Giáo trình An toàn mạng (TCDN) - Nguồn: Internet

Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công, sau khi đã làm chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụ cho mục đích của mình như chạy các chư[r]

TỔNG CỤC DẠY NGHỀ

GIÁO TRÌNH

Mơn học: An tồn mạng

NGHỀ QUẢN TRỊ MẠNG MÁY TÍNH TRÌNH ĐỘ: CAO ĐẲNG NGHỀ

( Ban hành kèm theo Quyết định số:120/QĐ-TCDN ngày 25 tháng 02 năm 2013 của Tổng cục trưởng Tổng cục dạy nghề)

TUYÊN BỐ BẢN QUYỀN:

Tài liệu thuộc loại sách giáo trình nên nguồn thơng tin phép dùng ngun trích dùng cho mục đích đào tạo tham khảo

Mọi mục đích khác mang tính lệch lạc sử dụng với mục đích kinh doanh thiếu lành mạnh bị nghiêm cấm

LỜI GIỚI THIỆU

Trong năm qua, dạy nghề có bước tiến vượt bậc số lượng chất lượng, nhằm thực nhiệm vụ đào tạo nguồn nhân lực kỹ thuật trực tiếp đáp ứng nhu cầu xã hội Cùng với phát triển khoa học công nghệ giới, lĩnh vực Cơng nghệ thơng tin nói chung ngành Quản trị mạng Việt Nam nói riêng có bước phát triển đáng kể

Chương trình dạy nghề Quản trị mạng xây dựng sở phân tích nghề, phần kỹ nghề kết cấu theo mô đun môn học Để tạo điều kiện thuận lợi cho sở dạy nghề trình thực hiện, việc biên soạn giáo trình theo mô đun đào tạo nghề cấp thiết

Mơn học 28: An tồn mạng mơn học đào tạo chun mơn nghề biên soạn theo hình thức tích hợp lý thuyết thực hành Trong trình thực hiện, nhóm biên soạn tham khảo nhiều tài liệu An toàn mạng nước, kết hợp với kinh nghiệm thực tế

Mặc dầu có nhiều cố gắng, khơng tránh khỏi khiếm khuyết, mong nhận đóng góp ý kiến độc giả để giáo trình hồn thiện

Xin chân thành cảm ơn

Hà Nội, ngày 25 tháng 02 năm 2013 Tham gia biên soạn

MỤC LỤC

LỜI GIỚI THIỆU

MỤC LỤC

CHƯƠNG 1: TỔNG QUAN VỀ AN TỒN VÀ BẢO MẬT THƠNG TIN

1 Các khái niệm chung

1.1 Đối tượng công mạng (Intruder)

1.2 Các lỗ hổng bảo mật

2 Nhu cầu bảo vệ thông tin

2.1 Nguyên nhân

2.2 Bảo vệ liệu

2.3 Bảo vệ tài nguyên sử dụng mạng

2.4 Bảo bệ danh tiếng quan

Bài tập thực hành học viên

CHƯƠNG 2: MÃ HĨA THƠNG TIN

1 Cơ mã hoá (Cryptography)

1.1 Tại cần phải sử dụng mã hoá

1.2 Nhu cầu sử dụng kỹ thuật mã hố

1.3 Q trình mã hoá giải mã sau: 11

2 Độ an tồn thuật tốn 11

3 Phân loại thuật toán mã hoá 12

3.1 Mã hoá cổ điển: 12

3.2 Mã hoá đối xứng: 13

Bài tập thực hành học viên 17

CHƯƠNG 3: NAT ( Network Address Translation) 18

1 Giới thiệu: 18

2 Các kỹ thuật NAT cổ điển: 18

2.1 NAT tĩnh 19

2.2 NAT động 19

3 NAT Window server 22

Bài tập thực hành học viên 23

CHƯƠNG 4: BẢO VỆ MẠNG BẰNG TƯỜNG LỬA 31

1 Các kiểu công 31

1.1 Tấn công trực tiếp 31

1.2 Nghe trộm 31

1.3 Giả mạo địa 31

1.4 Vơ hiệu hố chức hệ thống 31

1.5 Lỗi người quản trị hệ thống 32

1.6 Tấn công vào yếu tố người 32

2 Các mức bảo vệ an toàn 32

3 Internet Firwall 33

3.1 Định nghĩa 33

3.2 Chức 33

3.4 Các thành phần Firewall chế hoạt động 34

3.5 Những hạn chế firewall 37

3.6 Các ví dụ firewall 38

Bài tập thực hành học viên 41

CHƯƠNG 5: DANH SÁCH ĐIỀU KHIỂN TRUY CẬP 42

Giới thiệu 42

1 Định nghĩa danh sách truy cập 43

2 Nguyên tắc hoạt động Danh sách truy cập 44

2.1 Tổng quan lệnh Danh sách truy cập 46

2.2 Danh sách truy cập chuẩn mạng TCP/IP 47

Bài tập thực hành học viên 50

CHƯƠNG : VIRUS VÀ CÁCH PHÒNG CHỐNG 55

1 Giới thiệu tổng quan virus tin học 55

2 Cách thức lây lan – phân loại 56

Bài tập thực hành học viên 67

MƠN HỌC : AN TỒN MẠNG Mã số môn học: MH 28

Vị trí, tính chất, ý nghĩa vai trị mơn học:

- Vị trí: Mơn học bố trí sau sinh viên học xong mơn, mơ đun: Mạng máy tính Quản trị mạng

- Tính chất: Là mơn học chun mơn nghề

- Ý nghĩa vai trị: Đây mơn học sở ngành ngành quản trị mạng, cung cấp cho sinh viên kiến thức bảo mật hệ thống mạng để làm tản cho việc bảo mật giải vấn đề cần thiết

Mục tiêu môn học:

- Xác định thành phần cần bảo mật cho hệ thống mạng; - Trình bày hình thức công vào hệ thống mạng;

- Mô tả cách thức mã hố thơng tin;

- Trình bày trình NAT hệ thống mạng; - Xác định khái niệm danh sách truy cập;

- Mô tả nguyên tắc hoạt động danh sách truy cập; - Liệt kê danh sách truy cập chuẩn mạng TCP/IP;

- Phân biệt loại virus thơng dụng cách phịng chống virus;

- Bố trí làm việc khoa học đảm bảo an toàn cho người phương tiện học tập

Nội dung mơn học:

Số

TT Tên chương mục

Thời gian Tổng số Lý thuyết Thực hành Bài tập Kiểm tra* (LT hoặcTH) I Tổng quan an tồn bảo

mật thơng tin 5 5 0

Các khái niệm chung Nhu cầu bảo vệ thơng tin

II Mã hóa thơng tin 10 5 5

Cơ mã hoá (Cryptography)

Độ an tồn thuật tốn Phân loại thuật toán mã hoá

III NAT 10 5 4 1

Giới thiệu

Các kỹ thuật NAT cổ điển NAT window server

IV Bảo vệ mạng tường lửa 11 5 5 1

Các mức bảo vệ an toàn Internet Firewall

V Danh sách điều khiển truy

cập 17 7 9 1

Khái niệm danh sách truy cập

Nguyên tắc hoạt động danh sách truy cập

VI Virus cách phòng chống 7 3 4

Giới thiệu tổng quan virus Cách thức lây lan phân loại virus

Ngăn chặn xâm nhập virus

Cộng 60 30 27 3

CHƯƠNG 1: TỔNG QUAN VỀ AN TỒN VÀ BẢO MẬT THƠNG TIN Mã chương: MH 26-01

Giới thiệu:

Bảo mật lĩnh vực mà giới công nghệ thông tin quan tâm Một Internet đời phát triển, nhu cầu trao đổi thông tin trở nên cần thiết Mục tiêu việc nối mạng làm cho người sử dụng chung tài nguyên từ vị trí địa lý khác Cũng mà tài ngun dễ dàng bị phân tán, dẫn đến điều hiển nhiên chúng bị xâm phạm, gây mát liệu thơng tin có giá trị Càng giao thiệp rộng dễ bị cơng, quy luật Từ đó, vấn đề bảo vệ thông tin đồng thời xuất hiện, bảo mật đời

Tất nhiên, mục tiêu bảo mật không nằm gói gọn lĩnh vực bảo vệ thơng tin mà nhiều phạm trù khác kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật hệ thống toán điện tử giao dịch trực tuyến…

Mọi nguy mạng mối nguy hiểm tiểm tàng Từ lổ hổng bảo mật nhỏ hệ thống, biết khai thác lợi dụng với tầng suất cao kỹ thuật hack điêu luyện trở thành tai họa

Theo thống kê tổ chức bảo mật tiếng CERT (Computer Emegancy Response Team) số vụ cơng ngày tăng Cụ thể năm 1989 có khoản 200 vụ, đến năm 1991 có 400 vụ, đến năm 1994 số tăng lên đến mức 1330 vụ, tăng mạnh thời gian tới

Như vậy, số vụ công ngày tăng lên với mức độ chóng mặt Điều dễ hiểu, thực thể ln tồn hai mặt đối lập Sự phát triển mạnh mẽ công nghệ thông tin kỹ thuật làm cho nạn công, ăn cắp, phá hoại internet bùng phát mạnh mẽ

Internet nơi hỗn loạn Mọi thông tin mà bạn thực truyền dẫn bị xâm phạm, chí cơng khai Bạn hình dung internet phịng họp, trao đổi phịng họp người khác nghe thấy Với internet người không thấy mặt nhau, việc nghe thấy thơng tin hợp pháp khơng hợp pháp

Tóm lại, internet nơi an tồn Mà khơng internet loại mạng khác, mạng LAN, đến hệ thống máy tính bị xâm phạm Thậm chí, mạng điện thoại, mạng di động khơng nằm ngồi Vì nói rằng, phạm vi bảo mật lớn, nói khơng cịn gói gọn máy tính quan mà tồn cầu

Mục tiêu:

Nội dung chính:

1 Các khái niệm chung

Mục tiêu:

- Mô tả đối tượng tấng công hệ thống mạng ; - Xác định lỗ hổng bảo mật.

1.1 Đối tượng công mạng (Intruder)

Là cá nhân tổ chức sử dụng kiến thức mạng công cụ phá hoại (phần mềm phần cứng) để dị tìm điểm yếu, lỗ hổng bảo mật hệ thống, thực hoạt động xâm nhập chiếm đoạt tài nguyên mạng trái phép

Một số đối tượng công mạng là:

- Hacker: Là kẻ xâm nhập vào mạng trái phép cách sử dụng công cụ phá mật khai thác điểm yếu thành phần truy nhập hệ thống

- Masquerader: Là kẻ giả mạo thông tin mạng Một số hình thức giả mạo giả mạo địa IP, tên miền, định danh người dùng

- Eavesdropping: Là đối tượng nghe trộm thông tin mạng, sử dụng công cụ sniffer; sau dùng cơng cụ phân tích debug để lấy thơng tin có giá trị Những đối tượng cơng mạng nhằm nhiều mục đích khác nhau: ăn cắp thơng tin có giá trị kinh tế, phá hoại hệ thống mạng có chủ định, hành động vơ ý thức, thử nghiệm chương trình không kiểm tra cẩn thận

1.2 Các lỗ hổng bảo mật

Các lỗ hổng bảo mật điểm yếu hệ thống ẩn chứa dịch vụ mà dựa vào kẻ cơng xâm nhập trái phép để thực hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp

Nguyên nhân gây lỗ hổng bảo mật khác nhau: lỗi thân hệ thống, phần mềm cung cấp, người quản trị yếu không hiểu sâu sắc dịch vụ cung cấp

Mức độ ảnh hưởng lỗ hổng khác Có lỗ hổng ảnh hưởng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng nghiêm trọng tới toàn hệ thống

2 Nhu cầu bảo vệ thông tin

Mục tiêu:

- Trình bày nhu cầu cần bảo vệ hệ thống mạng

2.1 Nguyên nhân

Tài nguyên mà nói đến liệu Đối với liệu, cần quan tâm yếu tố sau:

2.2 Bảo vệ liệu

Những thông tin lưu trữ hệ thống máy tính cần bảo vệ yêu cầu sau:

- Tính tồn vẹn: Thơng tin không bị mát sửa đổi, đánh tráo - Tính kịp thời: u cầu truy nhập thơng tin vào thời điểm cần thiết

Trong yêu cầu này, thông thường yêu cầu bảo mật coi yêu cầu số thông tin lưu trữ mạng Tuy nhiên, thông tin khơng giữ bí mật, u cầu tính tồn vẹn quan trọng Khơng cá nhân, tổ chức lãng phí tài nguyên vật chất thời gian để lưu trữ thơng tin mà khơng biết tính đắn thơng tin

2.3 Bảo vệ tài ngun sử dụng mạng

Trên thực tế, công Internet, kẻ công, sau làm chủ hệ thống bên trong, sử dụng máy để phục vụ cho mục đích chạy chương trình dị mật người sử dụng, sử dụng liên kết mạng sẵn có để tiếp tục cơng hệ thống khác

2.4 Bảo bệ danh tiếng quan

Một phần lớn công không thông báo rộng rãi, nguyên nhân nỗi lo bị uy tín quan, đặc biệt công ty lớn quan quan trọng máy nhà nước Trong trường hợp người quản trị hệ thống biết đến sau hệ thống dùng làm bàn đạp để cơng hệ thống khác, tổn thất uy tín lớn để lại hậu lâu dài

Bài tập thực hành học viên

Câu 1: Trình bày đối tượng tấng công hệ thống mạng

CHƯƠNG 2: MÃ HĨA THƠNG TIN Mã chương: MH26-02

Mục tiêu:

- Liệt kê phân biệt kiểu mã hóa liệu;

- Áp dụng việc mã hóa giải mã với số phương pháp bản; - Mô tả hạ tầng ứng dụng khóa cơng khai;

- Thực thao tác an tồn với máy tính

1 Cơ mã hoá (Cryptography)

Mục tiêu:

- Trình bày nhu cầu sử dụng mã hóa; - Mơ tả q trình mã hóa giải mã.

Những điều mã hố

Khi bắt đầu tìm hiểu mã hố, thường đặt câu hỏi chẳng hạn là: Tại cần phải sử dụng mã hoá ? Tại lại có q nhiều thuật tốn mã hoá ?

