2 nên 4x +7 không là hàm mã hoá hợp lệ: x và x+13 sẽ mã hoá thành cùng một giá trị đối với bất kì x Z26
Ta giả thiết UCLN(a,26) = 1 Giả sử với x1 và x2 nào đó thảo mãn: ax1≡ ax 2 (mod 26)
Khi đó a(x1- x2) ≡ 0(mod 26) bởi vậy
Bây giờ ta sẽ sử dụng một tính chất của phép chia sau: Nếu UCLN(a,b)=1 và a bc thì a c Vì 26 a(x1- x2) và UCLN(a,26) = 1 nên ta có:
Nếu UCLN(a, 26) = 1, thì đồng dư thức ax ≡ y (mod 26) chỉ có tối đa một nghiệm trong Z26 Điều này cho thấy rằng khi x thay đổi, nghiệm của phương trình này không bị ảnh hưởng và chỉ có một giá trị duy nhất thỏa mãn.
Z26thì ax mod 26 sẽ nhận được 26 giá trị khác nhau theo modulo 26 và đồng dư thức ax
≡ y (mod 26) chỉ có một nghiệm y duy nhất
Không có gì đặc biệt đối vơí số 26 trong khẳng định này Bởi vậy, bằng cách tương tự ta có thể chứng minh được kết quả sau:
* Định lí Đồng dư thức ax ≡ b mod m chỉ có một nghiệm duy nhất x Zm với mọi b Zm khi và chỉ khi UCLN(a,m) = 1.
Vì 26 = 2 ×13 nên các giá trị a Z26 thoả mãn UCLN(a,26) = 1 là a = 1, 3, 5, 7,
B Ả O M Ậ T V Ớ I L Ọ C GÓI IP
Gói Tin (Packet)
- Như chúng ta đã biết các tín hiệu trao đổi giữa hai máy tính là các tín hiệu điện dưới dạng các bít nhị phân 0/1
Khi dữ liệu được truyền dưới dạng các bít nhị phân, chúng ta không thể xác định thông tin nhận được là gì, thuộc loại dữ liệu nào và được gửi đến ứng dụng mạng nào trên máy nhận gói tin.
Để giải quyết các khó khăn trong việc truyền tải dữ liệu, khái niệm gói tin (data packet) đã được đưa ra Theo đó, thông tin dữ liệu sẽ được chia thành nhiều phần nhỏ trước khi được gửi đi Những phần nhỏ này sẽ được đóng vào một khuôn dạng gọi là gói tin Trong mỗi gói tin, có một phần chứa thông tin về địa chỉ gửi và nhận, cùng với các phương pháp kiểm soát lỗi và mã hóa, được gọi là phần mào đầu của gói tin (data packet header).
Giao thức TCP/IP là một trong những giao thức truyền dữ liệu phổ biến nhất hiện nay, sử dụng phương thức truyền tải dưới dạng gói tin Trong giao thức này, có nhiều loại gói tin khác nhau, bao gồm gói TCP, gói IP và gói UDP, mỗi loại gói tin đảm nhận những vai trò và chức năng riêng biệt trong quá trình truyền dữ liệu.
1.2 Gói IP: Đây là loại gói tin được sử dụng trong giao thức IP (internet protocol) ở lớp Internet trong mô hình TCP/IP
Gói tin này có chức năng là đảm bảo cho việc truyền dữ liệu một cách chính xác từ máy đến máy
Cấu trúc của gói IP như sau:
Hình 3.1 Cấu trúc của gói IP
Phiên bản (version) trong giao thức IP được biểu thị bằng 4 bit, cho biết phiên bản đang được sử dụng Số phiên bản này rất quan trọng vì hiện nay có hai phiên bản IP đang tồn tại.
Giao thức IP yêu cầu các phần mềm ứng dụng phải nhận diện số phiên bản của IP datagram Nếu không xác định được số phiên bản, gói tin sẽ bị coi là lỗi và không được chấp nhận để xử lý tiếp.
Trường độ dài IP header là 4 bít, cho biết số từ được sử dụng trong IP header Trường này rất quan trọng vì IP header có hai cấu trúc khác nhau: short_IP_header và long_IP_header.
20 byte, long_IP_header có 24 byte do có sử dụng trường option
Type Of Service: có độ dài 1 byte cho biết cách thức sử lý gói tin khi nó được truyền trên mạng
Ba bít đầu tiên cho biết mức độ ưu tiên của gói tin
Bit D quy định về độ trễ
1: yêu cầu độ trễ thấp
Bit T chỉ thông lương yêu cầu
1: yêu cầu thông lượng cao
Bít R chỉ độ tin cậy yêu cầu
Bit M yêu cầu về chi phí
Bít Z chưa được sử dụng
Độ dài tổng thể của một IP datagram, bao gồm cả header, được đo bằng byte và có giá trị dao động từ 20 byte đến 65535 byte Trường này đóng vai trò quan trọng trong việc xác định kích thước của phần dữ liệu.
Identification có độ dài 16 bit, được sử dụng để đánh số các gói tin trong quá trình truyền tải Nó xác định thứ tự của gói tin, với số thứ tự được cung cấp bởi đầu phát và không thay đổi trong suốt hành trình từ nguồn đến đích.
DF (don’t fragment): bít này cho biết gói tin đó có được phép chia nhỏ trong suốt quá trình truyền hay không
1: không cho phép chia nhỏ
MD (more fragment): cho biết sau nó còn có gói tin nào khác hay không
1: còn một gói tin đứng sau nó
0: không còn gói tin nào đứng sau nó bít này chỉ được sử dụng khi DF có giá trị 0
Fragment offset có độ dài 13 bít và đơn vị tính là octet (1 octet = 8 byte) Trường này cho biết vị trí của octet đầu tiên của gói bị phân mảnh trong quá trình truyền so với octet thứ 0 của gói gốc Lưu ý rằng trường này chỉ được sử dụng khi giá trị DF là 1.
Thời gian sống (Time To Live - TTL) là một giá trị dài 1 byte, quy định thời gian sống của một gói tin trong mạng, tính bằng số nút mạng mà gói tin đi qua TTL được thiết lập khi gói tin được gửi đi và sẽ giảm đi 1 mỗi khi gói tin đi qua một nút mạng Nếu giá trị TTL bằng 0 trước khi gói tin đến đích, gói tin sẽ bị hủy Mục đích của TTL là để hạn chế tắc nghẽn trên đường truyền mạng.
Protocol: có độ dài 1 byte, nó cho biết giao thức được sử dụng ở lớp trên VD:
Header Checksum là một trường 16 bit được sử dụng để kiểm tra lỗi của IP header, có thể thay đổi mỗi khi gói tin đi qua một nút mạng nếu DF = 1 Trường này áp dụng phương pháp kiểm tra lỗi CRC để đảm bảo tính chính xác của dữ liệu.
Source/Destination address: chi biết địa chỉ nguồn và địa chỉ đích, mỗi trường có độ dài 32 bít
Trường này có độ dày từ 3 đến 4 byte và có thể được sử dụng hoặc không Nó cung cấp thông tin quan trọng về việc kiểm tra lỗi và đo lường.
Hình 3.3 thông tin về kiểm tra lổi
FC (flag copy): bít này có chức năng là có sao chép trường option khi phân mảnh
1: sao chép trường option cho tất cả các phân đoạn
0: chỉ có phân đoạn đầu tiên có trường option, các phân đoạn còn lại thì không có trường option.
Class: có 2 bít nó có các giá trị sau:
00: dùng cho điều khiển datagram 10: dùng cho mục đích điều hành bản giá trị của trường type cùa option:
FC class Number option Ý nghĩa
1 00 00000 Marks the end of the options list
1 00 00001 No option (used for padding)
1 00 00010 Security options (military purposes only)
1 00 00111 Activates routing record (adds fields)
Length: cho biết độ dài của trường option bao gồm cà trường type và length
Option data: dùng để chứa đựng các thông tin liên quan do đến trường type
Padding là trường được sử dụng khi trường option có độ dài nhỏ hơn 4 byte Thực tế, trường này chỉ là bộ đệm lót thêm vào để làm dày cấu trúc khung.
