TUYÊN BỐ BẢN QUYỀN Tài liệu thuộc loại sách giáo trình nên nguồn thơng tin phép dùng nguyên trích dùng cho mục đích đào tạo tham khảo Mọi mục đích khác mang tính lệch lạc sử dụng với mục đích kinh doanh thiếu lành mạnh bị nghiêm cấm LỜI GIỚI THIỆU Trong năm qua, dạy nghề có bước tiến vượt bậc số lượng chất lượng, nhằm thực nhiệm vụ đào tạo nguồn nhân lực kỹ thuật trực tiếp đáp ứng nhu cầu xã hội Cùng với phát triển khoa học công nghệ giới, lĩnh vực Công nghệ thơng tin nói chung nghề Quản trị mạng Việt Nam nói riêng có bước phát triển đáng kể Chương trình dạy nghề Quản trị mạng xây dựng sở phân tích nghề, phần kỹ nghề kết cấu theo mô đun môn học Để tạo điều kiện thuận lợi cho sở dạy nghề trình thực hiện, việc biên soạn giáo trình theo mơ đun đào tạo nghề cấp thiết Mô đun 27: An tồn mạng mơ đun đào tạo chun mơn nghề biên soạn theo hình thức tích hợp lý thuyết thực hành Trong q trình thực hiện, nhóm biên soạn tham khảo nhiều tài liệu an toàn mạng nước, kết hợp với kinh nghiệm thực tế Mặc dù cố gắng tổ chức biên soạn để đáp ứng mục tiêu đào tạo khơng tránh thiếu sót Rất mong nhận đóng góp ý kiến thầy, bạn đọc để nhóm biên soạn điều chỉnh hoàn thiện Xin chân thành cảm ơn! Cần Thơ, ngày tháng năm 2021 Tham gia biên soạn Chủ biên Nguyễn Hoàng Vũ 3 MỤC LỤC TUYÊN BỐ BẢN QUYỀN LỜI GIỚI THIỆU MỤC LỤC GIÁO TRÌNH MƠN HỌC/MƠ ĐUN BÀI 1: TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG Mã bài: MH 27-01 Tổng quan an toàn bảo mật mạng 1.1 Giới thiệu AAA: (Access Control, Authentication Auditing) 1.2 Điều khiển truy cập (Access Control) 1.3 Xác thực (Authentication) Các dạng công 11 2.1 Giới thiệu 11 2.2 Minh hoạ khái quát qui trình cơng 11 2.3 Tấn công chủ động 12 Tấn công thụ động 16 2.5 Password Attacks: 22 2.6 Malicous Code Attacks: 24 Các phương pháp phòng chống: 25 3.1 Giới thiệu công cụ Essential NetTools: 25 3.2 Giới thiệu công cụ Microsoft Baseline Security Analyzer: 25 3.3 Sử dụng công cụ Tenable NeWT Scanner: 26 3.4 Xây dựng Firewall để hạn chế công: 26 Bài tập học viên 27 Hướng dẫn thực 27 Những trọng tâm cần ý: 30 Bài mở rộng nâng cao 30 Yêu cầu đánh giá kết học tập 30 BÀI 2: MÃ HĨA THƠNG TIN 31 Mã bài: MH 27-02 31 Cơ mã hoá (Cryptography) 31 1.1 Tại cần phải sử dụng mã hoá 31 1.2 Nhu cầu sử dụng kỹ thuật mã hoá 31 1.3 Q trình mã hố giải mã sau: 32 Độ an tồn thuật tốn 33 Phân loại thuật toán mã hoá 33 3.1 Mã hoá cổ điển: 34 3.2 Mã hoá đối xứng: 38 3.3 Mã hoá bất đối xứng: 40 3.4 Hệ thống mã hoá khoá lai (Hybrid Cryptosystems): 40 Bài tập học viên 41 Hướng dẫn thực 41 Những trọng tâm cần ý: 42 Bài mở rộng nâng cao 42 Yêu cầu đánh giá kết học tập 42 BÀI 3: BẢO MẬT VỚI LỌC GÓI IP 43 Gói Tin (Packet): 43 1.1 Packet gì? 43 1.2 Gói IP: 43 1.3 Gói UDP: 46 1.4 Gói TCP: 47 Bảo Mật Với Lọc Gói: 48 2.1 Khái Quát Về Lọc Gói: 48 2.2 Các Bước Để Xây Dựng Luật Bảo Mật Trong IPSEC: 49 2.3 Lọc Gói IP Dựa Trên Thiết Bị Phần Cứng 58 2.4 Top 10 công cụ giải cố cho TCP/IP 60 2.5 Cách Chặn IP Trong Windows Firewall 61 2.6 Sử dụng Windows Firewall Log để theo dõi hoạt động mạng Internet 68 Bài tập học viên 73 Hướng dẫn thực 73 Những trọng tâm cần ý: 81 Bài mở rộng nâng cao 81 Yêu cầu đánh giá kết học tập 81 BÀI 4: NAT (Network Address Translation) 83 Giới thiệu 83 Các kỹ thuật NAT cổ điển 83 2.1 NAT tĩnh 83 2.2 NAT động 84 NAT Window server 86 3.1 Win server cung cấp khái niệm NAT 86 Hoạt động NAT: 87 3.3 Cài Đặt cấu hình: 87 Bài tập học viên 87 Hướng dẫn thực 88 Những trọng tâm cần ý: 94 Bài mở rộng nâng cao 95 Yêu cầu đánh giá kết học tập 95 BÀI 5: VIRUS VÀ CÁCH PHÒNG CHỐNG 96 Giới thiệu tổng quan virus 96 Cách thức lây lan – phân loại virus 97 2.1 B-virus 98 2.2 F-virus 100 2.3 Macro virus 101 2.4 Trojan 102 2.5 Sâu - worm 104 2.6 Họ đa hình – polymorphic 104 2.7 Họ lừa dọa - hoaxes 104 Ngăn chặn xâm nhập virus 105 3.1 Chương trình diệt virus - Anti-virus 105 3.2 Ðề phòng B-virus 105 3.3 Ðề phòng F-virus 107 3.4 Ðề phòng Macro virus 107 3.5 Cách bảo vệ máy tính trước Trojan 108 TÀI LIỆU THAM KHẢO 116 GIÁO TRÌNH MƠN HỌC/MƠ ĐUN Tên mơn học/mơ đun: AN TỒN MẠNG Mã mơn học/mơ đun: MH 27 Vị trí, tính chất, ý nghĩa vai trị mơ đun - Vị trí: Mơ đun bố trí sau sinh viên học xong môn, mô đun: Mạng máy tính, Internet Quản trị mạng - Tính chất: Là mơ đun chun mơn nghề - Ý nghĩa vai trị: Đây mơ đun sở ngành nghề Quản trị mạng, cung cấp cho sinh viên kiến thức bảo mật hệ thống mạng để làm tản cho việc bảo mật