Đang tải... (xem toàn văn)
(NB) Giáo trình An toàn mạng cung cấp cho người học các kiến thức: Tổng quan về bảo mật và an toàn mạng, bảo mật với lọc gói ip, internet protocol security, virus và cách phòng chống. Mời các bạn cùng tham khảo
TRƯỜNG CAO ĐẲNG NGHỀ CÔNG NGHIỆP HÀ NỘI Hứa Thị An Lê Văn Úy GIÁO TRÌNH An tồn mạng (Lưu hành nội bộ) Hà Nội năm 2012 Tuyên bố quyền Giáo trình sử dụng làm tài liệu giảng dạy nội trường cao đẳng nghề Công nghiệp Hà Nội Trường Cao đẳng nghề Công nghiệp Hà Nội không sử dụng không cho phép cá nhân hay tổ chức sử dụng giáo trình với mục đích kinh doanh Mọi trích dẫn, sử dụng giáo trình với mục đích khác hay nơi khác phải đồng ý văn trường Cao đẳng nghề Công nghiệp Hà Nội CHƯƠNG TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG TỔNG QUAN VỀ AN TOÀN BẢO MẬT MẠNG: 1.1 Giới thiệu AAA: (Access Control, Authentication Auditing): 1.2 Điều khiển truy cập (Access Control): 1.3 Xác thực (Authentication): CÁC DẠNG TẤN CÔNG: 2.1 Giới thiệu: 2.2 Minh hoạ khái qt qui trình cơng: 2.3 Tấn công chủ động: Tấn công thụ động: 14 2.5 Password Attacks: 20 2.6 Malicous Code Attacks: 23 CÁC PHƯƠNG PHÁP PHÒNG CHỐNG: 24 3.1 Giới thiệu công cụ Essential NetTools: 24 3.2 Giới thiệu công cụ Microsoft Baseline Security Analyzer: 24 3.3 Sử dụng công cụ Tenable NeWT Scanner: 25 3.4 Xây dựng Firewall để hạn chế công: 25 CHƯƠNG 27 BẢO MẬT VỚI LỌC GÓI IP 27 Gói Tin (Packet): 27 1.1 Packet gì? 27 1.2 Gói IP: 27 1.3 Gói UDP: 30 1.4 Gói TCP: 31 Bảo Mật Với Lọc Gói: 32 2.1 Khái Quát Về Lọc Gói: 32 2.2 Các Bước Để Xây Dựng Luật Bảo Mật Trong IPSEC: 33 2.3 Lọc Gói IP Dựa Trên Thiết Bị Phần Cứng 42 Chương 45 IPSEC 45 (Internet protocol security) 45 Tổng quan 45 Cấu trúc bảo mật 45 Hiện trạng 46 Thiết kế theo yêu cầu 46 Technical details 47 Implementations - thực 49 CHƯƠNG 53 NAT 53 (Network Address Translation) 53 Nat Là Gì ? 53 Mơ Hình Mạng Của Dịch Vụ Nat 53 Trang Nguyên Lỳ Hoạt Động Của NAT 53 Triển Khai Dịch Vụ Nat 55 4.1 Yêu Cầu: 55 4.2 Triển khai dịch vụ Nat: 55 CHƯƠNG 61 VIRUS 61 VÀ CÁCH PHÒNG CHỐNG 61 Virus 61 1.1 Virus ? 61 1.2 Phân Loại: 61 1.3 Đặc Điểm Của B-Virus: 62 1.4 Đặc Điểm Của F-Virus: 66 Phòng Chống Virus: 69 2.1 Cài Đặt Chương Trình Symantec Antivirus Server (Server Intall): 69 2.2 Cài Đặt Chương Trình Symantec System Center: 73 a Chức năng: 73 b Cài đặt : 74 2.3 Cài Đặt Symantec Antivirus Client : 75 Trang CHƯƠNG TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG TỔNG QUAN VỀ AN TOÀN BẢO MẬT MẠNG: 1.1 Giới thiệu AAA: (Access Control, Authentication Auditing): Khi hệ thống mạng đời nhu cầu cần trao đổi tài nguyên đặt người sử dụng hệ thống mạng trao đổi tài nguyên với Sau khoảng thờI gian sử dụng, hệ thống mạng ngày mở rộng số lượng tham gia vào mạng ngày tăng, việc thực sách bảo mật, thiết lập sách việc truy xuất tài nguyên mạng đặt Công nghệ thông tin áp dụng nhiều lĩnh vực thương mại, hàng hải, … Trong phát triển “thơng tin” phần quan trọng MọI thiết bị máy tính (Ram, CPU, Màn hình, Đĩa cứng …) hạ tầng mạng (router, switch, …) tạo để hỗ trợ việc xử lý, lưu trữ, trình bày, vận chuyển thơng tin … Vì việc bảo đảm tính an tồn liệu lưu trữ máy tính tính bí mật tồn vẹn thơng tin truyền mạng có ý nghĩa lớn tồn phát triển công nghệ thông tin Để hỗ trợ cho việc bảo mật nhằm hạn chế truy cấp liệu ngườI khác, tránh mát liệu, thuật ngữ AAA (Access Control, Authentication Auditing) đời AAA viết tắc từ: Access Control, Authentication Auditing AAA khái niệm an ninh máy tính an ninh mạng Những khái niệm dùng để bảo đảm tính bảo mật thơng tin, tồn vẹn liệu tính sẵn sàng hệ thống 1.2 Điều khiển truy cập (Access Control): Điều khiển truy cập sách, hỗ trợ phần mềm hay phần cứng dùng phép hay từ chối truy cập đến tài nguyên, qui định mức độ truy xuất đến tài ngun Có ba mơ hình sử dụng để giải thích cho mơ hình điều khiển truy cập: - MAC (Mandatory Access Control) - DAC (Discretionary Access Control) - RBAC ( Role Based Access Control) 1.2.1 MAC (Mandatory Access Control): Mơ hình MAC mơ hình tĩnh sử dụng quyền hạn truy cập đến tập tin định nghĩa trước hệ thống Người quản trị hệ thống thiết lập tham số kết hợp chúng với tài khoản, với nhiều tập tin hay tài ngun Mơ hình MAC bị hạn chế nhiều Trong mơ hình MAC người quản trị thiết lập việc truy cập người quản trị người thay đổi truy cấp Người dùng khơng thể chia tài nguyên trừ có mối quan hệ với tài nguyên tồn trước Ví dụ: Trang Đối với Unix hệ thống qui định tập tin hay thư mục chủ sở hữu (Owner) Khi ta khơng thể định nghĩa tập tin hay thư mục thuộc quyền sở hữu hai hay nhiều người Quyền tập tin, thư mục Windows 2000 (Full control, Write, Read, List folder content … ) 1.2.2 DAC (Discretionary Access Control): Là tập quyền truy cập đốI tượng mà ngườI dùng hay ứng dụng định nghĩa Mơ hình DAC cho phép ngườI dùng chia sẻ tập tin sử dụng tập tin ngườI khác chia sẻ Mô hình DAC thiết lập danh sách điều khiển truy cập (Access control list) dùng để nhận ngườI dùng quyền truy cập đến tài nguyên Ngoài ra, mơ hình cho phép ngườI dùng gán hay loạI bỏ quyền truy cấp đến mỗI cá nhân hay nhóm dựa trường hợp cụ thể 1.2.3 RBAC (Role Based Access Control): Trong RBAC, việc định quyền truy cập dựa vai trò mỗI cá nhân trách nhiệm họ tổ chức Quyền hạn dựa cơng việc phân nhóm ngườI dùng Tuỳ thuộc vào quyền hạn ngườI dùng mà phân quyền cho phù hợp Ví dụ: NgườI quản trị có tồn quyền quản trị hệ thống mạng, quyền thêm, xố, sữa thơng tin mạng Những nhân viên bình thường mạng có quyền sử dụng máy tính mà khơng phép làm 1.3 Xác thực (Authentication): Quá trình dùng để xác nhận máy tính hay ngườI dùng cố gắng truy cập đến tài nguyên, cách thức đăng nhập sử dụng hệ thống Quá trình xác thực đa dạng, từ cách xác nhận thông thường kiểm tra tên đăng nhập/mật đến việc sử dụng công nghệ tiên tiến thể thông minh, thiết bị sinh học để nhận dạng ngườI dùng 1.3.1 Username/Password: Đây phương thức xác nhận cổ điển sử dụng phổ biến (do tính đơn giản dễ quản lý) MỗI ngườI dùng xác nhận tên truy cập mật Mật thông thường lưu sở liệu dướI dạng mã hố khơng mã hố Tuy nhiên mật dễ dàng bị đốn phương pháp vét cạn Chính sách mật khẩu: - Mức độ khơng an tồn: 06 ký tự Mức độ an tồn trung bình: 08 đến 13 ký tự Mức độ an toàn cao: 14 ký tự Trang Ngoài mật cần tuân theo số yêu cầu sau: - Kết hợp ký tự hoa thường Sử dụng số, ký tự đặc biệt, khơng sử dụng từ có tự điển Khơng sử dụng thông tin cá nhân để đặt mật (ngày sinh, số điện thoại, tên ngườI thân …) 1.3.2 CHAP: Do điểm yếu User/Pass thông tin đễ dàng bị chuyển mạng, cần phải có phương pháp để đảm bảo liệu truyền thơng an tồn q trình chứng thực CHAP giao thức đáp ứng yêu cầu CHAP thường dùng để bảo vệ thông tin xác nhận kiểm tra kết nối đến tài