1.1 Tại cần phải sử dụng mã hoá

Thuật toán Cryptography đề cập tới nghành khoa học nghiên cứu mã hoá giải mã thông tin Cụ thể nghiên cứu cách thức chuyển đổi thông tin từ dạng rõ (clear text) sang dạng mờ (cipher text) ngược lại Đây phương pháp hỗ trợ tốt cho việc chống lại truy cập bất hợp pháp tới liệu truyền mạng, áp dụng mã hố khiến cho nội dung thơng tin truyền dạng mờ đọc cố tình muốn lấy thơng tin

1.2 Nhu cầu sử dụng kỹ thuật mã hố

Khơng phải hay ứng dụng phải sử dụng mã hoá Nhu cầu sử dụng mã hoá xuất bên tham gia trao đổi thông tin muốn bảo vệ tài liệu quan trọng hay gửi chúng cách an tồn Các tài liệu quan trọng là: tài liệu quân sự, tài chính, kinh doanh đơn giản thơng tin mang tính riêng tư

Như biết, Internet hình thành phát triển từ yêu cầu phủ Mỹ nhằm phục vụ cho mục đích quân Khi tham gia trao đổi thơng tin, Internet mơi trường khơng an tồn, đầy rủi ro nguy hiểm, khơng có đảm bảo thơng tin mà truyền không bị đọc trộm đường truyền Do đó, mã hố áp dụng biện pháp nhằm giúp tự bảo vệ thơng tin mà gửi Bên cạnh đó, mã hố cịn có ứng dụng khác bảo đảm tính tồn vẹn liệu

Tại lại có nhiều thuật tốn mã hố

nó khơng cịn người sử dụng mặt hạn chế nó: user rời khỏi nhóm tồn nhóm phải chuyển sang sử dụng thuật tốn khác người người nhóm tiết lộ thơng tin thuật tốn hay có kẻ phát tính bí mật thuật tốn coi thuật tốn bị phá vỡ, tất user cịn lại nhóm buộc phải thay đổi lại thuật toán dẫn đến thời gian cơng sức

Hệ thống mã hố giải vấn đề thơng qua khố (Key) yếu tố có liên quan tách rời khỏi thuật toán mã hoá Do thuật toán cơng khai tính an tồn mã hoá phụ thuộc vào khoá Khoá giá trị chữ số Phạm vi khơng gian giá trị có khố gọi Keyspace Hai q trình mã hố giải mã dùng đến khoá Hiện nay, người ta phân loại thuật toán dựa số lượng đặc tính khố sử dụng

Nói đến mã hố tức nói đến việc che dấu thông tin cách sử dụng thuật tốn Che dấu khơng phải làm cho thông tin biến mà cách thức chuyển từ dạng tỏ sang dạng mờ Một thuật toán tập hợp câu lệnh mà theo chương trình biết phải làm để xáo trộn hay phục hồi lại liệu Chẳng hạn thuật tốn đơn giản mã hố thơng điệp cần gửi sau:

Bước 1: Thay toàn chữ “e” thành số “3” Bước 2: Thay toàn chữ “a” thành số “4” Bước 3: Đảo ngược thơng điệp

Trên ví dụ đơn giản mô cách làm việc thuật toán mã hoá Sau thuật ngữ giúp nắm khái niệm:

Hinh1: Minh hoạ q trình mã hóa giải mã Sender/Receiver: Người gửi/Người nhận liệu

- Plaintext (Cleartext): Thơng tin trước mã hố Đây liệu ban đầu dạng rõ

- Ciphertext: Thơng tin, liệu mã hố dạng mờ - Key: Thành phần quan trọng việc mã hoá giải mã

- CryptoGraphic Algorithm: Là thuật toán sử dụng việc mã hố giải mã thơng tin

Kí hiệu chung: P thơng tin ban đầu, trước mã hoá E() thuật toán mã hoá D() thuật tốn giải mã C thơng tin mã hố K khố

1.3 Q trình mã hố giải mã sau:

- Quá trình mã hố mơ tả cơng thức: EK(P)=C - Q trình giải mã mơ tả cơng thức: DK(C)=P

Bên cạnh việc làm để che dấu nội dung thơng tin mã hố phải đảm bảo mục tiêu sau:

a Confidentiality (Tính bí mật): Đảm bảo liệu truyền cách an tồn khơng thể bị lộ thơng tin có cố tình muốn có nội dung liệu gốc ban đầu Chỉ người phép có khả đọc nội dung thơng tin ban đầu

b Authentication (Tính xác thực): Giúp cho người nhận liệu xác định chắn liệu mà họ nhận liệu gốc ban đầu Kẻ giả mạo khơng thể có khả để giả dạng người khác hay nói cách khác khơng thể mạo danh để gửi liệu Người nhận có khả kiểm tra nguồn gốc thông tin mà họ nhận

c Integrity (Tính tồn vẹn): Giúp cho người nhận liệu kiểm tra liệu khơng bị thay đổi q trình truyền Kẻ giả mạo khơng thể có khả thay liệu ban đầu băng liệu giả mạo

d Non-repudation (Tính khơng thể chối bỏ): Người gửi hay người nhận chối bỏ sau gửi nhận thơng tin

2 Độ an tồn thuật tốn

Mục tiêu:

- Trình bày thuật tốn mã hóa

Ngun tắc mã hố “Thuật tốn bị phá vỡ” Các thuật toán khác cung cấp mức độ an toàn khác nhau, phụ thuộc vào độ phức tạp để phá vỡ chúng Tại thời điểm, độ an tồn thuật tốn phụ thuộc:

- Nếu chi phí hay phí tổn cần thiết để phá vỡ thuật tốn lớn giá trị thơng tin mã hóa thuật tốn thuật tốn tạm thời coi an toàn - Nếu thời gian cần thiết dùng để phá vỡ thuật toán q lâu thuật tốn tạm thời coi an toàn

- Nếu lượng liệu cần thiết để phá vỡ thuật toán lơn so với lượng liệu mã hố thuật tốn tạm thời coi an tồn

từng bước đi, nước bước định số phận mối bên Trong chiến này, giỏi dành phần thắng Trong giới mã hoá vậy, tất phụ thuộc vào trình độ thời gian…sẽ khơng nói trước điều Đó điểm thú vị trị chơi

3 Phân loại thuật tốn mã hố

Có nhiều thuật tốn mã hố khác Từ thuật tốn cơng khai để người sử dụng áp dụng chuẩn chung cho việc mã hoá liệu; đến thuật tốn mã hố khơng cơng bố Có thể phân loại thuật tốn mã hố sau:

Phân loại theo phương pháp:

- Mã hoá cổ điển (Classical cryptography) - Mã hoá đối xứng (Symetric cryptography) - Mã hoá bất đối xứng(Asymetric cryptography) - Hàm băm (Hash function)

Phân loại theo số lượng khố:

- Mã hố khố bí mật (Private-key Cryptography) - Mã hố khố cơng khai (Public-key Cryptography) 3.1 Mã hoá cổ điển:

Xuất lịch sử, phương pháp khơng dùng khố Thuật tốn đơn giản dễ hiểu Những từ phương pháp mã hoá giúp tiếp cận với thuật toán mã hoá đối xứng sử dụng ngày Trong mã hố cổ điển có 02 phương pháp bật là:

- Mã hố thay (Substitution Cipher):

Là phương pháp mà kí tự (hay nhóm kí tự) rõ (Plaintext) thay kí tự (hay nhóm kí tự) khác để tạo mờ (Ciphertext) Bên nhận cần đảo ngược trình tự thay Ciphertext để có Plaintext ban đầu

Các hệ mật mã cổ điển- Hệ mã hóa thay thế(Substitution Cipher) Chọn hoán vị p: Z26  Z26 làm khoá

VD: Mã hoá ep(a)=X

A B C D E F G H I J K L M

d l r y v o h e z x w p t

n o p q r s t u v w x y z

S F L R C V M U E K J D I

Giải mã: dp(A)=d

A B C D E F G H I J K L M

N O P Q R S T U V W X Y Z

b g f j q n m u s k a c i

Bảng rõ “nguyenthanhnhut”

Mã hóa “SOUDHSMGXSGSGUM” - Mã hoá hoán vị (Transposition Cipher):

Bên cạnh phương pháp mã hố thay mã hố cổ điển có phương pháp khác tiếng khơng kém, mã hố hốn vị Nếu phương pháp mã hố thay thế, kí tự Plaintext thay hồn tồn kí tự Ciphertext, phương pháp mã hố hốn vị, kí tự Plaintext giữ nguyên, chúng xếp lại vị trí để tạo Ciphertext Tức kí tự Plaintext hồn tồn khơng bị thay đổi kí tự khác

Mã hoán vị - Permutation Cipher

Chuyển đổi vị trí thân chữ văn gốc khối m chữ Mã hoá:

eπ(x1, …, xm) = (xπ(1), …, xπm)) Giải mã:

dπ(y1, …, ym) = (yπ’(1), …, yπ’(m))

Trong đó, π: Z26 Z26 hoán vị, π’ :=π-1 nghịch đảo π Hoán vị

x 1 6

Π(x) 3 2

x 1 6

Π-1(x) 4

“shesellsseashellsbytheseashore” shesel | lsseas | hellsb | ythese | ashore

EESLSH | SALSES | LSHBLE | HSYEET | HRAEOS “EESLSHSALSESLSHBLEHSYEETHRAEOS” 3.2 Mã hoá đối xứng:

Ở phần trên, tìm hiểu mã hố cổ điển, có nói mã hố cổ điển khơng dùng khố Nhưng thực phân tích cách tổng quát, thấy sau:

định Khố thay đổi tuỳ theo mục đích mã hố chúng ta, phải nằm phạm vi cho phép

- Để dùng mã hố cổ điển bên mã hố bên giải mã phải thống với chế mã hoá giải mã Nếu khơng có cơng việc hai bên làm việc với

Mã hố đối xứng cịn có số tên gọi khác Secret Key Cryptography (hay Private Key Cryptography), sử dụng khố cho hai q trình mã hố giải mã

Q trình thực sau:

Trong hệ thống mã hoá đối xứng, trước truyền liệu, bên gửi nhận phải thoả thuận khố dùng chung cho q trình mã hố giải mã Sau đó, bên gửi mã hoá rõ (Plaintext) cách sử dụng khoá bí mật gửi thơng điệp mã hố cho bên nhận Bên nhận sau nhận thông điệp mã hố sử dụng khố bí mật mà hai bên thoả thuận để giải mã lấy lại rõ (Plaintext)

Hình 2: Mã hóa đối xứng

Hình vẽ q trình tiến hành trao đổi thông tin bên gửi bên nhận thông qua việc sử dụng phương pháp mã hố đối xứng Trong q trình này, thành phần quan trọng cần phải giữ bí mật khoá Việc trao đổi, thoả thuận thuật toán sử dụng việc mã hố tiến hành cách công khai, bước thoả thuận khoá việc mã hoá giải mã phải tiến hành bí mật Chúng ta thấy thuật tốn mã hố đối xứng có lợi áp dụng quan hay tổ chức đơn lẻ Nhưng cần phải trao đổi thông tin với bên thứ ba việc đảm bảo tính bí mật khố phải đặt lên hàng đầu

Mã hố đối xứng phân thành 02 loại:

- Loại thứ tác động rõ theo nhóm bits Từng nhóm bits gọi với tên khác khối (Block) thuật toán áp dụng gọi Block Cipher Theo đó, khối liệu văn ban đầu thay thế khối liệu khác có độ dài Đối với thuật tốn ngày kích thước chung Block 64 bits

khối thường áp dụng lượng liệu cần mã hoá chưa biết trước Một số thuật toán tiếng mã hoá đối xứng là: DES, Triple DES(3DES), RC4, AES…

+ DES: viết tắt Data Encryption Standard Với DES, rõ (Plaintext) mã hoá theo khối 64 bits sử dụng khoá 64 bits, thực tế có 56 bits thực dùng để tạo khố, bits cịn lại dùng để kiểm tra tính chẵn, lẻ DES thuật toán sử dụng rộng rãi giới Hiện DES khơng cịn đánh giá cao kích thước khố q nhỏ 56 bits, dễ dàng bị phá vỡ

+ Triple DES (3DES): 3DES cải thiện độ mạnh DES việc sử dụng q trình mã hố giải mã sử dụng khoá Khối 64-bits rõ mã hố sử dụng khố thứ Sau đó, liệu bị mã hóa giải mã việc sử dụng khoá thứ hai Cuối cùng, sử dụng khố thứ ba kết q trình mã hoá để mã hoá

C = EK3(DK2(EK1(P))) P = DK1(EK2(DK3(C)))

+ AES: Viết tắt Advanced Encryption Standard, sử dụng để thay cho DES Nó hỗ trợ độ dài khố từ 128 bits 256 bits 3.3 Mã hoá bất đối xứng:

Hay gọi với tên khác mã hố khố cơng khai (Public Key Cryptography), thiết kế cho khố sử dụng q trình mã hố khác biệt với khố sử dụng q trình giải mã Hơn nữa, khố sử dụng q trình giải mã khơng thể tính tốn hay luận từ khố dùng để mã hoá ngược lại, tức hai khoá có quan hệ với mặt tốn học khơng thể suy diễn Thuật tốn gọi mã hố cơng khai khố dùng cho việc mã hố cơng khai cho tất người Một người dùng khoá để mã hoá liệu người mà có khố giải mã tương ứng đọc liệu mà thơi Do thuật tốn có loại khố: Khố để mã hoá gọi Public Key, khoá để giải mã gọi Private Key

Hình 3: mã hóa bất đối xứng

- Bên gửi u cầu cung cấp tự tìm khố cơng khai bên nhận server chịu trách nhiệm quản lý khố

- Sau hai bên thống thuật toán dùng để mã hoá liệu, bên gửi sử dụng khố cơng khai bên nhận với thuật tốn thống để mã hố thơng tin gửi

- Khi nhận thông tin mã hố, bên nhận sử dụng khố bí mật để giải mã lấy thơng tin ban đầu

Vậy với đời Mã hố cơng khai khố quản lý cách linh hoạt hiệu Người sử dụng cần bảo vệ Private key Tuy nhiên nhược điểm Mã hố khố cơng khai nằm tốc độ thực hiện, chậm nhiều so với mã hố đối xứng Do đó, người ta thường kết hợp hai hệ thống mã hoá khoá đối xứng công khai lại với gọi Hybrid Cryptosystems Một số thuật tốn mã hố cơng khai tiếng: Diffle-Hellman, RSA,…

3.4 Hệ thống mã hoá khoá lai (Hybrid Cryptosystems):

Trên thực tế hệ thống mã hố khố cơng khai chưa thể thay hệ thống mã hố khố bí mật được, sử dụng để mã hoá liệu mà thường dùng để mã hoá khoá Hệ thống mã hoá khoá lai đời kết hợp tốc độ tính an tồn hai hệ thống mã hố Dưới mơ hình hệ thống mã hố lai:

Hình 4: Mã hóa cơng khai

- Bên gửi tạo khố bí mật dùng để mã hố liệu Khố cịn gọi Session Key

- Sau đó, Session Key lại mã hố khố cơng khai bên nhận liệu

- Tiếp theo liệu mã hoá với Session Key mã hoá gửi tới bên nhận

- Lúc bên nhận dùng khoá riêng để giải mã Session Key có Session Key ban đầu

- Dùng Session Key sau giải mã để giải mã liệu

Như vậy, hệ thống mã hoá khoá lai tận dụng tốt điểm mạnh hai hệ thống mã hố là: tốc độ tính an tồn Điều làm hạn chế bớt khả giải mã tin tặc

* Một số ứng dụng mã hoá Security

Một số ứng dụng mã hoá đời sống ngày nói chung lĩnh vực bảo mật nói riêng

Đó là:

- Securing Email - Bảo mật hệ thông mail - Authentication System – Hệ thống xác thực

- Secure E-commerce – Bảo mật thương mại điện tử - Virtual Private Network – Mạng riêng ảo

- Wireless Encryption – Mã hóa hệ thống Wireless Bài tập thực hành học viên

Câu 1: Tại cần phải sử dụng mã hố thơng tin? Câu 2: Trình bày phương pháp mã hóa cổ điển Câu 3: Trình bày phương pháp mã hóa dối xứng Bài 1:

Thực với hệ mã hóa thay thế(Substitution Cipher) mã hóa giải mã với bảng rõ sau:

“ khoacongnghethongtin” “sinhviencongnghethongtin” Bài 2:

Thực với hệ Mã hoá hoán vị (Permutation Cipher) mã hóa giải mã với bảng rõ sau:

CHƯƠNG 3: NAT ( Network Address Translation) Mã chương: MH26-03

Mục tiêu:

- Trình bày trình NAT hệ thống mạng; - Trình bày NAT tĩnh NAT động;

- Thiết lập cấu hình NAT Windows server; - Thực thao tác an toàn với hệ thống mạng

1 Giới thiệu: Mục tiêu:

- Trình bày trình NAT hệ thống mạng; - Trình bày NAT tĩnh NAT động.

