thức cổng trong. Vài chỉ dẫn về bảo mật cho các giao thức một cổng ngoài, BGP-4, được dành riêng vào phần 4.4.5. Chứng thực router lân cận Mục đích cơ bản của chứng thực router lân cận là bảo vệ sự bền vững của một tên miền định tuyến. Trong trường hợp này, chứng thực xảy ra khi 2 router lân cận trao đổi thông tin định tuyến. Chứng thực sẽ bảo đảm router nhận sát nhập vào bảng tuyến của nó các thông tin tuyến mà router gửi đã được chứng thực thực thực sự định gửi. Việc này ngăn cản một router đã được chứng thực chấp nhận và thực thi các bản cập nhật không phép, nguy hiểm, hoặc gián đoạn có thể nguy hại tới bảo mật hay hiệu lực của mạng. Một nguy hại như thế có thể dẫn đến nguy cơ định tuyến lại các lưu lượng, một sự từ chối dịch vụ, hay đơn giản cho phép một người không được phép quyền truy cập các gói tin nhất dịnh. Chứng thực OSPF Chứng thực router lân cận là một cơ chế mà khi được áp dụng đúng đắn có thể ngăn ngừa nhiều đợt tấn công định tuyến. Mội một router thực hiện chứng thực bằng khóa chứng thực mà chúng có. Có nghĩa là tất cả các router nối tới cùng phần mạng cùng dùng một khóa mật chung. Từng router gửi sau đó dùng khóa này để đánh dấu thông điệp cập nhật bảng tuyến. Router nhận kiểm tra khóa chung để quyết định thông điệp có nên nhận hay không. Phần này mô tả cách thiết lập chứng thực router lân cận trong OSPF, vì nó là một minh họa sinh động cho nguyên tắc cơ bản này; chứng thực trong RIP phiên bản 2 và EIGRP tương tự. OSPF dùng 2 loại chứng thực lân cận: văn bản thô và thông điệp mã hóa MD5. Chứng thực văn bản thô dùng khóa chung của mọi router trên phần mạng. Khi một router gửi xây dựng một gói tin OSPF, nó đánh dấu gói tin bằng cách thay khóa bằng văn bản thô vào trong phần đầu của OSPF. Router nhận sau đó sẽ so sánh khóa nhận được với khóa trong bộ nhớ. Nếu 2 khóa trùng nhau thì router nhận chấp nhận gói tin. Bằng không thì router nhận bãi bỏ gói tin. Phương thức này không bảo mật cao vì khóa được lưu trong gói tin dưới dạng văn bản thô. Dùng cách này sẽ làm lộ khóa mật cho kẻ tấn công dùng thiết bị dò mạng vào đúng phần mạng LAN nạn nhân. Một khi kẻ tấn công lấy được khóa mật rồi, chúng có thể làm rối một router đã chứng thực. Phương thức thứ hai, bảo mật hơn, là chứng thực thông điệp đã được mã hóa. Hình 4-3 cho thấy một ví dụ về mạng với các giao thức định tuyến của nó. Trong ví dụ này, các router North, East và Central cùng chung khóa mật, r0utes-4- all, ID của khóa là 1. Mỗi khóa chứng thực nhau sử dụng phương thức chứng thực mã hóa MD5, giá trị chứng thực mã hóa giả sử là 2. Hình 4-4 cho thấy East chứng thực qua North. Đầu tiên East xây dựng một gói tin OSPF, cả phần đầu lẫn phần thân. Sau đó nó lấy một khóa chính để dùng trên phần mạng. Trong trường hợp này, khóa đó là r0utes-4-all. ID tương ứng của khóa, 1, được đặt ở phần đầu gói tin. East đồng thời cũng đặt một dãy số 32 bit vào phần đầu gói tin. Dãy số này bảo vệ tránh những đợt tấn công lặp lại sao cho không có 2 gói tin OSPF nào có cùng giá trị băm. Dãy số này tăng 1 đơn vị mỗi khi có gói tin mới. Cuối cùng, khóa mật được nối thêm vào gói tin. East thực thi thuật toán băm mã hóa, MD5, cho gói tin OSPF. Kết quả, 16 byte, được viết chồng lên khóa mật đã được nối thêm vào gói tin. Router nhận, North, dựa vào ID của khóa để quyết định khóa nào đã được dùng để