giải vấn đề cần thiết Mục tiêu môn học/mô đun - Về kiến thức: + Xác định thành phần cần bảo mật cho hệ thống mạng + Trình bày hình thức công vào hệ thống mạng + Mô tả cách thức mã hố thơng tin + Trình bày q trình NAT hệ thống mạng + Phân biệt loại virus thơng dụng cách phịng chống virus - Về kỹ năng: + Cài đặt chương trình bảo mật hệ thống + Thực cách thức mã hố thơng tin; + Cài đặt cấu hình trình NAT hệ thống mạng; + Xác định khái niệm bảo mật với lọc gói IP; + Lọc Gói IP Dựa Trên Thiết Bị Phần Cứng + Cách Chặn IP Trong Windows Firewall + Sử dụng Windows Firewall Log để theo dõi hoạt động mạng Internet + Xây Dựng Luật Bảo Mật Trong IPSEC + Cài đặt loại virus thông dụng cách phòng chống virus - Về lực tự chủ trách nhiệm: + Nghiêm túc, tỉ mỉ trình tiếp cận với cơng cụ + Bố trí làm việc khoa học đảm bảo an toàn cho người phương tiện học tập + Phát triển cố thói quen làm việc nhóm, cẩn thận, chuẩn xác thực thao tác an toàn với máy tính Nội dung mơ đun: Thời gian (giờ) Thực hành, Số Tên mơ đun thí nghiệm, Kiểm Tổng Lý TT số thuyết thảo luận, tra tập BÀI 1: TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THƠNG TIN BÀI 2: MÃ HĨA THƠNG TIN BÀI 3: BẢO MẬT VỚI LỌC GÓI IP BÀI 4: NAT (Network Address Translation) BÀI 5: VIRUS VÀ CÁCH PHÒNG CHỐNG Cộng 2 12 20 10 16 8 60 30 27 1 BÀI 1: TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG Mã bài: MH 27-01 Giới thiệu: Bảo mật lĩnh vực mà giới công nghệ thông tin quan tâm Một Internet đời phát triển, nhu cầu trao đổi thông tin trở nên cần thiết Mục tiêu việc nối mạng làm cho người sử dụng chung tài nguyên từ vị trí địa lý khác Cũng mà tài ngun dễ dàng bị phân tán, dẫn đến điều hiển nhiên chúng bị xâm phạm, gây mát liệu thơng tin có giá trị Càng giao thiệp rộng dễ bị cơng, quy luật Từ đó, vấn đề bảo vệ thông tin đồng thời xuất hiện, bảo mật đời Tất nhiên, mục tiêu bảo mật không nằm gói gọn lĩnh vực bảo vệ thơng tin mà nhiều phạm trù khác kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật hệ thống toán điện tử giao dịch trực tuyến… Mọi nguy mạng mối nguy hiểm tiểm tàng Từ lổ hổng bảo mật nhỏ hệ thống, biết khai thác lợi dụng với tầng suất cao kỹ thuật hack điêu luyện trở thành tai họa Theo thống kê tổ chức bảo mật tiếng CERT (Computer Emegancy Response Team) số vụ cơng ngày tăng Cụ thể năm 1989 có khoản 200 vụ, đến năm 1991 có 400 vụ, đến năm 1994 số tăng lên đến mức 1330 vụ, tăng mạnh thời gian tới Như vậy, số vụ công ngày tăng lên với mức độ chóng mặt Điều dễ hiểu, thực thể tồn hai mặt đối lập Sự phát triển mạnh mẽ công nghệ thông tin kỹ thuật làm cho nạn công, ăn cắp, phá hoại internet bùng phát mạnh mẽ Mục tiêu: - Trình bày hình thức cơng vào hệ thống mạng; - Xác định thành phần hệ thống bảo mật; - Thực thao tác an tồn với máy tính Nội dung chính: Tổng quan an tồn bảo mật mạng Mục tiêu: - Mô tả đối tượng tấng công hệ thống mạng - Xác định lỗ hổng bảo mật 1.1 Giới thiệu AAA: (Access Control, Authentication Auditing) Khi hệ thống mạng đời nhu cầu cần trao đổi tài nguyên đặt người sử dụng hệ thống mạng trao đổi tài nguyên với Sau khoảng thờI gian sử dụng, hệ thống mạng ngày mở rộng số lượng tham gia vào mạng ngày tăng, việc thực sách bảo mật, thiết lập sách việc truy xuất tài nguyên mạng đặt Công nghệ thông tin áp dụng nhiều lĩnh vực thương mại, hàng hải, … Trong phát triển “thơng tin” phần quan trọng MọI thiết bị máy tính (Ram, CPU, Màn hình, Đĩa cứng …) hạ tầng mạng (router, switch, …) tạo để hỗ trợ việc xử lý, lưu trữ, trình bày, vận chuyển thơng tin … Vì việc bảo đảm tính an tồn liệu lưu trữ máy tính tính bí mật tồn vẹn thơng tin truyền mạng có ý nghĩa lớn tồn phát triển công nghệ thông tin Để hỗ trợ cho việc bảo mật nhằm hạn chế truy cấp liệu ngườI khác, tránh mát liệu, thuật ngữ AAA (Access Control, Authentication Auditing) đời AAA viết tắc từ: Access Control, Authentication Auditing AAA khái niệm an ninh máy tính an ninh mạng Những khái niệm dùng để bảo đảm tính bảo mật thơng tin, tồn vẹn liệu tính sẵn sàng hệ thống 1.2 Điều khiển truy cập (Access Control) Điều khiển truy cập sách, hỗ trợ phần mềm hay phần cứng dùng phép hay từ chối truy cập đến tài nguyên, qui định mức độ truy xuất đến tài nguyên Có ba mơ hình sử dụng để giải thích cho mơ hình điều khiển truy cập: - MAC (Mandatory Access Control) - DAC (Discretionary Access Control) - RBAC (Role Based Access Control) 1.2.1 MAC (Mandatory Access Control) Mơ hình MAC mơ hình tĩnh sử dụng quyền hạn truy cập đến tập tin định nghĩa trước hệ thống Người quản trị hệ thống thiết lập tham số kết hợp chúng với tài khoản, với nhiều tập tin hay tài nguyên Mô hình MAC bị hạn chế nhiều Trong mơ hình MAC người quản trị thiết lập việc truy cập người quản trị người thay đổi truy cấp Người dùng khơng thể chia tài nguyên trừ có mối quan hệ với tài nguyên tồn trước Ví dụ: Đối với Unix hệ thống qui định tập tin hay thư mục chủ sở hữu (Owner) Khi ta khơng thể định nghĩa tập tin hay thư mục thuộc quyền sở hữu hai hay nhiều người Quyền tập tin, thư mục Windows 2000 (Full control, Write, Read, List folder content, ) 1.2.2 DAC (Discretionary Access Control): Là tập quyền truy cập đốI tượng mà ngườI dùng hay ứng dụng định nghĩa Mơ hình DAC cho phép ngườI dùng chia sẻ tập tin sử dụng tập tin ngườI khác chia sẻ Mơ hình DAC thiết lập danh sách điều khiển truy cập (Access control list) dùng để nhận ngườI dùng quyền truy cập đến tài ngun Ngồi ra, mơ hình cho phép ngườI dùng gán hay loạI bỏ quyền truy cấp đến mỗI cá nhân hay nhóm dựa trường hợp cụ thể 1.2.3 RBAC (Role Based Access Control) Trong RBAC, việc định quyền truy cập dựa vai trò mỗI cá nhân trách nhiệm họ tổ chức Quyền hạn dựa công việc phân nhóm ngườI dùng Tuỳ thuộc vào quyền hạn ngườI dùng mà phân quyền cho phù hợp Ví dụ: NgườI quản trị có tồn quyền quản trị hệ thống mạng, quyền thêm, xoá, sữa thơng tin mạng Những nhân viên bình thường mạng có quyền sử dụng máy tính mà khơng phép làm 1.3 Xác thực (Authentication) Q trình dùng để xác nhận máy tính hay ngườI dùng cố gắng truy cập đến tài nguyên, cách thức đăng nhập sử dụng hệ thống Quá trình xác thực đa dạng, từ cách xác nhận thông thường kiểm tra tên đăng nhập/mật đến việc sử dụng công nghệ tiên tiến thể thông minh, thiết bị sinh học để nhận dạng ngườI dùng 1.3.1 Username/Password Đây phương thức xác nhận cổ điển sử dụng phổ biến (do tính đơn giản dễ quản lý) MỗI ngườI dùng xác nhận tên truy cập mật Mật thông thường lưu sở liệu dướI dạng mã hố khơng mã hố Tuy nhiên mật dễ dàng bị đoán phương pháp vét cạn Chính sách mật khẩu: - Mức độ khơng an tồn: 06 ký tự - Mức độ an tồn trung bình: 08 đến 13 ký tự - Mức độ an toàn cao: 14 ký tự Ngoài mật cần tuân theo số yêu cầu sau: - Kết hợp ký tự hoa thường - Sử dụng số, ký tự đặc biệt, không sử dụng từ có tự điển - Khơng sử dụng thông tin cá nhân để đặt mật (ngày sinh, số điện thoại, tên ngườI thân …) 1.3.2 CHAP Do điểm yếu User/Pass thông tin đễ dàng bị chuyển mạng, cần phải có phương pháp để đảm bảo liệu truyền thơng an tồn q trình chứng thực CHAP giao thức đáp ứng yêu cầu CHAP thường dùng để bảo vệ thông tin xác nhận kiểm tra kết nối đến tài nguyên hợp lệ, sử dụng dãy thách thức trả lời mã hoá Đây nghi thức xác nhận truy cập từ xa mà không cần gửi mật qua mạng CHAP sử dụng để xác định hợp lệ cách sử dụng chế bắt tay Way Cơ chế sử dụng kết nối khởi tạo sử dụng nhiều lần để trì kết nối - Nơi cần xác nhận gửi thông điệp “Challenge” - Bên nhận sử dụng mật hàm băm chiều để tính kết trả lời cho bên cần xác nhận - Bên cần xác nhận tính tốn hàm băm tương ứng đối chiếu với giá trị trả Nếu giá trị việc xác nhận hợp lệ, ngược lại kết nối kết thúc - Vào thời điểm ngẫu nhiên,bên cạnh xác nhận gửi Challenge để kiểm tra hợp lệ kết nối 1.3.3 Chứng (Certificates) Trong sống sử dụng CMND hay hộ chiếu để giao tiếp với người khác xã hội sử dụng để du lịch, tàu xe … Trong máy tính sử dụng chứng để xác nhận với máy khác người dùng máy tính hợp lệ giúp cho máy tính truyền thơng với an tồn Chứng điện tử dạng liệu số chứa thông tin để xác định thực thể (thực thể cá nhân, server, thiết bị hay phần mềm…) Chi tiết chứng tham khảo phần sau 1.3.4 Mutual Authentication (Xác nhậnlẫn nhau) Đa số chế chứng thực thực chiều, việc xác thực dễ bị giả lập dễ bị Hacker công phương pháp giả lập cách thức kết nối (như Reply Attack …) Trong thực tế có nhiều ứng dụng đòi hỏi chế xác nhận qua lại ví dụ người dùng có tài khoản Ngân hàng Khi người dùng truy xuất để kiểm Đặc biệt, biến thể macro virus có hình thức phá hoại "bom thư tin học" vừa phát thời gian gần Tên "khủng bố" gửi đến địa "nạn nhân" thư dạng tập tin.DOC Người nhận gọi WinWord để xem, toàn đĩa cứng bị phá hoại Hậu sau rõ, liệu đĩa cứng bị Tuy sử dụng macro Microsoft Word để thực hành vi xấu hình thức phá hoại loại khác với virus Virus phá hoại liệu máy tính cách ngẫu nhiên, địa không xác định "Bom thư tin