Lúc đầu, NAT phát minh để giải cho vấn đề thiếu IP Vào lúc khơng nghĩ NAT có nhiều hữu ích có lẽ nhiều ứng dụng vấn đề khác NAT chưa tìm thấy

Trong ngữ cảnh nhiều người cố gắng tìm hiểu vai trị NAT lợi ích tương lai Khi mà IPv6 thực khơng giải cho vấn đề thiếu IP Qua nhiều thử nghiệm họ viêc chuyển hồn tồn qua IPv6 khơng có vấn đề mau lẹ để giải vấn đề liên qua IPv6 IPv4 khó khăn Bởi có khả IPv4 giao thức chủ yếu cho Internet Intranet … lâu dài họ mong muốn

Trước giải thích vai trị NAT ngày tương lai, người muốn khác phạm vi NAT sủ dụng vào ngày Sự giải thích đưa nhìn tổng quan họ không khuyên làm nên dùng loại NAT Sau giới thiệu phân loại NAT phần chi tiết thảo luận đề cập chương sau thực NAT layd out

Phần trình bày chia làm phần :

- Phần đầu đặt tên CLASSIC NAT kỹ thuật NAT vào thời kỳ sơ khai (đầu năm 90) trình bày chi tiết RFC 1931 Ứng dụng chủ yếu giải cho toán thiếu IP Internet - Phần hai trình bày kỹ thuật NAT tìm gần ứng dụng nhiều mục đích khác

2 Các kỹ thuật NAT cổ điển:

Nói NAT phải biết có cách tĩnh động Trong trường hợp đầu phân chia IP rõ ràng cịn trường hợp sau ngược lại Với NAT tĩnh IP nguồn ln chuyển thành IP đích mà thơi thời gian Trong NAT động IP thay đổi thời gian kết nối khác

m: số IP cần chuyển đổi (IP nguồn)

n: số IP sẵn có cho việc chuyển đổi (IP NATs hay gọi IP đích) 2.1 NAT tĩnh

Yêu cầu m, n >= 1; m = n (m, n số tự nhiên)

Với chế IP tĩnh chuyển đổi số lượng IP nguồn đích Trường hợp đặc biệt chứa IP ví dụ netmask 255.255.255.255 Cách thức thực NAT tĩnh dễ dàng tồn chế dịch địa thực công thức đơn giản:

Địa đích = Địa mạng OR ( địa nguồn AND ( NOT netmask))

Khơng có thơng tin trạng thái kết nối Nó cần tìm IP đích thích hợp đủ Các kết nối từ bên hệ thống vào bên hệ thống khác IP chế NAT tĩnh hồn tồn suốt

Ví dụ rule cho NAT tĩnh:

Dịch toàn IP mạng 138.201.148.0 đến mạng có địa 94.64.15.0, netmask 255.255.255.0 cho hai mạng

Dưới mô tả việc dịch từ địa có IP 138.201.148.27 đến 94.64.15.27, khác tương tự

10001010.11001001.10010100.00011011 ( host 138.201.148.0) AND 00000000.00000000.00000000.11111111 ( reverse netmask)

01011110.01000000.00001111 ( new net: 94.64.15.0) 01011110.01000000.00001111.00011011 ( địa )

2.2 NAT động

Yêu cầu m >= m >= n

NAT động sử dụng số IP nguồn khơng số IP đích Số host chia sẻ nói chung bị giới hạn số IP đích có sẵn NAT động phức tạp NAT tĩnh chúng phải lưu giữ lại thơng tin kết nối chí tìm thơng tin TCP packet

Như đề cập NAT động sử dụng NAT tĩnh m = n Một số người dùng thay cho NAT tĩnh mục đích bảo mật Những kẻ từ bên ngồi khơng thể tìm IP kết nối với host định thời điểm host nhận IP hồn tồn khác Trong trường hợp đặc biệt chí có nhiều địa đích địa nguồn (m< n) Những kết nối từ bên ngồi host nắm giữ IP bảng NAT động Nơi mà NAT router lưu giữ thông tin IP bên (IP nguồn) liên kết với NAT-IP(IP đích)

FTP có chế passive non-passive Giao thức FTP dùng port (control data) Với chế passive (thụ động ) host kết nối nhận thông tin data port từ server ngược lại non-passive host kết nối định data port yêu cầu server lắng nghe kết nối tới Tham khảo thêm FTP protocol RFC 959 Bất kẻ từ bên muốn kết nối vào host định bên mạng thời điểm có trường hợp :

+ Host bên khơng có entry bảng NAT nhận thơng tin “host unreachable” có entry NAT-IPs khơng biết + Biết IP kết nối có kết nối từ host bên mạng Tuy nhiên NAT-IPs khơng phải IP thật host Và thông tin bị sau thời gian timeout entry bảng NAT router

Ví dụ rule cho NAT động:

Dịch toàn IP class B, địa mạng 138.201.0.0 đến IP class B 178.201.112.0 Mỗi kết nối từ bên liên kết với tập IP class B mà IP khơng sử dụng

Vd: xem q trình NAT trường hợp sau: + Client cục 10.1.1.170/ 1074

+ NAT server IPI_: 10.1.1.1 / portI :80

IPE : 202.154.1.5 / PortE 1563

+ Web server : 203 154.1.20 /80 Minh hoạ:

Hình 5: Mơ tả q trình NAT tĩnh

Q trình NAT: Khi Client gởi yêu cầu đến webserver, Header báo tin gói tin bắt đầu tại:

10.1.1.170/1074 đích gói tin cổng 80 Webserver có địa 203.154.1.20 gói tin chặn cổng 80 NAT Server, 10.1.1.1, NAT

10.1 1.17 NA T sou rce We b ser ver Inte rnet 10.1 1.1 203.1 54.1 W eb cli en

Server gắn header gói tin trước chuyển tiếp đến đích Webserver Header gói tin cho biết gói tin xuất phát từ 203.154.1.5 / 1563 đến đích không thay đổi

- Webserver nhận yêu cầu cổng 80 đáp ứng yêu cầu trở lại cho NAT server

- Header gói tin cho biết gói tin gởi lại từ Webserver đích cổng 1563 203.154.1.5

+ NAT cách để giấu địa IP Server bên mạng nội bộ, tiết kiệm địa IP công cộng, NAT bảo mật công trực tiếp từ bên vào server dịch vụ bên trong, bên ngồi khơng nhìn thấy địa IP server Như NAT công cụ bảo mật mạng LAN

NAT hoạt động route mạng nội bên với bên ngồi, giúp chuyển đổi địa IP Nó thường sử dụng cho mạng có địa lớp A,B,C

- Hoạt động NAT bao gồm bước sau:

+ Địa IP header IP thay đổi địa bên bên ngoài, số hiệu cổng header TCP thay thành số hiệu cổng

+ Tổng kiểm tra gói IP tính tốn lại cho liệu đảm bảo tính tồn vẹn (Đảm bảo kết trả nơi mà yêu cầu)

+ Header TCP/IP checksum phải tính tốn lại cho phù hợp với địa TCP/IP bên bên ngồi lẫn cổng dịch vụ

+ Có hai loại NAT: Nat tĩnh Nat động, tương ứng với hai kỹ thuật cấp phát địa IP (địa IP tỉnh địa IP động DHCP)

Minh hoạ:

Hình 6: Mơ tả q trình NAT động WAN A

10.1.1.0

Inside Private

192.50.20

10.1.1.1 192.50.20

1

WAN B

Route NAT IP pool 192.50.20.1

192.50.20.254

192.50.20.2 Outside

Chú Ý:

NAT chuyển đổi địa theo: + Một - Một

+ Nhiều - Một

=> Một địa bên chuyển thành địa hợp lệ bên ngược lại

NAT Pool: Cho phép chuyển đổi địa nội thành dãy đia Public 3 NAT Window server.

Mục tiêu:

- Trình bày khái niệm thành phần Nat Windows server - Thiết lập cấu hình NAT Windows server

3.1 Win 2003 cung cấp khái niệm NAT

NAT liên quan đến việc kết nối LAN vào Internet, NAT cho phép mạng nhỏ kết nối vào Internet trường hợp IPSec Do cần địa IP cơng cộng kết nối lượng lớn để cập vào Internet - NAT server cần địa LAN bên trong, Người sử dụng bên khơng thể nhìn thấy địa server bên nhờ mà bảo vệ loại công từ Internet

- NAT Win 2003 bao gồm thành phần sau:

+ TRANSLATION: Là máy tính chạy Win 2003 có chức Nat được, đóng vai trị chuyển đổi địa IP số hiệu cổng LAN bên thành máy chủ bên Intranet

+ ADDRESS: Là máy tính đóng vai trị chuyển đổi địa mạng cung cấp thơng tin địa IP Máy tính + mạng xem DHCP server cung cấp thông tin địa IP/ Subnet Mask/ Default Gateway/ DNS Server…

Trong trường hợp tất máy tính bên LAN phải cấu hình DHCP client

+ Name Resolution: Là mạng máy tính đóng vai trị NAT server đồng thời DNS server Cho máy tính khac mạng nội bộ, Client gởi yêu cầu đến NAT Server, NAT Server chuyển tiếp đến DNS server để đổi tên chuyển kết trở lại cho NAT NAT server chuyển kết lại theo yêu cầu

3 Hoạt động NAT:

Với Header IP đến host hay Server Internet Trong trường hờp NATserver phải giữ lại địa IP địa cổng Client yêu cầu mạng cục để có sở chuyển kết cho Client sau

Khi nhân yêu cầu từ host Internet, NATserver thay Header gói tin thành Header nguyên thuỷ gởi lại cho Client yêu cầu

3.3 Cài Đặt cấu hình: Phân tích bảng luật sau:

Rule S_Addr D_Addr Service Action log NAT

A Firewall Any Any Permit Yes

B 192.168.1.0

255.255.255.0

Firewall Any Permit Na

C 192.168.1.15 Any Any Permit No Nat(LAN )

D Any Firewall TCP/80 Permit Yes MAP

192.168.1.15

E Any Any Any Deny Na

- Luật A không cho phép máy trọng mạng nội

- Luật B cho phép máy Client mạng nội qua Firewall, sử dụng dịch vụ, không ghi lại File lưu, NAT khơng có tới đich Firewall

- Luật C cho phép máy có địa nguồn qua internet với dịch vụ nào, không ghi lại file lưu sử dụng NAT LAN

- Luật D cho phép từ bên với Firewall sử dụng giao thức TCP với cổng 80 (giao thức http)

- Luật E mặc định

Bài tập thực hành học viên Câu 1: So sánh Nat tĩnh Nat động

Câu 2: Trình bày khái niệm chế hoạt động Nat Window Bài tập

I.NAT outbound ( NAT ra)

1.Cấu hình máy PC09 làm NAT Server

B1: Mở Routing and Remote Access -> Click phải chuột lên NAT Server (PC09) chọn Configure and Enable Routing and Remote Access -> Trong Welcome chọn Next -> Trong Configuration chọn ô Custom configuration -> Next

-Trong Custome Configuration -> Đánh dấu chọn ô NAT and basic firewall ô Lan Routing -> Next -> Finish

B2:Trong Routing and Remote Access, Click chuột phải lên NAT/Basic Firewall, chọn New Interface -> New Interface for Network Address Tranlation (NAT) -> Chọn card LAN -> OK

B3: Tương tự B2 Trong Routing and Remote Access, Click chuột phải lên NAT/Basic Firewall, chọn New Interface -> New Interface for

Network Address Tranlation (NAT) -> Chọn card LAN -> OK

-Trong Network Address Translation Properties -> CROSS Properties -> Chọn ô Private interface connected to private network -> OK

hình sau: Interface: LAN Destination: 0.0.0.0 Network mask: 0.0.0.0

Gateway: 192.168.1.200 (gateway Internet) Metric: 1

-> OK

Note: Gateway phải NetID với địa IP card LAN

B5: Trong Routing and Remote Access -> Click phải chuột lên PC09 chọn All Tasks -> Restart

2.Kiểm tra kết quả

Các máy NetID 10.0.0.0/8 truy cập Internet Ta dùng lệnh Tracert (phân tích đường gói liệu) để kiểm tra

1.Cấu hình Web Server máy PC08

B1:Start -> Programs -> Administrator Tools -> Configure Your Server Wizard -> Next -> Chọn Application Server (IIS, ASP.NET) -> Next Làm theo hướng dẫn để hoàn thành việc cài đặt

Note: Trong trình cài đặt IIS, đường dẫn vào thư mục I386 đĩa CD Windows Server 2003 hệ thống yêu cầu

B2:Mở Windows Explore -> Vào thư mục C:\Inetpub\wwwroot -> Tạo file index.htm có nội dung ( Vd: Welcome to website)

B3:Mở Internet Explore -> Truy cập vào địa IP địa Webserver Note: Kiểm tra truy cập vào trang web vừa tạo

2.Cấu hình NAT Server máy PC09

-chọn tab Services and Ports -> Kéo trượt xuống phía chọn mục Web Server (HTTP)

B2: Trong Routing and Remote Access -> Click chuột phải lên PC09 chọn All Tasks -> Restart

