Giáo trình gồm 5 chương tổng quan về bảo mật mạng, bảo mật với lọc gói IP, IPSEC, NAT, Virus và cách phòng chống. Với một số nội dung xác định những rủi ro và những mối đe dọa Computer, thiết kế Security cho các Computer, làm thế nào để tạo và quản lý Account an toàn, phân tích và thiết kế các chính sách an toàn cho Account, bảo mật với lọc gói IP, các tác động bảo mật, các bộ lọc IPSec, thiết lập NAT trên Windows Server 2003, cách thức lây lan và phòng chống virus... Mời các bạn cùng tham khảo giáo trình để tham khảo nội dung chi tiết.
Giáo trình mơn An Tồn Mạng Chương TỔNG QUAN VỀ BẢO MẬT MẠNG Một yếu tố quan tâm hàng đầu việc Thiết kế Security hệ thống thơng tin kiểm sốt chặt chẽ tất Computer tổ chức Vì chúng nơi cất giữ tài sản thơng tin có giá trị tổ chức Attacker trực tiếp cơng thẳng vào Computer lấy liệu quý báu Việc xác định mối đe dọa lỗ hỗng tất computer tổ chức điều thiết yếu cấp bách (Quan tâm đến Security cho Computer kể từ lúc mua, cất chúng vào kho - life Cycle) Hầu hết loại Computer khơng có kẽ hỡ thiếu an tồn vật lý, thân hệ điều hành phơi bày tử huyệt, miếng mồi ngon cho attacker Security Admin phải đảm bảo an toàn cập nhật đầy đủ miếng vá lỗi thiết lập hệ thống phòng thủ suốt q trình "sống" Computer A Xác định rủi ro mối đe dọa Computer Bảo mật suốt chu kì "sống" computer: Vòng đời computer trải qua giai đoạn sau: Tiến hành cài đặt: Trong suốt trình tiến hành cài đặt Hệ điều hành Ứng dụng, xâm nhập Virus, lỗi cấu hình nguy trực tiếp cho Computer Chú ý setup password cho tài khỏan built-in ADMINISTRATOR giai đoạn theo sách đặt password tổ chức Chúng ta có thói quen khơng tốt giai đoạn set password null (không đặt pssword) Xác lập sách bảo mật chuẩn (baseline security) theo quy định an tồn thơng tin tổ chức sau hoàn thành cài đặt Computer Bảo mật cho Computer có vai trò đặc biệt ví dụ Web server , Database Server Căn sách bảo mật chuẩn, security admin cần tăng cường xác lập bảo mật Computer đặc biệt nhằm tạo hệ thống bảo vệ tối đa đương đầu với kiểu cơng đa dạng phức tạp từ phía attackers Cập nhật security cho tất ứng dụng phát sinh lỗi Computer (thông thường update Service packs, securiry updates) Đây điều bắt buộc để nâng cao baseline security thiết lập Tạm biệt Computer: Kết thúc vòng đời, lúc đem Computer vào kho làm kỉ niệm giải phong cho cần phải security, attacker lấy thơng tin sót lại HDD, thiết bị Media khác để khai thác thơng tin sót lại này.Tầm quan trọng việc bảo mật cho Computer Những công từ bên ngoài: Khi admin cài đặt software computer mới, Virus lây nhiễm vào Computer trước Admin cài service pack bảo vệ hệ thống Virus khai thác Trang Giáo trình mơn An Tồn Mạng lỗ hổng xác định, cài tiếp vào hệ thống Trojan Horse (ví dụ Bo 2k) Admin hồn thành việc cài software đưa vào sử dụng mà Computer nằm tầm kiểm sốt attacker hệ thống Mạng tổ chức Hiểm họa từ bên trong: Admin chọn cách cài đặt cho Computer tổ chức cài đặt từ xa không cần phải theo dõi suốt trình cài đặt (unattended Installation) , cách cài đặt nhanh chóng tỏ "professional" Trong suốt trình cài đặt operating system qua Mạng này, tài khỏan Local administrator máy cài đặt chuyển qua Mạng dạng Clear-text (khơng mã hóa) Một nhân viên có chút trình độ hệ thống Network, thúc đẩy động bất hợp pháp cài cơng cụ nghe thâu tóm thông tin chuyển Mạng, đặc biệt Local Administrator Password (nếu admin Mạng tiến hành cài đặt qua Mạng cho Computer sếp password chuyển qua Mạng dạng cleart-text nguy to…vì liệu Manager important hầu hết có giá trị economic ) Đây rất, nhiều nguy attack từ bên Mạng nội Những mối đe dọa phổ biến: Mặc dù kĩ thuật bảo mật trang bị Computer, rủi ro lại đến từ yếu tố người kẽ hở quy trình làm việc với Computer Ví dụ attacker lấy thơng tin từ Đĩa cứng, truy cập vào máy tính qua ứng dụng (không cài đặt vá lỗi), mà nhân viên sử dụng, đặc biệt ứng dung connecting với Internet Chat, Internet Browser, E-mail… B Thiết kế Security cho Computer Những phương thức chung bảo mật Computer Tiến hành cài đặt an toàn từ ban đầu cho Hệ điều hành Ứng dụng theo hướng dẫn: Thực thi cấu hình bảo mật mặc định cho HDH ứng dụng Chỉ cài đặt ứng dụng dịch vụ cần thiết Server (ví dụ: khơng cài lung tung ứng dụng triễn khai dich vụ không cần thiết Mail, Web server tổ chức ) Xác lập bảo vệ cho tất tài khỏan mặc định hệ thống (ví dụ: tài khoản mặc định Administrator nên rename tên biết, set password phức hợp, có tác dụng lớn để đối phó với attacker cơng dạng Brute force password) Những file cài đặt cho HDH application phải an toàn, phải xác nhận (digitally sign) từ nhà cung cấp, dùng nhiều utility để kiểm tra vấn đề , ví dụ Sign verification… Tiến hành cài đặt phải Người có đủ độ tin cậy tổ chức Nên cô lập Mạng trình cài đặt Tạo Network riêng dành cho việc cài đặt phải cài đặt HDH, ứng dụng qua Mạng (ví dụ dùng dịch vụ RIS Microsoft ), điều thiết yếu tăng an tồn, chống lây nhiễm Virus từ bên Built-in account Administrator tạo qua Mạng từ unattended installation scripts khơng bị thâu tóm CD cài đặt HDH, ứng dụng nên tích hợp đầy đủ Service packs, security updates (vá lỗi trình cài đặt) Làm để cấu hình xác lập chuẩn bảo mật cho tổ chức (Security baseline) Trước triển khai Computer cho tổ chức, cần xác định security baseline Các security admin triển khai security baseline suốt trình cài đặt sau Trên Microsoft Windows 2000 Microsoft Windows XP, admin taọ triển khai security templates để đạt yêu cầu bảo mật cần thiết Tuân thủ hướng dẫn sau để tạo security baseline cho Computer : Tạo sách security baseline cho Computer theo quy định tổ chức an tồn thơng tin phục vụ cho quy trình nghiệp vụ Chính sách phải đảm bảo an toàn cho Computer, HDH ứng dụng nghiệp vụ… Trang Giáo trình mơn An Tồn Mạng Ví dụ: sách định tất HDH tổ chức phải chống kiểu công SYN-ACK (synchronize acknowledge) denial of service (DoS) công từ chối dịch vụ Một sách tốt hình dung vai trò Computer cần bảo vệ Tạo sẵn security templates mẫu, cho phép chỉnh sửa Ví dụ để bảo vệ HDH chống lại SYN-ACK attacks, đơn giản thêm vào Registry giá trị mong muốn nhằm thay đổi cách thức vận hành TCP/IP stack giao tiếp Mạng với Computer khác, chống công kiểu Vận hành thử Kiểm tra security templates Mỗi security template triển khai khơng có yếu tố gây cản trở HDH, dich vụ khác, xung đột với ứng dụng Triển khai security templates cho Computer thông qua công cụ command Secedit Group Policy, tự động hóa triển khai cho hàng loạt Computer thông qua Group Policy Active Directory Domain (GPO) Security cho Computer có vai trò đặc biệt Admin cài đặt Ứng dụng dịch vụ phụ thuộc vào vai trò Computer Như Computer đặc biệt cần có Security baseline tương đối khác để phù hợp với dịch vụ vận hành Ví dụ: Web server chạy dịch vụ Internet Information Services (IIS) cho phép hàng ngàn truy cập ngày từ Internet với mối nguy hiểm ln rình rập Ngược lại File server khơng chạy dịch vụ IIS truy cập user mạng nội Thiết kế bảo mật cho Computer có vai trò đặc biệt đòi hỏi có kinh nghiệm am hiểu chi tiết ứng dụng dịch vụ mà chúng vận hành Ví dụ Windows 2000 