học" nhằm vào địa cụ thể, sở liệu mà chúng biết vô giá Cũng không loại trừ khả chúng mạo danh người để thực âm mưu với dụng ý "một mũi tên trúng hai mục tiêu" Chúng ta phải tăng cường cảnh giác Để phòng chống loại virus macro này, sử dụng tập tin.DOC,.XLS bạn phải chắn chúng không chứa macro lạ (ngồi macro bạn tạo ra) Ngoại trừ hình thức phá hoại kiểu "bom thư", macro virus thường đếm số lần kích hoạt thực phá hoại (để chúng có thời gian lây) Vì mở tập tin, bạn chọn menu Tool/Macro (của WinWord) để xem văn có macro lạ hay khơng (kể macro khơng có tên) Nếu có, đừng ngần ngại xóa chúng Sau khỏi WinWord, xóa ln tập tin NORMAL.DOT Một số Macro virus có khả mã hóa progvi, che dấu menu Tool/Macro WinWord, khơng cho xóa macro , dấu hiệu chắn để tin macro virus rình rập xâu xé liệu bạn Hãy cô lập tập tin gửi chúng đến địa liên lạc AntiVirus mà bạn tin tưởng 2.4 Trojan Trojan gì? Trojan mã độc hại có khả thực tác vụ bất hợp pháp, thường độc hại Bản thân Trojan chương trình bất hợp pháp lại che giấu chương trình hợp pháp Khác lớn Trojan virus khả nhân bản: Trojan gây thiệt hại cho máy tính, khởi tạo lỗi hệ thống, chí gây mát liệu lại khơng có khả nhân giống virus Ngược lại, Trojan có khả nhân phân loại thành virus Trojan lấy tên từ câu chuyện thần thoại cũ người Hy Lạp thời gian chiến tranh Họ tặng cho kẻ thù ngựa làm gỗ khổng lồ Kẻ thù người Hy Lạp chấp nhận quà tặng mang vào thành Ngay đêm đó, người lính Hy Lạp chui khỏi ngựa công thành, gây bất ngờ cho kẻ thù chiếm thành sau thời gian ngắn Trojan cịn có loại gọi Trojan 'chiếm quyền kiểu leo thang', thường sử dụng administrator (quản trị viên) cỏi Chúng nhúng vào ứng dụng hệ thống quản trị viên kích hoạt, chúng tạo cho hacker quyền cao hệ thống Những Trojan gửi tới người dùng có quyền cho họ quyền xâm nhập hệ thống Ngoài ra, cịn có số loại Trojan nữa, bao gồm chương trình tạo để chọc ghẹo, khơng có hại Các thơng báo Trojan thường là: 'Ổ cứng bị bị format', 'password bạn bị lộ' Theo thống kê khơng đầy đủ, có gần 2.000 loại Trojan khác Đây 'phần tảng băng' thực chất số lượng loại Trojan lớn, hacker, lập trình viên hay nhóm hacker viết Trojan cho riêng Trojan không công bố lên mạng bị phát Chính 102 số lượng đông đảo, nên Trojan luôn vấn đề lớn bảo mật an tồn mạng Người dùng có an tồn trước Trojan phần mềm diệt virus Có nhiều người nghĩ họ an tồn có tay chương trình quét virus tốt với cập nhật nhất, máy tính họ hồn tồn 'miễn dịch' trước Trojan Thật không may, thực tế lại không hồn tồn Mục đích viết chương trình diệt virus phát virus Trojan Và Trojan nhiều người biết đến, chuyên viên viết phần mềm diệt virus bổ sung vào chương trình qt virus Vì thế, điều hiển nhiên phần mềm diệt virus đành 'bó tay' trước Trojan chưa biết đến Cách thức lây nhiễm Trojan - Từ Mail: Trojan lây nhiễm theo đường thường có tốc độ lây lan nhanh Khi chúng 'chui' vào máy tính nạn nhân, việc Trojan làm 'gặt hái' địa mail address book phát tán theo địa - Từ ICQ: Nhiều người biết ICQ kênh truyền thông tin tiện lợi, nhiên lại khơng biết mơi trường an tồn người đối thoại gửi Trojan lúc nói chuyện với Điều hồn tồn thực nhờ lỗi (bug) ICQ, cho phép gửi file dạng.exe người nhận thấy chúng file dạng âm thanh, hình ảnh Để ngăn ngừa bug này, trước mở file bạn phải kiểm tra kiểu file (tức phần mở rộng file để biết thuộc loại nào) - Từ IRC: Cách lây nhiễm tương tự ICQ Mức độ nguy hiểm Trojan Khi Trojan lây nhiễm vào máy tính nạn nhân, người dùng khơng cảm thấy có điều bất thường Tuy nhiên, nguy hiểm lại phụ thuộc vào định hacker - tác giả Trojan Đặc biệt, mức độ nguy hiểm trầm trọng máy tính nạn nhân nơi lưu trữ tài liệu mật tổ chức, cơng ty tập đồn lớn Hacker chép khai thác nguồn tài liệu đó, xóa chúng Phân loại Trojan Hiện có nhiều trojan, phân loại sau dựa vào tính chất chúng: - Trojan dùng để truy cập từ xa: Trojan nhiễm vào hệ thống, gửi username (tên đăng nhập), password (mật khẩu), địa IP máy tính cho hacker Từ tài ngun này, hacker truy cập vào máy đó username password lấy - Trojan gửi mật khẩu: đọc tất mật lưu cache thông tin máy nạn nhân gửi cho hacker nạn nhân online - Trojan phá hủy tai hại loại Trojan tên nó, chúng có nhiệm vụ tiêu diệt tất file máy tính nạn nhân (file.exe,.dll,.ini ) Thật 'bất hạnh' cho máy tính bị nhiễm Trojan này, tất liệu máy tính chẳng cịn - FTP Trojan: loại mở cổng 21 máy nạn nhân để người kết nối tới mà không cần mật họ toàn quyền tải liệu xuống - Keylogger: phần mềm ghi lại tất tác vụ bàn phím nạn nhân sử dụng máy tính, gửi chúng cho hacker theo địa e-mail 103 2.5 Sâu - worm Mọi tập trung hướng vào MSBlaster Worm SoBig Virus sức lây lan Trong Melissa Virus trở thành tượng toàn cầu vào tháng năm 1999 buộc Microsoft hàng loạt cơng ty khác phải ngắt hệ thống E-mail họ khỏi mạng Virus ngăn chặn ILOVEYOU Virus xuất năm 2000 có sức tàn phá không Thật không ngờ người nhận Melissa ILOVEYOU đơn giản Worm chương trình máy tính có khả tự chép từ máy tính sang máy tính khác Worm thường lây nhiễm sang máy tính khác qua mạng máy tính Qua mạng máy tính, Worm phát triển cực nhanh từ Chẳng hạn chín đồng hồ ngày 19/7/2001, CodeRed Worm nhân lên tới 250.000 lần Worm thường khai thác điểm yếu bảo mật chươg trình hệ điều hành Slammer Worm khai thác lỗ hổng bảo mật Microsoft SQL Server chương trình cực nhỏ (376Byte) CodeRed Worm làm cho mạng Internet chậm đáng kể tận dụng băng thông mạng để nhân Mỗi tự dị tìm mạng Internet để tìm Server sử dụng hệ điều hành Windows NT hay Windows 2000 chưa cài Patch sửa lỗi bảo mật Mỗi tìm Server chưa khắc phục lỗ hổng bảo mật, CodeRed Worm tự sinh ghi vào Server Bảo lại tự dị tìm mạng để lây nhiễm sang Server khác Tùy thuộc vào số lượng Server chưa khắc phục lỗ hổng bảo mật, Worm tạo hàng trăm ngàn CodeRed Worm thiết kế để thực mục tiêu sau: - Tự nhân 20 ngày tháng - Thay trang Web Server mà nhiễm trang Web có nội dung “Hacked by Chinese” - Tấn công liên tục White House Web Server Các phiên CodeRed biến đổi liên tục Sau nhiễm vào Server, Worm chọn thời điểm định sẵn công vào Domain www.whitehouse.gov Các Server bị nhiễm đồng loạt gửi khoảng 100 kết nối tới cổng 80 www.whitehouse.gov (198.137.240.91) khiến phủ Mỹ phải thay đổi IP WebServer khuyến cáo người sử dụng phải nâng cấp WindowsNT 2000 “vá” sửa lỗi 2.6 Họ đa hình – polymorphic Những virus họ có khả tự nhân ngụy trang thành biến thể khác với mẫu biết để tránh bị chương trình diệt virus phát Một chi họ virus đa hình dùng thuật tốn mã hóa giải mã khác hệ thống chí bên tệp khác nhau, làm cho khó nhận dạng Một chi khác lại thay đổi trình tự lệnh dùng lệnh giả để đánh lừa chương trình diệt virus Nguy hiểm mutant sử dụng số ngẫu nhiên để thay đổi mã cơng thuật tốn giải mã 2.7 Họ lừa dọa - hoaxes Đây virus mà thơng điệp cảnh báo người tốt bụng có nhiều người nhận nhẹ tin lại gửi tiếp chúng đến người khác bùng lên vụ lây lan đến mức nghẽn mạng gây lòng tin Trên giới có nhiều sở liệu cung cấp mẫu dạng thông điệp giả cần so sánh chúng với thông điệp cảnh báo vừa nhận để khỏi bị lừa tiếp tay cho tin tặc 104 Ngăn chặn xâm nhập virus Mục tiêu: - Phòng ngừa xâm nhập virus Virus tin học ranh ma nguy hiểm bị ngăn chặn loại trừ cách dễ dàng Có số biện pháp 3.1 Chương trình diệt virus - Anti-virus Dùng chương trình chống virus để phát diệt virus gọi anti-virus Thông thường anti-virus tự động diệt virus phát Với số chương trình phát mà không diệt được, phải để ý đọc thơng báo Ðể sử dụng anti-virus hiệu quả, nên trang bị cho vài chương trình để sử dụng kèm, bổ khuyết cho kết tốt Một điều cần lưu ý nên chạy anti-virus tình trạng nhớ tốt (khởi động máy từ đĩa mềm sạch) việc qt virus hiệu an tồn, khơng gây lan tràn virus đĩa cứng Có hai loại anti-virus, ngoại nhập nội địa Các anti-virus ngoại sử dụng phổ biến SCAN McAfee, Norton Anti-virus Symantec, Toolkit, Dr Solomon Các anti-virus sản phẩm thương mại Ưu điểm chúng số lượng virus cập nhật lớn, tìm-diệt hiệu quả, có đầy đủ cơng cụ hỗ trợ tận tình (thậm chí tỉ mỉ đến sốt ruột) Nhược điểm chúng cồng kềnh Các anti-virus nội thông dụng D2 BKAV Ðây phần mềm miễn phí Ngồi ưu điểm miễn phí, anti-virus nội địa chạy nhanh chúng nhỏ gọn, tìmdiệt hiệu "rất nhạy cảm" với virus nội địa Nhược điểm chúng khả nhận biết virus ngoại kém, trang bị cơng cụ hỗ trợ chế độ giao tiếp với người sử dụng, để khắc phục nhược điểm này, anti-virus nội cố gắng cập nhật virus thường xuyên phát hành nhanh chóng đến tay người dùng Tuy nhiên đừng tin tưởng vào anti-virus Bởi anti-virus tìmdiệt virus mà cập nhật Với virus chưa cập nhật vào thư viện chương trình anti-virus hồn tồn khơng diệt Ðây nhược điểm lớn chương trình diệt virus Xu hướng anti-virus cố gắng nhận dạng virus mà không cần cập nhật Symantec triển khai hệ chống virus theo chế miễn dịch IBM, phát hành tương lai Phần mềm D2 nội địa có cố gắng định việc nhận dạng virus lạ Các phiên D2- Plus