3 Kiểm tra:

Máy PC10 mở Internet Explorer -> Truy cập vào địa IP địa Webserver

CHƯƠNG 4: BẢO VỆ MẠNG BẰNG TƯỜNG LỬA Mã chương: MH26-04

Mục tiêu:

- Liệt kê tình công mạng;

- Mô tả xây dựng kiến trúc mạng sử dụng tường lửa; - Cấu hình tường lửa để bảo vệ mạng;

- Thực thao tác an tồn với máy tính

1 Các kiểu công

Mục tiêu: Liệt kê tình cơng mạng. 1.1 Tấn cơng trực tiếp

Sử dụng máy tính để cơng máy tính khác với mục đích dị tìm mật mã, tên tài khoản tương ứng, … Họ sử dụng số chương trình giải mã để giải mã file chứa password hệ thống máy tính nạn nhân Do đó, mật ngắn đơn giản thường dễ bị phát

Ngoài ra, hacker cơng trực tiếp thơng qua lỗi chương trình hay hệ điều hành làm cho hệ thống tê liệt hư hỏng Trong số trường hợp, hacker đoạt quyền người quản trị hệ thống

1.2 Nghe trộm

Việc nghe trộm thơng tin mạng đưa lại thơng tin có ích tên-mật người sử dụng, thông tin mật chuyển qua mạng Việc nghe trộm thường tiến hành sau kẻ công chiếm quyền truy nhập hệ thống, thơng qua chương trình cho phép đưa vỉ giao tiếp mạng (Network Interface Card-NIC) vào chế độ nhận toàn thông tin lưu truyền mạng Những thông tin dễ dàng lấy Internet

1.3 Giả mạo địa chỉ

Việc giả mạo địa IP thực thông qua việc sử dụng khả dẫn đường trực tiếp (source-routing) Với cách công này, kẻ cơng gửi gói tin IP tới mạng bên với địa IP giả mạo (thông thường địa mạng máy coi an toàn mạng bên trong), đồng thời rõ đường dẫn mà gói tin IP phải gửi

1.4 Vơ hiệu hố chức hệ thống

1.5 Lỗi người quản trị hệ thống

Đây kiểu công kẻ đột nhập, nhiên lỗi người quản trị hệ thống thường tạo lỗ hổng cho phép kẻ công sử dụng để truy nhập vào mạng nội

1.6 Tấn công vào yếu tố người

Kẻ cơng liên lạc với người quản trị hệ thống, giả làm người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập hệ thống, chí thay đổi số cấu hình hệ thống để thực phương pháp công khác Với kiểu cơng khơng thiết bị ngăn chặn cách hữu hiệu, có cách giáo dục người sử dụng mạng nội yêu cầu bảo mật để đề cao cảnh giác với tượng đáng nghi Nói chung yếu tố người điểm yếu hệ thống bảo vệ nào, có giáo dục cộng với tinh thần hợp tác từ phía người sử dụng nâng cao độ an tồn hệ thống bảo vệ 2 Các mức bảo vệ an tồn

Mục tiêu:

- Mơ tả xây dựng kiến trúc mạng sử dụng tường lửa

Vì khơng có giải pháp an tồn tuyệt đối nên người ta thường phải sử dụng đồng thời nhiều mức bảo vệ khác tạo thành nhiều lớp "rào chắn" hoạt động xâm phạm Việc bảo vệ thông tin mạng chủ yếu bảo vệ thơng tin cất giữ máy tính, đặc biệt server mạng Hình sau mơ tả lớp rào chắn thông dụng để bảo vệ thơng tin trạm mạng

Hình 7:Các mức độ bảo vệ mạng

Như minh hoạ hình trên, lớp bảo vệ thơng tin mạng gồm:

- Lớp bảo vệ quyền truy nhập nhằm kiểm soát tài nguyên (ở thơng tin) mạng quyền hạn (có thể thực thao tác gì)

Information A cc es s ri gh ts lo gi n/ pa ss w or

d data

trên tài ngun Hiện việc kiểm sốt mức áp dụng sâu tệp

- Lớp bảo vệ hạn chế theo tài khoản truy nhập gồm đăng ký tên/ mật tương ứng Đây phương pháp bảo vệ phổ biến đơn giản, tốn có hiệu Mỗi người sử dụng muốn truy nhập vào mạng sử dụng tài nguyên phải có đăng ký tên mật Người quản trị hệ thống có trách nhiệm quản lý, kiểm soát hoạt động mạng xác định quyền truy nhập người sử dụng khác tuỳ theo thời gian không gian

- Lớp thứ ba sử dụng phương pháp mã hoá (encryption) Dữ liệu biến đổi từ dạng "đọc " sang dạng khơng "đọc " theo thuật tốn Chúng ta xem xét phương thức thuật toán mã hoá sử dụng phổ biến phần

- Lớp thứ tư bảo vệ vật lý (physical protection) nhằm ngăn cản truy nhập vật lý bất hợp pháp vào hệ thống Thườngdùng biện pháp truyền thống Như ngăn cấm người khơng có nhiệm vụ vào phịng đặt máy, dùng hệ thống khố máy tính, cài đặt hệ thống báo động có truy nhập vào hệ thống - Lớp thứ năm: Cài đặt hệ thống tường lửa (firewall), nhằm ngăn chặn thâm nhập trái phép cho phép lọc gói tin mà ta khơng muốn gửi nhận vào lý

3 Internet Firwall

Mục tiêu:

- Trình bày định nghĩa Firewall; - Mô tả chức cấu trúc Firewall.

3.1 Định nghĩa

Thuật ngữ Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thơng tin, Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập vào hệ thống số thông tin khác không mong muốn Cũng hiểu Firewall chế để bảo vệ mạng tin tưởng (trusted network) khỏi mạng không tin tưởng (untrusted network)

Internet Firewall thiết bị (phần cứng+phần mềm) mạng tổ chức, công ty, hay quốc gia (Intranet) Internet Nó thực vai trị bảo mật thơng tin Intranet từ giới Internet bên ngồi

3.2 Chức chính

Internet Firewall (từ sau gọi tắt firewall) thành phần đặt Intranet Internet để kiểm soát tất việc lưu thông truy cập chúng với bao gồm:

Để firewall làm việc hiệu quả, tất trao đổi thông tin từ ngồi ngược lại phải thực thơng qua Firewall

Chỉ có trao đổi phép chế độ an ninh hệ thống mạng nội quyền lưu thông qua Firewall

Intranet firewall Internet

Hình :Sơ đồ chức hệ thống firewall 3.3 Cấu trúc

Firewall bao gồm:

Một nhiều hệ thống máy chủ kết nối với định tuyến (router) có chức router

Các phần mềm quản lý an ninh chạy hệ thống máy chủ Thông thường hệ quản trị xác thực (Authentication), cấp quyền (Authorization) kế toán (Accounting)

3.4 Các thành phần Firewall chế hoạt động

Một Firewall chuẩn bao gồm hay nhiều thành phần sau đây: Bộ lọc packet ( packet-filtering router )

Cổng ứng dụng (application-level gateway hay proxy server ) Cổng mạch (circuite level gateway)

3.4.1.Bộ lọc gói tin (Packet filtering router) Nguyên lý:

Khi nói đến việc lưu thơng liệu mạng với thơng qua Firewall điều có nghĩa Firewall hoạt động chặt chẽ với giao thức liên mạng TCP/IP Vì giao thức làm việc theo thuật toán chia nhỏ liệu nhận từ ứng dụng mạng, hay nói xác dịch vụ chạy giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành gói liệu (data packets) gán cho packet địa để nhận dạng, tái lập lại đích cần gửi đến, loại Firewall liên quan nhiều đến packet số địa chúng

dựa thông tin đầu packet (packet header), dùng phép truyền packet mạng Đó là:

Địa IP nơi xuất phát ( IP Source address) Địa IP nơi nhận (IP Destination address)

Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) Cổng TCP/UDP nơi nhận (TCP/UDP destination port) Dạng thông báo ICMP ( ICMP message type)

giao diện packet đến ( incomming interface of packet) giao diện packet ( outcomming interface of packet)

Nếu luật lệ lọc packet thoả mãn packet chuyển qua firewall Nếu không packet bị bỏ Nhờ mà Firewall ngăn cản kết nối vào máy chủ mạng xác định, khoá việc truy cập vào hệ thống mạng nội từ địa không cho phép Hơn nữa, việc kiểm soát cổng làm cho Firewall có khả cho phép số loại kết nối định vào loại máy chủ đó, có dịch vụ (Telnet, SMTP, FTP ) phép chạy hệ thống mạng cục

Ưu điểm

Đa số hệ thống firewall sử dụng lọc packet Một ưu điểm phương pháp dùng lọc packet chi phí thấp chế lọc packet bao gồm phần mềm router

Ngoài ra, lọc packet suốt người sử dụng ứng dụng, không yêu cầu huấn luyện đặc biệt

Hạn chế:

Việc định nghĩa chế độ lọc packet việc phức tạp, địi hỏi người quản trị mạng cần có hiểu biết chi tiết vể dịch vụ Internet, dạng packet header, giá trị cụ thể mà họ nhận trường Khi đòi hỏi vể lọc lớn, luật lệ vể lọc trở nên dài phức tạp, khó để quản lý điều khiển

Do làm việc dựa header packet, rõ ràng lọc packet không kiểm sốt nội dung thơng tin packet Các packet chuyển qua mang theo hành động với ý đồ ăn cắp thông tin hay phá hoại kẻ xấu

3.4.2 Cổng ứng dụng (application-level gateway) Nguyên lý

một ứng dụng đó, dịch vụ tương ứng khơng cung cấp khơng thể chuyển thơng tin qua firewall Ngồi ra, proxy code định cấu hình để hỗ trợ số đặc điểm ứng dụng mà ngưòi quản trị mạng cho chấp nhận từ chối đặc điểm khác

Một cổng ứng dụng thường coi pháo đài (bastion host), thiết kế đặt biệt để chống lại công từ bên Những biện pháp đảm bảo an ninh bastion host là:

Bastion host chạy version an toàn (secure version) phần mềm hệ thống (Operating system) Các version an toàn thiết kế chuyên cho mục đích chống lại công vào Operating System, đảm bảo tích hợp firewall

Chỉ dịch vụ mà người quản trị mạng cho cần thiết cài đặt bastion host, đơn giản dịch vụ khơng cài đặt, khơng thể bị công Thông thường, số giới hạn ứng dụng cho dịch vụ Telnet, DNS, FTP, SMTP xác thực user cài đặt bastion host

Bastion host yêu cầu nhiều mức độ xác thực khác nhau, ví dụ user password hay smart card

Mỗi proxy đặt cấu hình phép truy nhập sồ máy chủ định Điều có nghĩa lệnh đặc điểm thiết lập cho proxy với số máy chủ toàn hệ thống

Mỗi proxy trì nhật ký ghi chép lại tồn chi tiết giao thơng qua nó, kết nối, khoảng thời gian kết nối Nhật ký có ích việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại

Mỗi proxy độc lập với proxies khác bastion host Điều cho phép dễ dàng trình cài đặt proxy mới, hay tháo gỡ mơt proxy có vấn để

Ví dụ: Telnet Proxy

Ví dụ người (gọi outside client) muốn sử dụng dịch vụ TELNET để kết nối vào hệ thống mạng qua mơt bastion host có Telnet proxy Q trình xảy sau:

Outside client telnets đến bastion host Bastion host kiểm tra password, hợp lệ outside client phép vào giao diện Telnet proxy Telnet proxy cho phép tập nhỏ lệnh Telnet, định máy chủ nội outside client phép truy nhập

Outside client máy chủ đích Telnet proxy tạo kết nối riêng tới máy chủ bên trong, chuyển lệnh tới máy chủ uỷ quyền outside client Outside client tin Telnet proxy máy chủ thật bên trong, máy chủ bên tin Telnet proxy client thật

Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ mạng, ứng dụng proxy hạn chế lệnh định máy chủ truy nhập dịch vụ

Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ cho phép, vắng mặt proxy cho dịch vụ tương ứng có nghĩa dịch vụ bị khoá

Cổng ứng dụng cho phép kiểm tra độ xác thực tốt, có nhật ký ghi chép lại thơng tin truy nhập hệ thống

Luật lệ filltering (lọc) cho cổng ứng dụng dễ dàng cấu hình kiểm tra so với lọc packet

Hạn chế:

Yêu cầu users biến đổi (modify) thao tác, modify phần mềm cài đặt máy client cho truy nhập vào dịch vụ proxy Ví dụ, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước đê nối với máy chủ bước thơi Tuy nhiên, có số phần mềm client cho phép ứng dụng cổng ứng dụng suốt, cách cho phép user máy đích khơng phải cổng ứng dụng lệnh Telnet

3.4.3 Cổng vòng (circuit-Level Gateway)

Cổng vịng chức đặc biệt thực đươc cổng ứng dụng Cổng vòng đơn giản chuyển tiếp (relay) kết nối TCP mà không thực hành động xử lý hay lọc packet

Một hành động sử dụng nối telnet qua cổng vòng Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực kiểm tra, lọc hay điều khiển thủ tục Telnet nào.Cổng vòng làm việc sợi dây,sao chép byte kết nối bên (inside connection) kết nối bên (outside connection) Tuy nhiên, kết nối xuất từ hệ thống firewall, che dấu thơng tin mạng nội

out

out

out

in

in

in

outside host Inside host

Circuit-level Gateway

Hình 9: Mơ tả chức cổng vòng

3.5 Những hạn chế firewall

Firewall không đủ thông minh người để đọc hiểu loại thơng tin phân tích nội dung tốt hay xấu Firewall ngăn chặn xâm nhập nguồn thông tin không mong muốn phải xác định rõ thông số địa

Firewall ngăn chặn công công khơng "đi qua" Một cách cụ thể, firewall chống lại công từ đường dial-up, dị rỉ thơng tin liệu bị chép bất hợp pháp lên đĩa mềm

Firewall chống lại cơng liệu (data-driven attack) Khi có số chương trình chuyển theo thư điện tử, vượt qua firewall vào mạng bảo vệ bắt đầu hoạt động

Một ví dụ virus máy tính Firewall khơng thể làm nhiệm vụ rà quét virus liệu chuyển qua nó, tốc độ làm việc, xuất liên tục virus có nhiều cách để mã hóa liệu, khỏi khả kiểm sốt firewall

3.6 Các ví dụ firewall

3.6.1 Packet-Filtering Router (Bộ trung chuyển có lọc gói)

Hệ thống Internet firewall phổ biến bao gồm packet-filtering router đặt mạng nội Internet Một packet-filtering router có hai chức năng: chuyển tiếp truyền thông hai mạng sử dụng quy luật lọc gói phép hay từ chối truyền thông Căn bản, quy luật lọc đựơc định nghĩa cho host mạng nội quyền truy nhập trực tiếp tới Internet, host Internet có số giới hạn truy nhập vào máy tính mạng nội Tư tưởng mô cấu trúc firewall tất khơng rõ ràng cho phép có nghĩa bị từ chối

