GIÁO TRÌNH QUẢN TRỊ MẠNG TRÊN HỆ ĐIỀU HÀNH WINDOWS SERVER 2003 -1- MỤC LỤC MỤC LỤC CHƯƠNG I: TỔNG QUAN VỀ WINDOW SERVER Hệ điều hành mạng: 1.1 Giới thiêu: 1.2 Hệ điều hành Windows Server: 1.2.1 Ưu điểm nhược điểm: 1.2.2 Một số dịch vụ mạng hỗ trợ: 1.3 Cài đặt hệ điềm hành Windows Server 2003: Hệ thống quản lý tập tin NTFS: 13 2.1 Giới thiệu: 13 2.2 Khảo sát thuộc tính NTFS: 14 2.2.1 Các thuộc tính 14 2.2.2 Các thuộc tính mở rộng: 14 2.3 Thiết lập hạn ngạch Quota: 15 2.3.1 Giới thiệu: 15 2.3.2 Cấu hình Quota 15 2.4 Các loại quyền NTFS: 17 2.4.1 Quyền 17 2.4.2 Quyền NTFS nâng cao 17 2.4.3 Tính tương quan quyền NTFS NTFS nâng cao 18 2.4.4 Các đặc điểm bảo mật hệ thống tập tin 18 2.5 Gán hiệu chỉnh quyền NTFS 19 Chia sẻ liệu: 19 3.1 Chia sẻ thư mục: 19 3.2 Quyền thư mục chia sẻ: 20 3.2.1 Các quyền bản: 20 3.2.2 Đặc điểm: 20 3.2.3 Kết hợp quyền thư mục chia sẻ: 21 3.3 Kết hợp quyền Sharing quyền NTFS: 21 3.4 Các thư mục chia sẻ mặc định: 21 3.5 Chia sẻ thư mục: 21 3.6 Truy xuất liệu chia sẻ 22 3.6.1 Sử dụng My Network Place để xuất liệu chia sẻ: 22 3.6.2 Sử dụng địa IP tên máy: 23 3.6.3 Ánh xạ ổ đĩa: 23 Câu hỏi tập 24 CHƯƠNG II: HỆ THỐNG TÊN MIỀN DNS Giới thiệu: 26 1.1 Lịch sử hình thành DNS 26 1.2 Mục đích hệ thống DNS 26 DNS server cấu trúc sở liệu tên miền 27 2.1 Không gian tên miền: 27 2.2 Tên miền: 28 -2- 2.3 Các cấp tên miền: 29 2.4 Phân loại tên miền: 29 2.5 Zone CSDL DNS: 30 Hoạt động hệ thống tên miền DNS: 31 3.1 Hoạt động DNS cache 32 3.2 Cơ sở liệu có sẵn DNS server: 32 3.3 Truy vấn dùng Forwarders (nhờ DNS Server khác phân giải tên miền giùm): 33 3.4 Truy vấn dùng Root hint (nhờ DNS Server gốc phân giải tên miền giùm): 34 Cài đặt cấu hình DNS server: 34 4.1 Cài đặt cấu hình DNS server cục bộ: 34 4.1.1 Cài đặt dịch vụ DNS: 34 4.1.2 Cấu hình DNS server: 36 4.1.3 Cấu hình loại record khác: 42 4.2 Khảo sát root hints cấu hình Forwarders 44 4.2.1 Khảo sát root hints: 44 4.2.2 Cấu hình Forwarders: 45 4.3 Các cấu hình mở rộng: 46 4.3.1 Cấu hình tên miền con: 46 4.3.2 Cấu hình ủy quyền quản trị miền 47 4.3.3 Cấu hình DNS dự phòng 49 Câu hỏi tập 52 CHƯƠNG III: DỊCH VỤ THƯ MỤC (ACTIVE DIRECTORY) Giới thiệu 54 Các thành phần Active Directory: 54 2.1 Cấu trúc logic 54 2.1.1 Domain (miền): 55 2.1.2 Organizational Unit (đơn vị tổ chức) 56 2.1.3 Tree (cây) 56 2.2 Cấu trúc vật lý: 57 2.2.1 Site 57 2.2.2 Bộ điều khiển miền (domain controller): 57 2.3 Các công cụ quản trị: 58 2.3.1 Các công cụ quản trị Active Directory (có sẵn) 58 2.3.2 Các công cụ quản trị Active Directory khác (phải cài đặt có) 58 2.4 Một số khái niệm Active Directory: 59 2.4.1 Danh mục toàn cục (Global Catalog): 59 2.4.2 Sự tái tạo (replication): 60 2.4.3 Các mối quan hệ đáng tin cậy 60 2.4.4 Không gian tên DNS (DNS namespace): 61 Cài đặt Active Directory hệ điều hành Windows Server 2003 61 3.1 Chuẩn bị: 61 3.2 Cấu hình Active Directory: 63 3.3 Join máy tính vào miền: 68 Cài đặt Domain Controller đồng hành: 70 4.1 Chuẩn bị (trên Domain Controller chính): 70 4.2 Cài đặt Domain controller đồng hành (máy làm Domain Controller phụ) 70 -3- Câu hỏi tập: 73 CHƯƠNG IV: QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM Giới thiệu: 74 Tài khoản người dùng: 74 2.1 Phân loại tài khoản người dùng: 74 2.1.1 Tài khoản người dùng cục (local user account): 74 2.1.2 Tài khoản người dùng miền (domain user account): 75 2.2 Các tài khoản người dùng dựng sẵn: 76 2.3 Quản lý tài khoản người dùng máy Domain Controller: 76 2.3.1 Các thao tác user: 77 2.4 Các thuộc tính user 80 2.4.1 Tab General: 80 2.4.2 Tab Address: 80 2.4.3 Tab telephone: 81 2.4.4 Tab Oganization: 81 2.4.5 Tab account: Quản lý đăng nhập tài khoản: 81 2.4.6 Tab Member of: 82 Tài khoản nhóm 83 3.1 Khái niệm 83 3.2 Một số đặc điểm nhóm Active Directory: 83 3.2.1 Vùng hoạt động nhóm: 84 3.2.2 Kiểu group: 85 3.3 Tài khoản nhóm dựng sẵn 85 3.4 Quản lý tài khoản nhóm máy Domain Controller 87 3.4.1 Tạo nhóm 87 3.4.2 Các thao tác khác: 88 Đơn vị tổ chức (Organizational Unit – OU): 88 4.1 Khái niệm: 88 4.2 Các thao tác OU: 88 4.2.1 Tạo OU: 88 4.2.2 Tạo đối tượng OU: 89 4.2.3 Ủy quyền điều khiển OU: 89 Câu hỏi tập: 90 CHƯƠNG V: DỊCH VỤ DHCP VÀ WINS Dịch vụ DHCP: 92 1.1 Giới thiệu 92 1.2 Cách hoạt động đặc điểm: 92 1.3 Cài đặt dịch vụ DHCP: 93 1.4 Cấu hình dịch vụ DHCP 95 1.4.1 Cấu hình cấp địa IP động dịch vụ DHCP 95 1.4.2 Cấu hình option cho vùng (Scope option) 99 1.4.3 Cấu hình cấp địa IP cố định cho máy client (Reversations): 101 1.5 Xin cấp địa IP máy client 102 1.5.1 Sử dụng giao diện đồ họa: 102 1.5.2 Sử dụng dòng lệnh: 102 WINS (Windows Internet Name Service): 103 -4- 2.1 Giới thiệu: 103 2.2 Các thành phần WINS: 103 2.3 Cài đặt WINS: 103 2.4 Cấu hình WINS: 104 2.4.1 Cấu hình WINS client: 104 2.4.2 Cấu hình WINS server: 105 Câu hỏi tập: 106 CHƯƠNG VI: DỊCH VỤ TRUY CẬP TỪ XA (VPN) Khái niệm giao thức truy cập từ xa: 107 1.1 Giới thiệu 107 1.2 Tiến trình kết nối VPN: 107 1.3 Lợi ích VPN: 107 1.4 Các thành phấn kết nối VPN: 108 1.5 Các giao thức mã hóa kết nối VPN: 108 Triển khai dịch vụ truy cập từ xa 108 2.1 Cấu hình VPN server dùng giao thức PPTP: 108 2.1.1 Cấu hình dịch vụ VPN: 108 2.1.2 Dùng tài khoản user chứng thực VPN client: 111 2.2 Cấu hình VPN Client 112 2.3 Cấu hình VPN dùng L2TP/IP SEC 116 2.3.1 Cấu hình VPN server dùng L2TP/IP Sec 116 2.3.2 Cấu hình VPN client kết nối VPN server L2TP/IP Sec 117 Câu hỏi tập: 118 CHƯƠNG VII: QUẢN TRỊ MÁY IN Cài đặt printer: 119 1.1 Khái niệm: 119 1.2 Cài đặt Printer Windows: 119 1.3 Sử dụng Printer chia sẻ mạng: 124 Các thao tác quản trị Printer (Print server) 126 2.1 Chia sẻ máy in (tab Sharing): 126 2.2 Phân quyền bảo mật printer (tab Security): 126 2.3 Cấu hình Ports (tab Ports): 128 2.4 Quản lý máy in mở rộng (tab Advanced): 129 2.5 Thông tin tổng quát 131 2.6 Các thiết lập thiết bị (tab Device Settings) 131 2.7 Quản lý màu in (Color Management): 132 Câu hỏi tập: 132 CHƯƠNG VIII: TỔNG QUAN VỀ BỘ ĐỊNH TUYẾN Giới thiệu: 133 1.1 Khái niệm Router: 133 1.2 Khái niệm định tuyến: 133 1.2.1 Giao tiếp định truyến: 133 1.2.2 Giao thức định tuyến: 134 1.2.3 Bảng định tuyến (Routing table): 135 Cấu hình định tuyến 137 -5- 2.1 Cấu hình Lan Routing: 137 2.1.1 Trên Router 1: 137 2.1.2 Trên PC1 PC 2: cấu hình địa IP sau: 139 2.2 Cấu hình định tuyến tĩnh (Static Route): 139 2.3 Cấu hình định tuyến động RIP: 141 2.3.1 Cấu hình RIP: 141 2.3.2 Một số thao tác định tuyến động RIP: 142 2.4 Cấu hình định tuyến động OSPF: 144 Câu hỏi tập: 145 CHƯƠNG IX: TỔNG QUAN VỀ BẢO MẬT VÀ FIREWALL Giới thiệu: 147 1.1 Tổng quan bảo mật hệ thống mạng 147 1.1.1 Các vấn đề chung bảo mật hệ thống mạng 147 1.1.2 Một số khái niệm 147 1.1.3 Lịch sử bảo mật hệ thống 149 1.2 Các lỗ hổng phương thức công mạng chủ yếu 149 1.2.1 Các lỗ hổng 149 1.2.2 Một số phương thức công mạng phổ biến 153 Bảo mật mạng: 160 2.1 Các biện pháp bảo vệ: 160 2.1.1 Sử dụng log file 160 2.1.2 Thiết lập sách bảo mật hệ thống: 160 2.2 Các mức bảo vệ an toàn mạng 162 2.3 Lớp bảo vệ firewall 163 2.3.1 Lọc gói tin (IP packet Filteing): 163 2.3.2 NAT (Network Address Translation): 164 Câu hỏi tập: 164 TÀI LIỆU THAM KHẢO 165 -6- CHƯƠNG I: TỔNG QUAN VỀ WINDOW SERVER  Mục tiêu: - Trình bày môi trường Windows Server 2003 - Cài đặt hệ điều hành Windows Server 2003 - Trình bày đặt điểm hệ thống quản lý tập tin NTFS - Cấu hình đặc điểm NTSF quyền NTFS Hệ điều hành mạng: 1.1 Giới thiêu:  Vào thập niên 60, có mạng máy tính đời, giới xuất hệ điều hành quản lý thiết lập kết nối, truy xuất mạng, ta gọi chung hệ điểu hành mạng hệ điều hành mạng Unix hệ điều hành mã nguồn mở Khoảng thập niên 80, nhận thấy tầm quan trọng Unix Công ty Sun Solaris mua quyền hệ điều hành này, Unix số hệ điều hành mạng mạnh nay, chi phí lớn  Năm 1991, sinh viên Linus muốn tự viết trình biên dịch ngôn ngữ C cho (trình biên dịch lúc muốn sử dụng phải mua), vô tình xây dựng thành hệ điều hành, đặt tên Linux Nhận thấy Linux mã nguồn mở, nên lập trình viên can thiệp vào hệ thống để xây dựng chế theo mục đích quản trị mình, đặt điểm mà Linux phát triển mạnh nhiều công ty đầu tư nghiên cứu với nhiều phiên bẳn khác như: Red Hat, Fedora … Linux có đầy đủ hỗ trợ dịch vụ mạng, chế bảo mật, đặc biệt không tốn phí, lại mã nguồn mở, nên Linux mạnh hay yếu tùy thuộc vào khả xâm nhập hệ thống người quản trị  Trong thời điểm đó, Microsoft công ty nhỏ với hệ điều hành Win 9x Năm 1995, đời hệ điều hành cho người dùng Windows 95 ưa thích Tiếp sau hệ điều hành Windows 98, Windows Me, thời điểm hệ điều hành mạng Win NT không đánh giá cao Năm 2000, Microsoft cho đời hệ điều hành Windows 2000, Windows 2000 Server đánh dấu bước phát triển vượt bậc, dần chiếm lĩnh thị trường lĩnh -7- vực cung cấp hệ điều hành mạng Sau này, Microsoft phát triển thành Windows 2003 Server Windows 