version 2xx trang bị môđun nhận dạng New macro virus New-Bvirus, sử dụng chế chẩn đốn thơng minh dựa sở tri thức lý thuyết hệ chuyên gia Ðây phiên thử nghiệm hướng tới hệ chương trình chống virus thơng minh chương trình Lúc phần mềm dự báo xuất loại virus Nhưng dù nên tự trang bị thêm số biện pháp phòng chống virus hữu hiệu đề cập sau 3.2 Ðề phòng B-virus Phát hiện: Đây bước quan trọng cho bước khơng thể chữa trị khơng biết máy hay đĩa có bị nhiễm virus hay không, hay bị nhiễm loại virus Việc phát trước hết phải thực vùng nhớ, virus nắm quyền điều khiển dẫn đến sai lạc thông tin tác vụ truy xuất đĩa Sau tiến hành đĩa Sự tồn virus gắn liền với tồn vài dấu hiệu đặc biệt Ta xét sau đây: a Trong vùng nhớ: Việc phát bao gồm dự báo khả xuất virus lạ vùng nhớ, đưa xác loại virus biết Do đặc tính phải tồn nhớ cao, B - virus dễ bị phát Việc phát qua bước sau: 105 + So sánh tổng số vùng nhớ BIOS tường thuật với toàn vùng nhớ mà chương trình có sau tự test để kiểm tra chênh lệch Dấu hiệu chưa cho phép kết luận tồn virus, mà sở để tiến hành vước số chênh lệch phản ảnh vùng RAM đ bị hỏng + Bắt đầu từ địa vùng cao, tiến hành dị tìm kĩ thuật Scanning: dị tìm đoạn mã xác định chương trình virus đ biết vùng cao Mọi tìm thấy cho phép kết luận virus có tồn vùng nhớ Tuy nhiên, sau, phương pháp scanning bộc lộ thiếu sót: máy bị nhiễm virus Warm boot với đĩa mềm khơng test RAM phát virus vùng nhớ Để khắc phục điều này, đọc giả hy vọng tự suy nghĩ đề phương pháp thích hợp + Trong trường hợp khơng phát hiện, khả tồn B - virus có, số dầu hiệu Một số thủ thuật, cho kết tương đối xác loại virus hay khơng + Một số phần mềm chống virus cịn đưa thêm bước chữa trị cho vùng nhớ, nghĩa vơ hiệu hóa virus vùng nhớ cách dành lại int 13h cũ Tuy nhiên, có thiếu sót: khơng thể trả lại vùng nhớ cho DOS cách cộng thêm vào giá trị BIOS data 40:13 lượng lượng vùng nhớ virus chiếm DOS khơng cịn dùng đến giá trị Do đó, phải Reset lại máy để BIOS tiến hành test lại RAM Nhưng vơ hiệu hóa virus để chưa trị rổi rest máy phương pháp tốt Một phương pháp khác đưa nhà chữa trị virus nước - phương pháp đơn giản - nhiên khơng thể đảm bảo tương thích với loại hệ điều hành Phương pháp dựa vào đặc tính: virus chi phối vùng nhớ, ln ln phải chiếm ngắt 13h, việc thay địa làm giá trị segment ngắt 13h đổi từ ROM sang RAM, nghĩa thay đổi từ ghá trị lớn 0C000h thành giá trị nhỏ A000h Tuy nhiên, DOS dành quyền điều khiển, lại thay địa đoạn m Do đó, vấn đề phải giải tìm chỗ DOS giữ địa Giá trị nhà nghiên cứu hệ thống công bố địa 0:7B4h qua việc nghiên cứu version DOS DOS 4.xx Việc kiểm tra cho biết máy có bị nhiễm hay khơng phương pháp có nhược điểm: Khơng đảm bảo tương thích cho version DOS Ngồi có cách định vị lại giá trị segment để xem nằm ROM dù nằm RAM Do phương pháp cần điều chỉnh để tạo địa xác 20 bit so sánh địa b Trên đĩa: Việc dò tìm đĩa phải thực sau kiểm tra vùng nhớ không phát thấy virus Không vùng nhớ, tiến hành nhiều cách bao gồm việc phát virus (nếu có) Một phương pháp nhiều phần mềm Antivirus sử dụng phương pháp dị tìm đoạn mã Ph−ơng pháp tương tự dị tìm vùng nhớ cịn nược điểm: tính chất ngụy trang virus, Boot sector bị hay nhiều virus gây nhiễm Phương pháp dị tìm tìm thấy virus thứ dẫn đến kết khơi phục sai lạc Một chứng hùng hồn đĩa mềm bị nhiễm Stone trước bị Joshi virus công phần mềm TNT virus (Turbo Antivirus) thông báo bị nhiễm Stone khơi phục Stone khôi phục Joshi trước Một phương pháp khác phần mềm sử dụng kiểm tra key value mà Do phát triển q nhanh virus, giá trị key value khơng cịn mang ý vghĩa quan trọng Tuy vậy, tham khảo giá trị với kĩ thuật dị tìm Để có dự báo virus mới, khó nói Boot sector chứa dấu hiệu virus lẽ Boot sector thiết kế gần giống B - virus, số phần mềm đ tạo file chứa Boot sector Partition table Việc kiểm tra có tồn virus hay không đơn giản so sánh Boot record Partition table với nội dung file (như TNT virus đ làm) Đừng khởi động máy từ đĩa mềm có đĩa cứng, ngoại trừ trường hợp tối cần thiết đĩa cứng bị trục trặc chẳng hạn Nếu buộc phải khởi động từ 106 đĩa mềm, đĩa mềm phải hoàn tồn Ðơi việc khởi động từ đĩa mềm lại xảy cách ngẫu nhiên, ví dụ để quên đĩa mềm ổ đĩa A phiên làm việc trước Nếu Boot record đĩa mềm có B-virus, phiên làm việc sau, qn khơng rút đĩa khỏi ổ B-virus "lây nhiễm" vào đĩa cứng Tuy nhiên diệt cách dùng D2-Plus dự trù trước trường hợp chức chẩn đốn thơng minh New B-virus đĩa mềm