Dữ liệu trong gói tin được sử dụng để lưu trữ thông tin, có độ dài không cố định, phụ thuộc vào kích thước của thông tin cần truyền và điều kiện của môi trường mạng.
Gói tin trong giao thức UDP có chức năng đảm bảo việc truyền dữ liệu từ ứng dụng trên máy chủ nguồn đến ứng dụng trên máy chủ đích một cách chính xác, dựa trên phương pháp hoạt động không kết nối.
Hình 3.4 Cấu trúc gói tin UDP
Source port number: cho biết địa chỉ của ứng dụng nguồn gởi gói UDP đi.
B ả o M ậ t V ớ i L ọ c Gói
2.1 Khái Quát Về Lọc Gói:
Bảo mật dựa trên lọc gói tin là phương pháp sử dụng thông tin trong phần header của các gói tin để xác định gói tin nào được phép hoặc không được phép truyền qua bộ lọc.
Thông tin quan trọng bao gồm địa chỉ của máy gửi và nhận gói tin, địa chỉ của ứng dụng gửi và nhận gói tin, cùng với giao thức sử dụng trong quá trình trao đổi thông tin giữa hai máy.
2.2 Các Bước Để Xây Dựng Luật Bảo Mật Trong IPSEC:
Bước 1: Xác định bộ lọc gói t in:
- Bộ lọc gói tin có chức năng cho phép hay ngăn cấm một hay một số loại gói tin được phép hay không được phép truyển qua nó
- Các bước xây dựng bộ lọc như sau:
Right click lên IP security policies
Hình 3.8 Mở manage ip filter list
Hình 3.9 Hộp thoại manage ip filter list
chọn mục manage ip filter list and filter action
chọn add để tiến hành tạo bộ lọc mới:
Xuất hiện hộp thoại sau:
Hình 3.10 Hộp thoại IP Filter List
- name: cho phép khai báo tên của bộ lọc
- Description: cho phép gõ vào các mô tả chi tiết của bộ lọc
- Filters: cho phép khai báo các chức năng của bộ lọc
- Add: cho phép thêm vào bộ lọc 1 chức năng mới
- Edit …: cho phép hiệu chỉnh (thay đổi) 1 chức năng có sẳn của bộ lọc
- Remove: cho phép xóa 1 chức năng của bộ lọc
Chọn add để thêm 1 chức năng vào bộ lọc
next xuất hiện hộp thoại: ip trafic source
Hình 3.11 Hộp thoại thêm 1 chức năng vào bộ lọc
Hộp thoại này cho phép ta khai báo địa chỉ ip của máy gởi gói tin
next xuất hiện hộp thoại: ip trafic destination
Hình 3.12 Hộp thoại ip trafic destination Hộp thoại này cho phép khai báo địa chỉ ip của máy nhận gói tin
next xuất hiện hộp thoại: ip protocol type
Hình 3.13 Hộp thoại ip protocol type Hộp thoại này cho phép xác định giao thức sử dụng trong bộ lọc là giao thức gì
next xuất hiện hộp thoại: ip protocol port
Hình 3.14 Hộp thoại ip protocol port Hộp thoại này cho phép khai báo địa chỉ port của ứng dụng gởi và ứng dụng nhận gói tin
- From any port/ from this port: mục này cho phép khai báo địa chỉ port của ứng dụng gởi gói tin
- To any port/ to this port: mục này cho phép khai báo địa chỉ port của ứng dụng nhận gói tin
next finish: để hoàn tất việc xây dựng 1 chức năng cho bộ lọc
Chú ý: Tại bước này, bạn có thể nhấn "OK" để hoàn tất việc xây dựng bộ lọc, hoặc chọn "Add" để thêm một chức năng lọc khác vào bộ lọc hiện tại.
Hình 3.15 Hộp thoại hoàn tất xây dựng cho bộ lọc
Bước 2: xác định các hành động của bộ lọc:
Chúng ta có 3 loại hành động cơ bản của bộ lọc:
Negotiate security: mã hóa dữ liệu khi truyền
Tại cửa sổ manage ip filter list and filter action chọn manage filter action
Hình 3.16 Cửa sổ manage filter action
chọn add để tạo hành động mới cho bộ lọc:
Hình 3.17 Cửa sổ tạo bộ lọc mới
Name: cho phép khai báo tên của hành động
Description: phần mô tả chi tiết cho hành động đó
next filter action general option: hộp thoại này cho phép khai báo các hành động tương ứng của bộ lọc như: ngăn cản, cho phép, mã hóa dữ liệu:
Hình 3.18 Cửa sổ filter action general option
next finish để hoàn tất việc tạo action filter
right click lên ip security policy local computer
chọn create ip security policy
Hình 3.19 Cửa sổ create ip security policy
xuất hiện hộp thoại: ip security policy name: mục này cho phép khai báo tên của luật đang được xây dựng:
Hình 3.20 Cửa sổ ip security policy name
Hình 3.21 Cửa sổ thêm vào luật 1 chính sách mới
chọn add để thêm vào luật 1 chính sách mới
next … xuất hiện hộp thoại
Hình 3.22 Cửa sổ Nextwork Type
- all net connection: co hiệu lực cho tất cả các mạng
- local area network: co hiệu lực chỉ trong mạng nội bộ
- remote access: chỉ có hiệu lực với các máy sử dụng dịch vụ truy nhập từ xa
next … xuất hiện hộp thoại ip filter list hộp thoại này cho phép chọn bộ lọc
Hình 3.23 Cửa sổ ip filter list
next xuất hiện hộp thoại filter action: hộp thoại này cho phép chúng ta chọn hành động tương ứng của bộ lọc
Hình 3.24 Cửa sổ chọn hành động
next finish xuất hiện hộp thoại new rule properties
Hình 3.25 Cửa sổ new rule properties
chọn ok để hoàn tất quá trình cài đặt 1 chính sách lọc cho luật (rule)
Hình 3.26 Cửa sổ cài đặt 1 chính sách
tới đậy chúng ta có thể chọn close để hoàn tất việc xây dựng 1 luật, hoặc chọn add để thêm 1 chính sách mới vào trong luật
2.3 Lọc Gói IP Dựa Trên Thiết Bị Phần Cứng
Chúng ta sử dụng modem Drayteck 2800
Truy nhập vào modem drayteck: http:\\[IP của modem]
Hình 3.26 Cửa sổ đăng nhập Sau khi nhập đúng user/pass trình duyệt xuất hiện màng hình cấu hình thiết bị như sau:
Hình 3.27 Cửa sổ giao diện DrayTek Chọn filterwall màng hình xuất hiện như sau:
- IM blocking: khóa dịch vụ tin nhắn
- P2P blocking: khóa các dịch vụ chia sẽ file như: emule, …
- Dos defense: ngăn chặn tấn công bằn DDOS
- URL conten filter: ngăn cấm truy nhập một số địa chỉ web nào đó
- Web filter: ngăn cấm truy nhập web site theo thông tin từ các web site bảo mật trên mạng
2.4 Top 10 công cụ giải quyết sự cố cho TCP/IP
Mặc dù có nhiều công cụ phân tích mạng phức tạp, chỉ có 10 công cụ chính là đủ để giải quyết hầu hết các sự cố trên mạng TCP/IP Những công cụ này không phải là mạnh nhất, nhưng chúng được sử dụng phổ biến nhất trong thực tế.
Ping là một ứng dụng kiểm tra kết nối mạng giữa hai điểm, giúp xác định tính thông suốt và hiệu suất hoạt động của chúng bằng cách gửi và nhận gói tin qua giao thức ICMP Một trong những bước quan trọng trong quy trình khắc phục sự cố (troubleshooting) là thực hiện lệnh ping địa chỉ loopback 127.0.0.1, nhằm kiểm tra hoạt động của giao thức TCP/IP trên các local host.