nguyên hợp lệ, sử dụng dãy thách thức trả lời mã hoá Đây nghi thức xác nhận truy cập từ xa mà không cần gửi mật qua mạng CHAP sử dụng để xác định hợp lệ cách sử dụng chế bắt tay Way Cơ chế sử dụng kết nối khởi tạo sử dụng nhiều lần để trì kết nối - Nơi cần xác nhận gửi thông điệp “Challenge” - Bên nhận sử dụng mật hàm băm chiều để tính kết trả lời cho bên cần xác nhận - Bên cần xác nhận tính tốn hàm băm tương ứng đối chiếu với giá trị trả Nếu giá trị việc xác nhận hợp lệ, ngược lại kết nối kết thúc - Vào thời điểm ngẫu nhiên,bên cạnh xác nhận gửi Challenge để kiểm tra hợp lệ kết nối 1.3.3 Chứng (Certificates) Trong sống sử dụng CMND hay hộ chiếu để giao tiếp với người khác xã hội sử dụng để du lịch, tàu xe … Trong máy tính sử dụng chứng để xác nhận với máy khác người dùng máy tính hợp lệ giúp cho máy tính truyền thơng với an tồn Chứng điện tử dạng liệu số chứa thông tin để xác định thực thể (thực thể cá nhân, server, thiết bị hay phần mềm…) Chi tiết chứng tham khảo phần sau 1.3.4 Mutual Authentication (Xác nhận lẫn nhau): Đa số chế chứng thực thực chiều, việc xác thực dễ bị giả lập dễ bị Hacker công phương pháp giả lập cách thức kết nối (như Reply Attack …) Trong thực tế có nhiều ứng dụng đòi hỏi chế xác nhận qua lại ví dụ người dùng có tài khoản Ngân hàng Khi người dùng truy xuất để kiểm tra ngày nạp tiền vào Ngân hàng kiểm tra tính hợp lệ Ngân hàng thao tác Nếu thơng tin kiểm tra hợp lệ q trình đăng nhập thành cơng người dùng thay đổi thơng tin tài khoản Mỗi thành phần giao tiếp điện tử xác nhận thành phần Khi đó, khơng xác nhận người dùng với hệ thống mà xác nhận tính hợp lệ hệ thống người dùng Trang 1.3.5 Biometrics: Các thiết bị sinh học cung cấp chế xác nhận an toàn cao cách sử dụng đặc tính vật lý hành vi cá nhân để chứng thực, sử dụng khu vực cần an toàn cao Cách thức hoạt động Biometric: - Ghi nhận đặc điểm nhận dạng sinh học Các đặc điểm nhận dạng đối tượng quét kiểm tra Các thông tin sinh học phân tích lưu lại thành mẫu - Kiểm tra Đối tượng cần kiểm tra quét Máy tính phân tích liệu quét vào đối chiếu với liệu mẫu Nếu liệu mẫu đối chiếu phù hợp người dùng xác định hợp lệ có quyền truy xuất vào hệ thống Một số dạng: - Các đặc điểm vật lý: Dấu vân tay Hand geometry Quét khuôn mặt Quét võng mạc mắt Qt tròng đen mắt - Các đặc tính hành vi: Chữ ký tay Giọng nói Hiện chế xác nhận sinh học xem chế mang tính an tồn cao Tuy nhiên để xây dựng chế xác nhận chi phí cao 1.3.6 Multi – Factor: hệ thống sử dụng hai hay nhiều phương pháp chứng thực khác để kiểm tra việc User đăng nhập hợp lệ hay khơng gọi multi – factor Một hệ thống vừa sử dụng thể thông minh vừa sử dụng phương pháp chứng thực username va password gọi hệ thống chứng thực two – factor Khi ta kết hợp hai hay nhiều chế xác nhận để tạo chế xác nhận phù hợp với nhu cầu Chỉ danh cá nhân xác định sử dụng hai factors xác nhận sau: - Bạn biết (một mật hay số pin) - Bạn có (smart card hay token) - Bạn (dấu vân tay, võng mạc …) - Bạn làm (giọng nói hay chữ ký) 1.3.7 Kerberos: Kerberos dịch vụ xác nhận bảo đảm tính an toàn, xác nhận lần, xác nhận lẫn dựa vào thành phần tin cậy thứ ba An tồn: Trang Sử dụng ticket, dạng thơng điệp mã hóa có thời gian, để chứng minh hợp lệ người dùng Vì mật người dùng bảo vệ tốt khơng cần gửi qua mạng hay lưu nhớ máy tính cục Xác nhận truy cập lần: Người dùng cần đăng nhập lần truy cập đến tất tài nguyên hệ thống hay máy chủ khác hỗ trợ nghi thức Kerberos Thành phần tin cậy thứ ba: Làm việc thông qua máy chủ xác nhận trung tâm mà tất hệ thống mạng tin cậy Xác nhận lẫn nhau: Không xác nhận người dùng hệ thống mà xác nhận hợp lệ hệ thống người dùng Xác nhận Kerberos tích hợp trực tiếp cấu trúc quản lý thư mục (Active Directory) Windows 2000, 2003 server hỗ trợ máy trạm đăng nhập lần vào DC sử dụng dịch vụ server khác thuộc DC mà khơng cần phải đăng nhập Việc hồn tồn suốt vớI ngườI dùng nên họ khơng nhận hỗ trợ Kerberos CÁC DẠNG TẤN CÔNG: 2.1 Giới thiệu: Để xây dựng hệ thống bảo mật, trước hết phải hiểu rõ cách thức Hacker sử dụng để công vào hệ thống Việc tìm hiểu cách thức cơng góp phần nhiều cho công tác bảo mật hệ thống mạng, giúp việc ngăn chặn hiệu nhiều Mơi trường mạng ngày phát triển, nhu cầu bào mật, bảo đảm an ninh mạng phát triển Hiện nay, phương pháp công đa dạng phong phú Tuy có nhiều phương thức cơng tạm xếp chúngvào nhóm sau: - Theo mục tiêu cơng: Ứng dụng mạng hay hai - Theo cách thức công: Chủ động (Active) hay thụ động (Passive) - Theo phương pháp cơng: Có nhiều loại ví dụ bẻ khoá, khai thác lỗi, phần mềm hay hệ thống, mã nguy hiểm … Ranh giới nhóm dần khó nhận cách cơng ngày nay, ngày phức tạp, tổng hợp Tuy nhiên, khơng phải hacker cơng nhằm mục đích phá hoại hệ thống Có số đối tượng cơng vào hệ thống có mục đích nhằm tìn lỗ hỏng hệ thống báo cho người quản trị để họ vá lỗ hỏng lại Những hacker dạng người ta gọi “ White hat”, hacker dạng khác người người ta gọI “Black hat” Một số người lại lầm tưởng hacker cracker Cracker người chuyên tìm hiểu phần mềm bẻ khố phần mềm đó, hacker người chuyên tìm lỗ hỏng hệ thống Trang 2.2 Minh hoạ khái quát qui trình cơng: Tuỳ thuộc vào mục tiêu cơng mà hacker có kịch cơng khác Ở minh hoạ dạng kịch tổng quát để công vào hệ thống thăm dò đánh giá hệ thống Thâm nhập Gia tăng quyền hạn Duy trì truy cập Khai thác Các bước cơng - Bước 1: Tiến hành thăm dò đánh giá hệ thống Bước 2: Thực bước thâm nhập vào hệ thống Sau quay lại bước để tiếp tục thăm dò, tìm thêm điểm yếu hệ thống Bước 3: Tìm cách để gia tăng quyền hạn Sau quay lại bước để tiếp tục thăm dò, tìm thêm điểm yếu hệ thống sang bước hay bước Bước 4: Duy trì truy cập, theo dõi hoạt động hệ thống Bước 5: Thực cơng (ví dụ: từ chốI dịch vụ …) 2.3 Tấn công chủ động: Là dạng công mà kể công trực tiếp gây nguy hại tới hệ thống mạng ứng dụng (khống chế máy chủ, tắt dịch vụ) không nghe hay thu thập thông tin Những dạng công phổ biến như: Dos, Ddos, Buffer overflow, IP spoofing … 2.3.1 DOS: Tấn công từ chối dịch vụ, viết tắt DOS (Denial of service) thuật ngữ gọi chung cho cách công khác làm cho hệ thống bị q tải khơng thể cung cấp dịch vụ, phải ngưng hoạt động Kiểu công làm gián đoạn hoạt động khả đánh cắp thơng tin hay liệu Thông thường mục tiêu công từ chối dịch vụ máy chủ (FTP, Web, Mail) nhiên thiết bị mạng như: Router, Switch, Firewall … Tấn công từ chối dịch vụ khơng cơng qua mạng mà công máy cục hay mạng cục gọi Logcal Dos Against Hosts Ban đầu công từ chốI dịch vụ xuất khai thác yếu giao thức TCP Dos, sau phát triển thành cơng từ chối dịch vụ phân tán Ddos (Distributed Dos) Trang b Một số kỹ thuật B-virus Dù SB-virus hay DB-virus, để tồn lây lan, chúng có số kỹ thuật sau: - Kỹ thuật kiểm tra tính Virus phải tồn nhớ đĩa, song tồn nhiều đĩa nhớ làm chậm trình Boot máy, chiếm nhiều vùng nhớ ảnh hưởng tới việc tải thi hành chương trình khác đồng thời làm giảm tốc độ truy xuất đĩa Chính thế, kỹ thuật yêu cầu nghiêm ngặt với B-virus Việc kiểm tra đĩa có hai yếu tố ảnh hưởng: Thứ thời gian kiểm tra: Nếu tác vụ đọc/ghi đĩa phải kiểm tra đĩa thời gian truy xuất bị tăng gấp đôi, làm giảm tốc độ truy xuất gia tăng nghi ngờ Ðối với yêu cầu này, virus áp dụng số kỹ thuật sau: Giảm số lần kiểm tra cách kiểm tra trường hợp thay đổi truy xuất từ ổ đĩa sang ổ đĩa khác, kiểm tra trường hợp bảng FAT đĩa đọc vào Thứ hai kỹ thuật kiểm tra: Hầu hết virus kiểm tra giá trị từ khố Mỗi virus tạo cho giá trị đặc biệt vị trí xác định đĩa, việc kiểm tra tiến hành cách đọc Boot record kiểm tra giá trị từ khoá Kỹ thuật gặp trở ngại số lượng B-virus ngày đơng đảo, mà vị trí Boot Record có hạn Cách khắc phục virus tăng số lượng mã lệnh cần so sánh để làm giảm khả trùng hợp ngẫu nhiên Ðể kiểm tra tồn nhớ, virus áp dụng kỹ thuật sau: Ðơn giản kiểm tra giá trị Key value vị trí xác định vùng nhớ cao, ngồi kỹ thuật khác áp dụng virus chiếm ngắt Int 21 DOS yêu cầu thực chức đặc biệt khơng có ngắt Nếu cờ báo lỗi bật lên nhớ chưa có virus, ngược lại virus lưu trú vùng nhớ giá trị trả lại (trong ghi AX chẳng hạn) giá trị xác định - Kỹ thuật lưu trú Sau thực xong chương trình POST, giá trị tổng số vùng nhớ vừa Test lưu vào vùng BIOS Data địa 03h Khi hệ điều hành nhận quyền điều khiển, coi vùng nhớ mà kiểm sốt giá trị địa Vì để lưu trú, BTrang 64 virus áp dụng kỹ thuật sau đây: Sau tải phần lưu trú lên vùng nhớ cao, giảm giá trị vùng nhớ DOS quản lý 03h lượng bơng kích thước virus Tuy nhiên không kiểm tra tốt có mặt vùng nhớ, bị Boot mềm liên tục, giá trị tổng số vùng nhớ bị giảm nhiều lần, ảnh hưởng tới việc thực chương trình sau Chính thế, virus thiết kế tốt phải kiểm tra tồn nhớ, có mặt nhớ khơng giảm dung lượng vùng nhớ - Kỹ thuật lây lan Ðoạn mã thực nhiệm vụ lây lan đoạn mã quan trọng chương trình virus Ðể đảm bảo việc lây lan, virus khống chế ngắt quan trọng việc đọc/ghi vùng hệ thống: ngắt 13h, nhiên để đảm bảo tốc độ truy xuất đĩa, chức (đọc/ghi) dẫn tới việc lây lan Việc lây lan cách đọc Boot Sector (Master Boot) lên kiểm tra xem bị lây chưa (kỹ thuật kiểm tra nói trên) Nếu sector khởi động chưa bị nhiễm virus tạo sector khởi động với tham số tương ứng đoạn mã virus ghi trở lại vào vị trí đĩa Còn sector khởi động vừa đọc lên với thân virus (loại DB-virus) ghi vào vùng xác định đĩa Ngoài số virus chiếm ngắt 21 DOS để lây nhiễm phá hoại file mà ngắt 21 làm việc Việc xây dựng sector khởi động có đoạn mã virus phải đảm bảo kỹ thuật sau đây: - Sector khởi động bị nhiễm phải chứa tham số đĩa phục vụ cho trình truy xuất đĩa, bảng tham số BPB Boot record hay bảng phân chương trường hợp Master boot Việc khơng bảo tồn dẫn đến việc virus quyền điều khiển khơng thể kiểm sốt đĩa virus khơng có mặt mơi trường - Sự an toàn sector khởi động nguyên thể đoạn thân virus phải đặt lên hàng đầu Các kỹ thuật vị trí cất giấu phân tích phần - Kỹ thuật ngụy trang gây nhiễu Kỹ thuật đời muộn sau này, khuynh hướng chống lại phát người sử dụng lập trình viên virus Vì kích thước virus nhỏ bé lập trình viên hồn tồn dò bước xem chế virus hoạt động nào, virus tìm cách lắt léo để chống lại theo dõi lập trình viên Các virus thường áp