Packet-filtering router Ưu điểm:

giá thành thấp (vì cấu hình đơn giản) suốt người sử dụng Hạn chế:

Có tất hạn chế packet-filtering router, dễ bị công vào lọc mà cấu hình đặt khơng hồn hảo, bị công ngầm dịch vụ phép

Bởi packet trao đổi trực tiếp hai mạng thông qua router , nguy bị công định số lượng host dịch vụ phép Điều dẫn đến host phép truy nhập trực tiếp vào Internet cần phải cung cấp hệ thống xác thực phức tạp, thường xuyên kiểm tra người quản trị mạng xem có dấu hiệu công không

3.6.2 Screened Host Firewall

Hệ thống bao gồm packet-filtering router bastion host Hệ thống cung cấp độ bảo mật cao hệ thống trên, thực bảo mật tầng network( packet-filtering ) tầng ứng dụng (application level) Đồng thời, kẻ công phải phá vỡ hai tầng bảo mật để cơng vào mạng nội

Hình10 : Screened host firewall (Single- Homed Bastion Host) Trong hệ thống này, bastion host cấu hình mạng nội Qui luật filtering packet-filtering router định nghĩa cho tất hệ thống bên ngồi truy nhập bastion host; Việc truyền thông tới tất hệ thống bên bị

khố Bởi hệ thống nội bastion host mạng, sách bảo mật tổ chức định xem hệ thống nội phép truy nhập trực tiếp vào bastion Internet chúng phải sử dụng dịch vụ proxy bastion host Việc bắt buộc user nội thực cách đặt cấu hình lọc router cho chấp nhận truyền thông nội xuất phát từ bastion host

Ưu điểm:

The Internet

Bên Packet filtering

router

Bên

Information server Bastion host

m¸y néi bé

Hình 11: Screened host firewall (Dual- Homed Bastion Host)

Nếu cần độ bảo mật cao dùng hệ thống firewall dual-home (hai chiều) bastion host Một hệ thống bastion host có giao diện mạng (network interface), khả truyền thơng trực tiếp hai giao diện qua dịch vụ proxy bị cấm

Bởi bastion host hệ thống bên truy nhập từ Internet, công giới hạn đến bastion host mà Tuy nhiên, người dùng truy nhập vào bastion host họ dễ dàng truy nhập tồn mạng nội Vì cần phải cấm khơng cho người dùng truy nhập vào bastion host

3.6.3 Demilitarized Zone (DMZ - khu vực phi quân sự) hay Screened-subnet Firewall

Hệ thống bao gồm hai packet-filtering router bastion host Hệ thống firewall có độ an tồn cao cung cấp mức bảo mật : network application định nghĩa mạng “phi quân sự” Mạng DMZ đóng vai trị mạng nhỏ, lập đặt Internet mạng nội Cơ bản, DMZ cấu hình cho hệ thống Internet mạng nội truy nhập số giới hạn hệ thống mạng DMZ, truyền trực tiếp qua mạng DMZ

Với thơng tin đến, router ngồi chống lại công chuẩn (như giả mạo địa IP), điều khiển truy nhập tới DMZ Nó cho phép hệ thống bên truy nhập bastion host, information server Router cung cấp bảo vệ thứ hai cách điều khiển DMZ truy nhập mạng nội với truyền thông bastion host

cả information server Quy luật filtering router yêu cầu sử dung dich vụ proxy cách cho phép thông tin bắt nguồn từ bastion host

Ưu điểm:

Kẻ công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host router

Bởi router ngồi quảng bá DMZ network tới Internet, hệ thống mạng nội khơng thể nhìn thấy (invisible) Chỉ có số hệ thống chọn DMZ biết đến Internet qua routing table DNS information exchange (Domain Name Server)

Bởi router quảng bá DMZ network tới mạng nội bộ, hệ thống mạng nội truy nhập trực tiếp vào Internet Điều đảm bảo user bên bắt buộc phải truy nhập Internet qua dịch vụ proxy

The Internet

Bên Packet filtering

router

Bªn

Information server Bastion host

Outside router Inside router

DMZ

Hình 12:Screened-Subnet Firewall Bài tập thực hành học viên

Câu 1: Trình bày kiểu công mạng

Câu 2: Vẽ trình bày chức cấu truca cua Firewall

CHƯƠNG 5: DANH SÁCH ĐIỀU KHIỂN TRUY CẬP Mã chương:MH26-05

Mục tiêu:

- Trình bày khái niệm danh sách truy cập;

- Mô tả nguyên tắc hoạt động danh sách truy cập; - Mô danh sách truy cập chuẩn mạng TCP/IP; - Thực thao tác an tồn với máy tính

Giới thiệu

Các mạng có sử dụng chọn đường nối tập nhỏ mạng LAN máy tính lại với Kế tiếp nhà quản trị mạng mở rộng nối kết router sang mạng bên Sự gia tăng việc sử dụng Internet mang đến nhiều thách thức việc điều khiển truy cập Các công nghệ mạng đường trục cáp quang dịch vụ băng thơng rộng hốn chuyển tốc độ cao làm gia tăng nhiều thách thức điều khiển truy cập mạng

Các nhà quản trị đối mặt với vấn đề có tính tiến thối lưỡng nan như: Làm từ chối nối kết không mong muốn cho phép truy cập hợp lệ ? Mặc dù công cụ mật khẩu, thiết bị phản hồi thiết bị an toàn vật lý hữu ích, chúng thường thiếu diễn giải mềm dẽo chế điều khiển mà hầu hết nhà quản trị mạng mong muốn

Hình 13: Vấn đề an ninh mạng diện rộng

những dòng giao tiếp hợp lệ Danh sách truy cập phân biệt giao thơng gói tin thành nhiều chủng loại mà chúng phép hay bị từ chối Danh sách truy cập sử dụng để:

 Nhận dạng gói tin cho việc xếp thứ tự ưu tiên hay xếp hàng

đợi

 Hạn chế giảm nội dung thông tin cập nhật chọn đường

Danh sách truy cập xử lý gói tin cho tính an tồn khác như:

 Cung cấp chế điều khiển truy cập động gói tin IP dựa vào

cơ chế nhận dạng người dùng nâng cao, sử dụng tính chìa ống khóa

 Nhận dạng gói tin cho việc mã hóa

 Nhận dạng truy cập dịch vụ Telnet cho phép để

cấu hình router

1 Định nghĩa danh sách truy cập

Mục tiêu:

- Trình bày khái niệm danh sách truy cập;

Danh sách truy cập phát biểu dùng để đặc tả điều kiện mà nhà quản trị muốn thiết đặt, nhờ router xử lý truyền tải mô tả danh sách truy cập theo cách thức khơng bình thường Danh sách truy cập đưa vào điều khiển cho việc xử lý gói tin đặc biệt theo cách thức Có hai loại danh sách truy cập là:

 Danh sách truy cập chuẩn (standard access list): Danh sách sử dụng cho

việc kiểm tra địa gởi gói tin chọn đường Kết cho phép hay từ chối gởi cho giao thức dựa địa mạng/mạng hay địa máy

Ví dụ: Các gói tin đến từ giao diện E0 kiểm tra địa giao thức Nếu phép, gói tin chuyển giao diện S0 nhóm danh sách truy cập Nếu gói tin bị từ chối danh sách truy cập, tất gói tin chủng loại bị xóa

 Danh sách truy cập mở rộng (Extended access list): Danh sách truy cập

mở rộng kiểm tra cho địa gởi nhận gói tin Nó kiểm tra cho giao thức cụ thể, số hiệu cổng tham số khác Điều cho phép nhà quản trị mạng mềm dẻo việc mơ tả muốn danh sách truy cập kiểm tra Các gói tin phép từ chối gởi tùy thuộc vào gói tin xuất phát từ đâu đến đâu

2 Nguyên tắc hoạt động Danh sách truy cập Mục tiêu:

- Mô tả nguyên tắc hoạt động danh sách truy cập

- Trình bày danh sách truy cập chuẩn danh sách truy cập mở rộng - Mô tả thành phần câu lệnh danh sách truy cập

Danh sách truy cập diễn tả tập hợp qui luật cho phép đưa vào điều khiển gói tin vào giao diện router, gói tin lưu lại tạm thời router gói tin gởi giao diện router Danh sách truy cập khơng có tác dụng gói tin xuất phát từ router xét

Hình 15: Nguyên tắc hoạt động danh sách truy cập

Khởi đầu tiến trình giống khơng phân biệt có sử dụng danh sách truy cập hay khơng: Khi gói tin vào giao diện, router kiểm tra để xác định xem chuyển gói tin hay khơng Nếu khơng được, gói tin bị xóa Một mục từ bảng chọn đường thể cho đích đến mạng với chiều dài đường đến đích giao diện router hướng đích đến

Giả sử giao diện nhận đặt danh sách truy cập mở rộng Nhà quản trị mạng sử dụng biểu thức luận lý, xác để thiết lập danh sách truy cập Trước gói tin đưa đến giao diện ra, phải kiểm tra tập quy tắc định nghĩa danh sách truy cập gán cho giao diện

Dựa vào kiểm tra danh sách truy cập mở rộng, gói tin phép danh sách vào (inbound list), có nghĩa tiếp tục xử lý gói tin sau nhận giao diện hay danh sách (outbound list), điều có nghĩa gởi gói tin đến vùng đệm tương ứng giao diện Ngược lại, kết kiểm tra từ chối việc cấp phép nghĩa gói tin bị hủy Khi hủy gói tin, vài giao thức trả lại gói tin cho người gởi Điều báo hiệu cho người gởi biết khơng thể đến đích

Hình 16: Nguyên tăc lọc dựa danh sách truy cập

Các lệnh danh sách truy cập hoạt động cách Chúng đánh giá gói tin từ xuống Nếu tiêu đề gói tin lệnh danh sách truy cập khớp với nhau, gói tin bỏ qua lệnh cịn lại Nếu điều kiện thỏa mãn, gói tin cấp phép hay bị từ chối Chỉ cho phép danh sách giao thức giao diện

Trong ví dụ trên, giả sư có trùng hợp với bước kiểm tra gói tin bị từ chối truy cập giao diện hướng đến đích đến Gói tin bị bỏ đưa vào thùng rác Gói tin khơng cịn qua bước kiểm tra khác

khác gói tin trùng khớp với bước kiểm tra thứ hai, lệnh cho phép, gói tin phép chuyển giao diện hướng đích

Một gói tin khác khơng trùng với điều kiện bước kiểm tra thứ kiểm tra bước thứ hai, lại trùng với điều kiện kiểm tra thứ ba với kết phép

Chú ý rằng: Để hoàn chỉnh mặt luận lý, danh sách truy cập phải có điều kiện mà tạo kết cho tất gói tin Một lệnh cài đặt cuối bao trùm cho tất gói tin mà bước kiểm tra trước khơng có kết Đây bước kiểm tra cuối mà khớp với tất gói tin Nó kết từ chối Điều làm cho tất gói tin bị bỏ

2.1 Tổng quan lệnh Danh sách truy cập

Trong thực tế, lệnh danh sách truy cập chuỗi với nhiều ký tự Danh sách truy cập phức tạp để nhập vào hay thơng dịch Tuy nhiên đơn giản hóa lệnh cấu hình danh sách truy cập cách đưa chúng hai loại tổng quát sau:

Loại 1: Bao gồm lệnh để xử lý vấn đề tổng quát, cú pháp mô tả sau:

access-list access-list- number {permit|deny} {test conditions} o access-list: từ khóa bắt buộc

o access-list-number: Lệnh tổng thể dùng để nhận dạng danh sách truy cập, thông thường số Con số biểu thị cho loại danh sách truy cập

o Thuật ngữ cho phép (permit) hay từ chối (deny) lệnh danh sách truy cập tổng quát biểu thị cách thức mà gói tin khớp với điều kiện kiểm tra xử lý hệ điều hành router Cho phép thơng thường có nghĩa gói tin phép sử dụng hay nhiều giao diện mà bạn mô tả sau

o test conditions: Thuật ngữ cuối mô tả điều kiện kiểm tra dùng lệnh danh sách truy cập Một bước kiểm tra đơn giản việc kiểm tra địa nguồn Tuy nhiên thông thường điều kiện kiểm tra mở rộng để chứa đựng vài điều kiện kiểm tra khác Sử dụng lệnh danh sách truy cập tổng quát với số nhận dạng để chồng nhiều điều kiện kiểm tra vào chuỗi luận lý danh sách kiểm tra

Loại 2: Xử lý danh sách truy cập sử dụng lệnh giao diện Cú pháp sau:

{protocol} access-group access-list-number Với:

Access-list-number: Số hiệu nhận dạng danh sách truy cập định nghĩa trước

Tất lệnh danh sách truy cập nhận dạng số tương ứng với nhiều giao diện Bất kỳ gói tin mà chúng vượt qua điều kiện kiểm tra danh sách truy cập gán phép sử dụng giao diện nhóm giao diện phép

2.2 Danh sách truy cập chuẩn mạng TCP/IP 2.2.1.Kiểm tra gói tin với danh sách truy cập

Để lọc gói tin TCP/IP, danh sách truy cập hệ điều hành liên mạng Cisco kiểm tra gói tin phần tiêu đề giao thức tầng

Tiến trình bao gồm bước kiểm tra sau gói tin:

o Kiểm tra địa nguồn danh sách truy cập chuẩn Nhận dạng danh sách truy cập số có giá trị từ đến 99

o Kiểm tra địa đích địa nguồn giao thức danh sách truy cập mở rộng Nhận dạng danh sách số có giá trị từ 100 dến 199

o Kiểm tra số hiệu cổng giao thức TCP UDP điều kiện danh sách truy cập mở rộng Các danh sách nhận dạng số có giá trị từ 100 đến 199

Hinh 17: Ví dụ danh sách truy cập gói tin TCP/IP

Đối với tất danh sách truy cập giao thức TCP/IP này, sau gói tin kiểm tra để khớp lệnh danh sách, bị từ chối cấp phép để sử dụng giao diện nhóm giao diện truy cập

o Nhà quản trị mạng phải thận trọng đặc tả điều khiển truy cập

và thứ tự lệnh để thực điều khiển truy cập Chỉ rõ giao thức phép giao thức TCP/IP cịn lại bị từ chối

o Chỉ rõ giao thức IP cần kiểm tra Các giao thức IP cịn lại khơng cần kiểm tra

o Sử dụng ký tự đại diện (wildcard) để mô tả luật chọn lọc địa IP 2.2.3 Sử dụng bit mặt nạ ký tự đại diện