Traceroute là một công cụ mạng dựa trên ứng dụng ping, không chỉ kiểm tra hoạt động của các tuyến đường mà còn xác định các chặng cần đi qua trong quá trình truyền tải dữ liệu Nó cho phép tính toán thời gian vận chuyển của gói tin trên từng chặng Khi gặp độ trễ lớn khi ping một thiết bị đầu xa, lệnh traceroute sẽ giúp xác định vị trí gây ra độ trễ của gói tin.
Bộ công cụ phân tích giao thức, hay còn gọi là network analyzer, là công cụ quan trọng giúp quản trị viên theo dõi hoạt động mạng Những công cụ này có khả năng bắt gói tin trên đường truyền, thường mặc định là bắt tất cả các gói, nhưng cũng cho phép cấu hình bộ lọc để chỉ bắt những gói tin cụ thể.
Các gói tin sẽ được lưu trong bộ đệm bắt gói, sau đó được phân tích và giải mã để hiển thị thông tin trên màn hình Công cụ như Sniffer Pro của Network Associates có khả năng phát hiện quá trình truyền nhận thông tin, giúp phát hiện các cuộc tấn công và xâm nhập, từ đó cảnh báo cho quản trị viên.
Một số các công cụ khác cũng khá phổ biến là: AG Group's EtherPeek, công cụ Network Monitor của WindowsNT
Công cụ quét cổng có khả năng phát hiện các dịch vụ đang hoạt động trên thiết bị đầu xa Tuy nhiên, việc quét cổng thường bị coi là hành động tấn công hoặc xâm nhập, dẫn đến việc nhiều mạng đầu xa chặn lại các hoạt động này.
Tiện ích nslookup là công cụ cơ bản để gửi các truy vấn đến máy chủ DNS, giúp phân giải tên miền hoặc tên host thành địa chỉ IP tương ứng Trong khi đó, Domain Internet Grouper (DIG) là một công cụ tương tự nhưng cung cấp nhiều thông tin chi tiết hơn về DNS.
Ví dụ: một thao tác nslookup đơn giản cho www.ipmac.com.vn sẽ trả về những thông tin sau: www.ipmac.com.vn
Aliases: www.ipmac.com.vn
Trong khi đó với cùng thao tác trên DIG trả về các thông tin trên cộng với phần sau: Name servers: ns1.lunarpage.com
Công cụ này cho phép theo dõi địa chỉ IP trên mạng cùng với các địa chỉ vật lý tương ứng Nhờ vào công cụ này, quản trị viên có thể hiển thị bảng ARP để xác định địa chỉ vật lý của thiết bị gửi và nhận thông tin qua mạng Điều này rất quan trọng vì chỉ khi xem địa chỉ vật lý - địa chỉ duy nhất xác định thiết bị mạng - quản trị viên mới có thể phát hiện chính xác một host, trong khi địa chỉ IP chỉ là địa chỉ logic và có thể thay đổi.
Là công cụ cho phép hiển thị và thao tác với bảng định tuyến trong thiết bị
Các công cụ quản trị trên nền SNMP cho phép thu thập thông tin trong các bản tin
Cơ sở thông tin quản lý (MIB) được phát đi từ các thiết bị hỗ trợ SNMP, cho phép theo dõi thiết bị thông qua hệ thống thông báo và báo động Hệ thống này có khả năng báo cáo ngay lập tức cho SNMP về các hành động vượt qua giới hạn đã được cấu hình trước Tuy nhiên, một thách thức đối với SNMP là sự hạn chế về số lượng sản phẩm có khả năng hoạt động trên nhiều nền tảng thiết bị của các nhà sản xuất khác nhau.
9 Bộ test Cable Đây là một công cụ không thể thiếu để kiểm tra sự chính xác trong hoạt động của hệ thống dây dẫn Công cụ phổ biến là Microtest's OmniScanner được trang bị các chức năng test độ toàn vẹn và độ nhiễu của dây dẫn Bộ kiểm tra cáp có khả năng làm những việc sau: báo cáo về tổng chiều dài dây dẫn, kết quả kiểm tra các thông số, độ nhiễu xuyên âm, độ suy hao đường truyền, trở kháng và nhiều thông số khác nữa
Một số công cụ kiểm tra cáp còn cung cấp khả năng theo dõi traffic trên mạng
10 Các công cụ tổ hợp
Ngoài các công cụ đã đề cập, còn có một số phần mềm giải quyết sự cố mạng khác như NetScanTools Pro 2000 và AG Group’s NetTools Những công cụ này tích hợp nhiều tiện ích như port scan, ping, traceroute và nslookup, giúp tiết kiệm thời gian cho quản trị viên trong việc khắc phục sự cố mạng Trong hai công cụ này, NetTools có giá thành thấp hơn, nhưng tính năng của nó chỉ chiếm một phần nhỏ so với NetScanTools Pro 2000.
2.5 Cách Chặn IP Trong Windows Firewall
1 Mở tường lửa lên -> chọn Windows Firewall with Advanced Security
3 Select Custom in Rule Type
5 Chọn vào Any on the Protocol and Ports Screen
6 Chọn vào Add -> tại đây thêm các IP cần cấm vào đây
7 Thêm địa chỉ IP hoặc range IP
9 Chọn vào “Block the Connection”
10 Chọn phạm vi áp dụng rules này: 3 phạm vi luôn
11 Chúng ta đặt tên Rules cái nhé
2.6 Sử dụng Windows Firewall Log để theo dõi các hoạt động trên mạng Internet
Windows Firewall logs giúp khắc phục sự cố khi một chương trình không thể kết nối Internet, trong khi các phần mềm khác vẫn hoạt động bình thường.
Windows Firewall logs được sử dụng để khắc phục một số vấn đề như:
NAT (Network Address Translation)
Gi ớ i thi ệ u
- Trình bày được quá trình NAT của một hệ thống mạng;
- Trình bày được NAT tĩnh và NAT động
Khi NAT lần đầu tiên được phát minh, mục đích chính của nó là giải quyết tình trạng thiếu địa chỉ IP Vào thời điểm đó, không ai ngờ rằng NAT lại có nhiều ứng dụng hữu ích khác, và nhiều khả năng, các vấn đề khác mà NAT có thể giải quyết vẫn chưa được phát hiện.
Trong bối cảnh hiện tại, nhiều người đang tìm hiểu vai trò và lợi ích của NAT trong tương lai Khi IPv6 được triển khai, nó không chỉ giải quyết vấn đề thiếu địa chỉ IP mà còn mang lại nhiều lợi ích khác Các thử nghiệm cho thấy việc chuyển hoàn toàn sang IPv6 là khả thi và nhanh chóng, nhưng việc giải quyết các vấn đề liên quan giữa IPv6 và IPv4 lại gặp nhiều khó khăn Do đó, IPv4 có thể vẫn là giao thức chính cho Internet và Intranet trong thời gian dài hơn dự kiến.
Trước khi bàn về vai trò của NAT trong hiện tại và tương lai, cần làm rõ sự khác biệt về phạm vi sử dụng NAT trong quá khứ Bài viết sẽ cung cấp cái nhìn tổng quan mà không khuyến nghị cách sử dụng hay loại NAT nào nên áp dụng Dưới đây là phần giới thiệu và phân loại các loại NAT, trong khi chi tiết sẽ được thảo luận sâu hơn trong các phần sau về cách hiện thực hóa NAT.
Phần trình bày được chia làm 2 phần
Phần đầu của bài viết mang tên CLASSIC NAT, mô tả các kỹ thuật NAT trong giai đoạn đầu những năm 90, được trình bày chi tiết trong RFC 1931 Ứng dụng chính của CLASSIC NAT là giải quyết vấn đề thiếu hụt địa chỉ IP trên Internet.
- Phần hai trình bày những kỹ thuật NAT được tìm ra gần đây và ứng dụng trong nhiều mục đích khác.
Các k ỹ thu ậ t NAT c ổ điể n
NAT có hai loại chính: NAT tĩnh và NAT động NAT tĩnh đảm bảo rằng một địa chỉ IP nguồn luôn được chuyển đổi thành một địa chỉ IP đích cố định, trong khi NAT động cho phép địa chỉ IP nguồn thay đổi theo thời gian và các kết nối khác nhau Sự khác biệt này ảnh hưởng đến cách phân chia và quản lý địa chỉ IP trong mạng.
