GIÁO TRÌNH AN TOÀN MẠNG CĂN BẢN Giáo trình An toàn mạng MỤC LỤC CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG Giới thiệu: 1.1 Tổng quan bảo mật hệ thống mạng 1.1.1 Các vấn đề chung bảo mật hệ thống mạng 1.1.2 Một số khái niệm 1.1.3 Lịch sử bảo mật hệ thống 1.2 Các lỗ hổng phương thức công mạng chủ yếu 1.2.1 Các lỗ hổng 1.2.2 Một số phương thức công mạng phổ biến Bảo mật mạng: 16 2.1 Các biện pháp bảo vệ: 16 2.1.1 Sử dụng log file 16 2.1.2 Thiết lập sách bảo mật hệ thống: 17 2.2 Các mức bảo vệ an toàn mạng 18 2.3 Các hình thức bảo vệ (lớp Data Encrytion firewall) 20 2.3.1 Mã hóa gói tin: 20 2.3.2 Lọc gói tin (IP packet Filteing): 21 2.3.3 NAT (Network Address Translation): 22 Câu hỏi tập: 22 CHƯƠNG II: PACKET IP FILTER Giới thiệu quy tắc kiểm tra gói tin: 23 Tường lửa cho hệ thống cục (máy tính cá nhân) 24 2.1 TCP/IP Filtering 24 2.1.1 Giới thiệu: 24 2.1.2 Cấu hình TCP/IP Filtering 24 2.2 Windows Firewall: 25 2.2.1 Giới thiệu 25 2.2.2 Cấu hình Windows firewall đặc điểm: 25 Packet IP Filtering 29 3.1 Khái niệm 29 3.2 Ưu điểm khuyết điểm IP PACKET FILTERING 30 3.2.1 Ưu điểm: 30 3.2.2 Nhược điểm: 30 3.3 Các đặc điểm IP PACKET FILTERING: 30 3.4 Cấu hình IP PACKET FILTERING 31 Câu hỏi tập: 35 CHƯƠNG III: IP SECURITY Giới thiệu: 36 1.1 Định nghĩa: 36 1.2 Mục đích IP SEC: 36 1.3 Đặc điểm IP SEC: 36 1.4 Các bước làm việc IP SEC: 37 1.5 Cơ chế chứng thực Kerberos: 37 Các sách IP SEC mặc định 38 2.1 Client (Respond only): 38 2.2 Server (Request Security): 39 2.3 Secure server (Require Security): 40 1 Giáo trình An toàn mạng Chính sách IP Sec: 40 3.1 Khái niệm: 40 3.2 Các thuộc tính IP Sec policy: 41 3.2.1 IP Filter list: 41 3.2.2 Filter action: 41 3.2.3 Authentication Methods: 42 3.2.4 Connection Type: 42 Cấu hình IP Sec: 42 Câu hỏi tập: 47 CHƯƠNG IV: NETWORK ADDRESS TRANSLATION Tổng quan NAT: 49 1.1 Giới thiệu: 49 1.2 Các dạng NAT: 50 1.2.1 Static NAT (NAT tĩnh): 50 1.2.2 Dynamic NAT (NAT động): 50 1.2.3 NAT giả lập hay ngụy trang (Masquerading): 51 1.3 Các thuộc tính NAT: 52 1.4 Các thuộc tính giao tiếp mạng sử dụng NAT: 54 Cấu hình NAT server: 57 Câu hỏi tập: 60 CHƯƠNG V: VIRUS VÀ CÁCH PHÒNG CHỐNG Tổng quan virus: 61 1.1 Giới thiệu: 61 1.2 Virus tin học 61 1.3 Ý tưởng lịch sử 62 Phân loại: 63 2.1 Dựa vào đối tượng lây lan: 63 2.1.1 B-virus 63 2.1.2 F-virus 64 2.2 Dựa vào cách thức lây nhiễm, cách thức làm việc 64 2.2.1 Virus: 65 2.2.2 Sâu (worm) 65 2.2.3 Trojan – spyware: 65 Cách ngăn chặn phòng tránh: 65 3.1 Nhận dạng bị lây nhiễm: 65 3.2 Ngăn chặn tiêu diệt virus: 66 3.3 Sử dụng chương trình diệt virus: 66 3.3.1 Chương trình diệt virus thương mại (có phí): 66 3.3.2 Chương trình diệt vius miễn phí: 67 Câu hỏi tập: 67 TÀI LIỆU THAM KHẢO 68 Giáo trình An toàn mạng CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG  Mục tiêu: - Xác định thành phần hệ thống bảo mật - Trình bày hình thức công vào hệ thống mạng Giới thiệu: 1.1 Tổng quan bảo mật hệ thống mạng 1.1.1 Các vấn đề chung bảo mật hệ thống mạng - Do đặc điểm hệ thống mạng có nhiều người sử dụng phân tán mặt địa lý nên việc bảo vệ tài nguyên (mất mát, truy xuất không hợp pháp) môi trường mạng phức tạp nhiều so với môi trường máy tính đơn lẻ, người sử dụng - Hoạt động người quản trị hệ thống mạng phải đảm bảo thông tin mạng tin cậy sử dụng mục đích, đối tượng đồng thời đảm bảo mạng hoạt động ổn định, không bị công kẻ phá hoại - Có thực tế không hệ thống mạng đảm bảo an toàn tuyệt đối, hệ thống dù bảo vệ chắn đến mức có lúc bị vô hiệu hoá kẻ có ý đồ xấu 1.1.2 Một số khái niệm 1.1.2.1 Đối tượng công mạng (Intruder):  Là cá nhân tổ chức sử dụng kiến thức mạng công cụ phá hoại (phần mềm phần cứng) để dò tìm điểm yếu, lỗ hổng bảo mật hệ thống, thực hoạt động xâm nhập chiếm đoạt tài nguyên mạng trái phép  Một số đối tượng công mạng là: o Hacker: Là kẻ xâm nhập vào mạng trái phép cách sử dụng công cụ phá mật khai thác điểm yếu thành phần truy nhập hệ thống Giáo trình An toàn mạng o Masquerader: Là kẻ giả mạo thông tin mạng Có số hình thức giả mạo địa IP, tên miền, định danh người dùng o Eavesdropping: Là đối tượng nghe trộm thông tin mạng, sử dụng công cụ sniffer; sau dùng công cụ phân tích debug để lấy thông tin có giá trị  Những đối tượng công mạng nhằm nhiều mục đích khác như: ăn cắp thông tin có giá trị kinh tế, phá hoại hệ thống mạng có chủ định, hành động vô ý thức, thử nghiệm chương trình không kiểm tra cẩn thận 1.1.2.2 Các lỗ hổng bảo mật:  Các lỗ hổng bảo mật điểm yếu hệ thống ẩn chứa dịch vụ mà dựa vào kẻ công xâm nhập trái phép để thực hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp  Nguyên nhân gây lỗ hổng bảo mật khác nhau: lỗi thân hệ thống, phần mềm cung cấp, người quản trị yếu không hiểu sâu sắc dịch vụ cung cấp  Mức độ ảnh hưởng lỗ hổng khác Có lỗ hổng ảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng nghiêm trọng tới toàn hệ thống 1.1.2.3 Chính sách bảo mật:  Là tập hợp qui tắc áp dụng cho đối tượng có tham gia quản lý sử dụng tài nguyên dịch vụ mạng  Mục tiêu sách bảo mật giúp người sử dụng biết trách nhiệm việc bảo vệ tài nguyên thông tin mạng , đồng thời giúp nhà quản trị thiết lập biện pháp bảo đảm hữu hiệu trình trang bị, cấu hình, kiểm soát hoạt động hệ thống mạng  Một sách bảo mật coi hoàn hảo xây dựng gồm văn pháp qui, kèm theo công cụ bảo mật hữu hiệu nhanh chóng giúp người quản trị phát hiện, ngăn chặn xâm nhập trái phép Giáo trình An toàn mạng 1.1.3 Lịch sử bảo mật hệ thống - Có số kiện đánh dấu hoạt động phá hoại mạng, từ nảy sinh yêu cầu bảo mật hệ thống sau:  Năm 1988: Trên mạng Internet xuất chương trình tự nhân phiên lên tất máy mạng Internet Các chương trình gọi "sâu" Tuy mức độ nguy hại không lớn, đặt vấn đề nhà quản trị quyền truy nhập hệ thống, lỗi phần mềm  Năm 1990: Các hình thức truyền Virus qua địa Email xuất phổ biến mạng Internet  Năm 1991: Phát chương trình trojans - Cùng thời gian phát triển dịch vụ Web công nghệ liên quan Java, Javascipts có nhiều thông báo lỗi bảo mật liên quan như: lỗ hổng cho phép đọc nội dung file liệu người dùng, số lỗ hổng cho phép công hình thức DoS, spam mail làm ngưng trệ dịch vụ  Năm 1998: Virus Melisa lan truyền mạng Internet thông qua trình gửi mail Microsoft, gây thiết hại kinh tế không nhỏ  Năm 2000: Một loạt Web Site lớn yahoo.com ebay.com bị tê liệt, ngừng cung cấp dịch vụ nhiều bị công hình thức công DoS 1.2 Các lỗ hổng phương thức công mạng chủ yếu 1.2.1 Các lỗ hổng - Như phần trình bày, lỗ hổng bảo mật hệ thống điểm yếu tạo ngưng trệ dịch vụ, thêm quyền người sử dụng cho phép truy nhập không hợp pháp vào hệ thống Các lỗ hổng nằm dịch vụ cung cấp sendmail, web, ftp Ngoài lỗ hổng tồn tại hệ điều hành Windows NT, Windows 95, UNIX ứng dụng mà người sử dụng thường xuyên sử dụng word processing, hệ databases Giáo trình An toàn mạng - Có nhiều tổ chức khác tiến hành phân loại dạng lỗ hổng đặc biêt Theo cách phân loại Bộ quốc phòng Mỹ, loại lỗ hổng bảo mật hệ thống chia sau: 1.2.1.1 Lỗ hổng loại C:  Các lỗ hổng loại cho phép thực phương thức công theo DoS (Denial of Services - Từ chối dịch vụ) DoS hình thức công sử dụng giao thức tầng Internet giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống Một số lượng lớn gói tin gửi tới server khoảng thời gian liên tục làm cho hệ thống trở nên tải, kết server đáp ứng chậm đáp ứng yêu cầu từ client gửi tới Do ảnh hưởng tới chất lượng dịch vụ, làm ngưng trệ, gián đoạn hệ thống; không làm phá hỏng liệu đạt quyền truy nhập bất hợp pháp vào hệ thống nên mức độ nguy hiểm thấp  Hiện nay, chưa có giải pháp toàn diện để khắc phục lỗ hổng loại thân việc thiết kế giao thức tầng Internet (IP) nói riêng giao thức TCP/IP chứa đựng nguy tiềm tàng lỗ hổng Ví dụ điển hình phương thức công DoS công vào số Web Site lớn làm ngưng trệ hoạt động web site như: www.ebay.com www.yahoo.com  Một lỗ hổng loại C khác thường thấy điểm yếu dịch vụ cho phép thực công làm ngưng trệ hệ thống người sử dụng cuối Chủ yếu hình thức công sử dụng dịch vụ Web Giả sử Web Server có trang Web có chứa đoạn mã Java JavaScripts, làm "treo" hệ thống người sử dụng trình duyệt Web Netscape bước sau: o Viết đoạn mã để nhận biết Web Browers sử dụng Netscape o Nếu sử dụng Netscape, tạo vòng lặp vô thời hạn, sinh vô số cửa sổ, cửa sổ nối đến Web Server khác Giáo trình An toàn mạng Với hình thức công đơn giản này, làm treo hệ thống khoảng thời gian 40 giây (đối với máy client có 64 MB RAM) Đây hình thức công kiểu DoS Người sử dụng trường hợp khởi động lại hệ thống  Một lỗ hổng loại C khác thường gặp hệ thống mail không xây dựng chế anti-relay (chống relay) cho phép thực hành động spam mail Như biết, chế hoạt động dịch vụ thư điện tử lưu chuyển tiếp Một số hệ thống mail xác thực người dùng gửi thư, dẫn đến tình trạng đối tượng công lợi dụng máy chủ mail để thực spam mail Spam mail hành động nhằm làm tê liệt dịch vụ mail hệ thống cách gửi số lượng lớn message tới địa không xác định, máy chủ mail phải tốn lực tìm địa thực dẫn đến tình trạng ngưng trệ dịch vụ Các message sinh từ chương trình làm bom thư phổ biến mạng Internet 1.2.1.2 Lổ hổng loại B:  Lỗ hổng loại có mức độ nguy hiểm lỗ hổng loại C, cho phép người sử dụng quyền đăng nhập cục bộ, người sử dụng cục người có quyền truy nhập vào hệ thống với số quyền hạn định, chiếm quyền cao truy nhập không hợp pháp  Những lỗ hổng loại thường xuất dịch vụ hệ thống Người xâm nhập sử dụng tài khoản có quyền truy nhập vào hệ thống với số quyền hạn định dẫn đến lộ thông tin bảo mật Mức độ nguy hiểm trung bình Những lỗ hổng thường có ứng dụng dịch vụ hệ thống  Một dạng khác lỗ hổng loại B xảy chương trình có mã nguồn viết C Những chương trình viết C thường sử dụng vùng đệm - vùng nhớ sử dụng để lưu liệu trước xử lý Những người lập trình thường sử dụng vùng đệm nhớ trước gán khoảng không gian nhớ cho khối liệu Ví dụ, người sử Giáo trình An toàn mạng dụng viết chương trình nhập trường tên người sử dụng, qui định trường dài 20 ký tự  Khai báo cho phép người sử dụng nhập vào tối đa 20 ký tự Khi nhập liệu, trước tiên liệu lưu vùng đệm; người sử dụng nhập vào 35 ký tự xảy tượng tràn vùng đệm kết 15 ký tự dư thừa nằm vị trí không kiểm soát nhớ Đối với kẻ công, lợi dụng lỗ hổng để nhập vào ký tự đặc biệt, để thực thi số lệnh đặc biệt hệ thống Thông thường, lỗ hổng thường lợi dụng người sử dụng hệ thống để đạt quyền root không hợp lệ 1.2.1.3 Lỗ hổng loại A:  Các lỗ hổng cho phép người sử dụng cho thể truy nhập vào hệ thống bất hợp pháp Các lỗ hổng loại A có mức độ nguy hiểm, đe dọa tính toàn vẹn bảo mật hệ thống Các lỗ hổng loại thường xuất hệ thống quản trị yếu không kiểm soát cấu hình mạng  Một ví dụ thường thấy nhiều hệ thống sử dụng Web Server Apache, Đối với Web Server thường cấu hình thư mục mặc định để chạy script cgi-bin; có Scripts viết sẵn để thử hoạt động apache test-cgi Đối với phiên cũ Apache (trước version 1.1), Biến môi trường QUERY_STRING không đặt có dấu " (quote) nên phía client thưc yêu cầu chuỗi ký tự gửi đến gồm số ký tự đặc biệt; ví dụ ký tự "*", web server trả nội dung toàn thư mục thời (là thư mục chứa script cgi) Người sử dụng nhìn thấy toàn nội dung file thư mục thời hệ thống server  Một ví dụ khác xảy tương tự Web server chạy hệ điều hành Novell: web server có scripts convert.bas, chạy scripts cho phép đọc toàn nội dung files hệ thống Giáo trình An toàn mạng  Những lỗ hổng loại nguy hiểm tồn sẵn có phần mềm sử dụng, người quản trị không hiểu sâu dịch vụ phần mềm sử dụng bỏ qua điểm yếu  Đối với hệ thống cũ, thường xuyên phải kiểm tra thông báo nhóm tin bảo mật mạng để phát lỗ hổng loại  Một loạt chương trình phiên cũ thường sử dụng có lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, finger Hình 1.1: Mô hình phân cấp loại lỗ hổng 1.2.2 Một số phương thức công mạng phổ biến 1.2.2.1 Scanner  Scanner chương trình