- Wilcard mask: wilcard mask bit địa IP bỏ qua so sánh với địa IP khác <1> wildcard mask có nghĩa bỏ qua vị trí bit so sánh với địa IP, <0> xác định vị trí bit phải giống Với Standard list, không thêm wildcard mask câu lệnh tạo access-list 0.0.0.0 ngầm hiểu wildcard mask Với standard access access-list, không thêm wilcard mark câu lệnh tạo access-list 0.0.0.0 ngầm hiểu wildcard mask

Mặt nạ ký tự đại (Wildcard mask) chuỗi 32 bits dùng để kết hợp với địa IP để xác định xem bit địa IP bỏ qua so sánh với địa IP khác Các mặt nạ ký tự đại diện mô tả xây dựng danh sách truy cập Ý nghĩa bits mặt nạ ký tự đại diện mơ tả sau:

o Một bits có giá trị mặt nạ đại diện có nghĩa « kiểm tra bit địa IP có vị trí tương ứng với bit »

o Một bits có giá trị mặt nạ đại diện có nghĩa « đừng kiểm tra bit địa IP có vị trí tương ứng với bit »

Bằng cách thiết lập mặt nạ ký tự đại diện, nhà quản trị mạng chọn lựa nhiều địa IP để kiểm tra cấp phép từ chối Xem ví dụ hình đây:

128 64 32 16 Vị trí bit byte giá trị địa 0 0 0 0 Mặt nạ kiểm tra tất bit địa

0 1 1 1 Mặt nạ không kiểm tra bits cuối địa 0 0 1 1 Mặt nạ không kiểm tra bits cuối địa 1 1 1 0 Mặt nạ kiểm tra bits cuối địa

1 1 1 1 Mặt nạ không kiểm tra địa

mạng từ 172.16.16.0 đến 172.16.31 Các bước suy luận để đưa mặt nạ ký tự đại diện trường hợp sau:

o Đầu tiên mặt nạ ký tự đại diện phải kiểm tra hai bytes địa (172.16) Như bits hai bytes mặt nạ ký tự đại diện phải Ta có 0000 0000.0000

0000.-.-o D0000.-.-o khơng kiểm tra địa máy tính tr0000.-.-ong mạng nên bit bytes cuối bỏ qua Vì bits bytes cuối mặt nạ ký tự đại diện Ta có 0000 0000.0000 0000.-.1111 1111

o Trong byte thứ ba địa nơi mạng định nghĩa, mặt nạ ký tự đại diện kiểm tra bit vị trí có giá trị thứ 16 địa phải bật (giá trị 1) bits phần cao lại phải tắt (giá trị 0) Vì bits tương ứng mặt nạ ký tự đại diện phải

o Bốn bits lại bytes thứ khơng cần kiểm tra để tạo nên giá trị từ 16 đến 31 Vì bits tương ứng mặt nạ ký tự đại diện tương ứng

o Như mặt nạ ký tự đại diện đầy đủ là: 0000 0000.0000 0000.0000 1111.1111 1111 hay 0.0.15.255

Để đơn giản, số router, chẳng hạn CISCO, sử dụng số từ viết tắt để số mặt nạ thường sử dụng:

o any: dùng để mặt nạ cho phép tất địa (255.255.255.255) cấm

tất (0.0.0.0.)

o host: đặt phía trước địa IP máy tính để kiểm tra tất bit địa Ví dụ: host 172.16.1.1

* Cấu hình danh sách truy cập chuẩn cho giao thức IP

Phần giới thiệu số lệnh hỗ trợ router Cisco 7.4.3.1 Lệnh access list

Lệnh dùng để tạo mục từ danh sách lọc chuẩn Cú pháp sau:

access-list access-list-No {permit | deny } source {source-mask} Ý nghĩa tham số:

o access-list-No: Là số nhận dạng danh sách truy cập, có giá trị từ đến 99 o permit | deny: Tùy chọn cho phép hay không cho phép giao thông khối địa mơ tả phía sau

o source: Là địa IP

o source-mask: Là mặt nạ ký tự đại diện áp dụng lên khối địa source

Lệnh ip access-group

Lệnh dùng để liên kết danh sách truy cập tồn vào giao diện Cú pháp sau:

o access-list-no: số nhận dạng danh sách truy cập nối kết vào giao diện

o in/out: xác định chiều giao thông muốn áp dụng vào hay Bài tập thực hành học viên

Câu 1: So sánh danh sách truy cập chuẩn (standard access list) Danh sách truy cập mở rộng (Extended access list)

Câu 2: Trình bày nguyên tắc hoạt động Danh sách truy cập

Câu 3: Trình bày mơ tả cú pháp danh sách truy cập chuẩn truy cập mở rộng

Bài 1: standard access-list Mô tả:

– Lab mơ tả lọc gói liệu sử dụng standard access-list thực cấm tất liệu từ PC2 PC mạng 200.200.200.0/24 đến tất Pc mạng 172.16.0.254/16

Cấu hình: Router R2: hostname R2

interface Loopback0

ip address 162.16.0.1 255.255.0.0 interface FastEthernet0/0

ip address 172.16.0.254 255.255.0.0

ip access-group out <- lọc gói khỏi cổng F0/0 router interface Serial0/0

ip address 203.162.0.2 255.255.255.0 clockrate 64000

ip classless

ip route 192.168.0.0 255.255.255.0 203.162.0.1 <- Cấu hình định tuyến tĩnh cho router

access-list deny 200.200.200.0 0.0.0.255 <- Cấm tất PC mạng 200 access-list permit any <- phải có lệnh mặc định cuối access-list cấm tất (deny)

Router R1: hostname R1

interface Loopback0

ip address 200.200.200.1 255.255.255.0 interface FastEthernet0/0

ip address 192.168.0.254 255.255.255.0 interface Serial0/0

ip address 203.162.0.1 255.255.255.0

ip route 162.16.0.0 255.255.0.0 203.162.0.2 ip route 172.16.0.0 255.255.0.0 203.162.0.2 Thực hiện:

Hai bước để cấu hình access list router: Tạo access list global config mode:

Tạo access-list R2 cấm PC2 mạng 200.200.200.0/24 R2(config)# access-list deny 192.168.0.2 0.0.0.0

R2(config)# access-list deny 200.200.200.0 0.0.0.255 R2(config)# access-list permit any

2 Áp access-list vào cổng

–Áp access-list vào chiều cổng F0/0 R2

–Khi áp access-list vào cổng, xem router Vì muốn cấm liệu khỏi cổng, ta dùng từ khóa out; muốn cấm liệu vào cổng, ta dùng từ khóa in

–Vì standard access-list kiểm tra địa nguồn nên phải áp access-list vào cổng gần đích

R2(config)# cổng f0/0

R2(config-if)# ip access-group out Kiểm tra:

–Dùng extended ping R1, lấy địa nguồn 200.200.200.1 192.168.0.2 lệnh ping không thành công

R1#ping 172.16.0.3

Sending 5, 100-byte ICMP Echos to 172.16.0.3, timeout is seconds: U.U.U <- tới (Unreachable)

Success rate is percent (0/5)

–Lệnh ping không thành công access-list hoạt động R2, kiểm tra gói vào R2 lệnh debug ip packet Lưu ý gói bị loại bỏ tin ICMP host unreachable gởi ngược trở lại R1:

R2#

IP: s=200.200.200.1 (Serial0/0), d=172.16.0.3 (FastEthernet0/0), len 100, access denied

IP: s=203.162.0.2 (local), d=200.200.200.1 (Serial0/0), len 56, sending <- gởi bản tin ICMP host unreachable

–Dùng extended ping R2 tới PC3, lấy địa nguồn 162.16.0.1 R2#ping 172.16.0.3

Sending 5, 100-byte ICMP Echos to 172.16.0.3, timeout is seconds: !!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms –Có thể ping PC3 từ PC1 access–list cấm PC2 vào mạng 172.16.0.0/24

C:\Windows\Desktop>ping 172.16.0.3 Pinging 172.16.0.3 with 32 bytes of data:

Reply from 172.16.0.3: bytes=32 time=18ms TTL=126 Reply from 172.16.0.3: bytes=32 time=18ms TTL=126 Reply from 172.16.0.3: bytes=32 time=18ms TTL=126 Reply from 172.16.0.3: bytes=32 time=18ms TTL=126 Bài 2: LAB EXTENDED ACCESS-LIST

Mô tả:

– Lab mô tả cách lọc gói sử dụng extended access-list Router A cho phép tất lưu lưu lượng từ PCC (150.1.1.2) đến PCA (152.1.1.2) từ chối tất lưu lượng từ PCC (150.1.1.2) tới PCB (152.1.1.3) Extened Access-list sử dụng cần lọc địa IP nguồn đích –Router A RouterB nối đường serial đặt địa IP hình RouterA RouterB có địa IP secondary tạo cổng Ethernet để làm điểm kiểm tra

Router A:

hostname RouterA no ip domain-lookup interface Ethernet0

ip address 152.1.1.2 255.255.255.0 secondary ← Địa IP thứ hai để làm điểm kiểm tra

ip address 152.1.1.3 255.255.255.0 secondary ip address 152.1.1.1 255.255.255.0

no keepalive ← vô hiệu hóa keepalive router cho phép cổng ethernet0 vẫn up khơng kết nối bên ngồi

interface Serial0

ip address 195.1.1.4 255.255.255.0

ip access-group 100 in ← Dùng Access-list 100 cho tất lưu lượng vào đường serial0

no ip classless

ip route 150.1.1.0 255.255.255.0 Serial0 ← dùng định tuyến tĩnh (không dùng định tuyến động)

ip route 151.1.1.1 255.255.255.255 Serial0

access-list 100 permit ip host 150.1.1.2 host 152.1.1.2 log ← tổng hợp tin thông tin gói thoả điều kiện.

access-list 100 deny ip host 150.1.1.2 host 152.1.1.3 log ← Loại tất gói IP từ 150.1.1.2 tới 152.1.1.3; tổng hợp tin thông báo gói thoả điều kiện.

(Chú ý: tất gói khác ngầm hiểu bị loại bỏ; tất access list kết thúc câu lệnh loại bỏ tất cả)

Router B:

hostname RouterB interface Loopback0

ip address 150.1.1.1 255.255.255.255 interface Ethernet0

ip address 150.1.1.2 255.255.255.0 secondary ip address 150.1.1.1 255.255.255.0

no keepalive interface Serial0

ip address 195.1.1.10 255.255.255.0 clock rate 64000

no ip classless

ip route 152.1.1.0 255.255.255.0 Serial0

Chú ý:Khi tạo access list tất mục theo thứ tự ta đánh vào

Tất câu lệnh thêm vào sau đặt vị trí tiếp access list Cuối access list ln có câu lệnh loại bỏ tất cả, access list phải có lệnh permit Tốt soạn thảo access list trước (dùng Notepad chẳng hạn) sau cut paste vào CLI router

- Sử dụng ping mở rộng (extended ping) RouterB hướng gói tới địa IP secondary tạo cấu hình dùng địa nguồn khác (cách dùng thay cho nhiều PC mạng LAN RouterA RouterB)

1 Từ RouterB, ping 152.1.1.3 dùng nguồn 1501.1.2

–Dùng lệnh debug ip packet RouterA, ta thấy gói bị loại bỏ tin ICMP host unreachable gởi

IP: s=150.1.1.2 (Serial0), d=152.1.1.3, len 100, access denied

IP: s=195.1.1.4 (local), d=150.1.1.2 (Serial0), len 56, sending ← ICMP host unreachable

–Dùng lệnh show ip access-list RouterA Chú ý dòng hiển thị loại access list số điều kiện thoả mục

RouterA#show ip access-lists Extended IP access list 100

permit ip host 150.1.1.2 host 152.1.1.2 log (5 matches) deny ip host 150.1.1.2 host 152.1.1.3 log (105 matches)

–Tùy chọn log tổng hợp tin thơng báo gói thoả điều kiện Từ khóa log đặt cuối câu lệnh access-list Bản tin logging công cụ tốt để kiểm soát lỗi access list

SEC-6-IPACCESSLOGDP: list 100 denied icmp 150.1.1.2 -> 152.1.1.3 (0/0) packets

2 Từ RouterB, ping 152.1.1.3 dùng nguồn 150.1.1.2

–Tại RouterA, lệnh debug ip packet hiển thị RouterA, ta thấy gói cho phép

IP: s=150.1.1.2 (Serial0), d=152.1.1.2, len 100, rcvd

–Dùng lệnh show ip access-list để xem số lượng gói thỗ điều kiện RouterA# show ip access-lists

Extended IP access list 100

CHƯƠNG : VIRUS VÀ CÁCH PHÒNG CHỐNG Mã chương: MH26-06

Mục tiêu:

- Mơ tả virus máy tính;

- Trình bày cách thức lây lan virus máy tính; - Phân biệt loại virus;

- Phòng ngừa xâm nhập virus;

- Thực thao tác an tồn với máy tính

1 Giới thiệu tổng quan virus tin học Mục tiêu:

- Mô tả virus máy tính

Căn vào tính chất đoạn mã phá hoại, chia thành hai loại: virus Trojan horse

- Trojan horse: Thuật ngữ dựa vào điển tích cổ, đoạn mã “cắm” vào bên phần mềm, cho phép xuất tay phá hoại cách bất ngờ anh hùng xông từ bụng ngựa thành Troa Trojan horse đoạn mã HỒN TỒN KHƠNG CĨ TÍNH CHẤT LÂY LAN, nằm phần mềm định Đoạn mã phá hoại vào thời điểm xác định, tác giả định trước đối tượng chúng thơng tin đĩa format lại đĩa, xóa FAT, Root, Thơng thường phần mềm có chứa Trojan horse phân phối phiên bổ sung hay điều trừng phạt người thích chép phần mềm nơi có nguồn gốc không xác định

Letter lại lây lan tới hàng chục triệu máy tính tồn cầu Với lây lan nhanh rộng lớn vậy, Worm thường kẻ viết chúng cài thêm nhiều tính đặc biệt, chẳng hạn chúng định ngày đồng loạt từ máy nạn nhân công vào địa đó, làm cho máy chủ bị tê liệt Ngồi ra, chúng cịn cho phép chủ nhân chúng truy nhập vào máy nạn nhân làm đủ thứ ngồi máy cách bất hợp pháp

Theo thống kê 10 virus nguy hiểm tháng 3/2005, nằm vị trí số 1, Zafi.D chiếm 45,1% tỷ lệ lây nhiễm tháng 3/2005 Ngôi vị “á quân” thuộc Netsky.P với tỷ lệ lây nhiễm 21%

Xuất vào cuối năm 2004, Zafi.D liên tục đứng đầu danh sách virus nguy hiểm tháng theo bình chọn Sophos Mới xuất xếp hạng tháng Sober.K- virus lây nhiễm thông qua tệp tin đính kèm email mang tiêu đề 'You visit illegal websites' 'Alert! New Sober Worm!'