administrator khơng có kiến thức để hiểu cách hoạt động database server Microsoft SQL Server 2000, cho dù cài đặ Windows 2000 Phải đảm bảo cá nhân chịu trách nhiệm thiết kế bảo mật cho Server có hiểu biết cần thiết kinh nghiệm đáp ứng yêu cầu bảo mật cua tổ chức Và đảm bảo tổ chức có sách sẵn sàng, quản lý bảo mật cho server ày chúng thay đổi vai trò hoạt động ví dụ File Server triển khai lại thành Web server Những Phương pháp chung để áp dụng Security Updates (cập nhật security) Có thể dùng phương pháp sau để tiến hành cập nhật security cho Computer Mạng Dùng tính Windows Update: Để scan Computer, đảm bảo tất security updates nhất, thành phần liên quan đến Windows (Windows components) , driver cho thiết bị cài đặt Để sử dụng Windows Update phải thành viên nhóm Administrators Nếu phải scan nhiều máy Mạng từ location, sử dụng tool: MBSA (Microsoft Baseline Security Analyzer) hãng Shavlik, partner Microsoft Hoặc chuyên dụng cung cấp giải pháp scan bảo mật tồn diện dùng GFI Languard network security scanner GFI, phổ biến với Admin Office Update: Scan cập nhật secuirty cho sản phẩm Microsoft Office Vá lỗi cho sản phẩm việc quan mà Security admin cần ý Chỉ thành viên nhóm Administrators đuợc dùng tính Dùng Group Policy: Nếu triển khai security updates cho hàng loạt Computer môi trường Active directory domain, admin sử dụng sách Domain GPO cho OU Domain Khi dùng Group Policy, User khơng cần phải làm động tác thơng qua Active Directory service, Group Policy thực hoàn toan tự động Dùng dịch vụ Microsoft Windows Software Update Services (WSUS/SUS): Server cài đặt dịch vụ này, xem trung tâm phân phối security updateas cho Computer Trang Giáo trình mơn An Tồn Mạng Mạng Admin cấu hình Computer để tự động download security updates lập lịch biểu (scheduling) download từ WSUS server Dùng tính Feature Pack (Microsoft Systems Management Server (SMS) Update Services Feature Pack) có dịch vu SMS: Bao gồm Wizard hướng dẫn đóng gói Security updates triển khai chúng đến Computer thông qua kho lưu trữ Software Inventory.Windows Update: Cập nhật service pack, security updates cho HDH Dùng cho môi trường nhỏ SOHO.Office Update: Cập nhật service pack, security updates cho Office 2000/XP Dùng cho môi trường nhỏ SOHO Group Policy: Triển khai cho Computer dùng Windows 2000 /Windows XP Active Directory Domain Đóng gói service packs security updates (thành định dang file MSI) Bằng cách dùng sách software installation policies WSUS: Câp nhật Security updates dựa sách Group Policy Domain, cho Computer dùng Windows 2000/Windows XP SMS update services feature pack: Tất SMS client Computer kết nối đến SMS update services feature pack SMS server để cập nhật Service packs security updateschính sách an tồn Account cho Computer (Security Account Policies) Ở phần trước giới thiệu phương thức chung để bảo vệ máy tính tổ chức Phần tơi trình bày phương thức cụ thể theo trình tự, từ trình setup hệ thống, vận hành hệ thống dựa sách an tồn từ basic kĩ advance mà Security Admin cần quan tâm để áp dụng vào việc xây dựng quy trình an tồn thơng tin cho tổ chức Phần trình bày xin đề cập đến vấn đề an ninh account (account security) cách thức tạo account an toàn nhằm đối phó với kiểu cơng phổ biến hiệu trợ giúp công cụ phù thủy… Chính sách account cách thức tạo account nghèo nàn đường dễ dàng cho attacker, hình thức bảo mật khác áp dụng vào hệ thống trang bị công cụ chống maleware (prevent virus, worm, spyware, ad-ware ), triển khai hệ thống phòng thủ Mạng (Firewall) khơng có tác dụng đáng kể, Admin q thờ cách thức tạo account đưa sách tạo account chứa đựng nhiều rủi ro Yêu cầu xác định sách tạo password mạnh đưa chiến lược an toàn account áp dụng vào an tồn thơng tin tổ chức vấn đề mang tính cấp bách C Làm để tạo quản lý Account an toàn Những yếu tố cho thấy cách thức tạo quản lý Account cho an toàn Account phải bảo vệ password phức hợp ( password length, password complexity) Chủ sở hữu account cung cấp quyền hạn truy cập thông tin dịch vụ cần thiết (không thiếu quyền hạn mà để thừa) Mã hóa account giao dịch Mạng (kể giao dịch Mạng nội bộ) Lưu trữ account an toàn ( định database lưu giữ tai khoản phải đặt hệ thống an toàn mã hóa) Huấn luyện nhân viên, người trực tiếp sử dụng Computer cách thức bảo mật account tránh rò rĩ (attacker lợi dụng mối quan hệ với nhân viên giả danh phận kĩ thuật hỗ trợ xử lí cố hệ thống từ xa để khai thác ), hướng dẫn cách thức thay đổi password cần thiết tránh tuyệt đối việc ghi lại account stick-notes gián bừa bãi Monitorhoặc Keyboard ), Khóa (lock) Computer khơng sử dụng, mặc định máy tính thường có sách tự động lock computer sau mơt thời gian không sử dụng, để giúp cho nhân viên hay quên tránh lỗi bảo mật sơ đẳng (lỗi giống việc khỏi nhà mà khơng khóa cửa) Những người tạo quản lý account (đặc biệt account hệ thống – System accounts, account vận hành, kiểm soát dịch vụ - service accounts) cho toàn tổ chức người xem AN TỒN TUYỆT ĐỐI Trang Giáo trình mơn An Toàn Mạng Disable account tạm thời chưa sử dụng, delete account khơng sử dụng Tránh việc dùng chung Password cho nhiều account Khóa (lock) account sau số lần người sử dụng log-on không thành công vào hệ thống Có thể khơng cho phép số account quản trị hệ thống dịch vụ, không logon từ xa (remote location log-on), hệ thống dịch vụ quan trọng thông thường cho phép kiểm soát từ bên (internal Network), có nhu cầu quản trị support từ xa Security Admin dễ dàng thay đổi sách để đáp ứng nhu cầu Các Security admin log-on vào Server nên dùng account có quyền hạn thấp, cần quản trị hay vận hành dịch vụ, nên dùng account System Service (ví dụ Microsoft Windows hỗ trợ command run as thông qua run as service phép độc lập quản trị thành phần hệ thống, dịch vụ mà không cần phải log-on vào máy ban đầu account admin) Điều giúp tránh chương trình nguy hiểm lọt vào máy tính chạy với quyền admin, admin thật Computer gặp nhiều rắc rối Vá tất lỗ hỗng hệ thống để ngăn chặn kiểu công "đặc quyền leo thang" (bắt đầu lọt vào hệ thống với account thơng thường sau leo thang đến quyền cao nhất) Trên phần trực quan mà Admin Security cần hình dung cụ thể thiết kế sách bảo mật account (account security policies) Một sách bảo vệ hệ thống cần phải xem xet kĩ lưỡng thông thường dễ lơ chí coi nhẹ, mà thực hầu hết đường xâm nhập vào hệ thống qua khai thác Credentials (có thơng tin account), attacker nắm vulnerabilities ( yếu điểm ) này, nên lợi dụng khai thác hiệu D Phân tích thiết kế sách an tồn cho account Phân tích rủi ro xác định mối đe dọa account: Account cho User xác định hành động mà User thực Việc phân loại account cấp độ bảo vệ thích hợp khác Các account hệ thống nhận loại quyền bản: + User rights (Quyền hệ thống): Là loại đặc quyền mà User hệ thống cho phép thực thi hành động đặc biệt (ví dụ: Quyền Backup Files Và Folders, thay đổi thời gian hệ thống, shutdown hệ thống…) Trên Windows bạn type command secpol.msc RUN, để open Local Security Settings local policies User rights assignment nơi xác lập User rights hệ thống + Permissions (Quyền truy cập): Được kiểm soát DACLs (Discretionary access control lists) hệ thống, phép truy cập vào File/Folder hay Active Directory objects (trong Domain) (ví dụ User A quyền Read/Modify Folder C:Data, User B Full Control OU Business ) Chú ý việc cấp phát Permission cho account, nên đưa account vào Group để dễ kiểm soát, tránh việc phân quyền mang tính cá nhân cho account Điều tăng cường khả kiểm sốt account, số lượng account hệ thống (Local hay Domain) tăng lên việc tổ chức tạo an tồn dễ kiểm sốt Những kẽ hở từ Account tạo hội cho attacker: Password: Password yếu (độ dài password ngắn, kí tự đơn giản, lấy ngày tháng năm sinh, tên phim, địa danh, nhân vật tiếng , đặt cho password) Dùng password cho nhiều account password dán bừa bãi lên Monitor/Keyboard, lưu password vào text file không bảo vệ Chia password hệ thống cho bạn đồng nghiệp… Cấp phát đặc quyền: Trang Giáo trình mơn An Tồn Mạng Cấp phát đặc quyền Administrator cho User Các services hệ thống không dùng Service account Cấp phát User right không cần thiết cho account Việc sử dụng account: Log-on vào máy với account Administrators thi hành tác vụ thông thường Tạo User account cho phép quyền quản trị tài khoản khác Kích hoạt tài khoản khơng sử dụng (ví dụ nhân viên nghỉ việc, tài khỏan lưu hành hệ thống ) Thiết kế sách tạo Password đáp ứng bảo mật cho Account: Chính sách tạo password cho an toàn thực sư yếu tố để bảo vệ tài khoản Chính sách bao gồm yếu tố sau: + Thời gian tối đa sử dụng password (maximum password age): Hạn sử dụng tối đa password trước user phải thay đổi password Thay đổi password theo định kì giúp tăng cường an toàn cho tài khoản + Thời gian tối thiểu password phải sử dụng trước thay đổi (minimum password age) Admin thiết lập thờigian khoảng vài ngày, trước cho phép user thay đổi password họ + Thực thi password history: Số lần password khác biệt phải sử dụng qua, trước quay lại dùng password cũ Số Password history cao độ an tồn lớn + Chiều dài password tối thiểu (minimum password length) cần phải đặt Càng dài an toàn + Password phải đạt yêu cầu phức hợp: không độ dài mà độ phức hợp kí tự đặt password (ví dụ bạn thấy khác biệt password P@ssW0rd) Khi dùng password phức hợp cần quan tâm: + Không sử dụng họ tên + Chứa kí tự + Có thể đan xen chữ hoa,(A Z) thường (a z), kí tự đặc biệt như: !@#$%^&*() Account lockout: Sẽ bị khóa tài khoản thời gian định, sau số lần log-on không thành công vào hệ thống Mục đích sách nhằm ngăn chặn công dạng brute force vào account để dò password Trên vấn đề cốt lõi việc tạo quản lý Account cho an toàn, nhằm đáp ứng yêu cầu khắt khe sách an tồn thơng tin tổ chức Security Admin thiết nghĩ vấn đề khơng nên chễnh mãng thờ ơ, "ngõ vào" mà attacker ưu tiên việc thăm dò, khai thác yếu điểm hệ thống Trang Giáo trình mơn An Tồn Mạng Chương BẢO MẬT VỚI LỌC GÓI IP Giới thiệu gói lọc Static fillter packet: Nói chung, router (bộ định tuyến) thiết bị liên mạng chuyên dụng vốn chạy hệ điều hành chuyên biệt (Ví dụ Cisco IOS) để chuyển gói hai nhiều đoạn mạng tách biệt Nó hoạt động lớp network mơ hình tham chiếu OSI lớp Internet mơ hình TCP/IP Do đó, định tuyến gói IP cách tham khảo bảng vốn định đường dẫn tốt mà gói IP qua để tiến đến đích Chính xác hơn, router nhận gói IP giao diện mạng chuyển tiếp giao diện mạng khác Nếu router biết giao diện để chuyển tiếp gói đó, Nếu khơng, khơng thể định tuyến gói Trong trường hợp này, router thường trả gói cách sử dụng thông báo ICMP destination unreachable đến địa IP nguồn Bởi gói IP chứa địa IP nguồn đích, gói bắt nguồn định cho host đoạn mạng cụ thể lọc cách có chọn lựa thiết lọc gói Cũng vậy, giao thức lớp Transport chẳng hạn TCP UDP thêm số cổng nguồn đích vào đoạn khối liệu dạng phần thông tin tiêu đề chúng Những số cổng định tiến trình mà host sau nhận liệu đóng gói gói IP Thơng tin sử dụng để lọc gói IP cách có chọn lọc Vào cuối năm 1980 đầu năm 1990, số bà tham luận báo khoa học xuất mơ tả cách sử dụng lọc gói nhằm cung cấp dịch vụ kiểm soát truy cập cho intranet công ty Một số tham luận thực mơ tả việc sử dụng tính lọc gói mơ hình firewall ban đầu AT&T Digital Equiment Corporation (DEC) Ngày nay, hầu hết sản phẩm router thương mại (ví dụ router Cisco) cung cấp khả trắng gói IP lọc chúng phù hợp với tập hợp qui tắc lọc gói Các router đơi gọi router trắng Nói chung, router trắng cung cấp chế hiệu để kiểm sốt loại lưu lượng mạng vốn vào đoạn mạng cụ thể Bằng cách kiểm sốt loại lưu lượng mạng vốn vào đoạn mạng, kiểm sốt loại dịch vụ vốn hữu Các dịch vụ mà sau làm tổn hại đến bảo mật đoạn mạng giới hạn cách hiệu Như đề cập trên, gói IP thường lọc dựa vào thơng tin tìm thấy tiêu đề gói: - Các số giao thức - Các địa IP nguồn đích - Các số cổng nguồn đích - Các cờ nối kết TCP - Một số tùy chọn khác Chú ý router thường không xem xét số cổng (TCP UDP) đưa định đường truyền, thực mục đích lọc, biết số cổng nguồn đích cho phép lọc có chọn lựa dựa vào dịch vụ sử dụng Ví dụ, server Telnet lắng nghe cổng 23, server SMTP thường lắng nghe cổng 25 Tính lọc có chọn lựa theo số cổng tận dụng cách cổng gán Mặc dù server Telnet sử dụng công 23 phần lớn thời gian, số cổng client Telnet Trang Giáo trình mơn An Tồn Mạng khơng cố định gán động Trong môi trường UNIX Linux chẳng hạn, cổng client gán số lớn 1023 Cũng ý router trắng lọc cờ kết nối TCP, cờ SYN ACK cờ thường sử dụng nhiều để lọc gói (đây hai cờ xác định chung việc kết nối TCP thiết lập nội biên ngoại biên hay khơng) Ví dụ, tất đoạn TCP ngoại trừ đoạn (nghĩa thông báo yêu cầu kết nối TCP) mang cờ ACK Thật khơng may, khơng phải tất router trắng lọc gói IP dựa vào tất trường tiêu đề đề cập Ví dụ, số router trắng xem xét cổng nguồn gói IP Điều làm cho qui tắc lọc gói trở lên phức tạp tạo lổ hổng toàn sơ đồ lọc gói Ví dụ, có cố site muốn cho phép lưu lượng SMTP nội lẫn ngoại biên cho email Hãy nhớ trường hợp client thiết lập kết nối SMTP với server, số cổng nguồn client chọn ngẫu nhiên 1024 số cổng đích 25, cổng mà server SMTP thường đặt Kết quả, server SMTP trả gói IP với số cổng nguồn 25 số cổng đích với số cổng chọn ngẫu nhiên client Trong tình này, lọc gói phải cấu hình phép số cổng đích nguồn lớn 1023 qua theo hai hướng Nếu router lọc cổng nguồn, ngăn chặn lưu lượng SMTP đến cổng đích lớn 1023 cổng nguồn ngoại trừ 25 Tuy nhiên, khơng có khả này, router khơng thể xem xét cổng nguồn phải cho phép lưu lượng SMTP đến cổng đích lớn 1023 số cổng nguồn tùy ý Kết quả, người dùng hợp lệ có ý đồ xấu lợi dụng tình chạy server cổng lớn 1023 để tránh sách truy cập dịch vụ áp đặt lọc gói Ví dụ, server Telnet vốn thường lắng nghe cổng 23 yêu cầu lắng nghe cổng 7777 Những người dùng Internet sau sử dụng client Telnet thông thường để kết nối với server nội lọc gói ngăn chặn cổng đích 23 Ngồi thơng tin tiêu đề tuân theo hạng mục trên, số thiết bị lọc gói cho phép nhà quản trị xác định qui tắc lọc gói dựa vào giao diện mạng mà gói thực vào giao diện mà gói định để rời khỏi Khả xác định lọc giao diện nội biên ngoại biên cho phép nhà quản trị có kiểm sốt đáng kể nơi mà lọc gói