tự động rà soát phát điểm yếu bảo mật trạm làm việc cục trạm xa Với chức này, kẻ phá hoại sử dụng chương trình Scanner phát lỗ hổng bảo mật server xa Giáo trình An toàn mạng - Mask: subnet mask kèm dãy địa IP cấp - Nút Exclude: địa IP không cấp cho máy Hình 4.6: tab Address Assignment  Cửa sổ NAT/Basic Firewall Properties, tab Name Resolution: bật tính sử dụng tên miền, mặc định mshome.net, NAT server có sử dụng địa IP DNS server để phân giải tên miền cấp cho máy client mạng nối địa IP Hình 4.7: tab Name Resolution 1.4 Các thuộc tính giao tiếp mạng sử dụng NAT:  Trong console tree giao diện quản lý Routing and Remote Access, chọn NAT/Basic frewall, click phải chuột giao tiếp mạng, chọn Properties 54 Giáo trình An toàn mạng  Cửa sổ Network Adress Translation Properties…, tab NAT/Basic Firewall: - Private interface connected to private netwwork: chọn cấu hình giao tiếp mạng kết nối với mạng nội - Public interface connected to Internet: chọn cấu hình giao tiếp mạng kết nối với Internet Khi chọn mục này, có tùy chọn sau:  Enable Nat on this interface: bật chế Nat, máy mạng nội gửi nhận liệu từ internet  Enable a basic firewall on this interface: chấp nhận liệu từ Internet có yêu cầu mạng - Basic firewall only: cấu IP Filter để giới hạn đương truyền dựa giao thức địa IP Hình 4.8: tab NAT/Basic Firewall  Cửa sổ Network Adress Translation Properties…, tab Address Pool: qui định dãy địa IP mà ISP cấp cho phục vụ cho dịch vụ NAT Nút Reservations… qui định địa IP dùng cho dịch vụ NAT 55 Giáo trình An toàn mạng Hình 4.9: tab NAT/Basic Firewall  Cửa sổ Network Adress Translation Properties…, Tab Service and Ports: - Cấu hình dịch vụ, giao thức port cho phép chuyển từ địa Ip mạng thành địa IP mạng nội bộ, truy xuất tài nguyên mạng nội dạng giao thức hay port - Có số dịch vụ cấu hình sẵn: phép truy xuất tài nguyên mạng nội bộ, ta phải check vào cấu hình địa Ip máy mạng nội mà chuyển từ mạng vào mạng nội - Ngoài dịch vụ có sẵn, ta cấu hình cho phép vào mạng nội port Vi dụ: port 8080 Hình 4.10: tab Services and Port 56 Giáo trình An toàn mạng  Cửa sổ Network Adress Translation Properties…, Tab ICMP: cho phép NAT server trả lời gói tin ICMP Hình 4.11: tab ICMP Cấu hình NAT server:  Cấu hình Nat server cho phép truy xuất mạng từ mạng nội đường bất kỳ, cho phép truy xuất web server mạng nội từ mạng giao thức http  Cho mô hình đây: mạng 192.168.100.0 mạng nội bộ, mạng 192.168.1.0 mạng  Enable chế NAT - Mở dịch vụ Routing and remote access, chọn IP Routing, click phải chuột General, chọn New Rounting protocol… - Trong cửa sổ New Routing Protocol, chọn NAT/Basic Firewall: 57 Giáo trình An toàn mạng  Cấu hình giao tiếp mạng tham gia vào cấu hình NAT: sử dụng giao tiếp mạng: nối với mạng nội nối với mạng ngoài: - Bên console tree, chọn Generral -> NAT/Basic Firewall, click phải chuột chọn New Interface - Chọn giao tiếp mạng kết nối mạng nội bộ, nhấn OK - Sau đó, chọn Private interface connected to private network 58 Giáo trình An toàn mạng - Làm tương tự, chọn giao tiếp mạng kết nối mạng ngoài, nhấn OK Sau đó, chọn mục Public interface connected to the Internet, chọn mục Enable NAT on this Internet  Cấu hình giao tiếp mạng nối với mạng cho phép sử dụng tài nguyên nội thông qua giao thức HTTP: - Tab Services and Ports, chọn Web Server (HTTP), nhấn Edit Tại cửa sổ Edit Service, port vào (Incoming port) port (Outgoing port) cấu hình sẵn port 80 (giao thức HTTP) Ta cấu hình Private address địa IP Web server mạng nội bộ, sau nhấn OK - Đảm bảo mục Web Server (HTTP) chọn, nhấn Apply, OK 59 Giáo trình An toàn mạng  Trên máy web server mạng nội bộ, dùng trình duyệt web để kiểm tra truy xuất web mạng  Trên máy Client mạng ngoài, dùng trình duyệt web để kiểm tra truy xuất web mạng nội  Trên máy NAT server kiểm tra ánh xạ mạng nội mạng ngoài, click phải chuột vào giao tiếp mạng nối mạng ngoài, chọn Show Mappings…  Các ánh xạ hình dưới: Câu