Trong phần này, chúng ta sẽ định nghĩa m là số lượng địa chỉ IP cần được chuyển đổi (IP nguồn) và n là số lượng địa chỉ IP có sẵn cho việc chuyển đổi (IP NATs hay còn gọi là IP đích).
Yêu cầu m, n >= 1; m = n (m, n là số tự nhiên)
Với cơ chế IP tĩnh, việc chuyển đổi giữa các địa chỉ IP nguồn và đích trở nên đơn giản, đặc biệt trong trường hợp cả hai chỉ chứa một IP duy nhất, chẳng hạn như với netmask 255.255.255.255 Thực hiện NAT tĩnh dễ dàng nhờ vào công thức đơn giản: Địa chỉ đích = Địa chỉ mạng mới OR (địa chỉ nguồn AND (NOT netmask)).
Không có thông tin về trạng thái kết nối, chỉ cần tìm các IP đích thích hợp Các kết nối từ bên ngoài vào hệ thống chỉ khác nhau về IP, do đó cơ chế NAT tĩnh hoạt động gần như hoàn toàn trong suốt.
Ví dụ một rule cho NAT tĩnh
Dịch toàn bộ IP trong mạng 138.201.148.0 đến mạng có địa chỉ là 94.64.15.0, netmask là 255.255.255.0 cho cả hai mạng
Dưới đây là mô tả việc dịch từ địa chỉ có IP là 138.201.148.27 đến 94.64.15.27, các cái khác tương tự.
NAT động được áp dụng khi số IP nguồn khác với số IP đích, và số lượng host chia sẻ thường bị giới hạn bởi số IP đích có sẵn So với NAT tĩnh, NAT động phức tạp hơn vì cần lưu trữ thông tin kết nối và tìm kiếm thông tin TCP trong gói tin.
NAT động có thể hoạt động như NAT tĩnh khi cần thiết, với nhiều người dùng chọn NAT động vì lý do bảo mật Điều này ngăn chặn kẻ xâm nhập từ bên ngoài xác định địa chỉ IP của host, vì host có thể nhận một IP khác ở mỗi lần kết nối Trong một số trường hợp đặc biệt, số lượng địa chỉ đích có thể vượt quá số lượng địa chỉ nguồn (m < n) Kết nối từ bên ngoài chỉ khả thi khi các host vẫn giữ được IP trong bảng NAT động, nơi NAT router lưu trữ thông tin về IP bên trong (IP nguồn) liên kết với NAT-IP (IP đích).
Trong một phiên làm việc của FPT non-passive, server cần thiết lập kênh truyền dữ liệu, yêu cầu có một entry cho client trong bảng NAT khi gửi IP packet đến FTP client IP client phải được liên kết với NAT-IPs trong suốt quá trình truyền control, trừ khi FTP session bị timeout Giao thức FTP sử dụng hai cơ chế: passive và non-passive, với hai port là control và data Trong cơ chế passive, host kết nối nhận thông tin về data port từ server, trong khi ở cơ chế non-passive, host chỉ định data port để server lắng nghe kết nối Để tìm hiểu thêm, tham khảo RFC 959 về giao thức FTP Khi một kẻ tấn công bên ngoài muốn kết nối vào một host trong mạng nội bộ, chỉ có hai trường hợp xảy ra.
+ Host bên trong không có một entry trong bảng NAT khi đó sẽ nhận được thông tin “host unreachable” hoặc có một entry nhưng NAT-IPs là không biết.
Khi một kết nối từ host bên trong ra ngoài mạng, chúng ta có thể biết được IP của kết nối đó, nhưng đó chỉ là NAT-IPs và không phải là IP thật của host Thông tin này sẽ bị mất sau một khoảng thời gian timeout của entry trong bảng NAT router.
Ví dụ về một rule cho NAT động:
Dịch toàn bộ những IP trong class B, địa chỉ mạng 138.201.0.0 đến IP trong class
B 178.201.112.0 Mỗi kết nối mới từ bên trong sẽ được liên kết với tập IP của class B khi mà IP đó không được sử dụng.
Vd: xem quá trình NAT trong trường hợp sau:
Hình 4.1: Mô tả quá trình NAT tĩnh
Quá trình NAT: Khi Client gởi yêu cầu đến webserver, Header sẽ báo tin gói tin bắt đầu tại:
Gói tin có địa chỉ nguồn 10.1.1.170/1074 và đích là cổng 80 trên Webserver tại địa chỉ 203.154.1.20 bị chặn tại cổng 80 của NAT Server 10.1.1.1 Trước khi chuyển tiếp, NAT Server sẽ gắn header mới cho gói tin, cho biết gói tin xuất phát từ 203.154.1.5/1563, trong khi địa chỉ đích vẫn không thay đổi.
- Webserver nhận yêu cầu tại cổng 80 của nó và đáp ứng yêu cầu trở lại cho NAT server
- Header của gói tin cho biết gói tin được gởi lại từ Webserver và đích của nó là cổng 1563 trên 203.154.1.5
NAT (Network Address Translation) là một phương pháp giúp ẩn địa chỉ IP của các máy chủ trong mạng nội bộ, từ đó tiết kiệm địa chỉ IP công cộng Bằng cách này, NAT bảo vệ các máy chủ dịch vụ bên trong khỏi các cuộc tấn công trực tiếp từ bên ngoài, vì địa chỉ IP của chúng không hiển thị ra ngoài Do đó, NAT đóng vai trò quan trọng trong việc bảo mật mạng LAN.
NAT hoạt động như một cầu nối giữa mạng nội bộ và mạng bên ngoài, thực hiện chức năng chuyển đổi địa chỉ IP Công nghệ này thường được áp dụng cho các mạng có địa chỉ lớp A, B và C.
- Hoạt động NAT bao gồm các bước sau:
Địa chỉ IP trong header IP có thể được thay đổi thành một địa chỉ mới, có thể là bên trong hoặc bên ngoài, trong khi số hiệu cổng trong header TCP cũng được thay thế bằng một số hiệu cổng mới.
Tổng kiểm tra các gói IP là cần thiết để đảm bảo tính toàn vẹn của dữ liệu, nhằm xác nhận rằng kết quả trả về đúng địa chỉ yêu cầu.
Khi địa chỉ TCP/IP mới được thay đổi, cả địa chỉ bên trong và bên ngoài cùng với cổng dịch vụ đều cần phải tính toán lại TCP/IP checksum để đảm bảo tính chính xác và hiệu quả trong việc truyền tải dữ liệu.
Có hai loại NAT: NAT tĩnh và NAT động, tương ứng với hai kỹ thuật cấp phát địa chỉ IP, bao gồm địa chỉ IP tĩnh và địa chỉ IP động thông qua DHCP.
Hình 4.2: Mô tả quá trình NAT động
NAT có thể chuyển đổi địa chỉ theo:
NAT trong Window server
- Trình bày được khái niệm và các thành phần Nat trong Windows server
- Thiết lập cấu hình NAT trên Windows server
3.1 Win server cung cấp khái niệm NAT
NAT (Network Address Translation) cho phép kết nối nhiều mạng LAN vào Internet, giúp các mạng nhỏ như IPSec có thể truy cập Internet chỉ với một địa chỉ IP công cộng duy nhất Điều này tạo điều kiện cho một lượng lớn thiết bị kết nối và sử dụng Internet hiệu quả.
Máy chủ NAT cần có địa chỉ của một mạng LAN nội bộ, giúp bảo vệ các máy chủ bên trong khỏi các cuộc tấn công từ Internet bằng cách ẩn địa chỉ của chúng trước người dùng bên ngoài.
- NAT của Win server bao gồm các thành phần sau:
Máy tính chạy Windows Server với chức năng NAT hoạt động như một bộ chuyển đổi địa chỉ IP và số hiệu cổng, giúp kết nối mạng LAN nội bộ với các máy chủ bên ngoài Intranet.