xuất toàn sơ đồ tiện lợi cho việc lọc hữu dụng router trắng có hai giao diện mạng Thật khơng may, lý hiệu suất, tất router trắng lọc giao diện nội biên ngoại biên nhiều router thực thi tính lọc gói giao diện ngoại biên Chú ý gói IP đi, qui tắc lọc định giao diện để tiếp tục gửi gói Tuy nhiên, vào thời điểm router khơng biết giao diện mà gói vào, làm số thơng tin quan trọng Các router trắng lọc gói IP theo tập hợp qui tắc lọc gói Một cách xác hơn, gói IP đến giao diện mạng thiết bị lọc, tiêu đề cố phân tích Mỗi qui tắc lọc gói áp dụng vào gói theo thứ tự mà qui tắc lọc gói lưu trữ Nếu qui tắc ngăn chặn việc truyền nhận gói, gói khơng cho phép Nếu qui tắc cho phép truyền nhận gói, gói cho phép tiến hành Nếu gói khơng đáp ứng qui tắc, phép bị ngăn chặn phụ thuộc vào qui tắc "mặc định" firewall Nói chung, client có qui tắc vốn ngăn chặn gói IP khơng phù hợp với qui tắc khác Các lọc gói khơng có trạng thái nghĩa gói IP phải kiểm tra tách biệt với xuất trước (và xảy sau này), buộc lọc đưa định phép từ chối gói cách riêng lẻ dựa vào qui tắc lọc gói Các router thường tối ưu hóa để xáo trộn nhanh gói IP Các lọc gói router trắng thời gian làm thất bại tồn lỗ lực tối ưu hóa Thực tế, việc lọc gói hoạt động chậm vốn giảm đáng kể lưu lượng định tuyến Việc ghi chép gói IP xuất mà khơng liên quan đến lịch sử cho phép ghi chép kết Trang Giáo trình mơn An Tồn Mạng hit khác theo hiệu suất Việc lọc ghi chép gói thường khơng kích hoạt router chủ yếu để đạt thông lượng hiệu suất tốt Nếu kích hoạt sử dụng, việc lọc ghi chép gói thường cài đặt giao diện miền quản lý khác Một số ví dụ gói lọc Cấu hình bảo mật IP: Cấu trúc IP gồm toàn giao thức bảo mật Bộ giao thức bao gồm giao thức IPSec giao thức IKE Các giao thức IPSec gồm hai giao thức: AH (Authentication Header) ESP (Encapsulating Security Payload) Tương tự, giao thức IKE phát triển từ hai đề xuất giao thức quản lý khóa (là ISAKMP OAKLEY) Một tổng quan cấp cao cấu trúc bảo mật IP trình bầy hình bên Tóm lại, module IPSec module (phần cứng phần mềm) vốn thực thi cấu trúc IPsec giao thức Mục đích monitor IPsec bảo vệ lưu lượng IP vốn gửi đến nhận từ module IPsec khác Về điều có nghĩa theo dịch vụ bảo mật chế bảo mật xác định liên kết bảo mật (SA) tương ứng IPsec sử dụng SA Ở hai phía SA, tham số bảo mật SA (ví dụ thuật tốn mã hóa khóa session) lưu trữ sở liệu liên kết bảo mật (SAD) Một SA mục tương ứng SAD tạo index với ba giá trị: - Một index tham số bảo mật (SPI); - Một địa đích IP; - Một nhận dạng giao thức bảo mật (là AH ESP) Hình 2.1: Tổng quan cấp cao cấu trúc bảo mật IP Cấu trúc IPsec cho phép người dùng nhà quản trị hệ thống kiểm soát độ chi tiết hóa mà dịch vụ bảo mật cung cấp Trong chuỗi RFC đầu tiên, ba phương pháp hướng đến cách cung cấp cho SA tham số bảo mật khóa mật mã phân biệt: Trang Giáo trình mơn An Tồn Mạng Bấm next để tiếp tục tiến trình cài đặt, sau kết thúc xuất hộp thoại thông báo 2.2 Cấu hình NAT Để cấu hình NAT bạn mở Routing and Remote Access mmc Administrative Tools folder Control Panel hay Start menu Kích chuột vào interface bạn muốn cấu hình để cửa sổ properties để thay đổi thông số packet filtering hay port blocking, enabling/disabling đặc tính firewall Trang 21 Giáo trình mơn An Tồn Mạng Trong ví dụ tơi chọn interface public interface kết nối đến internet NAT basic firewall option chọn Các nút inbound outbound mở cửa sổ cho phép bạn giới hạn traffic dựa địa IP Protocol Để cấu hình thêm firewall , lựa chọn tab Services and Ports Tại bạn lựa chọn dịch vụ bạn muốn cho user mạng bạn truy cập vào Trang 22 Giáo trình mơn An Tồn Mạng Như bạn thấy Network Address Translation đặc tính khả dụng cho phép khơng tiết kiệm địa mà thêm vào bảo mật mạng bạn Với việc IPv6 trình nghiên cứu phát triển việc sử dụng NAT tồn lâu dài Trang 23 Giáo trình mơn An Tồn Mạng Chương VIRUS VÀ CÁCH PHÒNG CHỐNG Giới thiệu tổng quan virus 1.1 Virus máy tính ? Virus máy tính chương trình máy tính có khả tự chép từ đối tượng lây nhiễm sang đối tượng khác (đối tượng file chương trình, văn bản, máy tính ) Virus có nhiều cách lây lan tất nhiên có nhiều cách phá hoại, cần bạn nhớ đoạn chương trình đoạn chương trình thường dùng để phục vụ mục đích khơng tốt Virus máy tính người tạo ra, thực ngày coi trở thành bệnh dịch cho máy tính người bác sĩ, phải chiến đấu với bệnh dịch tìm phương pháp để hạn chế tiêu diệt chúng Cũng vấn đề ngồi xã hội, khó tránh khỏi việc có loại bệnh mà phải dày cơng nghiên cứu trị được, có trường hợp gây hậu khơn lường Chính vậy, phương châm "Phòng chống" ln virus máy tính 1.2 Virus máy tính lây lan ? Virus máy tính lây vào máy tính bạn qua email, qua file bạn tải từ Internet hay copy từ máy khác về, lợi dụng lỗ hổng phần mềm để xâm nhập từ xa, cài đặt, lây nhiễm lên máy tính bạn cách âm thầm Email đường lây lan virus chủ yếu phổ biến Từ máy tính, virus thu thập địa email máy gửi email giả mạo có nội dung hấp dẫn kèm theo file virus để lừa người nhận thực thi file Các email virus có nội dung hấp dẫn, virus trích dẫn nội dung email hộp thư nạn nhân để tạo phần nội dung email giả mạo, điều giúp cho email giả mạo “thật” người nhận dễ bị mắc lừa Với cách hoàn toàn tương tự máy nạn nhân khác, virus nhanh chóng lây lan tồn cầu theo cấp số nhân Máy tính bạn bị nhiễm virus bạn chạy chương trình tải từ Internet hay copy từ máy tính bị nhiễm virus khác Lý chương trình bị lây virus thân virus giả dạng nên bạn chạy lúc bạn tự mở cửa cho virus lây vào máy Quá trình lây lan virus diễn cách "âm thầm" (bạn khơng nhận điều sau thực xong cơng việc lây lan, chương trình bị lây nhiễm chạy bình thường) hay diễn cách "công khai" (virus thông báo trêu đùa bạn) kết cuối máy tính bạn bị nhiễm virus cần đến chương trình diệt virus để trừ khử chúng Nếu bạn vào trang web lạ, trang web chứa mã lệnh ActiveX hay JAVA applets, VBScript đoạn mã cài đặt Adware, Spyware, Trojan hay chí virus lên máy bạn Vì vậy, chúng tơi khun bạn tình bạn nên cẩn thận, không vào địa web lạ Tuy nhiên virus phát triển theo trình tự lịch sử tiến hoá từ thấp đến cao Những virus lây vào máy tính bạn mà bạn khơng hay biết bạn khơng nhận email virus, không vào web lạ hay chạy file chương trình lạ Đơn giản virus khai thác lỗi tiềm ẩn phần mềm chạy máy tính bạn (ví dụ: lỗi tràn đệm…) để xâm nhập từ xa, cài đặt lây nhiễm Các phần mềm (kể hệ điều hành) chứa đựng lỗi tiềm tàng mà khơng phải lúc dễ dàng phát Các lỗi phát gây cố khơng lớn, lỗi nghiêm trọng khơng lâu sau thường có hàng loạt virus đời khai thác lỗi để lây lan Trang 24 Giáo trình mơn An Tồn Mạng Đến bạn tự hỏi: "Vậy làm để máy tính tơi khơng bị nhiễm virus ?" Lời khuyên dành cho bạn là: Bạn phải chặn virus đường lây lan chúng Bạn cận thận với file gửi kèm email, khơng chạy chương trình khơng rõ nguồn gốc tải từ Internet chương trình copy từ máy khác, cập nhật sửa lỗi cho phần mềm chạy máy tính bạn, điều quan trọng cập nhật thường xuyên chương trình diệt virus 1.3 Virus máy tính phá hoại ? Đây chắn điều băn khoăn bạn chẳng may máy tính bạn bị nhiễm virus Như chúng tơi nói, dù hay nhiều virus