hỏi tập: NAT gì? Có dạng NAT? Nêu đặc điểm dạng NAT? Nêu số thuộc tính cấu hình NAT Windows Server 2003? Dựa vào hình 4.12, cấu hình dịch vụ NAT máy NAT server, kiểm tra đường truyền vào mạng nội mạng Dựa vào hình 4.12, xây dựng mô hình gồm DNS mạng đóng vai trò DNS server nhà cung cấp với tên miền ktcn.net, cấu hình NAT cho truy xuất web server mạng nội (giao thúc HTTP) Ở mạng ngoài, dùng trình duyệt web gõ www.ktcn.net mở trang web mạng nội Dựa vào hình 4.12, xây dựng mô hình gồm DNS mạng đóng vai trò DNS server nhà cung cấp với tên miền ktcn.net, cấu hình NAT cho truy xuất mail server mạng nội (giao thức pop3, smtp) Ở mạng ngoài, dùng outlook express nhập mail.ktcn.net mở mail box hệ thống mail mạng nội Dựa vào hình 4.12, cấu hình NAT cho phép kết nối dịch vụ VPN (dùng giao thức PPTP) từ mạng vào mạng nội 60 Giáo trình An toàn mạng CHƯƠNG V: VIRUS VÀ CÁCH PHÒNG CHỐNG Tổng quan virus: 1.1 Giới thiệu:  Bảo mật mạng an toàn thông tin mối quan tâm lớn lĩnh vực công nghệ thông tin toàn giới Các nhà nghiên cứu công nghệ thông tin nghiên cứu đưa giải pháp ngăn chặn công an toàn thông tin Nhưng tất cả, có vấn đề nóng có khả hủy hoại liệu, hệ thống nghiêm trọng mà có khả ăn cắp thông tin mật công ty truyền bên ngoài, virus Virus xem kẻ xâm nhập mạng nguy hiểm, có khả phá hoại hệ thống liệu nghiêm trọng  Mặc dù virus tin học xuất từ lâu giới nước, song người sử dụng ngời làm công tác tin học, virus tin học vấn đề nan giải, nhiều gây tổn thất mát liệu, gây cố trình vận hành máy Hiện có nhiều chương trình diệt virus giải pháp ngăn chặn virus không ngăn chặn phát triển ngày phức tạp virus Nguyên nhân chương trình diệt virus diệt loại virus mà biết, hình thức lây lan cụ thể nên có loại virus hay cách lây lan chương trình chịu thua  Vì vậy, biện pháp tốt để tránh việc virus xâm nhập vào hệ thống máy thường xuyên sử dụng chương trình diệt virus với việc cập nhật thường xuyên loại virus Ngoài ra, ta phải biết chế hoạt động đặc điểm phổ biến virus để có biện pháp phòng tránh hiệu 1.2 Virus tin học  Thuật ngữ virus tin học dùng để đoạn code hay chương trình máy tính tự chép lên nơi khác (đĩa file) mà người sử dụng không hay biết 61 Giáo trình An toàn mạng  Ngoài ra, đặc điểm chung thường thấy trên, virus tin học tính phá hoại cách công vào file hệ thống gây lỗi thi hành, thay đổi vị trí, mã hoá huỷ thông tin đĩa 1.3 Ý tưởng lịch sử  Lý thuyết chương trình máy tính tự nhân lên nhiều lần đề cập tới từ sớm, trước máy tính điện tử đời Lý thuyết đưa năm 1949 Von Neumann (cha đẻ dòng máy tính nay), báo nhan đề 'Lý thuyết cấu phần tử tự hành phức tạp' (Theory and Organization of Complicated Automata)  Sau máy tính điện tử đời, xuất trò chơi tên 'Core War', số thảo chương viên hãng AT&T's Bell phát triển Trò chơi đấu trí hai đoạn mã hai thảo chương viên, đoạn mã cố gắng tự nhân lên tiêu diệt đoạn mã đối phương Đến 5/1984, Core War mô tả báo chí bán trò chơi máy tính  Năm 1983, Fred Cohen, đại học nam California, Hoa Kỳ, lần đầu đưa khái niêm virus máy tính Năm 1986, virus “the Brain” virus cho pc tạo Basit Amjad, Pakistan Chương trình nằm boot sector đĩa mềm, lây nhiễm tất ổ đĩa mềm Cuối năm 1986, loại virus tên VirDem chạy hệ điều hành DOS, có khả tự chép mã vào file thực thi (*.exe) phá hoại máy tính  Năm 1988: Virus Jerusalem công đồng loạt vào trường đại học công ty vào ngày thứ sáu ngày 13 Đây loại virus hoạt động theo đồng hồ máy tính (giống bom nổ chậm cài hàng loạt cho thời điểm) Tháng 11 năm, Robert Morris, 22 tuổi, tạo sâu (worm) chiếm máy tính ARPANET, làm liệt khoảng 6.000 máy  Năm 1990: Chương trình thương mại chống virus đời Norton  Năm 1991: Virus đa hình (polymorphic virus) đời lần có tên virus "Tequilla" Loại biết tự thay đổi hình thức nó, gây khó khăn cho chương trình chống virus 62 Giáo trình An toàn mạng  Năm 1995: Virus văn (macro virus) xuất mã macro tệp Word lan truyền qua nhiều máy Loại virus làm hư hệ điều hành chủ Macro virus loại virus viết ngôn ngữ lập trình Visual Basic cho ứng dụng (VBA) lan nhiễm ứng dụng văn phòng Microsoft Word, Excel, PowerPoint, OutLook, Loại macro này, tiếng có virus Baza virus Laroux, xuất năm 1996, nằm Word hay Excel Sau này, virus Melissa, năm 1997, công triệu máy, file đính kèm kiểu Word gửi mail Outlook máy bị nhiễm virus Virus Tristate, năm 1999, tương tự Melissa  Năm 2000: Virus Love Bug, có tên ILOVEYOU, đánh lừa tính hiếu kì người Đây loại macro virus, đặc điểm dùng đuôi tập tin dạng "ILOVEYOU.txt.exe" Lợi dụng điểm yếu Outlook thời giờ: theo mặc định sẵn, đuôi dạng exe tự động bị dấu Ngoài ra, virus có đặc tính spyware: tìm cách đọc tên đăng nhập mật máy chủ gửi cho kẻ phá hoại Phân loại: 2.1 Dựa vào đối tượng lây lan:  Dựa vào đối tượng lây lan file hay đĩa cứng mà virus chia thành hai nhóm chính: - B-virus: Virus công lên Master Boot hay Boot Sector - F-virus: Virus công lên file khả thi  Mặc dù vậy, cách phân chia không xác Ngoại lệ có virus vừa công lên Master Boot (Boot Sector) vừa công lên file khả thi 2.1.1 B-virus - Khi máy tính bắt đầu khởi động (Power on), ghi phân đoạn đặt 0FFFFh, ghi khác đặt Như vậy, quyền điều khiển ban đầu trao cho đoạn mã 0FFFFh: 0h, đoạn mã thực thực thi đoạn chương trình ROM, thực trình POST (Power On Self Test - Tự kiểm tra khởi động) 63 Giáo trình An toàn mạng - Quá trình POST kiểm tra ghi, nhớ, khởi tạo Chip điều khiển, điều khiển ngắt, điều khiển đĩa Sau dò tìm thiết bị gắn thêm để trao quyền điều khiển cho chúng tự khởi tạo lấy lại quyền điều khiển - Sau trình POST, đoạn chương trình ROM tiến hành đọc Boot Sector đĩa A Master Boot đĩa cứng vào RAM (Random Acess Memory) địa 0:7C00h Đây chỗ mà B-virus lợi dụng để công vào Boot Sector (Master Boot), nghĩa thay Boot Sector (Master Boot) chuẩn đoạn mã virus, quyền điều khiển trao cho virus, tiến hành hoạt động trước, sau tiến hành thao tác thông thường, người sử dụng có cảm giác máy tính hoạt động bình thường 2.1.2 F-virus - Khi chạy File thực thi, tổ chức lại vùng nhớ, tải File cần thi hành trao quyền điều khiển cho File F-virus lợi dụng điểm cách gắn đoạn mã vào file vị trí mà hệ thống trao quyền điều khiển cho File sau tải vào vùng nhớ Sau F-virus tiến hành xong hoạt động mình, xếp, bố trí trả lại quyền điều khiển cho File File lại tiến hành hoạt động bình thường, người sử dụng biết - Trong loại B-virus F-virus, có số loại sau dành quyền điều khiển, tiến hành cài đặt đoạn mã vùng nhớ RAM chương trình thường trú (TSR), vùng nhớ nằm tầm kiểm soát hệ thống, nhằm mục đích kiểm soát ngắt quan trọng ngắt 21h, ngắt 13h, Mỗi ngắt gọi, virus dành quyền điều khiển để tiến hành hoạt động trước trả lại ngắt chuẩn DOS 2.2 Dựa vào cách thức lây nhiễm, cách thức làm việc  Dựa vào cách thức lây nhiễm, cách thức làm việc, ta phân viru làm loại: 64 Giáo trình An toàn mạng 2.2.1 Virus: - Đây loại virus túy, đời sớm Nó đoạn mã thường gắn vao tập tin tâp tin ứng dụng văn phòng (txt, doc, xls, ppt…), tập tin thực thi (cmd, exe…) - Nó lây lan tập tin bị nhiễm sử dụng hay thực thi, trình lây lan chép vào tập tin loại lây vào hệ thống gây lãng phí ổ cứng nhớ… 2.2.2 Sâu (worm) - Đây chương trình máy tính có khả tự nhân bản, lan truyền, phá hoại hệ thống hay tập tin Nó có đặt điểm không thực thi tác động vào Nó hoạt động ta tác động trực tiếp vào gián tiếp thông qua chương trình - Khi bị nhiễm, chiếm dụng nhớ làm chậm hệ thống, phá hoại tập tin hệ thống hay tập tin ứng dụng gây mát liệu hư hệ thống 2.2.3 Trojan – spyware: - Đây lại virus khả lây lan, ẩn hệ thống, chờ hội phát tác - Khi hoạt động, thâm nhập hệ thống phá hoại hệ thống, phá hoại liệu, có khả thay đổi chế bảo mật hệ thống, phát tán thông tin hoạt động, liệu, chế bảo mật bên làm cho khả bị công cao Cách ngăn chặn phòng tránh: 3.1 Nhận dạng bị lây nhiễm:  CPU làm việc với mật độ cao 60% ta không làm không mở chương trình Máy tính chạy chậm bình