ADDRESS là một máy tính hoạt động như bộ chuyển đổi địa chỉ mạng, cung cấp thông tin địa chỉ IP cho các máy tính Nó được xem như một máy chủ DHCP, cung cấp thông tin về địa chỉ IP, Subnet Mask, Default Gateway và DNS Server.
Trong trường hợp này tất cả máy tính bên trong LAN phải được cấu hình DHCP client
Name Resolution là một mạng máy tính hoạt động như một máy chủ NAT và cũng là máy chủ DNS Khi các máy tính trong mạng nội bộ gửi yêu cầu đến NAT Server, máy chủ này sẽ chuyển tiếp yêu cầu đến máy chủ DNS để thực hiện việc đổi tên Sau khi nhận được kết quả, NAT Server sẽ gửi lại thông tin cho máy tính yêu cầu.
WAN B Route NAT IP pool
Khi một Client trong mạng cục bộ gửi yêu cầu, NAT server sẽ lấy dữ liệu chứa địa chỉ IP riêng và địa chỉ cổng trong Header IP Sau đó, NAT server chuyển đổi địa chỉ IP và địa chỉ cổng này thành địa chỉ công cộng của nó và gửi gói dữ liệu đi.
Với địa chỉ IP mới này, NATserver cần lưu giữ địa chỉ IP và cổng của Client trong mạng cục bộ để có thể chuyển kết quả trở lại cho Client sau này.
Khi nhân được yêu cầu từ host Internet, NATserver sẽ thay Header của gói tin thành Header nguyên thuỷ và gởi lại về cho Client yêu cầu
3.3 Cài Đặt và cấu hình:
Phân tích bảng luật sau:
Rule S_Addr D_Addr Service Action log NAT
A Firewall Any Any Permit Yes
C 192.168.1.15 Any Any Permit No Nat(LAN)
D Any Firewall TCP/80 Permit Yes MAP
E Any Any Any Deny Na
- Luật A không cho phép các máy trọng mạng nội bộ đi ra ngoài
Luật B cho phép máy Client trong mạng nội bộ truy cập qua Firewall, sử dụng tất cả các dịch vụ mà không ghi lại File lưu NAT chỉ có thể được định tuyến đến đích của Firewall.
Luật C cho phép các máy tính có địa chỉ nguồn xác định đi qua internet mà không bị giới hạn bởi dịch vụ nào, đồng thời không yêu cầu ghi lại file lưu sử dụng NAT trong mạng LAN.
- Luật D cho phép từ bên ngoài với Firewall sử dụng giao thức TCP với cổng 80 (giao thức http)
Bài tập của học viên
1 So sánh Nat tĩnh và Nat động
2.Trình bày khái niệm và cơ chế hoạt động Nat trong Window
3 Thực hiện NAT OUTBOUND (NAT ra) trên nền Windows Server 2019 theo mô hình sau
Hình 4.3: Mô hình NAT ra trên server
4 Thực hiện NAT INBOUND (NAT vào) trên nền Windows Server 2019 theo mô hình sau
Hình 4.4: Mô hình NAT Inbound
1 So sánh Nat tĩnh và Nat động, tham khảo mục 3 trong bài học trên
2.Trình bày khái niệm và cơ chế hoạt động Nat trong Window, tham khảo mục 3.2 trong bài học trên
3 Thực hiện NAT OUTBOUND (NAT ra) trên nền Windows Server 2019 theo mô Hình 4.3
1.Cấu hình máy PC09 làm NAT Server
B1: Mở Routing and Remote Access -> Click phải chuột lên NAT Server (PC09) chọn Configure and Enable Routing and Remote Access -> Trong Welcome chọn
Next -> Trong Configuration chọn ô Custom configuration -> Next
-Trong Custome Configuration -> Đánh dấu chọn ô NAT and basic firewall và ô
Note: Khi kết thúc quá trình cấu hình hệ thống yêu cầu restart Service, chọn Yes
B2:Trong Routing and Remote Access, Click chuột phải lên NAT/Basic Firewall, chọn New Interface -> trong New Interface for Network Address Tranlation
(NAT) -> Chọn card LAN -> OK
Hình 4.7: New Interface for Network Address Tranlation
-Trong Network Address Translation Properties -> LAN Properties -> Chọn ô
Public interface connected to private network -> Đánh dấu chọn ô Enable NAT on this interface -> OK
Hình 4.8: Network Address Translation Properties
To configure NAT in Routing and Remote Access, right-click on NAT/Basic Firewall, select New Interface, and then choose the LAN card in the New Interface for Network Address Translation (NAT) window before clicking OK.
-Trong Network Address Translation Properties -> CROSS Properties -> Chọn ô
Private interface connected to private network -> OK
B4: Trong Routing and Remote Access -> vào IP Routing -> Click phải chuột trên
Static Routes chọn New Static Route… -> Trong cửa Static Route cấu hình như sau:
Note: Gateway phải cùng NetID với địa chỉ IP card LAN
B5: Trong Routing and Remote Access -> Click phải chuột lên PC09 chọn All
Các máy trong NetID 10.0.0.0/8 đều có thể truy cập Internet Ta có thể dùng lệnh
Tracert (phân tích đường đi của gói dữ liệu) để kiểm tra
4 Thực hiện NAT INBOUND (NAT vào) trên nền Windows Server 2019 theo mô Hình 4.4
II.NAT Inbound (NAT vào)
1.Cấu hình Web Server trên máy PC08
B1:Start -> Programs -> Administrator Tools -> Configure Your Server Wizard -
> Next -> Chọn Application Server (IIS, ASP.NET) -> Next Làm theo các hướng dẫn để hoàn thành việc cài đặt.
Note: Trong quá trình cài đặt IIS, chỉ đường dẫn vào thư mục I386 trong đĩa CD Windows Server server khi hệ thống yêu cầu
Hình 4.12: Configure Your Server Wizard
To create a basic website, navigate to the C:\Inetpub\wwwroot directory in Windows Explorer and create a file named index.htm with content such as "Welcome to website." Next, open Internet Explorer and access the IP address or web server address to verify that the newly created website is accessible.
2.Cấu hình NAT Server trên máy PC09
B1:Mở Routing and Remote Access -> chọn mục NAT/Basic Firewall -> Click chuột phải lên LAN chọn Properties
Hình 4.13: Routing and Remote Access
-chọn tab Services and Ports -> Kéo thanh trượt xuống phía dưới chọn mục Web
Hình 4.14: Hộp thoại Services and Ports
-Trong mục Edit Service nhập địa chỉ IP vào ô Private Address:
Hình 4.15: Hộp thoại Edit Service
B2: Trong Routing and Remote Access -> Click chuột phải lên PC09 chọn All
Máy PC10 mở Internet Explorer -> Truy cập vào địa chỉ IP hoặc địa chỉ Webserver Nếu truy cập thành công là kết quả đúng
Hình 4.16: Truy cập Webserver bằng IE
Những trọng tâm cần chú ý:
- Trình bầy đầy đủ nội dung theo yêu cầu, có cho ví dụn cụ thể
- Trình bày hình thức xác thực Kerberos, và thực hiện Kerberos Authentication in Windows Server 2019
- Trình bày xác định rủi ro, xác định chính xác mối đe dọa
- Thao tác đúng các bước cài đặt Kerberos Windows server 2019
Bài mở rộng và nâng cao
Hãy cài đặt NAT trên Windows Server 2019 và cấu hình cho Các máy client trong mạng nội bộ truy cập được internet
Yêu cầu đánh giá kết quả học tập
Trình bày được chức năng NAT tĩnh và NAT động
Trình bày được các bước cài đặt, cấu hình NAT trên Windows Server 2019
+ Thao tác thành thạo các bước cài đặt NAT Windows Server 2019
+ Thực hiện đúng các thao tác cấu hình NAT trên Windows Server 2019
Năng lực tự chủ và trách nhiệm: Tỉ mỉ, cẩn thận, chính xác, linh hoạt và ngăn nắp trong công việc
Về kiến thức: Đánh giá bằng hình thức kiểm tra viết, trắc nghiệm, vấn đáp
Về kỹ năng: Đánh giá kỹ năng thực hành thực hiện cài đặt, cấu hình NAT Windows Server 2019
Năng lực tự chủ và trách nhiệm: Tỉ mỉ, cẩn thận, chính xác, linh hoạt và ngăn nắp trong công việc.