dụng số kỹ thuật sau đây: - Cố tình viết lệnh cách rắc rối đặt Stack vào vùng nhớ nguy hiểm, chiếm xoá ngắt, thay đổi cách lắt léo ghi phân đoạn để người dò khơng biết liệu lấy từ đâu, thay đổi giá trị lệnh phía sau để người sử dụng khó theo dõi Trang 65 - Mã hố chương trình để người sử dụng khơng phát quy luật, không thấy cách rõ ràng hoạt động virus - Ngụy trang: Cách thứ đoạn mã cài vào sector khởi động ngắn tốt giống sector khởi động tốt Tuy cách thứ hai nhiều virus áp dụng: Khi máy nôm quyền chi phối virus, yêu cầu đọc/ghi Boot sector (Master boot) virus trả chuẩn: trước bị virus lây Ðiều đánh lừa người sử dụng chương trình chống virus khơng thiết kế tốt máy chịu chi phối virus - Kỹ thuật phá hoại Ðã virus có tính phá hoại Có thể phá hoại mức đùa cho vui, phá hoại mức độ nghiêm trọng, gây mát đình trệ thơng tin đĩa Căn vào thời điểm phá hoại, chia thành hai loại: - Loại định thời: Loại lưu giữ giá trị, giá trị ngày giờ, số lần lây nhiễm, số máy chạy, Nếu giá trị vượt số cho phép, tiến hành phá hoại Loại thường nguy hiểm chúng phá hoại lần - Loại liên tục: Sau bị lây nhiễm liên tục, virus tiến hành phá hoại, song tính liên tục này, hoạt động phá hoại khơng mang tính nghiêm trọng, chủ yếu đùa cho vui 1.4 Đặc Điểm Của F-Virus: So với B-virus số lượng F-virus đơng đảo nhiều, có lẽ tác vụ đĩa với hỗ trợ Int 21 trở nên dễ dàng thoải mái, điều kiện phát triển cho Fvirus Thường F-virus lây lan file khả thi (có COM EXE), nhiên nguyên tắc mà virus phải tuân thủ là: Khi thi hành file khả thi bị lây nhiễm, quyền điều khiển phải nôm tay virus trước virus trả lại cho file bị nhiễm, file nhận lại quyền điều khiển, tất liệu file phải bảo toàn Ðối với F-virus, có số kỹ thuật nêu đây: a Kỹ thuật lây lan: Các F-virus chủ yếu sử dụng hai kỹ thuật: Thêm vào đầu thêm vào cuối - Thêm vào đầu file Trang 66 Thông thường, phương pháp áp dụng cho file COM, tức đầu vào chương trình ln ln PSP0h Lợi dụng đầu vào cố định, virus chèn đoạn mã chương trình virus vào đầu chương trình đối tượng, đẩy tồn chương trình đối tượng xuống phía Cách có nhược điểm đầu vào cố định chương trình COM PSP0, trước trả lại quyền điều khiển cho chương trình, phải đẩy lại tồn chương trình lên offset 100h Cách lây gây khó khăn cho người khơi phục phải đọc tồn file vào vùng nhớ tiến hành ghi lại - Thêm vào cuối file Khác với cách lây lan trên, phương pháp này, đoạn mã virus gắn vào sau chương trình đối tượng Phương pháp thấy hầu hết loại virus phạm vi lây lan rộng rãi phương pháp Do thân virus không nơm đầu vào chương trình, để chiếm quyền điều khiển, phải thực kỹ thuật sau đây: - Ðối với file COM: Thay byte chương trình (đầu vào) bơng lệnh nhảy JMP, chuyển điều khiển đến đoạn mã virus E9 xx xx JMP Entry virus - Ðối với file EXE: Chỉ cần định vị lại hệ thống ghi SS, SP, CS, IP Exe Header để trao quyền điều khiển cho phần mã virus Ngoài hai kỹ thuật lây lan chủ yếu trên, có số virus sử dụng số kỹ thuật đặc biệt khác mã hố phần mã chương trình virus trước ghép chúng vào file để ngụy trang, chí thay số đoạn mã ngắn file đối tượng đoạn mã virus, gây khó khăn cho q trình khơi phục Khi tiến hành lây lan file, file đặt thuộc tính Sys (hệ thống), Read Only (chỉ đọc), Hidden (ẩn), phải tiến hành đổi lại thuộc tính để truy nhập, ngồi việc truy nhập thay đổi lại ngày cập nhật file, hầu hết virus lưu lại thuộc