thường, khởi động ứng dụng chậm bình thường, hay khởi động máy chậm  Tuy nhiên, với hệ thống chạy nhiều ứng dụng việc máy tính chạy không ổn định chuyện bình thường chưa nguyên nhân virus Có số biểu mà ta hệ thống bị nhiễm virus: 65 Giáo trình An toàn mạng - Bị khóa Regedit, Task Manager, msconfig… - Có tiến trình chương trình lạ chạy hệ thống, chiếm nhiều CPU nhớ - Xuất nhiều tập tin hệ thống (thường file ẩn) dung lượng khoảng trăm KB 3.2 Ngăn chặn tiêu diệt virus:  Tắt tiến trình lạ dùng Task Manager, nhiên cách tức thời để hệ thống chạy nhanh chức tiêu diệt virus Muốn sử dụng chức này, ta phải hiểu rõ tiến trình hệ thống  Dùng msconfig để quản lý tiến trình bật khởi động máy tính  Truy xuất dùng trình duyệt web (firefox, IE, Chrome…) dễ bị lây nhiễm virus, không nên truy xuất web site không tin cậy (đặc biệt trang web đen), có truy xuất trang web lạ, hạn chế tối thiểu sử dụng script (vbscript, java script) hay active  Nên hiển thị flie ẩn, file hệ thống, hiển thị đuôi tập tin để ta dễ nhận biết virus hệ thống  Nếu thấy máy tính có tập tin lạ (tập tin exe có biểu tượng giống thư mục không nên double click vào mà nên dùng chương trình diệt virus 3.3 Sử dụng chương trình diệt virus:  Đây phương pháp ngăn chặn xâm nhập, lây lan, tiêu diệt virus hiệu chương trình diệt virus có nhiều có tính phí tính phí 3.3.1 Chương trình diệt virus thương mại (có phí): - Karpersky: chương trình diệt virus hàng đầu giới, khả phát diệt virus đánh giá tốt, chiếm dụng nhớ, tốc độ quét nhanh - Norton Antivirus: chương trình diệt virus đánh giá cao khả bảo vệ, phát diệt virus, Karpersky, nhược điểm chiếm nhiều nhớ nên hệ thống chậm, tốc độ quét virus chậm - Bit Defender: chương trình diệt virus tốt, ưu điểm khả phát xâm nhập virus tốt so với Karpersky Norton 66 Giáo trình An toàn mạng Antivirus, lại tốn nhiều nhớ CPU hăn Norton, nên hệ thống chậm nhiều, tốc độ quét chậm - BKAVPro 2010: chương trình diệt virus Việt Nam nối tiếng hiên nay, phát triển trung tâm công nghệ cao trường ĐH Bách Khoa Hà Nội Phần mềm khả phát diệt virus tương đối tốt, tốt độ quét không cao, tốn nhiefu nhớ BKAVPro không đánh giá cao hỗ trợ kỹ thuật tương đối tốt, diệt sử lỗi thống trực tuyến - Ngoài có số chương trình diệt virus tiếng như: Mcafee, Avira, AVG, NOD32, CMC Internet Security(VN)… 3.3.2 Chương trình diệt vius miễn phí: - Avira AntiVir Free Antivirus: phiên miễn phí Avira cung cấp cho người dùng, khả diệt phát diệt virus khá, chiếm dụng nhớ - AVG Antivirus Free Edition: phiên miễn phí AVG, nhược điểm virus không diệt xóa lun file bị nhiễm - BKAV Home: phiên miễn phí BKAV Việt Nam, khả phát diệt virus yếu, hữu dụng trường hợp, hệ thống bị nhiễm Virus nặng cần can thiệp nhanh - CMC Antivirus: phần mềm diệt virus miễn phí người Việt phát triển CMC Infosec công ty tập đoàn công nghệ CMC Phần mềm phát diệt virus khá, chiếm tài nguyên Câu hỏi tập: Virus gì? Trình bày tư tưởng lịch sử phát triển virus? Trình bày phân loại virus dựa vào đối tượng lây lan? Trình bày phân loại virus dựa vào cách thức lây nhễm, hoạt động? Trình bày biểu nghi ngờ hệ thống bị nhiễm virus? Cách sử dụng xử lý để tránh ngăn chặn lây lan virus? Trình bày số phần mềm diệt virus thương mại miễn phí? *Tìm hiểu cách thức hoạt động lại virus? Cách thức ngăn chặn tiêu diệt? 67 Giáo trình An toàn mạng TÀI LIỆU THAM KHẢO Implementing, managing and maintaining a Microsoft Windows Server 2003 Netwotk Infractructure (70-291) – Student Kit Implementing and administering security in a Microsoft Windows Server 2003 Netwotk (70-299) – Student Kit Giáo trình quản trị mạng – nguồn Internet http://www.ebook4you.org Tài liệu Virus – Lê Nguyên Dũng – nguồn Internet Một số thông tin Internet 68 [...]