VIRUS VÀ CÁCH PHÒNG CH Ố NG
Giới thiệu tổng quan về virus
- Mô tả được virus máy tính
Căn cứ vào tính chất của đoạn mã phá hoại, có thể chia thành hai loại: virus và
- Trojan horse: Thuật ngữ này dựa vào một điển tích cổ, chỉ một đoạn mã được
Trojan horse là một đoạn mã độc không lây lan, ẩn mình trong các phần mềm nhất định và có khả năng tấn công bất ngờ, tương tự như những anh hùng từ bụng con ngựa thành Troa Đoạn mã này sẽ gây hại vào thời điểm được xác định trước, nhắm mục tiêu vào thông tin trên đĩa như định dạng lại đĩa, xóa FAT hoặc Root Thông thường, các phần mềm chứa Trojan horse được phân phối dưới dạng phiên bản bổ sung hoặc mới, nhằm trừng phạt những người sao chép phần mềm từ các nguồn không rõ ràng.
Virus tin học là một loại phần mềm độc hại có khả năng tự sao chép và lây lan sang các đĩa, file khác mà người dùng không hay biết Chúng thường gây ra các lỗi thi hành, làm lệch lạc hoặc hủy hoại dữ liệu Lịch sử của virus máy tính bắt đầu từ những năm 1970, và chúng xuất hiện trên máy PC vào năm 1986, từ đó phát triển mạnh mẽ cùng với sự gia tăng sử dụng máy tính cá nhân Virus thường xuất hiện tại các trường đại học, nơi có nhiều sinh viên năng động và sáng tạo Nhờ vào các phương tiện giao tiếp như mạng và đĩa, virus lan rộng khắp nơi trên thế giới, cho thấy rằng ở đâu có máy tính, ở đó có virus tin học.
Worm Internet là một bước tiến đáng kể trong lĩnh vực virus máy tính, kết hợp sức phá hoại của virus, sự bí mật của Trojan và khả năng lây lan mạnh mẽ Các ví dụ tiêu biểu như worm Melissa và Love Letter đã làm tê liệt hàng triệu hệ thống máy chủ chỉ trong vài giờ Worm thường phát tán bằng cách tìm kiếm địa chỉ trong sổ địa chỉ của máy tính bị nhiễm, tự động gửi bản sao đến những địa chỉ này, dẫn đến sự lây lan nhanh chóng trên toàn cầu Với khả năng lây lan rộng lớn, worm thường được trang bị nhiều tính năng đặc biệt, như tấn công đồng loạt vào một địa chỉ nhất định, gây tê liệt máy chủ Ngoài ra, chúng còn cho phép kẻ tấn công truy cập trái phép vào máy tính của nạn nhân Theo thống kê tháng 3/2005, virus Zafi.D đứng đầu danh sách với 45,1% tỷ lệ lây nhiễm, trong khi Netsky.P đứng thứ hai với 21%.
Xuất hiện vào cuối năm 2004, virus Zafi.D đã liên tục chiếm vị trí cao trong danh sách các virus nguy hiểm nhất hàng tháng do Sophos bình chọn Gần đây, virus này lại được ghi nhận trong xếp hạng tháng mới.
3 là Sober.K- virus lây nhiễm thông qua các tệp tin đính kèm email mang tiêu đề 'You visit illegal websites' hoặc 'Alert! New Sober Worm!'
Theo các chuyên gia bảo mật từ Sophos, trong tháng 3 đã ghi nhận hơn một nghìn virus và mã độc mới xuất hiện Để bảo vệ bản thân, người dùng máy tính cần nắm vững các hướng dẫn bảo mật và thường xuyên cập nhật thông tin về biện pháp phòng ngừa virus mới.
Cách thức lây lan – phân loại virus
- Trình bày được cách thức lây lan của virus máy tính
- Phân biệt được các loại virus;
Dựa vào đối tượng lây lan là file hay đĩa, chia virus thành hai nhóm chính:
- B-virus (boot virus): Virus chỉ tấn công trên các Boot sector hay Master boot
Virus F (file virus) là loại virus chỉ tấn công các file thực thi, chủ yếu thông qua chức năng 4Bh của DOS, thay vì các file có định dạng COM hay EXE.
Cách phân loại này chỉ mang tính tương đối, vì trên thực tế có những loại virus lưỡng tính vừa lây trên boot record, vừa trên file thi hành
Dạng tổng quát của một virus có thể biểu diễn bằng sơ đồ sau:
Hình 5.1: cách lây lan F-virus
Virus máy tính là đoạn mã độc hại cần quyền điều khiển để hoạt động Để thực hiện điều này, virus thường khai thác những lỗ hổng bảo mật trong hệ thống máy tính.
‘tự nguyện’ trao quyền điều khiển lại cho nó Thực tế có hai khe hở, sẽ lần lượt xét dưới đây
Lây vào các mẫu tin khởi động bao gồm:
- Master boot của đĩa cứng
- Boot sector của đĩa cứng và đĩa mềm
B-virus chỉ có thể được kích hoạt khi ta khởi động máy tính bằng đĩa nhiễm Lúc này hệ thống chưa được một hệ điều hành (HĐH) nào kiểm soát, do đó B-virus có thể khống chế hệ thống bằng cách chiếm các ngắt của BIOS, chủ yếu là Int 13 (phục vụ đĩa), Int 8 (đồng hồ) Nhờ đặc điểm này mà nó có khả năng lây trên mọi Hệ điều hành Nếu một B-virus được thiết kế nhằm mục đích phá hoại thì đối tượng chính của chúng là đĩa và các thành phần của đĩa Để mở rộng tầm hoạt động, một số loại còn có khả năng tấn công lên file khi quá trình khởi động của Hệ điều hành hoàn tất, nhưng đó chỉ là những trường hợp ngoại lệ, có hành vi phá hoại giống như F-virus
Chúng ta sẽ xem xét từng thành phần chính của đĩa, bao gồm master boot, boot sector, bảng FAT, bảng Thư mục, Vùng dữ liệu
Master boot chỉ có mặt trên đĩa cứng, nằm tại sector 1, track 0, side 0 Ngoài việc tìm kiếm hệ điều hành trên đĩa, master boot còn chứa bảng phân vùng (Partition table) tại offset 1BEh, ghi nhận cấu trúc vật lý và địa chỉ bắt đầu, kết thúc của mỗi partition Thông tin này rất quan trọng vì nếu bị sai lệch, hệ thống có thể rối loạn hoặc không nhận dạng được đĩa cứng.
Để loại bỏ virus B bằng cách cập nhật lại master boot, cần lưu ý rằng virus thường giữ lại bảng phân vùng Việc sử dụng lệnh FDISK / MBR sẽ giúp thực hiện mục đích này hiệu quả.
Giống như master boot, B-virus khi ghi vào boot sector thường giữ lại bảng tham số đĩa (BPB-BIOS Parameter Block) tại offset 0Bh, chứa các thông số quan trọng như dấu hiệu nhận dạng loại đĩa, số bảng FAT, số sector dành cho bảng FAT và tổng số sector trên đĩa Việc phục hồi boot sector có thể thực hiện bằng lệnh SYS.COM của DOS Tuy nhiên, một số virus có thể phá hỏng BPB, khiến hệ thống không đọc được đĩa trong môi trường sạch và làm cho lệnh SYS không còn hiệu lực Đối với đĩa mềm, việc phục hồi boot sector, bao gồm BPB, tương đối đơn giản do chỉ có một vài loại đĩa mềm thông dụng.