dùng để phục vụ mục đích khơng tốt Các virus hệ tàn phá nặng nề liệu, ổ đĩa, hệ thống, đơn giản câu đùa vui hay nghịch ngợm đôi chút với hình hay chí nhân thật nhiều để "ghi điểm" Tuy nhiên virus khơng tồn Các virus ngày thường phục vụ cho mục đích kinh tế phá hoại cụ thể Chúng lợi dụng máy tính bạn để phát tán thư quảng cáo hay thu thập địa email bạn Cũng chúng sử dụng để ăn cắp tài khoản ngân hàng, tài khoản hòm thư hay thơng tin nhân quan trọng bạn Cũng chúng sử dụng máy bạn công cụ để công vào hệ thống khác công vào hệ thống mạng bạn sử dụng Đôi bạn nạn nhân thực mà virus nhắm vào, đơi bạn vơ tình trở thành "trợ thủ" cho chúng công vào hệ thống khác Cách thức lây lan phòng chống virus Bạn thường khơng hiểu virus lại nhiễm vào máy cài đặt antivirus cẩn thận Vậy chúng lây lan qua đường phải phòng tránh sao? 2.1 Lây lan qua USB Virus thường tạo tệp autorun.inf thư mục gốc USB hay đĩa mềm bạn Khi phát có thiết bị lưu trữ cắm vào (USB, CD, Floppy Disk… ), Window kiểm tra tệp autorun.inf nằm đó, có tự động thực dòng lệnh theo cấu trúc xếp trước Tệp autorun.inf thông thường có nội dung: [autorun] open=virus.exe icon=diskicon.ico Câu lệnh tự động thực thi tệp có tên virus.exe (tệp virus) thiết lập icon ổ đĩa diskicon.ico Những tệp nằm thư mục gốc thiết bị lưu trữ Giả sử ổ USB bạn ổ G tệp nẳm G:\virus.exe Khi cắm usb vào, máy tính chạy tệp G:\virus.exe chưa config cách Cách ngăn chặn: Để disable chế độ tự động autorun, bạn vào Start – Run, gõ regedit ấn Ok, bên tay trái, bạn truy cập vào khóa: - HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer - Bên tay phải bạn kích đúp vào biến NoDriveTypeAutoRun (nếu chưa có bạn tạo thêm) chỉnh lại thành FF để vơ hiệu hóa autorun tất ổ đĩa - Nhấp OK restart lại máy để có hiệu lực Tuy nhiên hạn chế tính tự động tệp autorun Nếu USB có tệp autorun mà bạn kích đúp vào ổ window chạy Vì bạn nên dung phương thức khác để truy cập vào USB mà khơng cần kích đúp, nên sửa thói quen truy cập gây hại thay vào chuột phải, chọn Open Nếu phát USB có virus (hay tệp autorun), bạn vào cmd gõ lệnh sau để xóa (phải gõ lệnh theo tuần tự): Trang 25 Giáo trình mơn An Tồn Mạng - attrib -s -h [ổ đĩa:\]autorun.inf - del [ổ đĩa:\]autorun.inf Lệnh đầu dùng để gỡ bỏ thuộc tính ẩn autorun.inf, lệnh sau có tác dụng xóa autorun.inf Nếu bạn dung lệnh del cmd khơng phát autorun.inf lệnh không thực thi 2.2 Lây lan qua Yahoo!Messenger Những loại virus kiểu có thời thịnh hành Việt Nam khả lây lan với tốc độ cao Thỉnh thoảng bạn gặp vài tin nhắn hấp dẫn bạn bè gửi cho sau đường link đến trang web lạ Đại loại như: click vào đi, hay http://[web link]… Và khơng cảnh giác vơ tình click vào, cửa sổ IE bạn bị cứng lại vài giây Virus tự động down máy kích hoạt, vài giây sau bạn gửi tin nhắn vơ tình gây hại cho người khác giống bạn bè bạn Cách ngăn chặn: Virus dạng sử dụng đoạn VBScript gắn link web gửi có tác dụng tự động download file exe máy kích hoạt - Hiện phần lớn trình duyệt khơng hỗ trợ VbScript, có Internet Explorer (trình duyệt mặc định Window) từ trở xuống hỗ trợ loại mã Nên tốt bạn nên tải IE trở lên sử dụng trình duyệt khác có tính bảo mật FireFox, Opera… - Ngồi trước link lạ, bạn xem qua source để khẳng định khơng có nguy hiểm, bạn sử dụng trang xem trước mã html (www.viewhtml.com) Nên ý từ khóa đặc biệt như: vbscript, exe… Tuy nhiên phương pháp tỏ khơng hiệu trang web embed thêm số url khác, sau loạt url embed đến link trang web chứa script 2.3 Lây lan qua trình duyệt truy cập web Giống cách lây lan qua Yahoo Messenger, bạn truy cập vào đường link (một trang web) đó, bạn vơ tình vào phải trang web bị nhiễm mã độc (dạng VBScript) Cách giải giống trên, sử dụng trình duyệt có tính bảo mật tốt khơng hỗ trợ vbscript để truy cập web 2.4 Lây lan qua Email, Outlook Express Tiện ích email khơng lạ rồi, bạn hay check mail, công việc khiến bạn phải tiếp xúc với email nhiều Bạn khó phân biệt email có nội dung tốt, xấu spam Hacker lợi dụng email để “giả dạng” e mail với môt địa mà họ muốn, với nội dung thiệp, file attach hay đường link Đó file malware gây nguy hiểm cho máy tính Vậy để nhận dạng? Cách ngăn chặn: Phần chủ yếu dựa kinh nghiệm hiểu biết bạn Bạn nên cảnh giác với mail có nội dung chung chung Giả sử phần đầu mail khơng có phần Gửi/Chào… Hoặc không ghi rõ tên: Gửi bạn/Chào bạn… mail dạng mà kèm theo attach file hay đường link bạn đừng nên down về, bạn nên quét virus cẩn thận trước chắn mở 2.5 Lây lan vào tệp tin thực thi Một ngày chủ nhật đó, bạn lướt web tìm kiếm phần mềm tiện ích để download Những trang web bạn truy cập trang web (khơng chứa mã độc, khơng có virus trang web có uy tín) Nhưng dù vậy, bạn có nguy bị dính virus mà khơng biết bị Vì lý đó, chương trình ứng dụng gốc sau chuyển dịch từ server lên server khác… bị “đính” thêm virus vào (đánh tráo thành tệp bị nhiễm virus) Bạn có nguy hiểm hay khơng mà mẩy may bật vào, lập tức, virus extra thực thi máy bạn từ file cài đặt ứng dụng Trang 26 Giáo trình mơn An Toàn Mạng Cách ngăn chặn: Hacker sau download ứng dụng nguyên từ mạng về, sử dụng phần mềm “exe joiner” để đính tệp exe vào với Rồi tiếp tục đem lên trang web khác phát tán ứng dụng đính virus Nguyên lý việc đính exe hiểu đơn giản sau: - Virus quẳng vào cuối file ứng dụng (hoặc nơi khơng làm ảnh hưởng tới tiến trình) - Sau chạy ứng dụng, virus tự động extra thư mục temp (thư mục tạm window) tự động chạy tệp exe vừa extra Cách ngăn chặn việc khó, hacker có trăm phương nghìn kế để che mắt Ta “xem qua” tính an toàn ứng dụng Nếu bạn biết qua cấu trúc tệp exe biết phần MZ đầu tệp exe, đính vào ứng dụng có phần dấu hiệu nhận biết Thơng thường tệp exe có cụm chữ MZ, có cụm phía trước có dấu hiệu lạ tệp setup bị “dính virus” Bạn nên xóa tệp báo cho nhà cung cấp nơi lưu trữ ứng dụng biết để không làm nhiều người khác bị nhiễm Trên thực tế phần mềm diệt virus có tính nhận dạng kiểu “đính” virus lộ liễu Nhưng khả phòng thủ cơng ln ln song hành nên bạn khó lòng tránh khỏi Bài viết giúp bạn nắm bắt qua số nguyên nhân khiến máy nhiễm virus, giúp bạn có chút kiến thức tự phòng tránh & ngăn chặn Phòng chống Virus lây lan qua USB Flash Drive Hiện cắm USB Flash Drive (ổ USB) vào máy tính có đến 90% bị nhiễm virus (tạm gọi virus USB), điều gây nên nhiều tổn thất lớn Thực tế, cách thức công chất phác virus không đáng gây nên tổn thất vậy, vấn đề ý thức ngây thơ người dùng điều kiện dung túng cho virus phát tán 3.1 Virus phát tán qua ổ USB nào? Cơ chế thứ - Autorun (tự chạy) Nếu bạn đẩy đĩa CD vào khay chờ chút, chương trình cài đặt lên, thứ bắt đầu Nếu tinh ý bạn thấy có chế tự động (Autorun) đằng sau đó, chắn nhiều có chương trình thực thi Chuyện xảy chương trình vừa chạy chương trình xấu, chứa dòng mã hiểm độc nhằm hủy hoại máy tính bạn? Cũng tương tự ổ CD-ROM bạn, tất ổ đĩa khác bao gồm đĩa cứng, đĩa mềm USB Flash Drive, ẩn chứa khả Autorun Cũng khơng thể nói Autorun tính xấu, lỗ hổng cho kẻ hội khai thác chế lây lan hầu hết virus USB Bạn phải dè chừng Cơ chế thứ hai - Fake Icon (giả biểu tượng) Virus máy tính người viết nên có tính chất tự nhân bản, để hoạt động đòi hỏi phải có môi trường điều kiện cụ thể (trong trường hợp chế Autorun thực thi virus) Còn trường hợp phổ biến thứ hai, “con” virus (dưới dạng file exe) giả dạng làm thư mục hay file quen thuộc bạn Virus ngụy trang cách mang icon folder/file y hệt icon thật, điều làm bạn dễ nhầm lẫn double click vào icon Sau bạn click, chẳng có thư mục hay file mở cả, tất bạn làm thực thi file exe - virus kích hoạt, máy bạn bị nhiễm virus! 