... muốn hoặc không hợp pháp Thông thường, trojans có thể chạy được là do các chương trình ứng dụng hợp pháp được thực thi và nó bị thay đổi mã của nó bằng những mã bất hợp pháp 12 Giáo trình An toàn mạng  Các chương trình virus là một loại điển hình của Trojans Những chương trình virus che dấu các đoạn mã trong các chương trình sử dụng hợp pháp Khi những chương trình này được kích hoạt thì những đoạn mã... đích, và giao thức TCP, port 80 (giao thức http) o Địa chỉ mạng nguồn và địa chỉ mạng đích là Internet hoặc mạng nội bộ 33 Giáo trình An toàn mạng o Địa chỉ mạng có thể cấu hình là địa chỉ máy, khi đó subnet là 255.255.255.255 - Nếu không chọn thì coi như là bất kỳ mạng nào bất kỳ máy nào (thường sử dụng cách này trong trường hợp mạng nguồn hay mạng đích là Internet - TCP: chỉ định các port của các giao... thay thế toàn bộ nội dung của các chương trình đã bị ảnh hưởng bởi các đoạn mã trojans và thay thế các password của người sử dụng hệ thống  Tuy nhiên với những trường hợp nghiêm trọng hơn, là những kẻ tấn công tạo ra những lỗ hổng bảo mật thông qua các chương trình trojans Ví dụ: những kẻ tấn công lấy được quyền quản trị trên hệ thống và lợi dụng nó để 13 Giáo trình An toàn mạng phá huỷ toàn bộ hoặc... thống mạng? Đặc điểm của các lớp này? 4 Trình bày các hình thức bảo vệ mạng? Đặc điểm của các hình thức này? 5 Trình bày các bước thực hiện tấn công hệ thống mạng dùng cơ chế Sniffer bằng chương trình Cain? 6 *Tìm hiểu một chương trinh nào đó có khả năng thực hiện các cơ chế tấn công vào hệ thống mạng? thực hiện cách phòng chống cuộc tấn công đó? 22 Giáo trình An toàn mạng CHƯƠNG II: LỌC GÓI TIN (IP PACKET... là không an toàn và nó chỉ là tuyến phòng thủ vòng ngoài cho một hệ thống được bảo vệ Để hệ thống được bảo vệ an toàn hơn, ta phải kết hợp với các kỹ thuật bảo vệ khác 3.3 Các đặc điểm của IP PACKET FILTERING:  Inbound Filters: đường truyền các gói tin đi vào Router thông qua 1 card mạng  Outbound Filters: đường truyền các gói tin từ Router đi ra thông qua 1 card mạng 30 Giáo trình An toàn mạng Hình... ghi vào một file  Nguyên tắc của một số chương trình phá khoá có thể khác nhau Một vài chương trình tạo một một danh sách các từ giới hạn, áp dụng một số thuật toán mã hoá, từ kết quả so sánh với password đã mã hoá cần bẻ khoá để tạo 11 Giáo trình An toàn mạng ra một danh sách khác theo một lôgic của chương trình, cách này tuy không chuẩn tắc nhưng khá nhanh vì dựa vào nguyên tắc khi đặt mật khẩu người... tiến trình đang thực hiện trên hệ thống (bằng lệnh ps trên Unix hoặc trình quản lý tài nguyên trong Windows NT) Qua đó kiểm tra các tiến trình lạ trên hệ thống; tài nguyên sử dụng, thời gian khởi tạo tiến trình để phát hiện các chương trình sniffer o Sử dụng một vài tiện ích để phát hiện card mạng có chuyển sang chế đố promiscous hay không Những tiện ích này giúp phát hiện hệ thống của bạn có đang... những kiến thức về lập trình C, PERL và một số ngôn ngữ lập trình shell Ngoài ra người lập trình (hoặc người sử dụng) cần có kiễn thức là lập trình socket, phương thức hoạt động của các ứng dụng client/server  Các chương trình Scanner có vai trò quan trọng trong một hệ thống bảo mật, vì chúng có khả năng phát hiện ra những điểm yếu kém trên một hệ thống mạng Đối với người quản trị mạng những thông tin... các lớp rào chắn thông dụng hiện nay để bảo vệ thông tin tại các trạm của mạng: 18 Giáo trình An toàn mạng Hình 1.3: Mô hình các lớp bảo vệ hệ thống mạng  Như minh hoạ trong hình trên, các lớp bảo vệ thông tin trên mạng gồm: - Lớp Access rights là lớp bảo vệ nhằm kiểm soát quyền truy nhập các tài nguyên (ở đây là thông tin) của mạng và quyền hạn (có thể thực hiện những thao tác gì) trên tài nguyên đó... các chương trình Trojans như sau: chương trình trojans là một chương trình thực hiện một công việc mà người sử dụng không biết trước, ví dụ: ăn cấp mật khẩu, copy file hoặc lộ thông tin hệ thống mà người sử dụng không nhận thức được  Xét về khía cạnh bảo mật trên Internet, một chương trình trojan sẽ thực hiện một vài chức năng hữu ích hoặc giúp người lập trình phát hiện những thông tin quan trọng hoặc