Để khôi phục BPB trên đĩa mềm (360KB, 720KB, 1.2 MB, 1.44 MB), bạn có thể sử dụng boot sector của bất kỳ đĩa mềm cùng loại mà không cần format lại Tuy nhiên, việc khôi phục BPB trên đĩa cứng phức tạp hơn, vì BPB được tạo ra trong quá trình FDISK dựa trên tùy chọn của người dùng và tham số phân chia đĩa Trong một số trường hợp, phần mềm NDD có thể phục hồi BPB cho đĩa cứng, nhưng yêu cầu máy phải khởi động từ A do BPB của đĩa cứng bị hỏng, dẫn đến khó khăn trong việc quản lý các phần tiếp theo Do đó, việc lưu lại boot sector của đĩa cứng là rất quan trọng để phục hồi khi cần thiết.
Bảng FAT (File Allocation Table) được đặt ngay sau boot sector và là mục tiêu dễ dàng cho virus, vì nó ghi nhận trật tự lưu trữ dữ liệu theo đơn vị cluster trên đĩa trong vùng dữ liệu của DOS Nếu một phần của FAT bị hỏng, dữ liệu liên quan sẽ không thể truy cập Để đảm bảo an toàn, DOS luôn lưu trữ một bảng dự phòng bên cạnh bảng chính, nhưng virus có thể định vị FAT, làm cho biện pháp bảo vệ này trở nên vô nghĩa Một số virus, như DB-virus, thường lưu trữ phần còn lại của chương trình độc hại ở các sector cuối của FAT Người dùng thường sử dụng chương trình chữa đĩa để phục hồi FAT, nhưng những chương trình này chỉ có thể khôi phục một phần dữ liệu và không thể phục hồi toàn bộ nếu FAT chỉ chứa "rác" Thêm vào đó, thông tin trên đĩa luôn thay đổi, nên không thể tạo bảng FAT dự phòng trên đĩa mềm như với master boot và boot sector Do đó, cách tốt nhất là sao lưu tất cả dữ liệu quan trọng bằng các phương tiện lưu trữ tin cậy.
2.1.4 Bảng Thư mục (Root directory)
Ngay sau FAT là bảng Thư mục, nơi chứa các tên hiển thị trong lệnh DIR\, bao gồm nhãn đĩa, tên file và tên thư mục Mỗi tên được tổ chức thành entry dài 32 byte, bao gồm tên entry, phần mở rộng, thuộc tính, ngày giờ, địa chỉ lưu trữ và kích thước (đối với entry chỉ định tên file).
DOS quy định rằng một thư mục sẽ kết thúc bằng một entry có giá trị 0 Do đó, để vô hiệu hóa từng phần của Root, virus chỉ cần đặt byte 0 tại một entry nào đó Nếu byte này được đặt ở đầu Root, toàn bộ đĩa sẽ trở nên trống rỗng một cách thảm hại Trường hợp virus DB_virus chọn các sector cuối của Root để lưu phần còn lại của chương trình cũng gây ra hậu quả tương tự như trường hợp bảng FAT, vì nếu vùng này đã được DOS sử dụng, các entry trên đó sẽ bị phá hủy hoàn toàn.
Với số lượng entry hạn chế trên Root, DOS cho phép tạo thêm thư mục con để mở rộng vùng dữ liệu Do đó, nội dung của Root thường ổn định, chỉ chứa các file hệ thống như IO.SYS, MSDOS.SYS, COMMAND.COM, CONFIG.SYS, AUTOEXEC.BAT và các thư mục gốc Vì lý do này, việc tạo bản sao lưu cho Root là khả thi, miễn là không có thay đổi hoặc cập nhật nào cho các entry Tuy nhiên, điều này không cần thiết trên các hệ thống đã áp dụng biện pháp sao lưu định kỳ.
Vùng dữ liệu là khu vực chứa dữ liệu trên đĩa, chiếm tỷ lệ lớn nhất và nằm ngay sau Root Đây được coi là vùng có độ an toàn cao, ít bị ảnh hưởng bởi B_virus, ngoại trừ một số ít DB_virus có thể sử dụng một vài sector Chúng ta có thể tận dụng đặc điểm này để bảo vệ dữ liệu khỏi sự tấn công của B_virus, đặc biệt là vào FAT và Root, hai thành phần không thể sao lưu.
Khi sử dụng FDISK để phân chia đĩa cứng, nhiều người thường chỉ tạo một partition duy nhất cho ổ khởi động của hệ thống Một giải pháp hiệu quả là chia đĩa thành hai ổ C và D, trong đó ổ C chứa boot sector của hệ điều hành và chỉ dùng để khởi động, còn ổ D lưu trữ dữ liệu quan trọng Nếu ổ C bị tấn công bởi virus, ta có thể cài đặt lại phần mềm mà không lo mất dữ liệu trên ổ D Đối với đĩa cứng lớn, nên chia theo tỷ lệ 1:1 hoặc 2:3 để tối ưu hóa hiệu quả sử dụng Tuy nhiên, với đĩa cứng nhỏ, chỉ cần phân vùng ổ C đủ lớn cho hệ điều hành và các tiện ích cần thiết, ưu tiên sự an toàn hơn là tính kinh tế.
Giải pháp này chỉ có tính tương đối, vì nếu xuất hiện một B_virus có khả năng tự định vị địa chỉ vật lý của partition thứ hai để gây hại, vấn đề sẽ trở nên phức tạp hơn nhiều.
Các B_virus có khả năng lây nhiễm trên nhiều hệ điều hành (HĐH) và chỉ khai thác dịch vụ đĩa của ROM BIOS, trong khi F_virus chỉ lây trên một HĐH cụ thể nhưng có khả năng khai thác nhiều dịch vụ nhập xuất của HĐH đó Dưới DOS, các F_virus chủ yếu sử dụng dịch vụ truy cập file thông qua các hàm của ngắt 21h, với một số ít sử dụng ngắt 13h, tương tự như B_virus Do đó, cần tập trung vào các trường hợp sử dụng ngắt 21h của F_virus.
Ngăn chặ n s ự xâm nh ậ p virus
- Phòng ngừa được sự xâm nhập của virus
Virus tin học tuy ranh ma và nguy hiểm nhưng có thể bị ngăn chặn và loại trừ một cách dễ dàng Có một số biện pháp dưới đây
3.1 Chương trình diệt virus - Anti-virus
Chương trình chống virus, hay còn gọi là anti-virus, có chức năng phát hiện và diệt virus Thông thường, các phần mềm này sẽ tự động tiêu diệt virus khi phát hiện, nhưng một số chương trình chỉ có khả năng phát hiện và cần người dùng chú ý đến thông báo Để sử dụng anti-virus hiệu quả, nên kết hợp nhiều chương trình khác nhau để bổ sung cho nhau, giúp nâng cao hiệu quả quét virus Lưu ý rằng việc chạy anti-virus trong tình trạng bộ nhớ tốt, như khởi động máy từ đĩa mềm sạch, sẽ giúp quét virus an toàn và hiệu quả hơn, tránh lây lan virus trên ổ cứng Hiện nay có hai loại anti-virus là ngoại nhập và nội địa.
Các phần mềm diệt virus phổ biến hiện nay bao gồm SCAN của McAfee, Norton Anti-virus của Symantec, Toolkit và Dr Solomon Những sản phẩm này đều thuộc loại thương mại, với ưu điểm nổi bật là khả năng cập nhật virus đa dạng và hiệu quả trong việc phát hiện và tiêu diệt Ngoài ra, chúng còn cung cấp nhiều công cụ hỗ trợ chi tiết Tuy nhiên, nhược điểm của các phần mềm này là chúng thường cồng kềnh và chiếm nhiều tài nguyên hệ thống.
Các phần mềm diệt virus nội địa phổ biến như D2 và BKAV đều miễn phí, mang lại lợi ích lớn cho người dùng Chúng có tốc độ quét nhanh nhờ kích thước nhỏ gọn, hiệu quả trong việc phát hiện và tiêu diệt virus nội địa Tuy nhiên, chúng gặp khó khăn trong việc nhận diện virus ngoại và thiếu công cụ hỗ trợ cũng như giao diện thân thiện với người dùng Để khắc phục điều này, các phần mềm diệt virus nội địa thường xuyên cập nhật cơ sở dữ liệu virus và phát hành bản vá nhanh chóng.