2008 Server  Ngoài ra, có số hệ điều hành mạng Novell, Netware, hệ điều hành mạng mạnh chi phí lớn, nên khó khăn tìm hiểu hệ điều hành 1.2 Hệ điều hành Windows Server: 1.2.1 Ưu điểm nhược điểm: - Hệ điều hành quản trị mạng Windows Server sử dụng phổ biến ưu điểm sau: o Cấu hình mạng trực quan nên dễ dùng o Giá thành không cao nên phù hợp với công ty tương đối lớn, công ty vừa nhỏ - Nhưng lại có khuyết điểm: o Không thể can thiệp vào hệ thống nên cấu hình có sẵn o Tính ổn định không cao, nhiều lỗ hổng nên dễ bị công, đặt biệt virus không phù hợp với hệ thống lớn 1.2.2 Một số dịch vụ mạng hỗ trợ: - Quản lý tập tin: shared thư mục, quản lý tập tin NTFS: thuộc tính, hạn ngạch (quotas), phân quyền (Security), quản lý máy in, máy fax … - Quản lý tài nguyên mạng: máy in, máy fax, ổ CD, ổ cứng … - Quản lý máy tính (computer manament): theo dõi kiện (Event), local Group and User, Driver Managment, Disk Management … - Các dịch vụ mạng bản: DNS, DHCP, IIS, FTP, HTTP, Mail … - Các dịch vụ liên mạng (router): định tuyến (default, static, RIP, OSPF), firewall (NAT, IP Filter), VPN … - Các sách hoạt động máy tính: policy - Dịch vụ thư mục (Active Directory): quản lý tài nguyên tập trung (tài khoản, tập tin, máy in …) - Các chế thiết lập bảo mật: mã hóa (IPSEC: preshared key, kerberos), chứng thực cao cấp (CA) - Dịch vụ quản trị từ xa: Terminal Services -8- - Các dịch vụ hỗ trợ nâng cao: Clustering, Load balancing, 1.3 Cài đặt hệ điềm hành Windows Server 2003:  Khi khởi động máy tính, nhấn phím Del (hoặc F2) để vào CMOS (chương trình quản lý nhớ ROM), chuyển sang khởi động từ đĩa CD (boot từ CD Rom)  Sau đưa đĩa CD vào ổ đĩa CD Reset máy lại Khi đó, máy tính khởi động từ CD, tiếp sau chạy trình chuẩn bị cài đặt  Sau kết thúc trình chuẩn bị cài đặt, xuất đây: có mục lựa chọn: - To set up Windows now, press ENTER: để cài đặt Windows nhấn phím Enter - To repair a Windows installation using Recovery Console, press R: để sửa chữa cài đặt Windows sử dụng công cụ Recovery Console, nhấn phím R - To quit Setup without installing Windows, press F3: để tắt chương trình cài đặt Windows, nhấn F3  Do ta cài nên chọn nhấn nút Enter  Sau đó, xuất hình nói nguyên tắc sử dụng, vấn đề quyền: có mục lựa chọn: - Nhấn F8 để đồng ý -9- - Nhấn ESC để không đồng ý, thao tác đồng nghĩa với việc dùng chương trình cài đặt Windows  Ta nhấn F8 để đồng ý Sau xuất hình đây; có mục để chọn: - To set up Windows on selected item, press ENTER: để cài đặt Windows theo ổ đĩa (hoặc phân vùng) chọn, nhấn phím Enter - To create a partition in the unpartitioned space, press C: để tạo partition (phân vùng ổ cứng chưa phân vùng, nhấn phím C - To delete the selected partition, press D: để xóa phân vùng chọn, nhấn phím D  Ta nhấn phím ENTER, xuất hình đây, có mục: - Format the partition using the NTFS file system (Quick): định dạng partition sử dụng hệ thống quản lý NTFS (nhanh), sử dụng cho lần đầu cài đặt ổ đĩa - Format the partition using the FAT32 file system (Quick): định dạng partition sử dụng hệ thống quản lý FAT32 (nhanh), sử dụng cho lần đầu cài đặt ổ đĩa - Format the partition using the NTFS file system: định dạng partition sử dụng hệ thống quản lý NTFS, sử dụng cho lần thứ trở cài đặt ổ đĩa -151-  Một lỗ hổng loại C khác thường gặp hệ thống mail không xây dựng chế anti-relay (chống relay) cho phép thực hành động spam mail Như biết, chế hoạt động dịch vụ thư điện tử lưu chuyển tiếp Một số hệ thống mail xác thực người dùng gửi thư, dẫn đến tình trạng đối tượng công lợi dụng máy chủ mail để thực spam mail Spam mail hành động nhằm làm tê liệt dịch vụ mail hệ thống cách gửi số lượng lớn message tới địa không xác định, máy chủ mail phải tốn lực tìm địa thực dẫn đến tình trạng ngưng trệ dịch vụ Các message sinh từ chương trình làm bom thư phổ biến mạng Internet 1.2.1.2 Lổ hổng loại B:  Lỗ hổng loại có mức độ nguy hiểm lỗ hổng loại C, cho phép người sử dụng quyền đăng nhập cục bộ, người sử dụng cục người có quyền truy nhập vào hệ thống với số quyền hạn định, chiếm quyền cao truy nhập không hợp pháp  Những lỗ hổng loại thường xuất dịch vụ hệ thống Người xâm nhập sử dụng tài khoản có quyền truy nhập vào hệ thống với số quyền hạn định dẫn đến lộ thông tin bảo mật Mức độ nguy hiểm trung bình Những lỗ hổng thường có ứng dụng dịch vụ hệ thống  Một dạng khác lỗ hổng loại B xảy chương trình có mã nguồn viết C