Theo chuyên gia bảo mật Sophos, nghìn virus đoạn mã nguy hiểm xuất tháng Để phòng ngừa, người sử dụng máy tính nên nắm hướng dẫn bảo mật thường xun theo dõi thơng tin cách phịng chống virus

Zafi.D 45,1%

Netsky.P 21%

Zafi.B 5,9%

Sober.K 5,8%

Netsky.D 4,3%

Netsky.Z 2,7%

Netsky.B 2,3%

MyDoom.O 1,3%

Netsky.C 1,1%

Netsky.Q 1,0%

Loại khác 9,5%

2 Cách thức lây lan – phân loại Mục tiêu:

- Trình bày cách thức lây lan virus máy tính; - Phân biệt loại virus;

Dựa vào đối tượng lây lan file hay đĩa, chia virus thành hai nhóm chính:

Cách phân loại mang tính tương đối, thực tế có loại virus lưỡng tính vừa lây boot record, vừa file thi hành

Dạng tổng quát virus biểu diễn sơ đồ sau:

Như giới thiệu định nghĩa virus, đoạn mã lúc phải trao quyền điều khiển Như vậy, rõ ràng virus phải khai thác chỗ hở mà máy ‘tự nguyện’ trao quyền điều khiển lại cho Thực tế có hai khe hở, xét

1 B-virus

Lây vào mẫu tin khởi động bao gồm: - Master boot đĩa cứng

- Boot sector đĩa cứng đĩa mềm

B-virus kích hoạt ta khởi động máy tính đĩa nhiễm Lúc hệ thống chưa hệ điều hành (HĐH) kiểm sốt, B-virus khống chế hệ thống cách chiếm ngắt BIOS, chủ yếu Int 13 (phục vụ đĩa), Int (đồng hồ) Nhờ đặc điểm mà có khả lây Hệ điều hành Nếu B-virus thiết kế nhằm mục đích phá hoại đối tượng chúng đĩa thành phần đĩa Để mở rộng tầm hoạt động, số loại cịn có khả cơng lên file q trình khởi động Hệ điều hành hồn tất, trường hợp ngoại lệ, có hành vi phá hoại giống F-virus

Chúng ta xem xét thành phần đĩa, bao gồm master boot, boot sector, bảng FAT, bảng Thư mục, Vùng liệu

a Master boot

Khi ghi vào master boot, virus thường giữ lại Partition table Do để diệt B-virus, ta cần cập nhật lại master boot Có thể dùng lệnh FDISK / MBR cho mục đích nói

b Boot Sector

Giống master boot, ghi vào boot sector, B-virus thường giữ lại bảng tham số đĩa (BPB-BIOS Parameter Block) Bảng nằm offset 0Bh boot sector, chứa thông số quan trọng dấu hiệu nhận dạng loại đĩa, số bảng FAT, số sector dành cho bảng FAT, tổng số sector đĩa Có thể phục hồi boot sector lệnh SYS.COM DOS Một số virus phá hỏng BPB khiến cho hệ thống không đọc đĩa môi trường (và lệnh SYS tác dụng) Đối với đĩa mềm, việc phục hồi boot sector (bao gồm BPB) đơn giản có vài loại đĩa mềm thơng dụng (360KB, 720KB, 1.2 MB, 1.44 MB), lấy boot sector đĩa mềm loại để khôi phục BPB mà khơng cần format lại tồn đĩa Tuy nhiên vấn đề trở nên phức tạp đĩa cứng: BPB đĩa tạo trình FDISK dựa tùy chọn người dùng tham số phục vụ cho việc phân chia đĩa Trong số trường hợp, phần mềm NDD phục hồi BPB cho đĩa cứng, trước máy phải khởi động từ A (vì BPB đĩa cứng hư, không khởi động được), nên việc quản lý phần đĩa gặp nhiều khó khăn Tốt nên lưu lại boot sector đĩa cứng để phục hồi chúng cần thiết c Bảng FAT (File Allocation Table)

Được định vị cách dễ dàng sau boot sector, FAT "miếng mồi ngon" cho virus Đây bảng ghi nhận trật tự lưu trữ liệu theo đơn vị liên cung (cluster) đĩa vùng liệu DOS Nếu hỏng mắt xích FAT, liệu liên quan khơng truy nhập Vì tính chất quan trọng nó, FAT ln DOS lưu trữ thêm bảng dự phịng nằm kề bảng Tuy nhiên virus đủ sức định vị FAT khiến cho tính cẩn thận DOS trở nên vô nghĩa Mặt khác, số DB-virus (Double B-virus) thường chọn sector cuối FAT để lưu phần lại progvi Trong đa số trường hợp, người dùng thường cầu cứu chương trình chữa đĩa, chương trình định vị liên cung thất lạc, phục hồi phần FAT hỏng khơng thể khơi phục lại tồn từ bảng FAT chứa toàn "rác" Hơn thơng tin đĩa ln biến động, khơng thể tạo bảng FAT "dự phòng" đĩa mềm master boot boot sector Cách tốt lưu dự phòng tất liệu quan trọng phương tiện lưu trữ tin cậy

d Bảng Thư mục (Root directory)

Ngay sau FAT bảng Thư mục chứa tên hiển thị lệnh DIR\, bao gồm nhãn đĩa, tên file, tên thư mục Mỗi tên tổ chức thành entry có độ dài 32byte, chứa tên entry, phần mở rộng, thuộc tính, ngày giờ, địa lưu trữ, kích thước (nếu entry đặc tả tên file)

Nếu byte đặt đầu Root đĩa trống rỗng cách thảm hại! Trường hợp DB_virus chọn sector cuối Root để lưu phần lại progvi gây hậu giống trường hợp bảng FAT: vùng DOS sử dụng, entry bị phá hủy hồn tồn

Vì số lượng entry Root có hạn, DOS cho phép ta tạo thêm thư mục để mở rộng entry vùng liệu Chính nội dung Root thường biến động chứa file hệ thống IO.SYS, MSDOS.SYS, COMMAND.COM, CONFIG SYS, AUTOEXEC.BAT, tên thư mục nằm gốc Do ta tạo Root dự phịng, với điều kiện sau không thay đổi/cập nhật entry Điều khơng cần thiết hệ thống có áp dụng biện pháp lưu liệu định kỳ

e Vùng liệu

Đây vùng chứa liệu đĩa, chiếm tỷ lệ lớn nhất, nằm sau Root Ngoại trừ số DB_virus sử dụng vài sector vùng để chứa phần lại progvi (xác suất ghi đè lên file thấp), vùng liệu coi vùng có độ an tồn cao, tránh "nhịm ngó" B_virus Chúng ta lợi dụng đặc điểm để bảo vệ liệu khỏi công B_virus (chủ yếu vào FAT Root, hai thành phần tạo dự phòng)

Khi thực trình phân chia đĩa FDISK, đa số người dùng có thói quen khai báo tồn đĩa cứng cho partition nhất, đĩa khởi động hệ thống Việc sử dụng ổ đĩa luận lý Ví dụ ta chia đĩa cứng làm hai ổ luận lý C D, ổ C (chứa boot sector hệ điều hành) dùng để khởi động, tiện ích, phần mềm cài đặt lại cách dễ dàng, riêng ổ D dùng chứa liệu quan trọng Khi FAT, Root đĩa cứng bị B_virus công, ta cần cài đặt lại phần mềm C mà không sợ ảnh hưởng đến liệu D Nếu đĩa cứng đủ lớn, ta nên chia chúng theo tỷ lệ 1:1 (hoặc 2:3) để nâng cao hiệu sử dụng Với đĩa cứng nhỏ, tỷ lệ không đáp ứng nhu cầu lưu trữ phần mềm lớn, ta cần khai báo đĩa C với kích thước đủ cho hệ điều hành tiện ích cần thiết mà thơi Lúc tính kinh tế phải nhường chỗ cho an toàn

Tuy nhiên giải pháp mang tính tương đối, tồn B_virus có khả tự định vị địa vật lý partition thứ hai để phá hoại vấn đề không đơn giản chút

2 F-virus

Nếu B_virus có khả lây nhiễm nhiều HĐH khai thác dịch vụ đĩa ROM BIOS, F_virus lây HĐH định ngược lại chúng khai thác nhiều dịch vụ nhập xuất HĐH Các F_virus DOS chủ yếu khai thác dịch vụ truy nhập file hàm ngắt 21h Một số sử dụng thêm ngắt 13h (hình thức phá hoại giống B_virus), ta cần xem xét trường hợp dùng ngắt 21h F_virus

Đặc điểm chung F_virus chúng phải đính progvi vào tập tin thi hành dạng COM, EXE, DLL, OVL Khi tập tin thi hành, F_virus khống chế vùng nhớ lây vào tập thi hành khác Do kích thước tập tin nhiễm lớn kích thước ban đầu Đây dấu hiệu đặc trưng để nhận dạng tồn F_virus file thi hành Để khắc phục nhược điểm này, số F_virus giải sau:

- Tìm file buffer đủ lớn để chèn progvi vào Với cách này, virus lây số file Để mở rộng tầm lây nhiễm, chúng phải tốn thêm giải thuật đính progvi vào file virus khác, kích thước file lại tăng lên! - Khống chế hàm tìm, lấy kích thước file DOS, gây nhiễu cách trả lại kích thước ban đầu Cách hiệu quả, che dấu có mặt chúng file, hoàn toàn tác dụng tập tin nhiễm kiểm tra kích thước hệ thống (khơng có mặt virus vùng nhớ), phần mềm DiskLook DiskEdit, PCTool

- Lây trực tiếp vào cấu trúc thư mục đĩa (đại diện cho loại virus Dir2/FAT) Cách cho lại kích thước ban đầu tốt, kể mơi trường Tuy nhiên ta dùng lệnh COPY để kiểm tra có mặt loại virus thư mục Hơn nữa, đời Windows 95 cáo chung cho họ virus Dir2/FAT, với mục đích bảo vệ tên file dài 13k

Như việc phát F_virus file phụ thuộc vào việc giám sát thường xuyên kích thước file Để làm điều này, số chương trình AntiVirus thường giữ lại kích thước ban đầu làm sở đối chiếu cho lần duyệt sau Nhưng liệu kích thước lưu có thật "ban đầu" hay khơng? AntiVirus có đủ thơng minh để khẳng định tính tập tin hay không? Dễ dàng nhận thấy tập tin COM, EXE đối tượng công F_virus Các tập tin có giá trị hệ phần mềm định mà người dùng lưu lại dự phịng Vì vậy, có đủ sở để chắn gia tăng kích thước tập tin thi hành biện pháp tốt khởi động lại máy đĩa hệ thống sạch, sau tiến hành chép lại tập thi hành từ dự phòng

b Nhiễm vào vùng nhớ

Khi thường trú, F_virus chiếm dụng khối nhớ định khống chế tác vụ nhập xuất HĐH Có thể dùng trình quản lý

Có khám phá thú vị cho việc bảo vệ hệ thống khỏi lây nhiễm F_virus vùng nhớ chạy ứng dụng DOS (mà bạn không chắn chúng) Windows 95 Sau ứng dụng kết thúc, HĐH giải phóng tất trình thường trú cổ điển (kể F_virus) chúng sử dụng chương trình Phương pháp khơng cho F_virus thường trú sau Windows 95, không ngăn cản chúng lây vào file thi hành khác ứng dụng hoạt động

c Phá hoại liệu

Ngoài việc phá hoại đĩa Int 13h B_virus, F_virus thường dùng chức file Int 21h để thay đổi nội dung tập tin liệu văn bản, chương trình nguồn, bảng tính, tập tin sở liệu, tập tin nhị phân Thông thường virus ghi "rác" vào file, dịng thơng báo "File was destroyed by virus " xóa hẳn file Đơi đối tượng phá hoại chúng lại phần mềm chống virus thịnh hành Vì file bị ghi đè (overwrite) nên ta khơng thể phục hồi liệu tình trạng ban đầu Biện pháp tốt làm trường hợp ngưng tác vụ truy nhập file, khỏi chương trình hành, diệt virus thường trú vùng nhớ Macro virus

Thuật ngữ "Macro virus" dùng để chương trình sử dụng lệnh macro Microsoft Word Microsoft Excel Khác với F_virus truyền thống chuyên bám vào file thi hành, Macro virus bám vào tập tin văn DOC bảng tính XLS Khi tập tin Microsoft Word (hoặc Microsoft Excel) mở ra, macro kích hoạt, tạm trú vào NORMAL.DOT, lây vào tập DOC, XLS khác Đây hình thức lây mới, tiền thân chúng macro Concept Tuy ban đầu Concept "hiền" khơng che dấu kỹ thuật lây nên nhiều hacker khác dễ dàng nắm giải thuật, hình thành lực lượng virus "hậu Concept" đông đúc hãn

Mối nguy hiểm loại virus thật không lường Chúng lợi dụng nhu cầu trao đổi liệu (dưới dạng văn thư, hợp đồng, biên bản, chứng từ ) thời đại bùng nổ thông tin để thực hành vi phá hoại Có trường hợp văn thơng báo công ty X gửi lên mạng lại chứa macro virus Dù vơ tình gây nhiều phiền tối, chứng tỏ tính phổ biến nguy hại loại virus "hậu sinh khả úy"

Đặc biệt, biến thể macro virus có hình thức phá hoại "bom thư tin học" vừa phát thời gian gần Tên "khủng bố" gửi đến địa "nạn nhân" thư dạng tập tin .DOC Người nhận gọi WinWord để xem, toàn đĩa cứng bị phá hoại Hậu sau rõ, liệu đĩa cứng bị

học" nhằm vào địa cụ thể, sở liệu mà chúng biết vô giá Cũng không loại trừ khả chúng mạo danh người để thực âm mưu với dụng ý "một mũi tên trúng hai mục tiêu" Chúng ta phải tăng cường cảnh giác

Để phòng chống loại virus macro này, sử dụng tập tin DOC, XLS bạn phải chắn chúng không chứa macro lạ (ngoài macro bạn tạo ra) Ngoại trừ hình thức phá hoại kiểu "bom thư", macro virus thường đếm số lần kích hoạt thực phá hoại (để chúng có thời gian lây) Vì mở tập tin, bạn chọn menu Tool/Macro (của WinWord) để xem văn có macro lạ hay khơng (kể macro khơng có tên) Nếu có, đừng ngần ngại xóa chúng Sau khỏi WinWord, xóa ln tập tin NORMAL.DOT Một số Macro virus có khả mã hóa progvi, che dấu menu Tool/Macro WinWord, không cho xóa macro , dấu hiệu chắn để tin macro virus rình rập xâu xé liệu bạn Hãy cô lập tập tin gửi chúng đến địa liên lạc AntiVirus mà bạn tin tưởng