Mặc dù các phần mềm diệt virus rất cần thiết, nhưng người dùng không nên hoàn toàn tin tưởng vào chúng, vì chúng chỉ có khả năng phát hiện và tiêu diệt các virus đã được cập nhật Những virus mới chưa được đưa vào cơ sở dữ liệu của chương trình sẽ không được diệt Nhược điểm này đã dẫn đến xu hướng phát triển các phần mềm diệt virus nhận dạng virus mà không cần cập nhật, như cơ chế miễn dịch của IBM mà Symantec đang triển khai Phần mềm D2 nội địa cũng đang nỗ lực trong việc nhận dạng virus mới với các phiên bản D2-Plus 2xx, được trang bị mô-đun nhận dạng New macro virus và New-Bvirus, sử dụng chẩn đoán thông minh dựa trên lý thuyết hệ chuyên gia Các phiên bản này hướng tới việc phát triển hệ thống chống virus thông minh, giúp dự đoán sự xuất hiện của virus mới Tuy nhiên, người dùng vẫn nên tự trang bị thêm các biện pháp phòng chống virus hiệu quả.
Phát hiện virus là bước quan trọng để tiến hành các biện pháp điều trị, vì không thể chữa trị nếu không xác định được máy hay đĩa có bị nhiễm virus hay không, và loại virus nào Quá trình phát hiện cần bắt đầu từ vùng nhớ, vì virus có thể chiếm quyền điều khiển và gây sai lệch thông tin trong các tác vụ truy xuất đĩa sau này Sau khi kiểm tra vùng nhớ, việc kiểm tra trên đĩa sẽ được thực hiện Sự tồn tại của virus thường đi kèm với những dấu hiệu đặc trưng, và việc phát hiện bao gồm việc dự đoán khả năng xuất hiện virus lạ trong vùng nhớ và xác định chính xác loại virus đã biết.
Do đặc tính phải tồn tại trong bộ nhớ cao, B - virus rất dễ bị phát hiện Việc phát hiện có thể qua các bước sau:
So sánh tổng số vùng nhớ BIOS với toàn bộ vùng nhớ mà chương trình tự test giúp kiểm tra sự chênh lệch Dấu hiệu này không đủ để kết luận sự tồn tại của virus, mà chỉ là cơ sở để tiến hành bước tiếp theo, vì sự chênh lệch có thể phản ánh tình trạng hỏng hóc của vùng RAM.
Bắt đầu từ địa chỉ của vùng cao, kỹ thuật Scanning được sử dụng để dò tìm mã xác định chương trình virus trong vùng nhớ Tuy nhiên, phương pháp này có nhược điểm là nếu máy bị nhiễm virus được khởi động lại bằng đĩa mềm sạch, RAM sẽ không được kiểm tra và virus vẫn có thể tồn tại Để khắc phục, người dùng cần tự phát triển phương pháp phù hợp Trong trường hợp không phát hiện virus, vẫn có khả năng tồn tại một B-virus mới, và một số thủ thuật có thể giúp đưa ra kết quả chính xác về sự tồn tại của loại virus này.
Một số phần mềm chống virus cung cấp chức năng chữa trị cho vùng nhớ bằng cách vô hiệu hóa virus, sử dụng lại int 13h cũ Tuy nhiên, phương pháp này có nhược điểm là không thể hoàn trả vùng nhớ cho DOS bằng cách cộng thêm vào giá trị tại BIOS data 40:13, vì DOS sẽ không sử dụng giá trị này nữa Do đó, cần phải reset máy để BIOS kiểm tra lại RAM Mặc dù vậy, việc vô hiệu hóa virus và sau đó reset máy vẫn là phương pháp hiệu quả nhất hiện nay.
Một phương pháp đơn giản được các nhà chữa trị virus trong nước đề xuất, nhưng không đảm bảo tương thích với mọi hệ điều hành, dựa trên đặc tính của virus chi phối vùng nhớ Virus này chiếm ngắt 13h, và việc thay thế địa chỉ này sẽ làm giá trị segment của ngắt 13h đổi từ ROM sang RAM, tức là từ giá trị lớn hơn 0C000h thành giá trị nhỏ hơn A000h Tuy nhiên, khi DOS kiểm soát, nó thay địa chỉ này bằng đoạn mã của nó Vấn đề cần giải quyết là xác định nơi mà DOS giữ địa chỉ này, với giá trị được công bố ở địa chỉ 0:7B4h qua nghiên cứu các phiên bản DOS, bao gồm cả bản mới nhất DOS 4.xx Phương pháp này có thể kiểm tra máy có bị nhiễm virus hay không, nhưng vẫn có nhược điểm là không đảm bảo tương thích với các phiên bản mới của DOS Ngoài ra, còn có cách định vị lại giá trị segment để nó được xem là nằm ở ROM mặc dù vẫn nằm trong RAM.
Phương pháp này cần được điều chỉnh để tạo địa chỉ chính xác 20 bit và thực hiện so sánh Việc dò tìm virus trên đĩa chỉ được tiến hành sau khi kiểm tra vùng nhớ không phát hiện virus, và có thể sử dụng nhiều phương pháp khác nhau, bao gồm cả việc phát hiện virus mới nếu có.
Nhiều phần mềm Antivirus sử dụng phương pháp dò tìm đoạn mã để phát hiện virus, tương tự như dò tìm vùng nhớ Tuy nhiên, phương pháp này có nhược điểm là tính chất ngụy trang của virus có thể dẫn đến việc Boot sector bị nhiễm bởi hai hoặc nhiều virus cùng lúc Điều này có thể khiến phương pháp dò tìm phát hiện virus thứ hai, dẫn đến kết quả khôi phục không chính xác.
Nếu một đĩa mềm bị nhiễm virus Stone trước khi bị tấn công bởi virus Joshi, phần mềm TNT (Turbo Antivirus) sẽ thông báo rằng đĩa đó đã bị nhiễm Stone Do đó, phần mềm sẽ ưu tiên khôi phục virus Stone trước khi khôi phục virus Joshi.
Một phương pháp phổ biến trong các phần mềm diệt virus là kiểm tra key value, nhưng do sự phát triển nhanh chóng của virus, giá trị này không còn quan trọng Để dự đoán sự xuất hiện của virus mới, việc xác định Boot sector chứa dấu hiệu virus trở nên khó khăn, vì Boot sector có cấu trúc tương tự như B-virus Việc kiểm tra virus mới có thể thực hiện bằng cách so sánh Boot record và Partition table với nội dung của file Người dùng nên tránh khởi động máy từ đĩa mềm nếu có đĩa cứng, trừ khi thật sự cần thiết, và nếu phải khởi động từ đĩa mềm, cần đảm bảo đĩa đó hoàn toàn sạch Việc quên đĩa mềm trong ổ đĩa A có thể dẫn đến lây nhiễm B-virus vào đĩa cứng Để ngăn chặn tình trạng này, D2-Plus có chức năng chẩn đoán thông minh các New B-virus trên đĩa mềm; chỉ cần chạy thường xuyên, chương trình sẽ phân tích Boot record và dự báo sự xuất hiện của virus với tên gọi PROBABLE B-Virus.
Nguyên tắc quan trọng là không nên chạy các chương trình không rõ nguồn gốc, vì hầu hết các phần mềm hợp pháp đều được phát hành từ nhà sản xuất và được đảm bảo an toàn.
Vì vậy, khả năng tiềm tàng F-virus trong file COM,EXE chỉ còn xảy ra tại các chương trình trôi nổi (chuyền tay, lấy từ mạng, )
Phát hiện virus trên đĩa hoặc file là bước đầu tiên quan trọng để xác định loại virus và phương pháp điều trị tương ứng Quá trình phát hiện bắt đầu từ vùng nhớ, giúp xác định khả năng chữa trị tiếp theo Việc mở file hoặc tìm kiếm trên đĩa có thể dẫn đến lây nhiễm, vì vậy phần mềm diệt virus cần được sử dụng cẩn thận để ngăn chặn sự lây lan Nhiều phương pháp có thể được áp dụng để phát hiện virus hiệu quả.