3.2 Cách Phòng Chống virus USB Các động tác Trước bắt đầu với đám virus USB, nên có số thao tác đón đầu trước để sau làm việc dễ dàng hơn: Trang 27 Giáo trình mơn An Tồn Mạng Thay đổi số thuộc tính - Vào My Computer, chọn menu Tool > Folder Options… - Trong cửa sổ Folder Options chọn tab View, cuộn cuộn xuống chút cấu sau: + Chọn Show hidden files and folders để hiển thị file ẩn (hidden file), lẽ dĩ nhiên virus tự ẩn + Bỏ chọn Hide extensions for known file types để hiển thị đuôi (vd *.exe *.doc *.txt…) cho tất file + Bỏ chọn Hide protected operating system files để hiển thị file hệ thống quan trọng Bạn thấy mục ghi Recommended, tức khuyến cáo nên để ẩn không nên cho hết Cũng thơi, sau chọn mục này, bạn thấy xuất nhiều file thư mục hệ thống lờ mờ khắp ổ cứng mình, khơng may xóa phải file máy bạn gặp rắc rối lớn Tuy nhiên virus tự ngụy trang cách khốc lên “áo” làm file hệ thống, để nhìn thấy chúng bạn phải bỏ chọn mục Nếu ổ USB có virus thực hình để xóa file nguy hiểm Nhớ: khơng xóa file loại mà bạn chưa chắn virus 3.3 Cách chống virus USB lây sang máy tính Tắt chức Autorun Windows: vào Start->Run->Gõ gpedit.msc-> OK - Ở List bên trái chọn Computer Configuration -> Administrative Template -> System - Ở List Setting bên phải tìm đến mục Turn off Autoplay kích chuột phải chọn Properties - Tại table Setting chọn Enable, mục Turn off Autoplay on: chọn All Drivers -> OK - Làm tương tự với mục User Configuration -> Không cho virus tạo file Autorun.inf ổ đĩa (cả ổ cứng ổ USB): Có thể có nhiều cách chống loại virus Tuy nhiên, cách đơn giản mà khơng cần cơng cụ giúp ổ cứng bạn hạn chế bị virus USB công phát tán tạo file Trang 28 Giáo trình mơn An Tồn Mạng Autorun.inf (khơng có nội dung gì) thư mục gốc ổ đĩa, khơng phân quyền cho user thay đổi file để virus khơng tạo file Autorun Cách làm sau: - - Ổ cứng bạn phải định dạng theo NTFS (Nếu FAT32 khơng phân quyền cho file được) - Mở Explorer vào menu Tools \ Folder Options \ View, kéo xuống bỏ chọn mục Use simple file sharing > OK - Tạo file Autorun.inf (khơng có nội dung), Click chuột phải chọn Properties \ Security \ Advanced, bảng Permissions Remove hết tất user có danh sách chọn OK > Yes, trở mục Security thấy danh sách user trống rỗng được, sau chọn OK Sau thao tác trên, khơng xóa file Autorun.inf bạn làm Với làm kết hợp với việc thực "Các bước truy xuất ổ đĩa an tồn" hình vẽ bạn khơng lo bị nhiễm virus USB Cuối bạn phải Restart lại máy để bước có hiệu lực, cách khơng phòng chống virus USB 100%, hạn chế tối đa loại virus lây qua ổ USB * Cách Convert ổ đĩa từ FAT sang NTFS: Chọn Start -> Run -> gõ lệnh cmd -> OK Tại cửa sổ lệnh bạn gõ lệnh để convert theo cú pháp: CONVERT volume /FS:NTFS Ví dụ muốn convert ổ F, bạn gõ lệnh sau: Convert f: /FS:NTFS Một số lưu ý: - Dấu hiệu nhận biết khả ổ đĩa bị nhiễm virus USB (kích chuột phải vào biểu tượng ổ đĩa) Hình Bình thường Hình Bị nhiễm Hình Bị nhiễm Nếu kích đúp chuột vào biểu tượng ổ đĩa thì: Hình 1, 99% mở thư mục gốc Hình (ổ bị nhiễm virus USB), 100% kích hoạt nội dung câu lệnh file Autorun.inf - Cách truy cập ổ đĩa nhằm khống chế kích hoạt file Autorun.inf Vào My Computer, nhấn vào biểu tượng Folders thấy xuất List Folders bên trái, muốn mở ổ đĩa cần bấm chuột vào biểu tượng ổ đĩa Ở cửa sổ phải xuất file thư mục ổ đĩa, lúc bạn truy cập vào file thư mục mà không sợ kích hoạt file Autorun.inf Trang 29 Giáo trình mơn An Toàn Mạng Các bước truy xuất ổ đĩa an tồn 3.4 Cách chống Fake Icon Mỗi chương trình, loại file mang biểu tượng Lợi dụng điều mà loại virus USB mạo danh để hòng lừa gạt người dùng kích hoạt chúng Vấn đề chương trình virus mang icon folder/file khác, thật khó phân biệt người dùng dễ nhầm lẫn double click thực thi chương trình Mặc định, Windows giấu phần chương trình, file biết Vd: file STARTUP.exe hiển thị My Computer STARTUP Nếu file mang icon thư mục, thật khó phân biệt Chẳng hạn hình dưới, bạn ngỡ STARTUP thư mục: Phân biệt chế Fake Icon virus Nhưng bạn cho hết đuôi file (xem lại Các động tác bản), file “lòi đi” file thực thi Bạn xem file dạng Details (chọn menu Views > Details), lúc ý đến khác biệt thư mục (folder) ứng dụng (application): - Ở cột Type, ứng dụng gọi Application thư mục File Folder - Ở cột Size, ứng dụng có size thư mục khơng Cần lưu ý, virus giả danh file thường dùng, file text (.txt), file word document (.doc), file ảnh (.jpg) v.v Như vậy, để kiểm tra xem USB Drive có nhiễm virus loại khơng, bạn truy cập vào USB, bật chế độ hết đuôi file ý đến đuôi exe Hoặc view chế độ details ý đến Application Nếu gặp virus loại này? Hãy xóa thẳng tay Bây bạn thử dạo qua vòng ổ cứng vài thư mục để kiểm tra xem máy bị nhiễm virus loại chưa Trang 30 Giáo trình mơn An Tồn Mạng BÀI ĐỌC THÊM Bạn gặp virus tin học chưa? Là người sử dụng máy tính, đơi bạn gặp tượng kỳ lạ bàn phím khơng tn theo điều khiển bạn, lại tuôn dòng chữ vớ vẩn Hoặc có lúc bạn phải ngạc nhiên mà lên: " Cái quỉ quái này?" nhìn thấy trái pingpong nhảy múa hình, thơng điệp khơng mong đợi đường đột xuất hiện, như: "Hôm sinh nhật tôi, bạn phải làm việc?" Đôi chúng làm cho bạn bực bội loa máy tính lải nhải điệu nhạc cầu hồn Trầm trọng hơn, có trường hợp tồn liệu q giá quan chứa tồn rác rưởi, sót lại thông báo lạnh lùng hợm hĩnh: "File bị xoá virus X " Virus tin học gì, chúng từ đâu đến mà hành tung bí hiểm kỳ lạ vậy? Tại gọi chúng virus? Có cách ngăn chận chúng hay không? Để tránh gặp chúng, cần phải thực biện pháp gì? Nếu lỡ dây vào, để gở chúng ra? Vô số câu hỏi tương tự đặt xung quanh "con virus đáng ghét" Chúng tơi hy vọng phần trình bày giúp bạnh tìm lời giải đáp cho Virus tin học gì? Tên gọi virus tin học (hay gọi virus máy tính) dùng để chương trình máy tính người tạo Các chương trình có khả bám vào chương trình khác vật thể ký sinh Chúng tự nhân để tồn lây lan Do cách thức hoạt động chúng giống virus sinh học nên người ta không ngần ngại đặt cho chúng tên "virus" đầy ấn tượng Virus tin học bắt đầu lịch sử lây nhiễm máy tính lớn vào năm 1970 Sau chúng xuất máy PC vào năm 1986 "liên tục phát triển" thành lực lượng hùng hậu với phát triển họ máy tính cá nhân Người ta thường thấy chúng thường xuất trường đại học, nơi tập trung sinh viên giỏi hiếu động Dựa vào phương tiện giao tiếp máy tính (mạng, đĩa ), chúng lan truyền có mặt khắp nơi giới với số lượng đơng khơng kể xiết Có thể nói nơi có máy tính, nơi có virus tin học Như đủ thấy tầm hoạt động virus tin học phổ biến vơ Nói nhà quảng cáo thuốc Fugacar: "Ai bị nhiễm ", "Máy tính bị nhiễm virus." Bạn nhớ nhé! Mơ hình hoạt động virus : ‘Nhiễm - Được kích hoạt - Thường trú - Tìm đối tượng để lây - Nhiễm’ Người ta chia virus thành loại B-virus, loại lây vào mẫu tin khởi động (Boot record) F-virus lây vào tập tin thực thi (Executive file) Cách phân loại mang tính tương đối, thực tế có loại virus lưỡng tính vừa lây boot record, vừa file thi hành Ngoài ra, phiền nỗi ta phải kể đến họ virus macro Chúng ta tìm hiểu "đứa" + B-virus: Nếu boot máy từ đĩa mềm nhiễm B-virus, nhớ máy bị khống chế, boot record đĩa cứng bị lây nhiễm Kể từ phút này, tất đĩa mềm không chống ghi bị nhiễm B-virus dù qua tác vụ đọc (như DIR A: chẳng hạn) B-virus có ưu điểm lây lan nhanh khống chế hệ điều hành Chúng có nhược điểm kích hoạt hệ thống khởi động từ đĩa nhiễm + F-virus: Nguyên tắc F-virus gắn vào file thi hành (dạng COM EXE) đoạn mã để lần file thực hiện, đoạn mã kích hoạt, thường trúirus lả gẬ-nnhớ, khống chế tác vụ truy xuất file, dò tìm file thực thi khác để tự gắn chúng vào Ưu điểm F-virus dễ dàng kích hoạt (do tần xuất chạy chương trình COM, EXE hệ thống cao) Nhược điểm chúng lây hệ điều hành xác định Trang 31 Giáo trình mơn An Toàn Mạng + Macro virus: Dù xuất hiện, macro virus xứng đáng nể mặt "hậu sinh khả úy" tính "cơ hội" chúng Lợi dụng nhu cầu trao đổi văn bản, thư từ, công văn, hợp đồng thời đại bùng nổ thông tin, kẻ thiết kế nên virus Concept (thủy tổ họ virus macro) chọn ngôn ngữ macro Microsoft Word làm phương tiện lây lan môi trường Winword tư liệu DOC nhiễm Open Từ văn nhiễm, macro virus đưa vào NORMAL.DOT, từ chúng tự chèn vào văn khác Dạng thứ hai virus macro lây vào bảng tính Microsoft Exel, phổ biến dạng thứ Virus macro "độc" chỗ làm cho người nghi ngờ lẫn Hãy tưởng tượng bạn nhận file TOTINH.DOC từ người mà thầm thương trộm nhớ, bạn làm đầu tiên? "Vớ vẩn! Dùng Winword để xem làm gì!" Hẳn bạn tự nhủ Nhưng dù có sốt ruột cách mấy, bạn nên cẩn thận dùng chương trình diệt virus xem thư tình nồng cháy có tiềm ẩn macro virus không định xem nội dung tập tin này! Đọc đến bạn càu nhàu: "Làm hình q dzậy, khơng lẽ tình u thời đại vi tính khơng tính lãng mạn hay sao?" Mặc dù người gửi thư khơng cố tình hại bạn (tất nhiên), cẩn thận bạn trường hợp cần thiết, đếm nội virus thư đạt đến ngưỡng, cần bạn mở file lần thôi, lúc mà bạn hồi hộp chờ Word in hình nội dung thư tồn đĩa cứng bạn bị xố trắng! Đó "độc chiêu" macro virus NTTHNTA: xố đĩa cứng số lần mở file nhiễm 20 ! Làm cách ngăn chặn xâm nhập virus? Virus tin học ranh ma bí hiểm, "vỏ qt dày có móng tay nhọn." Chúng bị ngăn chận loại trừ cách dễ dàng Sau số biện pháp: + Anti-virus: Để phát diệt virus, người ta viết chương trình chống virus, gọi anti-virus Nếu nghi ngờ máy tính bị virus, giống "lâu lâu đến bác sĩ khám xem có bệnh khơng", bạn dùng chương trình quét sơ qua ổ đĩa máy xem có virus rình rập máy tính hay không Thông thường antivirus tự động diệt virus chúng chương trình phát Với số chương trình phát mà khơng diệt được, bạn phải để ý đọc thơng báo Để sử dụng anti-virus hiệu quả, bạn nên trang bị cho vài chương trình để sử dụng kèm, bổ khuyết cho kết tốt Một điều cần lưu ý nên chạy anti-virus tình trạng nhớ tốt (khởi động máy từ đĩa mềm sạch) việc quét virus hiệu an tồn, khơng gây lan tràn virus đĩa cứng Có hai loại anti-virus, ngoại nhập nội địa Các anti-virus ngoại sử dụng phổ biến SCAN McAfee, Norton Antivirus Symantec, Toolkit, Dr Solomon Các anti-virus thương phẩm, có nghĩa bạn phải bỏ tiền mua không "xài chùa" Ưu điểm chúng số lượng virus cập nhật lớn, tìm-diệt hiệu quả, có đầy đủ cơng cụ hỗ trợ tận tình (thậm chí tỉ mỉ đến sốt ruột) Nhược điểm chúng cồng kềnh, đặc biệt chúng không nhận biết virus "made in Vietnam" Để diệt bọn này, bạn phải dùng hàng nội địa Các anti-virus nội thông dụng D2 BKAV Đây phần mềm miễn phí (sau họ có bán khơng chưa biết) Bạn xài thoải mái mà không sợ bị kiện cáo lôi (tất nhiên bạn đừng làm điều xâm phạm luật tác quyền, ví dụ cố tình sửa tên tác giả chương trình chẳng hạn) Ngồi ưu điểm miễn phí, anti-virus nội địa chạy nhanh chúng nhỏ gọn, tìm-diệt hiệu "rất nhạy cảm" với virus nội địa Nhược điểm chúng khả nhận biết virus ngoại kém, trang bị cơng cụ hỗ trợ chế độ giao tiếp với user chưa kỹ lưỡng lắm! "Chùa" mà! Để khắc phục nhược điểm này, anti-virus nội cố gắng cập nhật virus thường xuyên phát hành nhanh chóng đến tay người dùng Tuy nhiên bạn đừng tin tưởng vào anti-virus Sao kỳ vậy? Bởi antivirus tìm-diệt virus mà cập nhật Với virus chưa cập nhật Trang 32 Giáo trình mơn An Tồn Mạng vào thư viện chương trình anti-virus hồn tồn mù tịt! Đây nhược điểm lớn anti-virus, toán hóc búa tồn từ nhiều thập kỷ Xu hướng antivirus cố gắng nhận dạng virus mà không cần cập nhật Symantec triển khai hệ chống virus theo chế miễn dịch IBM, phát hành tương lai Phần mềm D2 nội địa có cố gắng định việc nhận dạng virus lạ Các phiên D2Plus version 2xx trang bị môđun nhận dạng New macro virus New-Bvirus, sử dụng chế chẩn đoán thông minh dựa sở tri thức lý thuyết hệ chuyên gia Đây phiên thử nghiệm hướng tới hệ chương trình chống virus thơng minh chương trình Lúc phần mềm dự báo cho bạn xuất loại virus Nhưng dù bạn nên tự trang bị thêm số biện pháp phòng chống virus hữu hiệu đề cập sau + Đề phòng B-virus: Đơn giản lắm, bạn nhớ đừng khởi động máy từ đĩa mềm có đĩa cứng, ngoại trừ trường hợp tối cần thiết đĩa cứng bị trục trặc chẳng hạn Nếu buộc phải khởi động từ đĩa mềm, bạn đĩa mềm phải hồn tồn Đơi việc khởi động từ đĩa mềm lại xảy cách ngẫu nhiên, ví dụ bạn để quên đĩa mềm ổ đĩa A phiên làm việc trước Nếu Boot record đĩa mềm có B-virus, phiên làm việc sau, bạn quên không rút đĩa khỏi ổ Bvirus "nhảy phóc" vào đĩa cứng bạn sau bạn bật nút Power ! Điều nghe hoang mang q, đâu có chắn lúc nhớ kiểm tra đĩa mềm ổ A trước khởi động máy tính? Tuy nhiên bạn đừng lo lắng, D2-Plus dự trù trước trường hợp chức chẩn đốn thơng minh Newg mãyrus đĩa mềm Chỉ cần chạy D2 thường xun, chương trình phân tích Boot record đĩa mềm có bàn làm việc bạn dự báo có mặt chúng tên gọi PROBABLE B-Virus, bạn cần nhấn ‘Y’ để D2 diệt chúng, xong + Đề phòng F-virus: Nguyên tắc chung không chạy chương trình khơng rõ nguồn gốc Điều khó thực bạn có chút "máu mê" săn lùng chương trình trò chơi chuyền tay Hầu hết chương trình hợp pháp phát hành từ nhà sản xuất đảm bảo Vì vậy, khả tiềm tàng F-virus file COM,EXE lẩn quẩn xung quanh chương trình trơi (chuyền tay, lấy từ mạng, ) mà thơi Nhớ nhé! + Đề phòng Macro virus: Như nói, họ virus lây văn bảng tính Microsoft Vì vậy, nhận file DOC hay XL? nào, bạn nhớ kiểm tra chúng trước mở Điều phiền tối giải D2-Plus giống trường hợp New B-virus, New macro virus nhận dạng tên PROBABLE Macro Hơn sử dụng WinWord Exel Microsoft Office 97 bạn khơng phải lo lắng Chức AutoDectect Macro virus Office kích hoạt Warning Box văn bảng tính cần mở có chứa macro Bạn cần Disable chúng n chí lớn Nếu “dính” virus gỡ chúng ra? Vấn đề trở nên đơn giản bạn gặp phải virus cũ Nếu B/F-virus, bạn khởi động từ đĩa mềm hệ thống (Còn với virus macro khơng cần) Sau chạy antivirus từ đĩa Nhớ kiểm tra tất đĩa mềm bạn, sót chúng lây lây lại phiền Nếu New B-virus nằm boot