Chỉ cần chạy D2 thường xun, chương trình phân tích Boot record đĩa mềm dự báo có mặt virus tên gọi PROBABLE B-Virus 3.3 Ðề phịng F-virus Ngun tắc chung khơng chạy chương trình khơng rõ nguồn gốc Hầu hết chương trình hợp pháp phát hành từ nhà sản xuất đảm bảo Vì vậy, khả tiềm tàng F-virus file COM,EXE xảy chương trình trơi (chuyền tay, lấy từ mạng, ) Phát hiện: Một đĩa hay file bị nhiễm virus phải nhận diện xem loại virus tương ứng có cách chữa trị Việc phát tiến hành vùng nhớ (để phát RF - Virus) sau bắt đầu đĩa (cho hai loại virus) a Trong vùng nhớ: Vơ cần thiết cho biết bước chữa trị thực hay khơng Đối với số loại virus, việc mở file, tìm file đĩa bị lây phần mềm Antivius lại giúp hội cho virus lây lan Việc phát nhiều cách: + Phát chênh lệch vùng nhớ cao: loại virus tách vùng nhớ khỏi tầm kiểm soát DOS, chênh lệch xuất vùng nhớ BIOS quản lí vùng nhớ DOS quản lí Tuy nhiên, chênh lệch khơng có nghĩa máy đ bị nhiễm mà cần phải thực thêm bước tiếp theo: Dị tìm đoạn mã: progvi có đoạn mã đặc trưng, chương trình chống virus tiến hành dị đoạn mã virus từ vùng nhớ thấp lên vùng nhớ cao Mọi phát đưa đến kết có virus, song phương pháp tỏ khơng hiệu nghiệm phát virus biết, mặt khác tồn đoạn liệu “trùng“ với đoạn mã progvi (là liệu phần mềm diệt virus khác tải lên vùng nhớ trước chẳng hạn) dẫn đến sai lầm b Trên file: Để xác định file có bị nhiễm hay khơng, dùng cách sau: + Kích thước file sau lệnh nhảy: Mỗi progvi có kích thước chuẩn Chương trình virus định vị đầu vào đầu file lệnh nhảy, so sánh đầu vào với kích thước file để suy file bị nhiễm hay chưa Đối với file EXE định vị đầu vào từ bảng tham số EXE header, từ suy kích thước sau Phương pháp khơng hiệu nghiệm tỏ xác ta biết nay, virus trùng kích thước nhiều Mặt khác, đâu cấm chương trình có khoảng cách sau lệnh JMP đến cuối file kích thước virus Do lỗi này, phương pháp khơng dùng nữa, virus cịn dùng tốc độ nhanh + Dị tìm đoạn m Progvi: Tương tự vùng nhớ tất nhiên gặp lỗi dò phải file chống virus khác, kể chẳng hạn 3.4 Ðề phịng Macro virus Như nói, họ virus lây văn bảng tính Microsoft Vì vậy, nhận file DOC hay XL? bất kỳ, nhớ kiểm tra chúng trước mở Ðiều phiền toái giải D2- Plus giống trường hợp New B-virus, New macro virus nhận dạng tên PROBABLE Macro Hơn sử dụng WinWord Exel Microsoft Office 97 khơng phải lo lắng Chức 107 AutoDectect Macro virus Office kích hoạt Warning Box văn bảng tính cần mở có chứa macro (chỉ cần Disable) 3.5 Cách bảo vệ máy tính trước Trojan - Dấu hiệu nhận biết máy tính nhiễm Trojan Dưới số dấu hiệu phổ biến để nhận biết Trojan có diện máy tính bạn hay khơng:  Máy tính hoạt động chậm dần, thường xuyên xảy lỗi hình xanh chết chóc  Trên hình hiển thị liên tục cửa sổ pop-up quảng cáo  Các ứng dụng, add-on plugin lạ cài đặt mà bạn thực  Các ứng dụng bảo mật UAC bị tắt, vơ hiệu hóa  Hình bị thay đổi mà bạn không thực  Máy tính liên tục báo lỗi nhớ thấp, khơng đủ nhớ  Trong trình duyệt web, bạn chuyển hướng đến trang web lạ  Các file, liệu "không cánh mà bay"  Liên tục nhận mail spam - Sử dụng chương trình chống virus, trojan hãng đáng tin cậy - Loại bỏ Window Bước Mở Click vào biểu tượng Window góc bên trái hình Bước Mở Windows Defender Gõ tìm windows defender, sau click vào Windows Defender Security Center gần đầu cửa sổ Start Bước Click ☰ Nó góc bên trái window Một menu xuất phía bên trái cửa sổ Bước Click Virus & threat protection Tùy chọn nằm phía bên trái cửa sổ bật Bước Click Advanced scan Nó liên kết trang Làm mở trang tùy chọn quét Bước Kiểm tra "Full scan" box Bạn tìm thấy tùy chọn gần đầu cửa sổ Bước Click Scan now Nó gần cuối cửa sổ Windows Defender bắt đầu quét phần mềm độc hại máy tính bạn Bước Đợi q trình qt hồn tất Nếu Windows Defender tìm thấy trojan horse, kiểm dịch loại bỏ trojan tự động, bạn khơng cần phải xác nhận thực hành động Bước Thực quét ngoại tuyến Quét ngoại tuyến xóa chương trình phần mềm độc hại đặc biệt khó khăn khỏi máy tính bạn máy tính ngoại tuyến Q trình qt buộc máy tính bạn phải khởi động lại khoảng 15 phút:  Click ☰ nhấp vào Virus & threat protection  Chọn hộp "Windows Defender Offline Scan"  Click Scan now 108  Thực theo hướng dẫn hình 10 Loại bỏ cài đặt lại Windows Nếu chạy quét Windows Defender mà khơng diệt trojan khỏi máy tính bạn, bạn phải định dạng ổ đĩa cứng cách xóa cài đặt lại Windows  - Chỉ làm điều cách cuối cùng; bạn số tệp  - Bạn nên lưu nhiều tệp tốt trước thực việc