tính, ngày cập nhật file để sau lây nhiễm trả lại y nguyên thuộc tính ngày cập nhật ban đầu Ngồi ra, việc cố gắng ghi lên đĩa mềm có dán nhãn bảo vệ tạo dòng thơng báo lỗi DOS: Retry - Aboart - Ignoreô, không xử lý tốt dễ bị người sử dụng phát có mặt virus Lỗi kiểu DOS kiểm sốt bơng ngắt 24h, virus muốn tránh thông báo kiểu DOS tiến hành lây lan phải thay ngắt 24h DOS trước tiến hành lây lan sau hồn trả b Kỹ thuật đảm bảo tính tồn Cũng giống B-virus, yêu cầu nghiêm ngặt đặt F-virus tính tồn Trang 67 nhớ file Trong vùng nhớ, thông thường F-virus sử dụng hai kỹ thuật chính: Thứ tạo thêm chức cho DOS, cách sử dụng chức đặt chức lớn chức cao mà DOS có Ðể kiểm tra cần gọi chức này, giá trị trả lại ghi định tồn virus nhớ hay chưa Cách thứ hai so sánh đoạn mã vùng nhớ ấn định với đoạn mã virus, có chênh lệch có nghĩa virus chưa có mặt vùng nhớ tiến hành lây lan Trên file, có cách kiểm tra kiểm tra bơng test logic với thơng tin Entry thư mục file Cách không đảm bảo tính xác tuyệt đối song thiết kế tốt khả trùng lặp hạn chế, khơng có, ngồi ưu điểm tốc độ thực kiểm tra nhanh Ngồi kiểm tra bơng cách dò đoạn mã đặc trưng (key value) virus vị trí ấn định file, ví dụ byte cuối file c Kỹ thuật thường trú Ðây kỹ thuật khó khăn, lý DOS cung cấp chức thường trú cho chương trình, nghĩa cho phép chương trình thường trú Vì sử dụng chức DOS, chương trình virus muốn thường trú file đối tượng phải thường trú, mà điều khơng thể kích thước file đối tượng lớn Chính lý trên, hầu hết chương trình virus muốn thường trú phải thao tác qua mặt DOS chuỗi MCB phương pháp "thủ công" Căn vào việc thường trú thực trước hay sau chương trình đối tượng thi hành, chia kỹ thuật thường trú thành hai nhóm: - Thường trú trước trả quyền điều khiển Như nói trên, DOS không cung cấp chức cho kiểu thường trú này, chương trình virus phải tự thu xếp Các cách sau virus dùng đến: - Thao tác MCB để tách khối vùng nhớ khỏi quyền điều khiển DOS, dùng vùng để chứa chương trình virus - Tự định vị vị trí nhớ để tải phần thường trú virus vào, thường virus chọn vùng nhớ cao, phía phần tạm trú file command.com để tránh bị ghi đè hệ thống tải lại command.com Vì khơng cấp phát bọ nhớ cho phần chương trình virus thường trú, command.com hồn tồn có quyền cấp phát vùng nhớ cho chương trình khác, nghĩa chương trình thương trú virus phải chấp nhận mát may rủi - Thường trú chức thường trú 31h: Ðây kỹ thuật phức tạp, tiến trình cần thực mô tả sau: Trang 68 Khi chương trình virus trao quyền, tạo MCB khai báo phần tử trung gian chuỗi MCB để chứa chương trình virus, sau lại tạo tiếp MCB chương trình bị nhiễm bơng cách dời chương trình xuống vùng Ðể thay đổi PSP mà DOS lưu giữ thành PSP mà chương trình virus tạo cho chương trình đối tượng, phải sử dụng chức 50h ngắt 21h - Thường trú sau đoạt lại quyền điều khiển Chương trình virus lấy tên chương trình thi hành mơi trường DOS, thi hành thân Sau thi hành xong, quyền điều khiển lại trả cho virus, tiến hành thường trú cách bình thường bơng chức 31h ngắt 21h c Kỹ thuật ngụy trang gây nhiễu Một nhược điểm không tránh khỏi file đối tượng bị lây nhiễm virus bị tăng kích thước Một số virus ngụy trang cách sử dụng chức DIR DOS, virus chi phối chức tìm kiếm file (chức 11h 12h ngắt 21h) để giảm kích thước file bị lây nhiễm xuống, virus chi phối máy tính, sử dụng lệnh DIR DOS, lệnh sử dụng