Những chương trình viết C thường sử dụng vùng đệm - vùng nhớ sử dụng để lưu liệu trước xử lý Những người lập trình thường sử dụng vùng đệm nhớ trước gán khoảng không gian nhớ cho khối liệu Ví dụ, người sử dụng viết chương trình nhập trường tên người sử dụng, qui định trường dài 20 ký tự  Khai báo cho phép người sử dụng nhập vào tối đa 20 ký tự Khi nhập liệu, trước tiên liệu lưu vùng đệm; người sử dụng nhập vào 35 ký tự xảy tượng tràn vùng đệm kết 15 ký tự -152- dư thừa nằm vị trí không kiểm soát nhớ Đối với kẻ công, lợi dụng lỗ hổng để nhập vào ký tự đặc biệt, để thực thi số lệnh đặc biệt hệ thống Thông thường, lỗ hổng thường lợi dụng người sử dụng hệ thống để đạt quyền root không hợp lệ 1.2.1.3 Lỗ hổng loại A:  Các lỗ hổng cho phép người sử dụng cho thể truy nhập vào hệ thống bất hợp pháp Các lỗ hổng loại A có mức độ nguy hiểm, đe dọa tính toàn vẹn bảo mật hệ thống Các lỗ hổng loại thường xuất hệ thống quản trị yếu không kiểm soát cấu hình mạng  Một ví dụ thường thấy nhiều hệ thống sử dụng Web Server Apache, Đối với Web Server thường cấu hình thư mục mặc định để chạy script cgi-bin; có Scripts viết sẵn để thử hoạt động apache test-cgi Đối với phiên cũ Apache (trước version 1.1), Biến môi trường QUERY_STRING không đặt có dấu " (quote) nên phía client thưc yêu cầu chuỗi ký tự gửi đến gồm số ký tự đặc biệt; ví dụ ký tự "*", web server trả nội dung toàn thư mục thời (là thư mục chứa script cgi) Người sử dụng nhìn thấy toàn nội dung file thư mục thời hệ thống server  Một ví dụ khác xảy tương tự Web server chạy hệ điều hành Novell: web server có scripts convert.bas, chạy scripts cho phép đọc toàn nội dung files hệ thống  Những lỗ hổng loại nguy hiểm tồn sẵn có phần mềm sử dụng, người quản trị không hiểu sâu dịch vụ phần mềm sử dụng bỏ qua điểm yếu  Đối với hệ thống cũ, thường xuyên phải kiểm tra thông báo nhóm tin bảo mật mạng để phát lỗ hổng loại -153-  Một loạt chương trình phiên cũ thường sử dụng có lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, finger Hình 1.1: Mô hình phân cấp loại lỗ hổng 1.2.2 Một số phương thức công mạng phổ biến 1.2.2.1 Scanner  Scanner chương trình tự động rà soát phát điểm yếu bảo mật trạm làm việc cục trạm xa Với chức này, kẻ phá hoại sử dụng chương trình Scanner phát lỗ hổng bảo mật server xa  Các chương trình scanner thường có chế chung rà soát phát port TCP/UDP sử dụng hệ thống cần công từ phát dịch vụ sử dụng hệ thống Sau chương trình scanner ghi lại đáp ứng hệ thống xa tương ứng với dịch vụ mà phát Dựa vào thông tin này, kẻ công tìm điểm yếu hệ thống -154-  Những yếu tố để chương trình Scanner hoạt động sau: o Yêu cầu thiết bị hệ thống: Một chương trình Scanner hoạt động môi trường có hỗ trợ TCP/IP (bất kể hệ thống UNIX, máy tính tương thích với IBM, dòng máy Macintosh) o Hệ thống phải kết nối vào mạng Internet  Tuy nhiên đơn giản để xây dựng chương trình Scanner, kẻ phá hoại cần có kiến thức sâu TCP/IP, kiến thức lập trình C, PERL số ngôn ngữ lập trình shell Ngoài người lập trình (hoặc người sử dụng) cần có kiễn thức lập trình socket, phương thức hoạt động ứng dụng client/server  Các chương trình Scanner có vai trò quan trọng hệ thống bảo mật, chúng có khả phát điểm yếu hệ thống mạng Đối với người quản trị mạng thông tin hữu ích cần thiết; kẻ phá hoại thông tin nguy hiểm 1.2.2.2 DOS DDOS:  DOS chữ viết tắt Denial of Services (hình thức công từ chối dịch vụ) DDOS Distributed Denial of Services (tấn công từ chối dịch vụ phân tán) Đây dạng công nguy hiểm hệ thống mạng  Đây kiểu công làm cho hệ thống sử dụng, làm cho hệ thống chậm cách đáng kể chi sử dụng với người dùng bình thường, cách làm tải tài nguyên hệ thống Kẻ phá hoại gửi lượng lớn gói tin yêu cầu truy xuất làm hệ thống phải trả lời liên tục nội dung, chiếm nhiều băng tần gây trễ hệ thống, từ chối dịch vụ  Mặc dù công DoS khả truy cập vào liệu thực hệ thống mục tiêu kẻ công làm gián đoạn khả truy cập dịch vụ người dùng thông thường chí từ chối dịch vụ, giảm uy -155- tín nhà cung cấp dịch vụ, gây hỏng hóc thiết bị vật lý làm việc cường độ cao  Một số dạng công thuộc loại này: Smurf, Buffer overflow, Ping of Death, Teardrop, SYN 1.2.2.3 Password Cracker  Khi đăng nhập vào hệ thống ta cần phải có tài khoản (Username Password), thông thường password mã hóa, hầu hết việc mã hoá mật tạo từ phương thức mã hoá Các chương trình mã hoá sử dụng thuật toán mã hoá để mã hoá mật Password cracker chương trình có khả giải mã mật mã hoá vô hiệu hoá chức bảo vệ mật hệ thống  Yếu tố thiết bị phần cứng: Trong tình hình phát triển máy tính hiên nay, với công nghệ cao, ta cho đời máy tính tốc độ tính toán cao, dùng để thực chương trình phá khoá trở nên nhanh Trong thực tế yêu cầu thiết bị phần cứng mạnh kẻ phá khoá chuyên nghiệp Một phương thức khác thay thực việc phá khoá hệ thống phân tán; giảm bớt yêu cầu thiết bị so với phương pháp làm máy mà tốc độ nhanh nhiều  Đến giai đoạn cuối cùng, thấy phù hợp với mật mã hoá, kẻ phá khoá có mật dạng text thông thường Trong hình trên, mật dạng text thông thường ghi vào file  Nguyên tắc số chương trình phá khoá khác Một vài chương trình tạo một danh sách từ giới hạn, áp dụng số thuật toán mã hoá, từ kết so sánh với password mã hoá cần bẻ khoá để tạo danh sách khác theo lôgic chương trình, cách không chuẩn tắc nhanh dựa vào nguyên tắc đặt mật người sử dụng thường tuân theo số qui tắc để thuận tiện sử dụng  Để đánh giá khả thành công chương trình bẻ khoá mật ta có công thức sau: -156- P=L*R/S Trong đó: P: Xác suất thành công L: Thời gian sống mật R: Tốc độ thử S: Không gian mật = AM (M chiều dài mật khẩu)  Ví dụ: người ta chứng minh mật dài ký tự xác suất phá khoá gần = Cụ thể sau: Nếu ta sử dụng khoảng 92 ký tự bàn phím đặt mật khẩu, số mật có S = 928 Với tốc độ thử 10 000 000 mật giây có R = 10 000 000 Thời gian sống mật năm Ta có xác suất thành công là: P = 1x 365 x 86400 x 10 000 000/928 = 6.1% Như việc dò mật khoảng 16 năm tìm mật xác 1.2.2.4 Trojans  Dựa theo truyền thuyết cổ Hy lạp "Ngựa thành Trojan", trojans chương trình chạy không hợp lệ hệ thống với vai trò chương trình hợp pháp Những chương trình thực chức mà người sử dụng hệ thống thường không mong muốn không hợp pháp Thông thường, trojans chạy chương trình ứng dụng hợp pháp thực thi bị thay đổi mã mã bất hợp pháp  Các chương trình virus loại điển hình Trojans Những chương trình virus che dấu đoạn mã chương trình sử dụng hợp pháp Khi chương trình kích hoạt đoạn mã ẩn dấu thực thi để thực số chức mà người sử dụng  Một định nghĩa chuẩn tắc chương trình Trojans sau: chương trình trojans chương trình thực công việc mà người sử -157- dụng trước, ví dụ: ăn cấp mật khẩu, copy file lộ thông tin hệ thống mà người sử dụng không nhận thức  Xét khía cạnh bảo mật Internet, chương trình trojan thực vài chức hữu ích giúp người lập trình phát thông tin quan trọng thông tin cá nhân hệ thống vài thành phần hệ thống  Ngoài ra, số chương trình trojans phá huỷ hệ thống cách phá hoại thông tin ổ cứng (ví dụ trưòng hợp virus Melisa lây lan qua đường thư điện tử)  Các chương trình trojan lây lan qua nhiều phương thức, hoạt động nhiều môi trường hệ điều hành khác (từ Unix tới Windows, DOS) Đặc biệt trojans thường lây lan qua số dịch vụ phổ biến Mail, FTP qua tiện ích, chương trình miễn phí mạng Internet  Việc đánh giá mức độ ảnh hưởng chương trình trojans khó khăn Trong vài trường hợp, đơn giản ảnh hưởng đến truy nhập khách hàng chương trình trojans lấy nội dung file passwd gửi mail tới kẻ phá hoại Cách thức sửa đơn giản thay toàn nội dung chương trình bị ảnh hưởng đoạn mã trojans thay password người sử dụng hệ thống  Tuy nhiên với trường hợp nghiêm trọng hơn, kẻ công tạo lỗ hổng bảo mật thông qua chương trình trojans Ví dụ: kẻ công lấy quyền quản trị hệ thống lợi dụng để phá huỷ toàn phần hệ thống Trong trường hợp này, mức độ ảnh hưởng nghiêm trọng đến hệ thống 1.2.2.5 Sniffer  Đối với bảo mật hệ thống sniffer hiểu công cụ (có thể phần cứng phần mềm) "bắt" gói tin lưu chuyển mạng từ gói tin "bắt" lấy thông tin có giá -158-  Các chương trình sniffer (sniffer mềm) thiết bị sniffer (sniffer cứng) thực bắt gói tin tầng IP trở xuống (gồm IP datagram Ethernet Packet) Do đó, thực sniffer giao thức khác tầng mạng TCP, UDP, IPX,  Mặt khác, giao thức tầng IP định nghĩa công khai, cấu trúc trường header rõ ràng, nên việc giải mã gói tin không khó khăn Mục đích chương trình sniffer thiết lập chế độ promiscuous (mode dùng chung) card mạng ethernet - nơi gói tin trao đổi mạng - từ "bắt" thông tin Các thiết bị sniffer bắt toàn thông tin trao đổi mạng dựa vào nguyên tắc broadcast (quảng bá) gọi tin mạng Ethernet  Trên hệ thống mạng, liệu không chuyển đến hướng mà lưu chuyển theo hướng Một trạm làm việc cần gửi thông báo đến trạm khác segment mạng, yêu cầu gửi đến tất trạm mạng để xác định trạm đích Trạm nguồn nhận thông báo chấp nhận từ trạm đích luồng liệu gửi Những trạm khác mạng bỏ qua thông tin trao đổi hai trạm Tuy nhiên, trạm khác không bỏ qua thông tin này, mà "nghe lén" Sniffer thực công việc  Một hệ thống sniffer kết hợp thiết bị phần cứng phần mềm, hệ thống phần mềm với chế độ debug thực phân tích gói tin "bắt" mạng Hệ thống sniffer phải đặt segment mạng (network block) cần nghe Hình 1.2: Sơ đồ hoạt động Sniffer -159-  Phương thức công mạng dựa vào hệ thống sniffer nguy hiểm thực tầng thấp hệ thống mạng Với việc thiết lập hệ thống sniffer cho phép lấy toàn thông tin trao đổi mạng Các thông tin là: o Các tài khoản mật truy nhập o Các thông tin nội có giá trị cao  Tuy nhiên việc thiết lập hệ thống sniffer đơn giản cần phải xâm nhập vào hệ thống mạng cài đặt phần mềm sniffer Đồng thời chương trình sniffer yêu cầu người sử dụng phải hiểu sâu kiến trúc, giao thức mạng  Mặc khác, số lượng thông tin trao đổi mạng lớn nên liệu chương trình sniffer sinh lớn Thông thường, chương trình sniffer cấu hình để thu nhập từ 200 - 300 bytes gói tin, vi thường thông tin quan trọng tên người dùng, mật nằm phần đầu gói tin  Trong số trường hợp quản trị mạng, để phân tích thông tin lưu chuyển mạng, người quản trị cần chủ động thiết lập chương trình sniffer, với vai trò sniffer có tác dụng tốt  Việc phát hệ thống bị sniffer đơn giản, sniffer hoạt động tầng thấp, không ảnh hưởng tới ứng dụng dịch vụ hệ thống cung cấp Một số biện pháp sau có tác dụng kiểm tra hệ thống như: o Kiểm tra tiến trình thực hệ thống (bằng lệnh ps Unix trình quản lý tài nguyên Windows NT) Qua kiểm tra tiến trình lạ hệ thống; tài nguyên sử dụng, thời gian khởi tạo tiến trình để phát chương trình sniffer o Sử dụng vài tiện ích để phát card mạng có chuyển sang chế đố promiscous hay không Những tiện ích giúp phát hệ thống bạn có chạy sniffer hay không  Tuy nhiên việc xây dựng biện pháp hạn chế sniffer không khó khăn ta tuân thủ nguyên tắc bảo mật như: -160- o Không cho người lạ truy nhập vào thiết bị hệ thống o Quản lý cấu hình hệ thống chặt chẽ o Thiết lập kết nối có tính bảo mật cao thông qua chế mã hoá Bảo mật mạng: 2.1 Các biện pháp bảo vệ: 2.1.1 Sử dụng log file - Một biện pháp dò tìm dấu vết hoạt động hệ thống dựa vào công cụ ghi logfile Các công cụ thực ghi lại nhật ký phiên làm việc hệ thống Nội dung chi tiết thông tin ghi lại phụ thuộc vào cấu hình người quản trị hệ thống Ngoài việc rà soát theo dõi hoạt động, nhiều hệ thống thông tin logfile giúp người quản trị đánh giá chất lượng, hiệu mạng lưới 2.1.2 Thiết lập sách bảo mật hệ thống: 2.1.2.1 Xác định đối tượng cần bảo vệ  Đây mục tiêu quan trọng thiết lập sách bảo mật Người quản trị hệ thống cần xác định rõ đối tượng quan trọng hệ thống cần bảo vệ xác định rõ mức độ ưu tiên đối tượng Ví dụ đối tượng cần bảo vệ hệ thống là: máy chủ dịch vụ, router, điểm truy nhập hệ thống, chương trình ứng dụng, hệ quản trị CSDL, dịch vụ cung cấp Trong bước cần xác định rõ phạm vi ranh giới thành phần hệ thống để xảy cố hệ thống cô lập thành phần với nhau, dễ dàng dò tìm nguyên nhân cách khắc phục Có thể chia thành phần hệ thống theo cách sau: o Phân tách dịch vụ tùy theo mức độ truy cập độ tin cậy o Phân tách hệ thống theo thành phần vật lý máy chủ o (server), router, máy trạm (workstation) o Phân tách theo phạm vi cung cấp dịch vụ như: dịch vụ bên mạng (NIS, NFS ) dịch vụ bên Web, FTP, Mail -161- 2.1.2.2 Xác định nguy hệ thống:  Các nguy hệ thống lỗ hổng bảo mật dịch vụ hệ thống cung cấp Việc xác định đắn nguy giúp người quản trị mạng tránh công mạng, có biện pháp bảo vệ đắn a Các điểm truy nhập:  Các điểm truy nhập hệ thống thường đóng vai trò quan trọng hệ thống điểm mà người sử dụng kẻ công mạng quan tâm tới Thông thường điểm truy nhập thường phục vụ hầu hết người dùng mạng, không phụ thuộc vào quyền hạn dịch vụ mà người sử dụng dùng Do đó, điểm truy nhập thường thành phần có tính bảo mật lỏng lẻo Mặt khác, nhiều hệ thống cho phép người sử dụng dùng dịch vụ Telnet, FTP, HTTP để truy nhập vào hệ thống, dịch vụ có nhiều lỗ hổng bảo mật b Không kiểm soát cấu hình hệ thống  Không kiểm soát cấu hình hệ thống chiếm tỷ lệ lớn số lỗ hổng bảo mật Ngày nay, có số lượng lớn phần mềm sử dụng, yêu cầu cấu hình phức tạp đa dạng hơn, điều dẫn đến khó khăn để người quản trị nắm bắt cấu hình hệ thống Để khắc phục tượng này, nhiều hãng sản xuất phần mềm đưa cấu hình khởi tạo mặc định, cấu hình không xem xét kỹ lưỡng môi trường bảo mật Do đó, nhiệm vụ người quản trị phải nắm hoạt động phần mềm sử dụng, ý nghĩa file cấu hình quan trọng, áp dụng biện pháp bảo vệ cấu sử dụng phương thức mã hóa c Những nguy nội mạng  Một hệ thống chịu công từ mạng, mà bị công từ bên Có thể vô tình cố ý, hình thức phá hoại bên mạng thường xảy số hệ thống lớn Chủ yếu với -162- hình thức công bên mạng kẻ công tiếp cận mặt vật lý thiết bị hệ thống, đạt quyền truy nhập bất hợp pháp hệ thống Ví dụ nhiều trạm làm việc chiếm quyền sử dụng kẻ công ngồi trạm làm việc 2.2 Các mức bảo vệ an toàn mạng  Vì giải pháp an toàn tuyệt đối nên người ta thường phải sử dụng đồng thời nhiều mức bảo vệ khác tạo thành nhiều lớp "rào chắn" hoạt động xâm phạm Việc bảo vệ thông tin mạng chủ yếu bảo vệ thông tin cất giữ máy tính, đặc biệt server mạng  Hình sau mô tả lớp rào chắn thông dụng để bảo vệ thông tin trạm mạng: Hình 1.3: Mô hình lớp bảo vệ hệ thống mạng  Như minh hoạ hình trên, lớp bảo vệ thông tin mạng gồm: - Lớp Access rights lớp bảo vệ nhằm kiểm soát quyền truy nhập tài nguyên (ở thông tin) mạng quyền hạn (có thể thực thao tác gì) tài nguyên Hiện việc kiểm soát mức áp dụng có tính chất quan trọng thường kết hợp với lớp Login/password - Lớp Login/Password hạn chế truy nhập tài khoản gồm Username mật tương ứng Đây phương pháp bảo vệ phổ biến đơn giản, tốn có hiệu Mỗi người sử dụng muốn truy nhập vào mạng sử dụng tài nguyên phải có đăng ký tên mật Người -163- quản trị hệ thống có trách nhiệm quản lý, kiểm soát hoạt động mạng xác định quyền truy nhập người sử dụng khác tuỳ theo thời gian không gian - Lớp Data Encrytion lớp mã hóa liệu sử dụng phương pháp mã hoá (encryption) Dữ liệu biến đổi từ dạng clear text sang dạng mã hoá theo thuật toán nhằm bảo vệ tính bí mật thông tin truyền mạng - Lớp bảo vệ vật lý (physical protection) nhằm ngăn cản truy nhập vật lý bất hợp pháp vào hệ thống Thường dùng biện pháp truyền thống ngăn cấm người nhiệm vụ vào phòng đặt máy, dùng hệ thống khoá máy tính, cài đặt hệ thống báo động có truy nhập vào hệ thống Lớp liên quan đến an ninh nhân công ty - Lớp firewall: Cài đặt hệ thống tường lửa (firewall), nhằm ngăn chặn thâm nhập trái phép cho phép lọc gói tin mà ta không muốn gửi nhận vào lý Thông thường phân làm loại:  Firewall phần mềm: sử dụng phần mềm có chức firewall cài máy tính, máy tính trở thành firewall  Firewall phần cứng: sử dụng thiết bị chuyên dụng (ví dụ Router) có tích hợp sẵn chương trình firewall 2.3 Lớp bảo vệ firewall 2.3.1 Lọc gói tin (IP packet Filteing):  Đây đặc điểm firewall, chế có chức kiểm soát đường truyền vào hệ thống mạng cục hay đường truyền mạng nội dựa nguyên tắc lọc gói tin mô hình TCP/IP  Nó cho phép hay cấm truy xuất Internet hệ thống nội hay truy xuất mạng nội qua dịch vụ hay giao thức hoạt động mô hình TCP/IP  Ví dụ: cho phép mạng nội truy xuất Internet thông qua giao thức Http (dịch vụ web)  Điều làm giảm truy cập bất hợp pháp hay vào mạng nội qua dịch vụ hay giao thức khác Đồng thời tránh nghẽn đường -164- truyền có nhiều yêu cầu từ vào thông qua nhiều giao thức khác nhau, từ chối xử lí tất gói tin trừ gói tin theo giao thức mà cho phép 2.3.2 NAT (Network Address Translation):  Đây đặc điểm firewall, chế có chức kiểm soát đường truyền mạng nội Intenet Về mặc định, cho phép truy xuất từ mạng nội Internet nhờ chuyển đổi địa private thành đia public Nó không cho phép truy xuất từ Internet vào mạng nội  Ngoài ra, ta cấu hình Nat cho phép vào mạng nội thông qua giao thức định nhờ chế chuyển từ địa public thành private Và che dấu địa mạng nội bộ, Internet thấy địa mạng  Điều làm hạn chế truy xuất vào mạng thông qua nhiều dịch vụ giảm khả bị công từ bên Câu hỏi tập: Trình đặc điểm loại lỗ hổng mạng bị công? Mức độ nguy hiểm loại lỗ hổng? Trình bày số phương thức công phổ biến? Trình bày lớp bảo hệ hệ thống mạng? Đặc điểm lớp này? Trình bày hình thức bảo vệ mạng? Đặc điểm hình thức này? Trình bày bước thực công hệ thống mạng dùng chế Sniffer chương trình Cain? *Tìm hiểu chương trinh có khả thực chế công vào hệ thống mạng? thực cách phòng chống công đó? -165- TÀI LIỆU THAM KHẢO Managing and Maintaining a Microsoft Windows Server 2003 Enviroment (70 – 290) Student Kit Implementing, Managing and Maintaining a Microsoft Windows Server 2003 Network Infrastructure (70 – 291) Student Kit Giáo trình Quản trị mạng thiết bị mạng – nguồn ebook.vinagrid.com Nguyễn Văn Đều Giáo trình quản trị mạng Windows 2000 Server – Nguyễn Văn Đều – Trường Cao Đẳng Nghề Kỹ Thuật Công Nghệ TP HCM Nguồn Internet [...]... DNS Server gốc phân giải tên miền giùm):  Khi DNS server cục bộ nhận truy vấn từ client, vì không có trong CSDL cũng không có trong DNS cache, nó chuyển các yêu cầu đến một root hint DNS server (DNS server gốc ngoài Internet) Ví dụ: nwtraders.com  Root server sẽ trả lời bằng cách cung cấp một DNS server quản lý tên miền gần hơn Ở ví dụ này là miền com  DNS server cục bộ truy vấn tới DNS server quản. .. cấp một DNS server quản lý tên miền gần hơn Ở ví dụ này là miền com  Forwarder truy vấn tới DNS server quản lý miền đó (ví dụ miền com) Và DNS server này cũng trả lời bằng cách cung cấp một DNS server quản lý tên miền gần hơn Lúc này là nwtraders  Tiến trình cứ tiếp tục cho đến khi tìm được đúng tên miền cần truy vấn  Khi forwarder nhận được đúng tên miền theo yêu cầu, nó trả về cho DNS server cục... hay một server trên mạng, để có thể sử dụng các tập tin, thư mục, hay tài nguyên, ta phải được sự cho phép của người quản lý máy -20- tính hay server đó Người quản lý muốn cho người khác sử dụng thư mục các tập tin nào đó phải chia sẻ thư mục đó ra  Thư mục chia sẻ là thư mục chứa các tập tin, các chương trình ứng dụng có thể dùng chung trên mạng Khi thư mục được chia sẻ, người dùng trên mạng có thể... Forwarders (nhờ DNS Server khác phân giải tên miền giùm):  Khi DNS server cục bộ nhận truy vấn từ client, vì không có trong CSDL cũng không có trong DNS cache, nó chuyển các yêu cầu đến một DNS server khác (DNS server ngoài Internet) Ví dụ: nwtraders.com  DNS server mạng ngoài (có thể gọi là forwarder) cũng kiểm tra trong cache và CSDL của nó Nếu không có, nó gửi truy vấn tới root server  Root server sẽ trả... partition sử dụng hệ thống quản lý FAT32, sử dụng cho lần thứ 2 trở đi cài đặt trên ổ đĩa  Vì đây là lần đầu, nên ta chọn Format the partition using the NTFS file system (Quick), nếu là lần thứ 2 trở đi ta chọn mục thứ 3 Lưu ý: đối với Windows Server không nên dụng hệ thống quản lý tập tin FAT mà nên dùng NTFS, vì NTFS bảo mật cao và có một số đặc điểm hỗ trợ quản trị tốt hơn FAT  Quá trình định dạng diễn... miền com) Và DNS server này cũng trả lời bằng cách cung cấp một DNS server quản lý tên miền gần hơn Lúc này là nwtraders  Tiến trình cứ tiếp tục cho đến khi tìm được đúng tên miền cần truy vấn  Khi DNS server cục bộ nhận được đúng tên miền theo yêu cầu, nó trả về cho client  Các truy vấn ở đây dùng 1 loại truy vấn gọi là truy vấn lặp lại (Iterative query) 4 Cài đặt và cấu hình DNS server: 4.1 Cài... nếu không có, nó sẽ nhờ một DNS server khác phân giải giùm (cơ chế forwarder)  Cuối cùng nếu không có, nó sẽ nhờ một DNS server ở cấp cao nhất là server root 3.1 Hoạt động của DNS cache  Khi DNS server xử lý các truy vấn của client, nó sẽ xác định và lưu lại các thông tin quan trọng của tên miền mà client truy vấn Thông tin đó sẽ được ghi lại trong bộ nhớ cache của DNS server  Cache lưu giữ thông tin... 1 Trình bày được tên miền và cấu trúc cơ sở dữ liệu tên miền Trình bày được nguyên tắc hoạt động và phân cấp của hệ thống tên miền Cài đặt được hệ thống tên miền DNS Giới thiệu: 1.1 Lịch sử hình thành của DNS  Vào những năm 1960, khi mạng ARPanet trực thuộc bộ quốc phòng Mỹ ra đời, nó còn rất nhỏ và dễ dàng quản lý các kết nối với vài trăm máy tính với nhau Do đó tên host của các máy tính được quản. .. quản lý bởi 1 file host.txt đơn lẻ nằm trên một máy chủ quản trị trung tâm File Hosts.txt chứa tên máy và tất cả thông tin cần thiết về máy tính trong mạng, nó giúp các máy tính chuyển đổi được thông tin cho tất cả máy tính trong mạng ARPanet một cách dễ dàng Và đó chính là bước khởi đầu của hệ thống tên miền gọi tắt là DNS (Domain Name System)  Khi mạng máy tính ARPanet ngày càng phát triển, số lượng... đẳng nghề KTCN TP HCM 2.5 Zone và CSDL DNS: - Hệ thống DNS phân chia tên miền để quản lý, zone là 1 hệ cơ sở dữ liệu của dịch vụ DNS dùng để quản lý tên miền Nó chứa thông tin về một số tên miền mà nó quản lý dưới dạng các mẫu tin Dựa vào CSDL trong zone ta có thể liên kết với các dịch vụ mạng như: Web, Mail, … hoặc ủy quyền quản lý cho zone ở cấp thấp hơn Ví dụ sau đây vè zone edu và các zone được ủy