record đĩa mềm, dùng D2-Plus để diệt Trường hợp New Bvirus lây vào đĩa cứng, khởi động máy đĩa mềm, chạy D2-Plus, chọn Config/Mend Boot=On, chọn Drive Nếu có New F-virus thường trú, anti-virus thường "la làng" thông báo "New F-virus found in memory" Bạn ngưng ứng dụng tìm cách chép file bị lây nhiễm gửi đến địa anti-virus tin cậy để nhờ can thiệp Muốn “bắt virus” gửi cho “bác sĩ tin học” trừng trị phải làm nào? Trang 33 Giáo trình mơn An Toàn Mạng Ngoại trừ virus cũ anti-virus làm sạch, bạn cần phải "bắt" gửi cho anti-virus để chuyên gia virus diệt dùm bạn Việc làm cần thiết, cầu nối bạn với anti-virus mà bạn ưa thích Nếu làm việc này, bạn thấy an tâm giống có "bác sĩ nhà" vậy, chẳng sợ bệnh tật phiền nhiễu + Với new macro virus, bạn cần chép nguyên xi file DOC, XL? cho nhà phát triển anti-virus xong + Với new B-virus, bạn gửi đĩa đến anti-virus nằm boot record đĩa mềm Nếu vào nhớ, cần đọc đĩa (bằng lệnh DIR A: chẳng hạn) gửi đĩa qua đường bưu điện + Với new F-virus khó "bắt" chúng che chắn kỹ Thơng thường F-virus lây vào file, kích thước tập tin COM, EXE tăng lên Như việc tăng kích thước dấu hiệu cho biết có mặt F-virus file Bạn cần chép file gửi Tuy nhiên số F-virus lại che dấu kích thước vật lý thực file virus thường trú Vì bạn cần khởi động máy tính đĩa mềm đối chiếu kích thước file với kích thước cũ Như bạn cần phải nhớ kích thước cũ file thực thi Để đơn giản bạn chạy thử phần mềm thông dụng NCMAIN.EXE, DOSKEY.COM môi trường nhiễm New F-virus, gửi file Chúng mong bạn quan tâm đến vấn đề mà tư liệu đề cập Nó giúp ích cho bạn việc bảo vệ liệu Hãy chúng tơi ngăn chận bàn tay tội lỗi virus tin học, giới vi tính an tồn tươi đẹp Xin chúc bạn vui, khỏe thành đạt công việc Sưu tần Internet Phòng chống Virus Một mơ hình phòng thủ hiệu chắn thiết lập nhiều tuyến phòng vệ, phòng vệ bên ngồi với tường lửa cứng (tích hợp router), tường lửa mềm (phần mềm máy tính), phần mềm chống virus, phần mềm chống spyware phải cập nhật sửa lỗi lỗ hổng bảo mật hệ điều hành phần mềm cài đặt máy tính Tuy nhiên, nhiều người dùng gia đình khơng đủ khả (tài chính, kiến thức) để thực điều Vậy tuyến phòng vệ cần thiết phù hợp? Tường lửa (firewall) kiểm soát liệu vào máy tính bạn cảnh báo hành vi đáng ngờ; cơng cụ bảo vệ máy tính chống lại xâm nhập bất hợp pháp cách quản lý tồn cổng máy tính kết nối với mơi trường bên ngồi (mạng Lan, Internet ) Tường lửa có sẵn Windows XP giám sát dòng liệu vào máy tính khơng kiểm sốt dòng liệu khỏi máy tính Người dùng gia đình thường có kinh nghiệm bảo mật virus, tường lửa không phát huy tác dụng người dùng khơng thể xử lý cảnh báo Hơn nữa, việc cài đặt tường lửa làm cho máy tính hoạt động chậm Phần mềm chống virus Rất nhiều viết giới thiệu với bạn đọc phần mềm chống virus tốt nhất, từ phần mềm "tất một" đến phần mềm độc lập miễn phí Chúng có điểm mạnh yếu riêng đáng buồn khơng phần mềm bảo vệ máy tính bạn cách tồn diện Một số bạn đọc khơng cài đặt phần mềm chống virus thấy hệ thống trở nên chậm chạp Họ chấp nhận mạo hiểm (hoặc không biết) rủi ro đánh đổi an tồn máy tính để lấy tốc độ Một vài bạn đọc lại cho máy tính an toàn hơn, bảo vệ tốt cài đặt nhiều phần mềm chống virus Điều khơng tốt xảy tranh chấp phần mềm chúng tranh giành quyền kiểm soát hệ thống Ghi chú: Thường xuyên cập nhật danh sách nhận dạng virus (virus definitions) giúp phần mềm làm việc hiệu Trang 34 Giáo trình mơn An Tồn Mạng "Thủ” sẵn địa chỉ, nơi tải phần mềm BKVA trường hợp phần mềm phòng chống virus nước ngồi khơng phát virus có xuất xứ từ Việt Nam Cập nhật sửa lỗi Lỗ hổng bảo mật phần mềm "điểm yếu" virus lợi dụng để xâm nhập vào máy tính bạn Thật khơng may điểm yếu lại nhiều người dùng không quan tâm đến việc Hãy giữ cho hệ điều hành, trình duyệt web phần mềm chống virus ln cập nhật tính tự động cập nhật (auto update); tính khơng hoạt động (do sử dụng quyền bất hợp pháp), cố gắng tải từ website nhà sản xuất cách thủ cơng Bạn tăng cường tính phòng thủ hiệu cho hệ thống tránh tình trạng virus "tái nhiễm" sau diệt Trình duyệt an tồn Nếu so sánh, bạn dễ dàng nhận thấy Internet Explorer trình duyệt web có nhiều lỗ hổng bảo mật dù Microsoft liên tục đưa sửa lỗi Sử dụng trình duyệt thay Mozilla Firefox, Opera cài đặt thêm trình duyệt để tận dụng ưu điểm phần mềm tăng tính bảo mật lướt web Suy nghĩ kỹ trước cài đặt Nhiều bạn đọc thích táy máy, tải cài đặt nhiều phần mềm khác để thử nghiệm Điều dẫn đến việc khơng kiểm sốt phần mềm làm máy tính Thực tế cho thấy cài đặt nhiều phần mềm "bổ sung" thêm lỗ hổng bảo mật mới, tạo điều kiện cho tin tặc dễ dàng xâm nhập vào máy tính bạn, góp phần làm đổ vỡ hệ thống phòng thủ mà bạn dày cơng tạo dựng Sử dụng máy tính với quyền user Với Windows NT/2000/XP, việc đăng nhập sử dụng máy tính với tài khoản mặc định thuộc nhóm Administrators hành động mạo hiểm virus "thừa hưởng" quyền hạn tài khoản xâm nhập vào hệ thống, máy tính bạn trở thành zombie cơng máy tính khác Tài khoản thuộc nhóm Users không phép thay đổi thiết lập liên quan đến hệ thống, bạn tránh nhiều nguy bị phá hoại phiền toái, virus xâm nhập vào máy tính Sử dụng máy tính với quyền User khiến người dùng gặp nhiều khó khăn trình cài đặt ứng dụng thực số tác vụ liên quan đến hệ thống chúng tơi khuyến khích bạn đọc tự giới hạn quyền sử dụng máy tính Hơn nữa, bạn khơng cần cài thêm phần mềm phòng chống spyware Tài ngun hệ thống khơng bị chiếm dụng, máy tính hoạt động nhanh Sao lưu hệ thống Bạn bỏ qua bước tin máy tính ln chạy tốt Hãy thực việc lưu vào thời điểm máy tính hoạt động ổn định, cài đặt phần mềm cần thiết Bạn đưa hệ thống trở lại trạng thái lưu với vài thao tác đơn giản cần thiết Để tạo tập tin ảnh phân vùng đĩa cứng, bạn sử dụng phần mềm Drive Image PowerQuest, Norton Ghost Symantec, DriveWorks V Communications, Acronis True Image Acronis Việc lưu hữu ích với bạn đọc thích táy máy, thử nghiệm tính phần mềm, thường xuyên truy cập vào website "đen" Bạn tiết kiệm nhiều thời gian thay phải xử lý cố virus gây phải cài lại HĐH phần mềm cần thiết Lời kết Ý thức người dùng yếu tố quan trọng để mơ hình phòng thủ có hiệu từ việc sử dụng phần mềm phòng chống mạnh nhất, tốt Khơng phần mềm đủ khả ngăn chặn virus người dùng "vô tư” truy cập vào những website "đen", website cung cấp serial, keygen (dùng để "bẻ khoá” phần mềm) Trên thực tế, máy tính cá nhân chúng tơi cài đặt phần mềm phòng chống virus sử dụng tài khoản thuộc nhóm Users (cả văn phòng) mà đảm bảo an tồn lướt web Trang 35 ... Autorun.inf Trang 29 Giáo trình mơn An Toàn Mạng Các bước truy xuất ổ đĩa an toàn 3.4 Cách chống Fake Icon Mỗi chương trình, loại file mang biểu tượng Lợi dụng điều mà loại virus USB mạo danh để hòng... theo quy định tổ chức an tồn thơng tin phục vụ cho quy trình nghiệp vụ Chính sách phải đảm bảo an toàn cho Computer, HDH ứng dụng nghiệp vụ… Trang Giáo trình mơn An Tồn Mạng Ví dụ: sách định... chiến lược an toàn account áp dụng vào an tồn thơng tin tổ chức vấn đề mang tính cấp bách C Làm để tạo quản lý Account an toàn Những yếu tố cho thấy cách thức tạo quản lý Account cho an toàn Account