chức tìm kiếm file để có thơng tin entry bảng thư mục, thấy kích thước file bị lây nhiễm bơng kích thước file ban đầu, điều đánh lừa người sử dụng file Một số virus gây nhiễu bơng cách mã hố phần lớn chương trình virus, vào vùng nhớ, chương trình giải mã ngược lại Một số virus anti-debug bơng cách chiếm ngắt ngắt Bởi chương trình debug thực chất phải dùng ngắt ngắt để thi hành bước một, virus chiếm ngắt mà người lập trình dùng debug để theo dõi virus kết không lường trước d Kỹ thuật phá hoại Thông thường, F-virus sử dụng cách thức kỹ thuật phá hoại giống Bvirus Có thể phá hoại cách định thời, liên tục ngẫu nhiên Ðối tượng phá hoại hình, loa, đĩa, Phòng Chống Virus: Để phòng chống virus có nhiều cách khác nhau, cách phổ biến ngày sử dụng phần mềm diệt virus Symantec antivirus phần mềm diệt virus phổ biến 2.1 Cài Đặt Chương Trình Symantec Antivirus Server (Server Intall): Chạy file cài đặt setup.exe Màng hình welcome … xuất Trang 69 Chọn Next màng hình xác nhận quyền xuất chọn I accept … để tiếp tục trình cài đặt Chọn Next màng hình chọn lưa phương thức cài đặt xuất hiện: client server option chọn server intall Trang 70 Chọn next hộp thoại setup type xuất chọn complete để cài đặt đầy đủ tính chương trình Chọn Next hộp thoại select server group xuất hộp thoại này, khai báo thông tin sau: - server group: cho phép khai báo nhóm server - username: khai báo user cho phép đăng nhập server sau cài đặt - Password: cho phép khai báo password user đăng nhập Trang 71 Chọn next hộp thoại xác nhận password xuất hiện: gỏ lại password lại lần Chọn ok hộp thoại intall option xuất Trang 72 Chọn next hộp thoại ready to … xuất để xác lập lại trình cài đặt Chọn install để bắt đầu trình cài đặt 2.2 Cài Đặt Chương Trình Symantec System Center: a Chức năng: Đây chương trình cho phép quản lý symantec antivirus server symantec antivirus client Thơng qua chương trình thực chức quản lý như: - Cài đặt antivirus bảo vệ lỗ hổng bảo mật máy Trang 73 - Cho phép cập nhật symantec antivirus client defination Cài đặt chương trình bảo vệ máy trạm … b Cài đặt : Các bước cài đặt giống cài đặt synmantec server Tại hộp thoại select Chọn next … install để bắt đầu trình cài đặt Sau q trình cài đặt hồn tất chương trình u cầu khởi động lại máy : Trang 74 Chọn ok để khởi động lại máy 2.3 Cài Đặt Symantec Antivirus Client : Các bước cài đặt symantec client giống cài đặt symantec server khác hộp thoại client server option : chọn mục client intall Chọn next hộp thoại network setup type chọn managed next Trang 75 Hộp thoại select server : Chọn browse để tìm kiếm symantec server mà client cần kết nối đến : Trang 76 Chọn server cần kết nối đến ok chọn next để bắt đầu trình cài đặt Trang 77 Trang 78 ... quyền Giáo trình sử dụng làm tài liệu giảng dạy nội trường cao đẳng nghề Công nghiệp Hà Nội Trường Cao đẳng nghề Công nghiệp Hà Nội không sử dụng không cho phép cá nhân hay tổ chức sử dụng giáo trình. .. kinh doanh Mọi trích dẫn, sử dụng giáo trình với mục đích khác hay nơi khác phải đồng ý văn trường Cao đẳng nghề Công nghiệp Hà Nội CHƯƠNG TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG ... Client : 75 Trang CHƯƠNG TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG TỔNG QUAN VỀ AN TOÀN BẢO MẬT MẠNG: 1.1 Giới thiệu AAA: (Access Control, Authentication Auditing): Khi hệ thống mạng đời nhu cầu