Hãy nhớ trojan thường cài đặt chương trình chép phần mềm độc hại vào tệp bạn Điều có nghĩa bạn phải lưu tệp theo cách thủ cơng thay lưu tồn máy tính bạn Bài tập học viên Trình bày cách thức lây lan Virus Trình bày cách thức ngăn chặn xâm nhập virus Liệt kê 10 chương trình diệt virus - Anti-virus phổ biến 4: Thực cách ngăn chặn Autorun.inf Virus.exe xâm nhập máy tính thơng qua USB Hướng dẫn thực Trình bày cách thức lây lan Virus, tham khảo mục CHƯƠNG giáo trình Trình bày cách thức ngăn chặn xâm nhập virus, tham khảo mục CHƯƠNG giáo trình Liệt kê 10 chương trình diệt virus - Anti-virus phổ biến nay, tham khảo Intener 2: Thực cách ngăn chặn Autorun.inf Virus.exe xâm nhập máy tính thơng qua USB Để thực việc vơ hiệu hóa tính MountPoints2, bạn thực bước sau Bước Start > Run Win + R Bước Nhập Regedit vào ô run > Enter Bước Tại cửa sổ Registry Editor thực khóa: HKEY_CURENT_USER\Software\Microsoft\Windows\Curent Version\Explorer\MountPoints2 109 Hình 4.2 Hộp thoại MountPoints2 Bước Nhấn phải chuột vào MountPoints2 > Permission 110 Hình 4.3 Hộp thoại cấp phép Bước Cửa sổ Pemission for MountPoints2 mở > Advanced Bước Tại cửa sổ thiết lập Advanced Security Settings for MountPoints2 > Permissions Hình 4.4 Hộp thoại thiết lập quyền 111 * Win 10 Bỏ chọn tính Include inheritable pemssions from this object's parrent có khóa đăng ký hiển thị khung Pemission entries Hình 4.5 Hộp thoại xóa quyền Bước Hộp thoại Windows Security xuất > Remove Hình 4.6 Hộp thoại chấp nhận xóa quyền 112 Bước Tại cửa sổ Advanced Security Settings for MountPoints2 > Apply Hình 4.7 Hộp thoại đồng ý Windows security Hình 4.8 Hộp thoại đồng ý Registry Editor Bước Hộp thoại Windows Security xuất lần với nội dung "Bạn từ chối tất người dùng truy cập MountPoints2 Khơng truy cập MountPoints2 có bạn thay đổi cho phép Bạn có muốn tiếp tục?" > Yes > OK lần > đóng cửa sổ Registry Editor > khởi động lại hệ thống Những trọng tâm cần ý - Trình bày cách thức lây lan phân loại virus - Trình bày cách thức ngăn chặn xâm nhập virus 113 Trình bày tầm quan trọng chương trình diệt virus - Anti-virus Thao tác bước cách ngăn chặn Autorun.inf Virus.exe nhiễm USB - Cài đặt chương trình diệt virus Bài mở rộng nâng cao Cài Đặt Chương Trình diệt virus Symantec Antivirus cho Server client hệ thống Yêu cầu đánh giá kết học tập Nội dung  Về kiến thức:  Trình bày cách thức lây lan phân loại virus  Trình bày cách thức ngăn chặn xâm nhập virus  Trình bày tầm quan trọng chương trình diệt virus - Anti-virus  Thao tác bước cách ngăn chặn Autorun.inf Virus.exe nhiễm USB  Trình bày bước cài đặt, cấu hình chương trình diệt Virus symantec antivirus server symantec antivirus client Windows Server 2019  Trình bày bước cài đặt, cấu hình chương trình diệt Virus symantec antivirus client  Về kỹ năng: + Thao tác thành thạo bước cài đặt, cấu hình chương trình diệt Virus symantec antivirus server symantec antivirus client Windows Server 2019 + Thực thao tác bước cài đặt, cấu hình chương trình diệt Virus symantec antivirus client  Năng lực tự chủ trách nhiệm: Tỉ mỉ, cẩn thận, xác, linh hoạt ngăn nắp công việc Phương pháp  Về kiến thức: Đánh giá hình thức kiểm tra viết, trắc nghiệm, vấn đáp  Về kỹ năng: Đánh giá kỹ thực hành thực cài đặt, cấu hình diệt Virus symantec antivirus  Năng lực tự chủ trách nhiệm: Tỉ mỉ, cẩn thận, xác, linh hoạt ngăn nắp công việc - Điều kiện để hồn thành mơ đun để dự thi kết thúc mơ đun: + Người học tham dự 70% thời gian học lý thuyết đầy đủ học tích hợp, học thực hành, thực tập + Điểm trung bình chung điểm kiểm tra đạt từ 5,0 điểm trở lên theo thang điểm 10; + Người học có giấy xác nhận khuyết tật theo quy định hiệu trưởng xem xét, định ưu tiên điều kiện dự thi sở sinh viên phải bảo đảm điều kiện điểm trung bình điểm kiểm tra + Số lần dự thi kết thúc mô đun theo quy định khoản Điều 13 Thông tư 09/2017/TT-BLĐTBXH, ngày 13 tháng năm 2017 Điều kiện để công nhận, cấp chứng nhận đạt mô đun đào tạo: Người học công nhận cấp chứng nhận đạt mơ đun có điểm trung bình mơ đun theo thang điểm 10 đạt từ 4,0 trở lên 114 115 TÀI LIỆU THAM KHẢO [1] THs Ngơ Bá Hùng-Ks Phạm Thế phi Giáo trình mạng máy tính, Đại học Cần Thơ, năm 2005 [2] Đặng Xuân Hà, An tồn mạng máy tính Computer Networking năm 2005 [3] Nguyễn Anh Tuấn, Bài giảng Kỹ thuật an toàn mạng, Trung tâm TH-NN Trí Đức, 2009 [4] TS Nguyễn Đại Thọ, An Tồn Mạng, Trường Đại học Cơng nghệ - ĐHQGHN, 2010 116