4 Trojan Trojan gì?

Trojan mã độc hại có khả thực tác vụ bất hợp pháp, thường độc hại Bản thân Trojan chương trình bất hợp pháp lại che giấu chương trình hợp pháp Khác lớn Trojan virus khả nhân bản: Trojan gây thiệt hại cho máy tính, khởi tạo lỗi hệ thống, chí gây mát liệu lại khơng có khả nhân giống virus Ngược lại, Trojan có khả nhân phân loại thành virus

Trojan lấy tên từ câu chuyện thần thoại cũ người Hy Lạp thời gian chiến tranh Họ tặng cho kẻ thù ngựa làm gỗ khổng lồ Kẻ thù người Hy Lạp chấp nhận quà tặng mang vào thành Ngay đêm đó, người lính Hy Lạp chui khỏi ngựa công thành, gây bất ngờ cho kẻ thù chiếm thành sau thời gian ngắn

Trojan cịn có loại gọi Trojan 'chiếm quyền kiểu leo thang', thường sử dụng administrator (quản trị viên) cỏi Chúng nhúng vào ứng dụng hệ thống quản trị viên kích hoạt, chúng tạo cho hacker quyền cao hệ thống Những Trojan gửi tới người dùng có quyền cho họ quyền xâm nhập hệ thống

Ngồi ra, cịn có số loại Trojan nữa, bao gồm chương trình tạo để chọc ghẹo, khơng có hại Các thơng báo Trojan thường là: 'Ổ cứng bị bị format', 'password bạn bị lộ'

riêng Trojan khơng cơng bố lên mạng bị phát Chính số lượng đơng đảo, nên Trojan luôn vấn đề lớn bảo mật an tồn mạng

Người dùng có an toàn trước Trojan phần mềm diệt virus

Có nhiều người nghĩ họ an tồn có tay chương trình qt virus tốt với cập nhật nhất, máy tính họ hồn tồn 'miễn dịch' trước Trojan Thật khơng may, thực tế lại khơng hồn tồn Mục đích viết chương trình diệt virus phát virus Trojan Và Trojan nhiều người biết đến, chuyên viên viết phần mềm diệt virus bổ sung vào chương trình qt virus Vì thế, điều hiển nhiên phần mềm diệt virus đành 'bó tay' trước Trojan chưa biết đến

Cách thức lây nhiễm Trojan

- Từ Mail: Trojan lây nhiễm theo đường thường có tốc độ lây lan nhanh Khi chúng 'chui' vào máy tính nạn nhân, việc Trojan làm 'gặt hái' địa mail address book phát tán theo địa - Từ ICQ: Nhiều người biết ICQ kênh truyền thông tin tiện lợi, nhiên lại khơng biết mơi trường an tồn người đối thoại gửi Trojan lúc nói chuyện với Điều hồn tồn thực nhờ lỗi (bug) ICQ, cho phép gửi file dạng exe người nhận thấy chúng file dạng âm thanh, hình ảnh Để ngăn ngừa bug này, trước mở file bạn phải kiểm tra kiểu file (tức phần mở rộng file để biết thuộc loại nào)

- Từ IRC: Cách lây nhiễm tương tự ICQ Mức độ nguy hiểm Trojan

Khi Trojan lây nhiễm vào máy tính nạn nhân, người dùng khơng cảm thấy có điều bất thường Tuy nhiên, nguy hiểm lại phụ thuộc vào định hacker - tác giả Trojan Đặc biệt, mức độ nguy hiểm trầm trọng máy tính nạn nhân nơi lưu trữ tài liệu mật tổ chức, cơng ty tập đồn lớn Hacker chép khai thác nguồn tài liệu đó, xóa chúng

Phân loại Trojan

Hiện có nhiều trojan, phân loại sau dựa vào tính chất chúng:

- Trojan dùng để truy cập từ xa: Trojan nhiễm vào hệ thống, gửi username (tên đăng nhập), password (mật khẩu), địa IP máy tính cho hacker Từ tài nguyên này, hacker truy cập vào máy đó username password lấy

- Trojan gửi mật khẩu: đọc tất mật lưu cache thông tin máy nạn nhân gửi cho hacker nạn nhân online

(file exe, dll, ini ) Thật 'bất hạnh' cho máy tính bị nhiễm Trojan này, tất liệu máy tính chẳng cịn

- FTP Trojan: loại mở cổng 21 máy nạn nhân để người kết nối tới mà khơng cần mật họ tồn quyền tải liệu xuống

- Keylogger: phần mềm ghi lại tất tác vụ bàn phím nạn nhân sử dụng máy tính, gửi chúng cho hacker theo địa e-mail

5 Sâu - worm

Mọi tập trung hướng vào MSBlaster Worm SoBig Virus sức lây lan Trong Melissa Virus trở thành tượng toàn cầu vào tháng năm 1999 buộc Microsoft hàng loạt cơng ty khác phải ngắt hệ thống E-mail họ khỏi mạng Virus ngăn chặn ILOVEYOU Virus xuất năm 2000 có sức tàn phá không Thật không ngờ người nhận Melissa ILOVEYOU đơn giản

Worm chương trình máy tính có khả tự chép từ máy tính sang máy tính khác Worm thường lây nhiễm sang máy tính khác qua mạng máy tính Qua mạng máy tính, Worm phát triển cực nhanh từ Chẳng hạn chín đồng hồ ngày 19/7/2001, CodeRed Worm nhân lên tới 250.000 lần Worm thường khai thác điểm yếu bảo mật chươg trình hệ điều hành Slammer Worm khai thác lỗ hổng bảo mật Microsoft SQL Server chương trình cực nhỏ (376Byte)

CodeRed Worm làm cho mạng Internet chậm đáng kể tận dụng băng thông mạng để nhân Mỗi tự dị tìm mạng Internet để tìm Server sử dụng hệ điều hành Windows NT hay Windows 2000 chưa cài Patch sửa lỗi bảo mật Mỗi tìm Server chưa khắc phục lỗ hổng bảo mật, CodeRed Worm tự sinh ghi vào Server Bảo lại tự dị tìm mạng để lây nhiễm sang Server khác Tùy thuộc vào số lượng Server chưa khắc phục lỗ hổng bảo mật, Worm tạo hàng trăm ngàn

CodeRed Worm thiết kế để thực mục tiêu sau: - Tự nhân 20 ngày tháng

- Thay trang Web Server mà nhiễm trang Web có nội dung “Hacked by Chinese”

- Tấn công liên tục White House Web Server

Các phiên CodeRed biến đổi liên tục Sau nhiễm vào Server, Worm chọn thời điểm định sẵn công vào Domain www.whitehouse.gov Các Server bị nhiễm đồng loạt gửi khoảng 100 kết nối tới cổng 80 www.whitehouse.gov (198.137.240.91) khiến phủ Mỹ phải thay đổi IP WebServer khuyến cáo người sử dụng phải nâng cấp WindowsNT 2000 “vá” sửa lỗi

Những virus họ có khả tự nhân ngụy trang thành biến thể khác với mẫu biết để tránh bị chương trình diệt virus phát Một chi họ virus đa hình dùng thuật tốn mã hóa giải mã khác hệ thống chí bên tệp khác nhau, làm cho khó nhận dạng Một chi khác lại thay đổi trình tự lệnh dùng lệnh giả để đánh lừa chương trình diệt virus Nguy hiểm mutant sử dụng số ngẫu nhiên để thay đổi mã công thuật toán giải mã

7 Họ lừa dọa - hoaxes

Đây virus mà thơng điệp cảnh báo người tốt bụng có nhiều người nhận nhẹ tin lại gửi tiếp chúng đến người khác bùng lên vụ lây lan đến mức nghẽn mạng gây lịng tin Trên giới có nhiều sở liệu cung cấp mẫu dạng thông điệp giả cần so sánh chúng với thông điệp cảnh báo vừa nhận để khỏi bị lừa tiếp tay cho tin tặc

2 NGĂN CHẶN SỰ XÂM NHẬP Mục tiêu:

- Phòng ngừa xâm nhập virus

Virus tin học ranh ma nguy hiểm bị ngăn chặn loại trừ cách dễ dàng Có số biện pháp

1 Chương trình diệt virus - Anti-virus

Dùng chương trình chống virus để phát diệt virus gọi anti-virus Thông thường anti-virus tự động diệt virus phát Với số chương trình phát mà không diệt được, phải để ý đọc thông báo

Ðể sử dụng anti-virus hiệu quả, nên trang bị cho vài chương trình để sử dụng kèm, bổ khuyết cho kết tốt Một điều cần lưu ý nên chạy anti-virus tình trạng nhớ tốt (khởi động máy từ đĩa mềm sạch) việc qt virus hiệu an tồn, khơng gây lan tràn virus đĩa cứng Có hai loại anti-virus, ngoại nhập nội địa

Các anti-virus ngoại sử dụng phổ biến SCAN McAfee, Norton Anti-virus Symantec, Toolkit, Dr Solomon Các anti-virus sản phẩm thương mại Ưu điểm chúng số lượng virus cập nhật lớn, tìm-diệt hiệu quả, có đầy đủ cơng cụ hỗ trợ tận tình (thậm chí tỉ mỉ đến sốt ruột) Nhược điểm chúng cồng kềnh

Tuy nhiên đừng tin tưởng vào anti-virus Bởi anti-virus tìm-diệt virus mà cập nhật Với virus chưa cập nhật vào thư viện chương trình anti-virus hồn tồn khơng diệt Ðây nhược điểm lớn chương trình diệt virus Xu hướng anti-virus cố gắng nhận dạng anti-virus mà không cần cập nhật Symantec triển khai hệ chống virus theo chế miễn dịch IBM, phát hành tương lai Phần mềm D2 nội địa có cố gắng định việc nhận dạng virus lạ Các phiên D2- Plus version 2xx trang bị môđun nhận dạng New macro virus New-Bvirus, sử dụng chế chẩn đoán thông minh dựa sở tri thức lý thuyết hệ chuyên gia Ðây phiên thử nghiệm hướng tới hệ chương trình chống virus thơng minh chương trình Lúc phần mềm dự báo xuất loại virus Nhưng dù nên tự trang bị thêm số biện pháp phòng chống virus hữu hiệu đề cập sau

2 Ðề phòng B-virus

Đừng khởi động máy từ đĩa mềm có đĩa cứng, ngoại trừ trường hợp tối cần thiết đĩa cứng bị trục trặc chẳng hạn Nếu buộc phải khởi động từ đĩa mềm, đĩa mềm phải hồn tồn Ðơi việc khởi động từ đĩa mềm lại xảy cách ngẫu nhiên, ví dụ để quên đĩa mềm ổ đĩa A phiên làm việc trước Nếu Boot record đĩa mềm có B-virus, phiên làm việc sau, quên không rút đĩa khỏi ổ B-virus "lây nhiễm" vào đĩa cứng Tuy nhiên diệt cách dùng D2-Plus dự trù trước trường hợp chức chẩn đốn thơng minh New B-virus đĩa mềm Chỉ cần chạy D2 thường xuyên, chương trình phân tích Boot record đĩa mềm dự báo có mặt virus tên gọi PROBABLE B-Virus

3 Ðề phòng F-virus

Ngun tắc chung khơng chạy chương trình khơng rõ nguồn gốc Hầu hết chương trình hợp pháp phát hành từ nhà sản xuất đảm bảo Vì vậy, khả tiềm tàng F-virus file COM,EXE cịn xảy chương trình trôi (chuyền tay, lấy từ mạng, )

4 Ðề phịng Macro virus

Như nói, họ virus lây văn bảng tính Microsoft Vì vậy, nhận file DOC hay XL? bất kỳ, nhớ kiểm tra chúng trước mở Ðiều phiền tối giải D2- Plus giống trường hợp New B-virus, New macro virus nhận dạng tên PROBABLE Macro Hơn sử dụng WinWord Exel Microsoft Office 97 khơng phải lo lắng Chức AutoDectect Macro virus Office kích hoạt Warning Box văn bảng tính cần mở có chứa macro (chỉ cần Disable)

5 Cách bảo vệ máy tính trước Trojan

- Để phát xem máy tính có nhiễm Trojan hay không, bạn vào Start -&amp;gt; Run -&amp;gt; gõ regedit -&amp;gt; HKEY_LOCAL_MACHINE -&amp;gt; SOFTWARE -&amp;gt; Microsoft -&amp;gt; Windows -&amp;gt; CurrentVersion -&amp;gt;Run, nhìn vào cửa sổ bên phía tay phải Bảng hiển thị chương trình Windows nạp khởi động, nhìn thấy chương trình lạ ngồi chương trình bạn biết, chẳng hạn như: sub7, kuang, barok, … mạnh dạn xóa chúng (để xóa triệt để, bạn nhìn vào đường dẫn để tìm tới nơi lưu file đó), sau khởi động lại máy tính

- Nhấn tổ hợp phím Ctrl+Alt+Del để thị bảng Close Program (Win9x), bảng Task Manager (WinNT, Win2K, WinXP) để xem có chương trình lạ chạy khơng Thường có số loại Trojan khơng thể che dấu trước chế

- Sử dụng số chương trình quan sát máy bạn lập firewall lockdown, log monitor, PrcView

- Không tải tệp từ nguồn không rõ hay nhận mail người lạ - Trước chạy tệp lạ nào, kiểm tra trước

Bài tập thực hành học viên

Câu 1: Lựa chọn phần mềm Virus thông dụng để cài đặt hệ thống Câu 2: Thực cách ngăn chặn Autorun.inf Virus.exe xâm nhập máy tính thơng qua USB

Hướng dẫn thực

Để thực việc vơ hiệu hóa tính MountPoints2, bạn thực bước sau

1 Start > Run Win + R Nhập Regedit vào ô run > Enter

3 Tại cửa sổ Registry Editor thực khóa:

4 Nhấn phải chuột vào MountPoints2 > Permission

5 Cửa sổ Pemission for MountPoints2 mở > Advanced

* Win XP : Bỏ chọn tính Inherit from parent the pemission entries that apply to child objects Include these with entries explicitly defined here.

9 Hộp thoại Windows Security xuất lần với nội dung "Bạn từ chối tất người dùng truy cập MountPoints2 Khơng truy cập MountPoints2 có bạn thay đổi cho phép Bạn có muốn tiếp tục?" > Yes > OK lần > đóng cửa sổ Registry Editor > khởi động lại hệ thống

TÀI LIỆU THAM KHẢO

[1] THs Ngô Bá Hùng-Ks Phạm Thế phi Giáo trình mạng máy tính, Đại học Cần Thơ, năm 2005

[2] Đặng Xuân Hà, An toàn mạng máy tính Computer Networking năm 2005 [3] Nguyễn Anh Tuấn, Bài giảng Kỹ thuật an toàn mạng , Trung tâm TH-NN Trí Đức, 2009