sinh mã băm hay kí hiệu xác nhận. Sau đó router nhận dùng khóa của nó để sinh lại mã băm cho gói tin đã nhận theo cùng cách mà router gửi đã làm. Nếu mã băm vừa sinh ra phù hợp với mã băm được gửi từ router East thì router North sẽ chấp nhận gói tin. Bằng không thì nó sẽ coi như gói tin không hợp lệ và hủy. Chứng thực văn bản OSPF Phương thức này kiến nghị không nên dùng, dùng phương thức MD5 tốt hơn, xem bên dưới. Chứng thực mã hóa MD5 OSPF Ví dụ dưới đây minh họa một ví dụ về thiết lập MD5 cho chứng thực lân cận router OSPF. Các bản ghi của ví dụ dưới đây cho thấy các router North và East nhận khóa r0utes-4-all. Thực tế thì tất cả các router tham gia vào mạng đã cho nên được cấu hình tương tự dùng cùng khóa. Dùng ví dụ mạng ở hình 4-1, router Central cũng sẽ phải được cấu hình chứng thực MD5 và dùng cùng khóa như bên dưới đây. North# config t Enter configuration commands, o¬ne per line. End with CNTL/Z. North(config)# router ospf 1 North(config-router)# network 14.1.0.0 0.0.255.255 area 0 North(config-router)# area 0 authentication message-digest North(config-router)# exit North(config)# int eth0/1 North(config-if)# ip ospf message-digest-key 1 md5 r0utes-4-all North(config-if)# end North# East# config t Enter configuration commands, o¬ne per line. End with CNTL/Z. East(config)# router ospf 1 East(config-router)# area 0 authentication message-digest East(config-router)# network 14.1.0.0 0.0.255.255 area 0 East(config-router)# network 14.2.6.0 0.0.0.255 area 0 East(config-router)# exit East(config)# int eth0 East(config-if)# ip ospf message-digest-key 1 md5 r0utes-4-all East(config-if)# end East# Chứng thực RIP Giao thức định tuyến RIP cũng hỗ trợ chứng thực đề ngăn ngừa các đợt tấn công. Phương thức chứng thực của RIP rất giống với của OSPF mặc dù các lệnh IOS có hơi khác nhau. Các router RIP lân cận dùng chung các khóa mật. Mỗi router gửi sử dụng các khóa này để sinh mã băm sát nhập vào từng thông điệp cập nhật RIP. Router gửi sau đó dùng khóa mật chung để kiểm tra giá trị băm và quyết định thông điệp có được chấp nhận hay không. Chứng thực văn bản thô RIP Phương thức này kiến nghị không nên dùng, dùng phương thức MD5 tốt hơn dưới đây. Chứng thực MD5 cho RIP Ví dụ dưới đây minh họa một ví dụ về cách thiết lập MD5 cho chứng thực lân cận router RIP. Các bản ghi của ví dụ bên dưới cho thấy các router trong hình 4-3, Central và South, nhận khóa my-supersecret-key, lần lượt chứa trong chuỗi khóa của chúng. Thực tế, tất cả các router nối với một mạng đã cho phải được cấu hình tương tự. Có nghĩa là tất cả các router phải có một hoặc nhiều khóa chung. Trước khi kích hoạt chứng thực MD5 cho RIP, từng router lân cận phải có một khóa chung. RIP quản lý các khóa chứng thực bằng việc dùng chuỗi khóa. Một chuỗi khóa là một nơi chứa nhiều khóa với ID của khóa đi kèm và thời gian tồn tại của chúng. Nhiều khóa với thời gian sống khác nhau có thể tồn tại. Tuy thế chỉ có một gói tin chứng thực được gửi đi. Router kiểm tra các số khóa theo thứ tự từ thấp đến cao và sử dụng khóa hợp lệ đầu tiên nó bắt gặp được. HVA translator group Security Resources With NTFS Permission Giới Thiệu Quyền Truy Cập NTFS Trên các volume NTFS,bạn có thể ấn định quyền truy cập NTFS trên tập tin và thư mục.QuyỀN truy cập NTFS giúp bạn bảo vệ tài nguyên trên máy tính cục bộ khi ngừơi dung nối kết với tài nguyên qua mạng. Và mục tiêu của tôi khi viết bài này là giúp các bạn hiểu và có thể: -Mô tả những tình huống đòi hỏi phải chỉ định cấp độ truy cập tập tin và thư mục NTFS -Định nghĩa các cấp độ cho phép truy cập tập tin và thư mục NTFS. -Mô tả kết quả khi có nhiều cấp độ cho phép truy cập NTFS được chỉ định cho một tài nguyên. I. Quyền Truy Cập NTFS là gì? NTFS permissions là các cấp độ truy cập chỉ khả dụng trên một Volume đã được định dạng với hệ thống tập tin Windowns NT 2000, 2003. Quyền truy cập NTFS cung cấp khả năng bảo mật cao hơn so với FAT và FAT32, vì chúng áp dụng cho thưc mục và cho từng tập tin cá thể.Quyền truy cập tập tin NTFS áp dụng cho cả những ngừoi làm việc tại máy tính lưu trữ dự liệu, lẫn ngừoi dung truy cập thư mục hoặc tập tin qua mạng bằng cách kết nối thư mục dùng chung. II. Tại Sao Phải Dùng Quyền Truy Cập NTFS? Bạn có thể dung quyền truy cập NTFS để bảo vệ tài nguyên khỏi ngừoi dung có thể truy cập máy tính bằng 2 phương pháp sau: - Cục Bộ,ngồi ngay trước máy tính có tài nguyên đang thường trú. - Từ xa, kết nối thư mục dung chung. Bạn có thể áp đặt nhiều cấp độ cho phép truy cập lên từng tập tin trong một thư mục. Vd: Cho phép ngừoi này đọc và thay đổi nội dung của tập tin, cho phép ngừoi kia chỉ được quyền đọc tập tin và không cho bất cứ ai trong nhóm ngừoi còn lại được truy cập dứoi bất kì hình thức nào. Chú ý: Khi một volume được định dạng NTFS thì mặc định của Volume đó sẽ là group Everyone và có quyền Full ConTrol. III. Quyền Truy Cập NTFS Cá Thể Windowns NT trở lên cung cấp 6 cấp độ truy cập NTFS cá thể (individual NTFS permissions). Mỗi cấp độ định rõ khả năng truy cập thư mục hoặc tập tin mà một người dùng hoặc group có thể có. Dưới đây tôi sẽ chỉ rõ từng cấp độ và chi tiết quyền try cập của cấp độ đó đối với 1 forder hoặc 1 file Để dễ theo dõi tôi sẽ liệt kê theo trình tự từ 1-6 - Cấp độ truy cập NTFS cá thể 1 Read ® 2 Write (W) 3 Execute (X) 4 Delete (D) 5 Change Permissions (P) 6 Take Ownership (O) - Đối với thư mục,ngừoi dung có thể 1 Hiển thị tên, thuộc tính, tên chủ sở hữu và cấp độ truy cập 2 Bổ sung tập tin và thư mục, thay đổi thuộc tính của thư mục, hiển thị thông tin về chủ sở hữu và cấp độ truy cập 3 Hiển thị thuộc tính thưc mục, thực hiện thay đổi cho các thư mục con, hiển thị thông tin và cấp độ truy cập. 4 Hủy bỏ 1 thư mục 5 Thay đổi cấp độ truy cập của thư mục 6 Dành quyền sở hữu thư mục Chú ý: Trên Volume NTFS khi bạn tạo 1 thư mục thì bạn sẽ sở hữu thư mục đó. Nếu ngừoi này thuộc group Administrator thì toàn bộ administrator sẽ sở hữu thư mục này. IV. Quyền Truy Cập Chuẩn - Trong hầu hết các trường hợp bạn sẽ dung đến quyền truy cập NTFS chuẩn (Standard NTFS permissions). Quyền truy cập chuẩn là kết hợp các cấp độ truy cập NTFS cá thể và cho phép bạn cùng lúc chỉ định nhiều cấp độ truy cập NTFS. Bằng cách trên bạn có thể đon giản hóa công tác quản trị của mình. - Một số cấp độ chuẩn áp dụng cho forlder Deny = No Access: None Read: RX Change: RWXD Read&Write: RW Full Control: All V.Cách Áp Dụng Quyền Truy Cập NTFS Quyền Truy Cập NTFS được cấp cho tài khoản ngừoi dung hoặc cho tài khoản Group. Người dùng có thể được cấp quyền truy cập 1 cách trực tiếp hoặc theo nhóm mà ngừoi này là thành viên trong nhóm. - Sau đây là cách áp dụng quyền truy cập NTFS: