BỘ LAO ĐỘNG - THƯƠNG BINH VÀ XÃ HỘI TỔNG CỤC DẠY NGHỀ GIÁO TRÌNH Môn học: An toàn mạng NGHỀ QUẢN TRỊ MẠNG MÁY TÍNH TRÌNH ĐỘ: CAO ĐẲNG NGHỀ ( Ban hành kèm theo Quyết định số:120/QĐ-TCDN ngày 25 tháng 02 năm 2013 Tổng cục trưởng Tổng cục dạy nghề) Hà Nôi, năm 2013 TUYÊN BỐ BẢN QUYỀN: Tài liệu thuộc loại sách giáo trình nên nguồn thông tin phép dùng nguyên trích dùng cho mục đích đào tạo tham khảo Mọi mục đích khác mang tính lệch lạc sử dụng với mục đích kinh doanh thiếu lành mạnh bị nghiêm cấm MÃ TÀI LIỆU: MH28 Trang LỜI GIỚI THIỆU Trong năm qua, dạy nghề có bước tiến vượt bậc số lượng chất lượng, nhằm thực nhiệm vụ đào tạo nguồn nhân lực kỹ thuật trực tiếp đáp ứng nhu cầu xã hội Cùng với phát triển khoa học công nghệ giới, lĩnh vực Công nghệ thông tin nói chung ngành Quản trị mạng Việt Nam nói riêng có bước phát triển đáng kể Chương trình dạy nghề Quản trị mạng xây dựng sở phân tích nghề, phần kỹ nghề kết cấu theo mô đun môn học Để tạo điều kiện thuận lợi cho sở dạy nghề trình thực hiện, việc biên soạn giáo trình theo mô đun đào tạo nghề cấp thiết Môn học 28: An toàn mạng môn học đào tạo chuyên môn nghề biên soạn theo hình thức tích hợp lý thuyết thực hành Trong trình thực hiện, nhóm biên soạn tham khảo nhiều tài liệu An toàn mạng nước, kết hợp với kinh nghiệm thực tế Mặc dầu có nhiều cố gắng, không tránh khỏi khiếm khuyết, mong nhận đóng góp ý kiến độc giả để giáo trình hoàn thiện Xin chân thành cảm ơn Hà Nội, ngày 25 tháng 02 năm 2013 Tham gia biên soạn 1.Chủ biên Nguyễn Đình Liêm Nguyễn Như Thành Trần Nguyễn Quốc Dũng Trang MỤC LỤC LỜI GIỚI THIỆU MỤC LỤC .2 Vị trí: Môn học bố trí sau sinh viên học xong môn, mô đun: Mạng máy tính Quản trị mạng Tính chất: Là môn học chuyên môn nghề Ý nghĩa vai trò: Đây môn học sở ngành ngành quản trị mạng, cung cấp cho sinh viên kiến thức bảo mật hệ thống mạng để làm tản cho việc bảo mật giải vấn đề cần thiết Mục tiêu môn học: Xác định thành phần cần bảo mật cho hệ thống mạng; Trình bày hình thức công vào hệ thống mạng; Mô tả cách thức mã hoá thông tin; Trình bày trình NAT hệ thống mạng; Xác định khái niệm danh sách truy cập; Mô tả nguyên tắc hoạt động danh sách truy cập; Liệt kê danh sách truy cập chuẩn mạng TCP/IP; Phân biệt loại virus thông dụng cách phòng chống virus; Bố trí làm việc khoa học đảm bảo an toàn cho người phương tiện học tập .4 CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN Các khái niệm chung 1.1 Đối tượng công mạng (Intruder) 1.2 Các lỗ hổng bảo mật .7 Nhu cầu bảo vệ thông tin 2.1 Nguyên nhân 2.2 Bảo vệ liệu 2.3 Bảo vệ tài nguyên sử dụng mạng 2.4 Bảo bệ danh tiếng quan .8 Bài tập thực hành học viên .8 CHƯƠNG 2: MÃ HÓA THÔNG TIN Cơ mã hoá (Cryptography) .9 1.1 Tại cần phải sử dụng mã hoá 1.2 Nhu cầu sử dụng kỹ thuật mã hoá 1.3 Quá trình mã hoá giải mã sau: 10 Độ an toàn thuật toán 11 Phân loại thuật toán mã hoá .11 3.1 Mã hoá cổ điển: 12 3.2 Mã hoá đối xứng: .13 Bài tập thực hành học viên .16 CHƯƠNG 3: NAT ( Network Address Translation) 18 Giới thiệu: 18 Các kỹ thuật NAT cổ điển: .18 Trang 2.1 NAT tĩnh .19 2.2 NAT động 19 NAT Window server .22 Bài tập thực hành học viên .23 CHƯƠNG 4: BẢO VỆ MẠNG BẰNG TƯỜNG LỬA .31 Các kiểu công 31 1.1 Tấn công trực tiếp .31 1.2 Nghe trộm 31 1.3 Giả mạo địa 31 1.4 Vô hiệu hoá chức hệ thống 31 1.5 Lỗi người quản trị hệ thống 32 1.6 Tấn công vào yếu tố người 32 Các mức bảo vệ an toàn 32 Internet Firwall 33 3.1 Định nghĩa 33 3.2 Chức 33 3.3 Cấu trúc .34 3.4 Các thành phần Firewall chế hoạt động .34 3.5 Những hạn chế firewall 38 3.6 Các ví dụ firewall .38 Bài tập thực hành học viên .41 CHƯƠNG 5: DANH SÁCH ĐIỀU KHIỂN TRUY CẬP .42 Giới thiệu 42 Định nghĩa danh sách truy cập 43 Nguyên tắc hoạt động Danh sách truy cập 44 2.1 Tổng quan lệnh Danh sách truy cập 46 2.2 Danh sách truy cập chuẩn mạng TCP/IP 47 Bài tập thực hành học viên .50 CHƯƠNG : VIRUS VÀ CÁCH PHÒNG CHỐNG 55 Giới thiệu tổng quan virus tin học 55 Cách thức lây lan – phân loại 56 Bài tập thực hành học viên .67 TÀI LIỆU THAM KHẢO 72 Trang MÔN HỌC : AN TOÀN MẠNG Mã số môn học: MH 28 Vị trí, tính chất, ý nghĩa vai trò môn học: - Vị trí: Môn học bố trí sau sinh viên học xong môn, mô đun: Mạng máy tính Quản trị mạng - Tính chất: Là môn học chuyên môn nghề - Ý nghĩa vai trò: Đây môn học sở ngành ngành quản trị mạng, cung cấp cho sinh viên kiến thức bảo mật hệ thống mạng để làm tản cho việc bảo mật giải vấn đề cần thiết - Mục tiêu môn học: Xác định thành phần cần bảo mật cho hệ thống mạng; Trình bày hình thức công vào hệ thống mạng; Mô tả cách thức mã hoá thông tin; Trình bày trình NAT hệ thống mạng; Xác định khái niệm danh sách truy cập; Mô tả nguyên tắc hoạt động danh sách truy cập; Liệt kê danh sách truy cập chuẩn mạng TCP/IP; Phân biệt loại virus thông dụng cách phòng chống virus; Bố trí làm việc khoa học đảm bảo an toàn cho người phương tiện học tập Nội dung môn học: Số TT I Tên chương mục Tổng quan an toàn bảo mật thông tin Các khái niệm chung Nhu cầu bảo vệ thông tin II Mã hóa thông tin Cơ mã hoá (Cryptography) Độ an toàn thuật toán Phân loại thuật toán mã hoá III NAT Giới thiệu Các kỹ thuật NAT cổ điển NAT window server IV Bảo vệ mạng tường lửa Các kiểu công Thời gian Thực Tổng Lý hành Bài số thuyết tập Kiểm tra* (LT hoặcTH) 5 10 5 10 11 5 Trang Các mức bảo vệ an toàn Internet Firewall V Danh sách điều khiển truy cập Khái niệm danh sách truy cập Nguyên tắc hoạt động danh sách truy cập VI Virus cách phòng chống Giới thiệu tổng quan virus Cách thức lây lan phân loại virus Ngăn chặn xâm nhập virus Cộng 17 60 30 27 Trang CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN Mã chương: MH 26-01 Giới thiệu: Bảo mật lĩnh vực mà giới công nghệ thông tin quan tâm Một Internet đời phát triển, nhu cầu trao đổi thông tin trở nên cần thiết Mục tiêu việc nối mạng làm cho người sử dụng chung tài nguyên từ vị trí địa lý khác Cũng mà tài nguyên dễ dàng bị phân tán, dẫn đến điều hiển nhiên chúng bị xâm phạm, gây mát liệu thông tin có giá trị Càng giao thiệp rộng dễ bị công, quy luật Từ đó, vấn đề bảo vệ thông tin đồng thời xuất hiện, bảo mật đời Tất nhiên, mục tiêu bảo mật không nằm gói gọn lĩnh vực bảo vệ thông tin mà nhiều phạm trù khác kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật hệ thống toán điện tử giao dịch trực tuyến… Mọi nguy mạng mối nguy hiểm tiểm tàng Từ lổ hổng bảo mật nhỏ hệ thống, biết khai thác lợi dụng với tầng suất cao kỹ thuật hack điêu luyện trở thành tai họa Theo thống kê tổ chức bảo mật tiếng CERT (Computer Emegancy Response Team) số vụ công ngày tăng Cụ thể năm 1989 có khoản 200 vụ, đến năm 1991 có 400 vụ, đến năm 1994 số tăng lên đến mức 1330 vụ, tăng mạnh thời gian tới Như vậy, số vụ công ngày tăng lên với mức độ chóng mặt Điều dễ hiểu, thực thể tồn hai mặt đối lập Sự phát triển mạnh mẽ công nghệ thông tin kỹ thuật làm cho nạn công, ăn cắp, phá hoại internet bùng phát mạnh mẽ Internet nơi hỗn loạn Mọi thông tin mà bạn thực truyền dẫn bị xâm phạm, chí công khai Bạn hình dung internet phòng họp, trao đổi phòng họp người khác nghe thấy Với internet người không thấy mặt nhau, việc nghe thấy thông tin hợp pháp không hợp pháp Tóm lại, internet nơi an toàn Mà không internet loại mạng khác, mạng LAN, đến hệ thống máy tính bị xâm phạm Thậm chí, mạng điện thoại, mạng di động không nằm Vì nói rằng, phạm vi bảo mật lớn, nói không gói gọn máy tính quan mà toàn cầu Mục tiêu: - Trình bày hình thức công vào hệ thống mạng; - Xác định thành phần hệ thống bảo mật; - Thực thao tác an toàn với máy tính Trang Nội dung chính: Các khái niệm chung Mục tiêu: - Mô tả đối tượng tấng công hệ thống mạng ; - Xác định lỗ hổng bảo mật 1.1 Đối tượng công mạng (Intruder) Là cá nhân tổ chức sử dụng kiến thức mạng công cụ phá hoại (phần mềm phần cứng) để dò tìm điểm yếu, lỗ hổng bảo mật hệ thống, thực hoạt động xâm nhập chiếm đoạt tài nguyên mạng trái phép Một số đối tượng công mạng là: - Hacker: Là kẻ xâm nhập vào mạng trái phép cách sử dụng công cụ phá mật khai thác điểm yếu thành phần truy nhập hệ thống - Masquerader: Là kẻ giả mạo thông tin mạng Một số hình thức giả mạo giả mạo địa IP, tên miền, định danh người dùng - Eavesdropping: Là đối tượng nghe trộm thông tin mạng, sử dụng công cụ sniffer; sau dùng công cụ phân tích debug để lấy thông tin có giá trị Những đối tượng công mạng nhằm nhiều mục đích khác nhau: ăn cắp thông tin có giá trị kinh tế, phá hoại hệ thống mạng có chủ định, hành động vô ý thức, thử nghiệm chương trình không kiểm tra cẩn thận 1.2 Các lỗ hổng bảo mật Các lỗ hổng bảo mật điểm yếu hệ thống ẩn chứa dịch vụ mà dựa vào kẻ công xâm nhập trái phép để thực hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp Nguyên nhân gây lỗ hổng bảo mật khác nhau: lỗi thân hệ thống, phần mềm cung cấp, người quản trị yếu không hiểu sâu sắc dịch vụ cung cấp Mức độ ảnh hưởng lỗ hổng khác Có lỗ hổng ảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng nghiêm trọng tới toàn hệ thống Nhu cầu bảo vệ thông tin Mục tiêu: - Trình bày nhu cầu cần bảo vệ hệ thống mạng 2.1 Nguyên nhân Tài nguyên mà nói đến liệu Đối với liệu, cần quan tâm yếu tố sau: 2.2 Bảo vệ liệu Những thông tin lưu trữ hệ thống máy tính cần bảo vệ yêu cầu sau: - Bảo mật: thông tin có giá trị kinh tế, quân sự, sách vv cần bảo vệ không lộ thông tin bên Trang - Tính toàn vẹn: Thông tin không bị mát sửa đổi, đánh tráo - Tính kịp thời: Yêu cầu truy nhập thông tin vào thời điểm cần thiết Trong yêu cầu này, thông thường yêu cầu bảo mật coi yêu cầu số thông tin lưu trữ mạng Tuy nhiên, thông tin không giữ bí mật, yêu cầu tính toàn vẹn quan trọng Không cá nhân, tổ chức lãng phí tài nguyên vật chất thời gian để lưu trữ thông tin mà tính đắn thông tin 2.3 Bảo vệ tài nguyên sử dụng mạng Trên thực tế, công Internet, kẻ công, sau làm chủ hệ thống bên trong, sử dụng máy để phục vụ cho mục đích chạy chương trình dò mật người sử dụng, sử dụng liên kết mạng sẵn có để tiếp tục công hệ thống khác 2.4 Bảo bệ danh tiếng quan Một phần lớn công không thông báo rộng rãi, nguyên nhân nỗi lo bị uy tín quan, đặc biệt công ty lớn quan quan trọng máy nhà nước Trong trường hợp người quản trị hệ thống biết đến sau hệ thống dùng làm bàn đạp để công hệ thống khác, tổn thất uy tín lớn để lại hậu lâu dài Bài tập thực hành học viên Câu 1: Trình bày đối tượng tấng công hệ thống mạng Câu 2: Đối với liệu, cần quan tâm yếu tố nào? Trang 58 Khi ghi vào master boot, virus thường giữ lại Partition table Do để diệt Bvirus, ta cần cập nhật lại master boot Có thể dùng lệnh FDISK / MBR cho mục đích nói b Boot Sector Giống master boot, ghi vào boot sector, B-virus thường giữ lại bảng tham số đĩa (BPB-BIOS Parameter Block) Bảng nằm offset 0Bh boot sector, chứa thông số quan trọng dấu hiệu nhận dạng loại đĩa, số bảng FAT, số sector dành cho bảng FAT, tổng số sector đĩa Có thể phục hồi boot sector lệnh SYS.COM DOS Một số virus phá hỏng BPB khiến cho hệ thống không đọc đĩa môi trường (và lệnh SYS tác dụng) Đối với đĩa mềm, việc phục hồi boot sector (bao gồm BPB) đơn giản có vài loại đĩa mềm thông dụng (360KB, 720KB, 1.2 MB, 1.44 MB), lấy boot sector đĩa mềm loại để khôi phục BPB mà không cần format lại toàn đĩa Tuy nhiên vấn đề trở nên phức tạp đĩa cứng: BPB đĩa tạo trình FDISK dựa tùy chọn người dùng tham số phục vụ cho việc phân chia đĩa Trong số trường hợp, phần mềm NDD phục hồi BPB cho đĩa cứng, trước máy phải khởi động từ A (vì BPB đĩa cứng hư, không khởi động được), nên việc quản lý phần đĩa gặp nhiều khó khăn Tốt nên lưu lại boot sector đĩa cứng để phục hồi chúng cần thiết c Bảng FAT (File Allocation Table) Được định vị cách dễ dàng sau boot sector, FAT "miếng mồi ngon" cho virus Đây bảng ghi nhận trật tự lưu trữ liệu theo đơn vị liên cung (cluster) đĩa vùng liệu DOS Nếu hỏng mắt xích FAT, liệu liên quan không truy nhập Vì tính chất quan trọng nó, FAT DOS lưu trữ thêm bảng dự phòng nằm kề bảng Tuy nhiên virus đủ sức định vị FAT khiến cho tính cẩn thận DOS trở nên vô nghĩa Mặt khác, số DB-virus (Double B-virus) thường chọn sector cuối FAT để lưu phần lại progvi Trong đa số trường hợp, người dùng thường cầu cứu chương trình chữa đĩa, chương trình định vị liên cung thất lạc, phục hồi phần FAT hỏng khôi phục lại toàn từ bảng FAT chứa toàn "rác" Hơn thông tin đĩa biến động, tạo bảng FAT "dự phòng" đĩa mềm master boot boot sector Cách tốt lưu dự phòng tất liệu quan trọng phương tiện lưu trữ tin cậy d Bảng Thư mục (Root directory) Ngay sau FAT bảng Thư mục chứa tên hiển thị lệnh DIR\, bao gồm nhãn đĩa, tên file, tên thư mục Mỗi tên tổ chức thành entry có độ dài 32byte, chứa tên entry, phần mở rộng, thuộc tính, ngày giờ, địa lưu trữ, kích thước (nếu entry đặc tả tên file) DOS qui định thư mục kết thúc entry bắt đầu với giá trị Vì để vô hiệu phần Root, virus cần đặt byte entry Trang 59 Nếu byte đặt đầu Root đĩa trống rỗng cách thảm hại! Trường hợp DB_virus chọn sector cuối Root để lưu phần lại progvi gây hậu giống trường hợp bảng FAT: vùng DOS sử dụng, entry bị phá hủy hoàn toàn Vì số lượng entry Root có hạn, DOS cho phép ta tạo thêm thư mục để mở rộng entry vùng liệu Chính nội dung Root thường biến động chứa file hệ thống IO.SYS, MSDOS.SYS, COMMAND.COM, CONFIG SYS, AUTOEXEC.BAT, tên thư mục nằm gốc Do ta tạo Root dự phòng, với điều kiện sau không thay đổi/cập nhật entry Điều không cần thiết hệ thống có áp dụng biện pháp lưu liệu định kỳ e Vùng liệu Đây vùng chứa liệu đĩa, chiếm tỷ lệ lớn nhất, nằm sau Root Ngoại trừ số DB_virus sử dụng vài sector vùng để chứa phần lại progvi (xác suất ghi đè lên file thấp), vùng liệu coi vùng có độ an toàn cao, tránh "nhòm ngó" B_virus Chúng ta lợi dụng đặc điểm để bảo vệ liệu khỏi công B_virus (chủ yếu vào FAT Root, hai thành phần tạo dự phòng) Khi thực trình phân chia đĩa FDISK, đa số người dùng có thói quen khai báo toàn đĩa cứng cho partition nhất, đĩa khởi động hệ thống Việc sử dụng ổ đĩa luận lý Ví dụ ta chia đĩa cứng làm hai ổ luận lý C D, ổ C (chứa boot sector hệ điều hành) dùng để khởi động, tiện ích, phần mềm cài đặt lại cách dễ dàng, riêng ổ D dùng chứa liệu quan trọng Khi FAT, Root đĩa cứng bị B_virus công, ta cần cài đặt lại phần mềm C mà không sợ ảnh hưởng đến liệu D Nếu đĩa cứng đủ lớn, ta nên chia chúng theo tỷ lệ 1:1 (hoặc 2:3) để nâng cao hiệu sử dụng Với đĩa cứng nhỏ, tỷ lệ không đáp ứng nhu cầu lưu trữ phần mềm lớn, ta cần khai báo đĩa C với kích thước đủ cho hệ điều hành tiện ích cần thiết mà Lúc tính kinh tế phải nhường chỗ cho an toàn Tuy nhiên giải pháp mang tính tương đối, tồn B_virus có khả tự định vị địa vật lý partition thứ hai để phá hoại vấn đề không đơn giản chút F-virus Nếu B_virus có khả lây nhiễm nhiều HĐH khai thác dịch vụ đĩa ROM BIOS, F_virus lây HĐH định ngược lại chúng khai thác nhiều dịch vụ nhập xuất HĐH Các F_virus DOS chủ yếu khai thác dịch vụ truy nhập file hàm ngắt 21h Một số sử dụng thêm ngắt 13h (hình thức phá hoại giống B_virus), ta cần xem xét trường hợp dùng ngắt 21h F_virus a Lây vào file thi hành Trang 60 Đặc điểm chung F_virus chúng phải đính progvi vào tập tin thi hành dạng COM, EXE, DLL, OVL Khi tập tin thi hành, F_virus khống chế vùng nhớ lây vào tập thi hành khác Do kích thước tập tin nhiễm lớn kích thước ban đầu Đây dấu hiệu đặc trưng để nhận dạng tồn F_virus file thi hành Để khắc phục nhược điểm này, số F_virus giải sau: - Tìm file buffer đủ lớn để chèn progvi vào Với cách này, virus lây số file Để mở rộng tầm lây nhiễm, chúng phải tốn thêm giải thuật đính progvi vào file virus khác, kích thước file lại tăng lên! - Khống chế hàm tìm, lấy kích thước file DOS, gây nhiễu cách trả lại kích thước ban đầu Cách hiệu quả, che dấu có mặt chúng file, hoàn toàn tác dụng tập tin nhiễm kiểm tra kích thước hệ thống (không có mặt virus vùng nhớ), phần mềm DiskLook DiskEdit, PCTool - Lây trực tiếp vào cấu trúc thư mục đĩa (đại diện cho loại virus Dir2/FAT) Cách cho lại kích thước ban đầu tốt, kể môi trường Tuy nhiên ta dùng lệnh COPY để kiểm tra có mặt loại virus thư mục Hơn nữa, đời Windows 95 cáo chung cho họ virus Dir2/FAT, với mục đích bảo vệ tên file dài 13k Như việc phát F_virus file phụ thuộc vào việc giám sát thường xuyên kích thước file Để làm điều này, số chương trình AntiVirus thường giữ lại kích thước ban đầu làm sở đối chiếu cho lần duyệt sau Nhưng liệu kích thước lưu có thật "ban đầu" hay không? AntiVirus có đủ thông minh để khẳng định tính tập tin hay không? Dễ dàng nhận thấy tập tin COM, EXE đối tượng công F_virus Các tập tin có giá trị hệ phần mềm định mà người dùng lưu lại dự phòng Vì vậy, có đủ sở để chắn gia tăng kích thước tập tin thi hành biện pháp tốt khởi động lại máy đĩa hệ thống sạch, sau tiến hành chép lại tập thi hành từ dự phòng b Nhiễm vào vùng nhớ Khi lây vào file thi hành, F_virus phải bảo toàn tính logic chủ thể Do sau virus thực xong tác vụ thường trú, file chạy cách bình thường Việc thường trú F_virus làm sụp đổ hệ thống (là điều mà F_virus không mong đợi chút nào) chúng gây xung đột tính quán vùng nhớ, khai thác vùng nhớ không hợp lệ, làm rối loạn khối/trình điều khiển thiết bị hành Các cố thường xảy phần mềm đòi hỏi vùng nhớ phải tổ chức nghiêm ngặt, HĐH đồ sộ Windows 95 Thực tế cho thấy F_virus nhiễm vào file DLL (Dynamic Link Library - Thư viện liên kết động) Windows 95, HĐH khởi động Trong trường hợp tương tự, thường tốn nhiều công sức tiền bạc để cài đặt lại Windows 95 mà không đủ kiên nhẫn tìm nguyên nhân hỏng hóc vài EXE, DLL Trang 61 Khi thường trú, F_virus chiếm dụng khối nhớ định khống chế tác vụ nhập xuất HĐH Có thể dùng trình quản lý Có khám phá thú vị cho việc bảo vệ hệ thống khỏi lây nhiễm F_virus vùng nhớ chạy ứng dụng DOS (mà bạn không chắn chúng) Windows 95 Sau ứng dụng kết thúc, HĐH giải phóng tất trình thường trú cổ điển (kể F_virus) chúng sử dụng chương trình Phương pháp không cho F_virus thường trú sau Windows 95, không ngăn cản chúng lây vào file thi hành khác ứng dụng hoạt động c Phá hoại liệu Ngoài việc phá hoại đĩa Int 13h B_virus, F_virus thường dùng chức file Int 21h để thay đổi nội dung tập tin liệu văn bản, chương trình nguồn, bảng tính, tập tin sở liệu, tập tin nhị phân Thông thường virus ghi "rác" vào file, dòng thông báo "File was destroyed by virus " xóa hẳn file Đôi đối tượng phá hoại chúng lại phần mềm chống virus thịnh hành Vì file bị ghi đè (overwrite) nên ta phục hồi liệu tình trạng ban đầu Biện pháp tốt làm trường hợp ngưng tác vụ truy nhập file, thoát khỏi chương trình hành, diệt virus thường trú vùng nhớ Macro virus Thuật ngữ "Macro virus" dùng để chương trình sử dụng lệnh macro Microsoft Word Microsoft Excel Khác với F_virus truyền thống chuyên bám vào file thi hành, Macro virus bám vào tập tin văn DOC bảng tính XLS Khi tập tin Microsoft Word (hoặc Microsoft Excel) mở ra, macro kích hoạt, tạm trú vào NORMAL.DOT, lây vào tập DOC, XLS khác Đây hình thức lây mới, tiền thân chúng macro Concept Tuy ban đầu Concept "hiền" không che dấu kỹ thuật lây nên nhiều hacker khác dễ dàng nắm giải thuật, hình thành lực lượng virus "hậu Concept" đông đúc hãn Mối nguy hiểm loại virus thật không lường Chúng lợi dụng nhu cầu trao đổi liệu (dưới dạng văn thư, hợp đồng, biên bản, chứng từ ) thời đại bùng nổ thông tin để thực hành vi phá hoại Có trường hợp văn thông báo công ty X gửi lên mạng lại chứa macro virus Dù vô tình gây nhiều phiền toái, chứng tỏ tính phổ biến nguy hại loại virus "hậu sinh khả úy" Đặc biệt, biến thể macro virus có hình thức phá hoại "bom thư tin học" vừa phát thời gian gần Tên "khủng bố" gửi đến địa "nạn nhân" thư dạng tập tin DOC Người nhận gọi WinWord để xem, toàn đĩa cứng bị phá hoại Hậu sau rõ, liệu đĩa cứng bị Tuy sử dụng macro Microsoft Word để thực hành vi xấu hình thức phá hoại loại khác với virus Virus phá hoại liệu máy tính cách ngẫu nhiên, địa không xác định "Bom thư tin Trang 62 học" nhằm vào địa cụ thể, sở liệu mà chúng biết vô giá Cũng không loại trừ khả chúng mạo danh người để thực âm mưu với dụng ý "một mũi tên trúng hai mục tiêu" Chúng ta phải tăng cường cảnh giác Để phòng chống loại virus macro này, sử dụng tập tin DOC, XLS bạn phải chắn chúng không chứa macro lạ (ngoài macro bạn tạo ra) Ngoại trừ hình thức phá hoại kiểu "bom thư", macro virus thường đếm số lần kích hoạt thực phá hoại (để chúng có thời gian lây) Vì mở tập tin, bạn chọn menu Tool/Macro (của WinWord) để xem văn có macro lạ hay không (kể macro tên) Nếu có, đừng ngần ngại xóa chúng Sau thoát khỏi WinWord, xóa tập tin NORMAL.DOT Một số Macro virus có khả mã hóa progvi, che dấu menu Tool/Macro WinWord, không cho xóa macro , dấu hiệu chắn để tin macro virus rình rập xâu xé liệu bạn Hãy cô lập tập tin gửi chúng đến địa liên lạc AntiVirus mà bạn tin tưởng Trojan Trojan gì? Trojan mã độc hại có khả thực tác vụ bất hợp pháp, thường độc hại Bản thân Trojan chương trình bất hợp pháp lại che giấu chương trình hợp pháp Khác lớn Trojan virus khả nhân bản: Trojan gây thiệt hại cho máy tính, khởi tạo lỗi hệ thống, chí gây mát liệu lại khả nhân giống virus Ngược lại, Trojan có khả nhân phân loại thành virus Trojan lấy tên từ câu chuyện thần thoại cũ người Hy Lạp thời gian chiến tranh Họ tặng cho kẻ thù ngựa làm gỗ khổng lồ Kẻ thù người Hy Lạp chấp nhận quà tặng mang vào thành Ngay đêm đó, người lính Hy Lạp chui khỏi ngựa công thành, gây bất ngờ cho kẻ thù chiếm thành sau thời gian ngắn Trojan có loại gọi Trojan 'chiếm quyền kiểu leo thang', thường sử dụng administrator (quản trị viên) cỏi Chúng nhúng vào ứng dụng hệ thống quản trị viên kích hoạt, chúng tạo cho hacker quyền cao hệ thống Những Trojan gửi tới người dùng có quyền cho họ quyền xâm nhập hệ thống Ngoài ra, có số loại Trojan nữa, bao gồm chương trình tạo để chọc ghẹo, hại Các thông báo Trojan thường là: 'Ổ cứng bị bị format', 'password bạn bị lộ' Theo thống kê không đầy đủ, có gần 2.000 loại Trojan khác Đây 'phần tảng băng' thực chất số lượng loại Trojan lớn, hacker, lập trình viên hay nhóm hacker viết Trojan cho Trang 63 riêng Trojan không công bố lên mạng bị phát Chính số lượng đông đảo, nên Trojan luôn vấn đề lớn bảo mật an toàn mạng Người dùng có an toàn trước Trojan phần mềm diệt virus Có nhiều người nghĩ họ an toàn có tay chương trình quét virus tốt với cập nhật nhất, máy tính họ hoàn toàn 'miễn dịch' trước Trojan Thật không may, thực tế lại không hoàn toàn Mục đích viết chương trình diệt virus phát virus Trojan Và Trojan nhiều người biết đến, chuyên viên viết phần mềm diệt virus bổ sung vào chương trình quét virus Vì thế, điều hiển nhiên phần mềm diệt virus đành 'bó tay' trước Trojan chưa biết đến Cách thức lây nhiễm Trojan - Từ Mail: Trojan lây nhiễm theo đường thường có tốc độ lây lan nhanh Khi chúng 'chui' vào máy tính nạn nhân, việc Trojan làm 'gặt hái' địa mail address book phát tán theo địa - Từ ICQ: Nhiều người biết ICQ kênh truyền thông tin tiện lợi, nhiên lại môi trường an toàn người đối thoại gửi Trojan lúc nói chuyện với Điều hoàn toàn thực nhờ lỗi (bug) ICQ, cho phép gửi file dạng exe người nhận thấy chúng file dạng âm thanh, hình ảnh Để ngăn ngừa bug này, trước mở file bạn phải kiểm tra kiểu file (tức phần mở rộng file để biết thuộc loại nào) - Từ IRC: Cách lây nhiễm tương tự ICQ Mức độ nguy hiểm Trojan Khi Trojan lây nhiễm vào máy tính nạn nhân, người dùng không cảm thấy có điều bất thường Tuy nhiên, nguy hiểm lại phụ thuộc vào định hacker - tác giả Trojan Đặc biệt, mức độ nguy hiểm trầm trọng máy tính nạn nhân nơi lưu trữ tài liệu mật tổ chức, công ty tập đoàn lớn Hacker chép khai thác nguồn tài liệu đó, xóa chúng Phân loại Trojan Hiện có nhiều trojan, phân loại sau dựa vào tính chất chúng: - Trojan dùng để truy cập từ xa: Trojan nhiễm vào hệ thống, gửi username (tên đăng nhập), password (mật khẩu), địa IP máy tính cho hacker Từ tài nguyên này, hacker truy cập vào máy đó username password lấy - Trojan gửi mật khẩu: đọc tất mật lưu cache thông tin máy nạn nhân gửi cho hacker nạn nhân online - Trojan phá hủy tai hại loại Trojan tên nó, chúng có nhiệm vụ tiêu diệt tất file máy tính nạn nhân Trang 64 (file exe, dll, ini ) Thật 'bất hạnh' cho máy tính bị nhiễm Trojan này, tất liệu máy tính chẳng - FTP Trojan: loại mở cổng 21 máy nạn nhân để người kết nối tới mà không cần mật họ toàn quyền tải liệu xuống - Keylogger: phần mềm ghi lại tất tác vụ bàn phím nạn nhân sử dụng máy tính, gửi chúng cho hacker theo địa e-mail Sâu - worm Mọi tập trung hướng vào MSBlaster Worm SoBig Virus sức lây lan Trong Melissa Virus trở thành tượng toàn cầu vào tháng năm 1999 buộc Microsoft hàng loạt công ty khác phải ngắt hệ thống E-mail họ khỏi mạng Virus ngăn chặn ILOVEYOU Virus xuất năm 2000 có sức tàn phá không Thật không ngờ người nhận Melissa ILOVEYOU đơn giản Worm chương trình máy tính có khả tự chép từ máy tính sang máy tính khác Worm thường lây nhiễm sang máy tính khác qua mạng máy tính Qua mạng máy tính, Worm phát triển cực nhanh từ Chẳng hạn chín đồng hồ ngày 19/7/2001, CodeRed Worm nhân lên tới 250.000 lần Worm thường khai thác điểm yếu bảo mật chươg trình hệ điều hành Slammer Worm khai thác lỗ hổng bảo mật Microsoft SQL Server chương trình cực nhỏ (376Byte) CodeRed Worm làm cho mạng Internet chậm đáng kể tận dụng băng thông mạng để nhân Mỗi tự dò tìm mạng Internet để tìm Server sử dụng hệ điều hành Windows NT hay Windows 2000 chưa cài Patch sửa lỗi bảo mật Mỗi tìm Server chưa khắc phục lỗ hổng bảo mật, CodeRed Worm tự sinh ghi vào Server Bảo lại tự dò tìm mạng để lây nhiễm sang Server khác Tùy thuộc vào số lượng Server chưa khắc phục lỗ hổng bảo mật, Worm tạo hàng trăm ngàn CodeRed Worm thiết kế để thực mục tiêu sau: - Tự nhân 20 ngày tháng - Thay trang Web Server mà nhiễm trang Web có nội dung “Hacked by Chinese” - Tấn công liên tục White House Web Server Các phiên CodeRed biến đổi liên tục Sau nhiễm vào Server, Worm chọn thời điểm định sẵn công vào Domain www.whitehouse.gov Các Server bị nhiễm đồng loạt gửi khoảng 100 kết nối tới cổng 80 www.whitehouse.gov (198.137.240.91) khiến phủ Mỹ phải thay đổi IP WebServer khuyến cáo người sử dụng phải nâng cấp WindowsNT 2000 “vá” sửa lỗi Họ đa hình – polymorphic Trang 65 Những virus họ có khả tự nhân ngụy trang thành biến thể khác với mẫu biết để tránh bị chương trình diệt virus phát Một chi họ virus đa hình dùng thuật toán mã hóa giải mã khác hệ thống chí bên tệp khác nhau, làm cho khó nhận dạng Một chi khác lại thay đổi trình tự lệnh dùng lệnh giả để đánh lừa chương trình diệt virus Nguy hiểm mutant sử dụng số ngẫu nhiên để thay đổi mã công thuật toán giải mã Họ lừa dọa - hoaxes Đây virus mà thông điệp cảnh báo người tốt bụng có nhiều người nhận nhẹ tin lại gửi tiếp chúng đến người khác bùng lên vụ lây lan đến mức nghẽn mạng gây lòng tin Trên giới có nhiều sở liệu cung cấp mẫu dạng thông điệp giả cần so sánh chúng với thông điệp cảnh báo vừa nhận để khỏi bị lừa tiếp tay cho tin tặc NGĂN CHẶN SỰ XÂM NHẬP Mục tiêu: - Phòng ngừa xâm nhập virus Virus tin học ranh ma nguy hiểm bị ngăn chặn loại trừ cách dễ dàng Có số biện pháp Chương trình diệt virus - Anti-virus Dùng chương trình chống virus để phát diệt virus gọi antivirus Thông thường anti-virus tự động diệt virus phát Với số chương trình phát mà không diệt được, phải để ý đọc thông báo Ðể sử dụng anti-virus hiệu quả, nên trang bị cho vài chương trình để sử dụng kèm, bổ khuyết cho kết tốt Một điều cần lưu ý nên chạy anti-virus tình trạng nhớ tốt (khởi động máy từ đĩa mềm sạch) việc quét virus hiệu an toàn, không gây lan tràn virus đĩa cứng Có hai loại anti-virus, ngoại nhập nội địa Các anti-virus ngoại sử dụng phổ biến SCAN McAfee, Norton Anti-virus Symantec, Toolkit, Dr Solomon Các anti-virus sản phẩm thương mại Ưu điểm chúng số lượng virus cập nhật lớn, tìm-diệt hiệu quả, có đầy đủ công cụ hỗ trợ tận tình (thậm chí tỉ mỉ đến sốt ruột) Nhược điểm chúng cồng kềnh Các anti-virus nội thông dụng D2 BKAV Ðây phần mềm miễn phí Ngoài ưu điểm miễn phí, anti-virus nội địa chạy nhanh chúng nhỏ gọn, tìm-diệt hiệu "rất nhạy cảm" với virus nội địa Nhược điểm chúng khả nhận biết virus ngoại kém, trang bị công cụ hỗ trợ chế độ giao tiếp với người sử dụng, để khắc phục nhược điểm này, anti-virus nội cố gắng cập nhật virus thường xuyên phát hành nhanh chóng đến tay người dùng Trang 66 Tuy nhiên đừng tin tưởng vào anti-virus Bởi anti-virus tìmdiệt virus mà cập nhật Với virus chưa cập nhật vào thư viện chương trình anti-virus hoàn toàn không diệt Ðây nhược điểm lớn chương trình diệt virus Xu hướng antivirus cố gắng nhận dạng virus mà không cần cập nhật Symantec triển khai hệ chống virus theo chế miễn dịch IBM, phát hành tương lai Phần mềm D2 nội địa có cố gắng định việc nhận dạng virus lạ Các phiên D2- Plus version 2xx trang bị môđun nhận dạng New macro virus New-Bvirus, sử dụng chế chẩn đoán thông minh dựa sở tri thức lý thuyết hệ chuyên gia Ðây phiên thử nghiệm hướng tới hệ chương trình chống virus thông minh chương trình Lúc phần mềm dự báo xuất loại virus Nhưng dù nên tự trang bị thêm số biện pháp phòng chống virus hữu hiệu đề cập sau Ðề phòng B-virus Đừng khởi động máy từ đĩa mềm có đĩa cứng, ngoại trừ trường hợp tối cần thiết đĩa cứng bị trục trặc chẳng hạn Nếu buộc phải khởi động từ đĩa mềm, đĩa mềm phải hoàn toàn Ðôi việc khởi động từ đĩa mềm lại xảy cách ngẫu nhiên, ví dụ để quên đĩa mềm ổ đĩa A phiên làm việc trước Nếu Boot record đĩa mềm có B-virus, phiên làm việc sau, quên không rút đĩa khỏi ổ B-virus "lây nhiễm" vào đĩa cứng Tuy nhiên diệt cách dùng D2-Plus dự trù trước trường hợp chức chẩn đoán thông minh New B-virus đĩa mềm Chỉ cần chạy D2 thường xuyên, chương trình phân tích Boot record đĩa mềm dự báo có mặt virus tên gọi PROBABLE B-Virus Ðề phòng F-virus Nguyên tắc chung không chạy chương trình không rõ nguồn gốc Hầu hết chương trình hợp pháp phát hành từ nhà sản xuất đảm bảo Vì vậy, khả tiềm tàng F-virus file COM,EXE xảy chương trình trôi (chuyền tay, lấy từ mạng, ) Ðề phòng Macro virus Như nói, họ virus lây văn bảng tính Microsoft Vì vậy, nhận file DOC hay XL? bất kỳ, nhớ kiểm tra chúng trước mở Ðiều phiền toái giải D2- Plus giống trường hợp New B-virus, New macro virus nhận dạng tên PROBABLE Macro Hơn sử dụng WinWord Exel Microsoft Office 97 lo lắng Chức AutoDectect Macro virus Office kích hoạt Warning Box văn bảng tính cần mở có chứa macro (chỉ cần Disable) Cách bảo vệ máy tính trước Trojan - Sử dụng chương trình chống virus, trojan hãng đáng tin cậy Trang 67 - Để phát xem máy tính có nhiễm Trojan hay không, bạn vào Start -> Run -> gõ regedit -> HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows -> CurrentVersion ->Run, nhìn vào cửa sổ bên phía tay phải Bảng hiển thị chương trình Windows nạp khởi động, nhìn thấy chương trình lạ chương trình bạn biết, chẳng hạn như: sub7, kuang, barok, … mạnh dạn xóa chúng (để xóa triệt để, bạn nhìn vào đường dẫn để tìm tới nơi lưu file đó), sau khởi động lại máy tính - Nhấn tổ hợp phím Ctrl+Alt+Del để thị bảng Close Program (Win9x), bảng Task Manager (WinNT, Win2K, WinXP) để xem có chương trình lạ chạy không Thường có số loại Trojan che dấu trước chế - Sử dụng số chương trình quan sát máy bạn lập firewall lockdown, log monitor, PrcView - Không tải tệp từ nguồn không rõ hay nhận mail người lạ - Trước chạy tệp lạ nào, kiểm tra trước Bài tập thực hành học viên Câu 1: Lựa chọn phần mềm Virus thông dụng để cài đặt hệ thống Câu 2: Thực cách ngăn chặn Autorun.inf Virus.exe xâm nhập máy tính thông qua USB Hướng dẫn thực Để thực việc vô hiệu hóa tính MountPoints2, bạn thực bước sau Start > Run Win + R Nhập Regedit vào ô run > Enter Tại cửa sổ Registry Editor thực khóa: HKEY_CURENT_USER\Software\Microsoft\Windows\Curent Version\Explorer\MountPoints2 Trang 68 Nhấn phải chuột vào MountPoints2 > Permission Cửa sổ Pemission for MountPoints2 mở > Advanced Tại cửa sổ thiết lập Advanced Security Settings for MountPoints2 > Permissions Trang 69 * Win : Bỏ chọn tính Include inheritable pemssions from this object's parrent có khóa đăng ký hiển thị khung Pemission entries Trang 70 * Win XP : Bỏ chọn tính Inherit from parent the pemission entries that apply to child objects Include these with entries explicitly defined here Hộp thoại Windows Security xuất > Remove Trang 71 Tại cửa sổ Advanced Security Settings for MountPoints2 > Apply Trang 72 Hộp thoại Windows Security xuất lần với nội dung "Bạn từ chối tất người dùng truy cập MountPoints2 Không truy cập MountPoints2 có bạn thay đổi cho phép Bạn có muốn tiếp tục?" > Yes > OK lần > đóng cửa sổ Registry Editor > khởi động lại hệ thống TÀI LIỆU THAM KHẢO [1] THs Ngô Bá Hùng-Ks Phạm Thế phi Giáo trình mạng máy tính, Đại học Cần Thơ, năm 2005 [2] Đặng Xuân Hà, An toàn mạng máy tính Computer Networking năm 2005 [3] Nguyễn Anh Tuấn, Bài giảng Kỹ thuật an toàn mạng , Trung tâm TH-NN Trí Đức, 2009 [4] TS Nguyễn Đại Thọ, An Toàn Mạng, Trường Đại học Công nghệ ĐHQGHN, 2010 ... Firewall Any Permit Yes B 192.168.1.0 255.255.255 Firewall Any Permit Na C 192.168.1.15 Any Permit No D Any Firewall TCP/80 Permit Yes MAP 192.168.1.15 E Any Any Deny Any Any Any NAT Nat(LAN ) Na... thông tin muốn bảo vệ tài liệu quan trọng hay gửi chúng cách an toàn Các tài liệu quan trọng là: tài liệu quân sự, tài chính, kinh doanh đơn giản thông tin mang tính riêng tư Như biết, Internet... Trang Các mức bảo vệ an toàn Internet Firewall V Danh sách điều khiển truy cập Khái niệm danh sách truy cập Nguyên tắc hoạt động danh sách truy cập VI Virus cách phòng chống Giới thiệu tổng quan