Giáo trình An toàn mạng (CĐN TpHCM) - Nguồn: Internet

Đa số người dùng thường đặt mật khẩu dựa vào thông tin cá nhân như họ tên, số điện thoại, ngày sinh, … Khi đó kẻ tấn công có thể thu thập các thông tin này để thực hiện việc đoán m[r]

MỤC LỤC

GIỚI THIỆU MÔN HỌC

CHƯƠNG : TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG

I TỔNG QUAN VỀ AN TOÀN BẢO MẬT MẠNG:

1.1 Giới thiệu AAA: (Access Control, Authentication Auditing):

1.2 Điều khiển truy cập (Access Control):

1.3 Xác thực (Authentication):

II CÁC DẠNG TẤN CÔNG:

2.1 Giới thiệu:

2.3 Tấn công chủ động:

2 Tấn công thụ động: 15

2.5 Password Attacks: 21

2.6 Malicous Code Attacks: 24

III CÁC PHƯƠNG PHÁP PHÒNG CHỐNG: 25

3.1 Giới thiệu công cụ Essential NetTools: 25

3.2 Giới thiệu công cụ Microsoft Baseline Security Analyzer: 25

3.3 Sử dụng công cụ Tenable NeWT Scanner: 26

3.4 Xây dựng Firewall để hạn chế công: 26

CHƯƠNG BẢO MẬT VỚI LỌC GÓI IP 28

I Gói Tin (Packet): 28

1.1 Packet gì? 28

1.2 Gói IP: 28

1.3 Gói UDP: 31

1.4 Gói TCP: 32

II.Bảo Mật Với Lọc Gói: 33

2.1 Khái Quát Về Lọc Gói: 33

2.2 Các Bước Để Xây Dựng Luật Bảo Mật Trong IPSEC: 34

2.3 Lọc Gói IP Dựa Trên Thiết Bị Phần Cứng 43

CHƯƠNG 3: IPSEC (Internet protocol security) 46

I Tổng quan 46

II Cấu trúc bảo mật 46

III Hiện trạng 47

IV Thiết kế theo yêu cầu 47

V Technical details 48

VI Implementations - thực 50

CHƯƠNG : NAT (Network Address Translation) 54

I Nat Là Gì ? 54

II Mơ Hình Mạng Của Dịch Vụ Nat 54

III Nguyên Lỳ Hoạt Động Của NAT 54

IV Triển Khai Dịch Vụ Nat 56

CHƯƠNG 5: VIRUS VÀ CÁCH PHÒNG CHỐNG 61

I Virus 61

1.1 Virus ? 61

1.2 Phân Loại: 61

1.4 Đặc Điểm Của F-Virus: 66

II Phòng Chống Virus: 69

2.1 Cài Đặt Chương Trình Symantec Antivirus Server (Server Intall): 69

2.2 Cài Đặt Chương Trình Symantec System Center: 72

2.3 Cài Đặt Symantec Antivirus Client : 74

Tài Liệu Tham Khảo 76

Vị trí, ý nghĩa vai trị mơn học:

Mơn học an tồn mạng mảng kiến thức cần cho người kỹ thuật viên tin học, có nghề quản trị mạng máy tính Mảng kiến thức không sở dể lĩnh hội nội dung chun mơn q trình đào tạo, mà connf phục vụ trực tiếp cho nghiệp vụ sau tác nghiệp Nếu thiếu học viên khơng thể hiểu rỏ kiến thức máy tính, đồng thời khơng giải thích xác nguy bị công hệ thống mạng, internet hệ thống tin học công nghiệp

Mục tiêu môn học:

- Xác định thành phần cần bảo mật cho hệ thống mạng - Trình bày hình thức cơng vào hệ thống mạng

- Nắm cách thức bảo mật thiết kế luật bảo mật với lọc gói IP cho hệ thống mạng

- Hiểu kiến trúc xây dựng sách bảo mật IPSec - Phân biệt loại virus thông dụng cách phòng chống virus Mục tiêu thực môn học:

Sau học xong môn này, sinh viên có khả năng:

- Xác định thành phần hệ thống bảo mật, trình bày hình thức cơng vào hệ thống mạng

- Nắm cách thức bảo mật với lọc gói IP, thiết kế luật bảo mật với lọc gói IP cho hệ thống mạng

- Hiểu kiến trúc IPSec, xây dựng sách bảo mật IPSec, thiết lập chế độ làm việc IPSec

- Trình bày trình NAT hệ thống mạng, thiết lập cấu hình NAT Windows server

- Hiểu virus máy tính, hiểu cách thức lây lan virus máy tính, phân biệt loại virus, phòng ngừa xâm nhập virus

Nội dung mơn học:

Chương : Tổng quan bảo mật an toàn mạng Chương 2: Bảo mật với lọc gói IP

Chương 3: IPSEC Chương 4: NAT

CHƯƠNG : TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG I TỔNG QUAN VỀ AN TOÀN BẢO MẬT MẠNG:

1.1 Giới thiệu AAA: (Access Control, Authentication Auditing):

Khi hệ thống mạng đời nhu cầu cần trao đổi tài nguyên đặt người sử dụng hệ thống mạng trao đổi tài nguyên với Sau khoảng thờI gian sử dụng, hệ thống mạng ngày mở rộng số lượng tham gia vào mạng ngày tăng, việc thực sách bảo mật, thiết lập sách việc truy xuất tài nguyên mạng đặt

Công nghệ thông tin áp dụng nhiều lĩnh vực thương mại, hàng hải, … Trong phát triển “thơng tin” phần quan trọng MọI thiết bị máy tính (Ram, CPU, Màn hình, Đĩa cứng …) hạ tầng mạng (router, switch, …) tạo để hỗ trợ việc xử lý, lưu trữ, trình bày, vận chuyển thơng tin … Vì việc bảo đảm tính an toàn liệu lưu trữ máy tính tính bí mật tồn vẹn thơng tin truyền mạng có ý nghĩa lớn tồn phát triển công nghệ thông tin

Để hỗ trợ cho việc bảo mật nhằm hạn chế truy cấp liệu ngườI khác, tránh mát liệu, thuật ngữ AAA (Access Control, Authentication Auditing) đời

AAA viết tắc từ: Access Control, Authentication Auditing AAA khái niệm an ninh máy tính an ninh mạng Những khái niệm dùng để bảo đảm tính bảo mật thơng tin, tồn vẹn liệu tính sẵn sàng hệ thống

1.2 Điều khiển truy cập (Access Control):

Điều khiển truy cập sách, hỗ trợ phần mềm hay phần cứng dùng phép hay từ chối truy cập đến tài nguyên, qui định mức độ truy xuất đến tài ngun

Có ba mơ hình sử dụng để giải thích cho mơ hình điều khiển truy cập: - MAC (Mandatory Access Control)

- DAC (Discretionary Access Control) - RBAC ( Role Based Access Control) 1.2.1 MAC (Mandatory Access Control):

Mơ hình MAC mơ hình tĩnh sử dụng quyền hạn truy cập đến tập tin định nghĩa trước hệ thống Người quản trị hệ thống thiết lập tham số kết hợp chúng với tài khoản, với nhiều tập tin hay tài ngun Mơ hình MAC bị hạn chế nhiều Trong mơ hình MAC người quản trị thiết lập việc truy cập người quản trị người thay đổi truy cấp Người dùng chia tài nguyên trừ có mối quan hệ với tài nguyên tồn trước

Đối với Unix hệ thống qui định tập tin hay thư mục chủ sở hữu(Owner) Khi ta khơng thể định nghĩa tập tin hay thư mục thuộc quyền sở hữu hai hay nhiều người.Quyền tập tin, thư mục Windows 2000 (Full control, Write, Read, List folder content 1.2.2 DAC (Discretionary Access Control):

Là tập quyền truy cập đốI tượng mà ngườI dùng hay ứng

dụng định nghĩa Mô hình DAC cho phép ngườI dùng chia sẻ tập tin sử dụng tập tin ngườI khác chia sẻ Mơ hình DAC thiết lập danh sách điều khiển truy cập (Access control list) dùng để nhận ngườI dùng quyền truy cập đến tài nguyên

Ngồi ra, mơ hình cho phép ngườI dùng gán hay loạI bỏ quyền truy cấp đến mỗI cá nhân hay nhóm dựa trường hợp cụ thể

1.2.3 RBAC (Role Based Access Control):

Trong RBAC, việc định quyền truy cập dựa vai trò mỗI cá nhân trách nhiệm họ tổ chức

Quyền hạn dựa công việc phân nhóm ngườI dùng Tuỳ thuộc vào quyền hạn ngườI dùng mà phân quyền cho phù hợp

Ví d ụ :

NgườI quản trị có tồn quyền quản trị hệ thống mạng, quyền thêm, xố, sữa thơng tin mạng Những nhân viên bình thường mạng có quyền sử dụng máy tính mà khơng phép làm

1.3 Xác thực (Authentication):

Quá trình dùng để xác nhận máy tính hay ngườI dùng cố gắng truy cập đến tài nguyên, cách thức đăng nhập sử dụng hệ thống

Quá trình xác thực đa dạng, từ cách xác nhận thông thường kiểm tra tên đăng nhập/mật đến việc sử dụng công nghệ tiên tiến thể thông minh, thiết bị sinh học để nhận dạng ngườI dùng

1.3.1 Username/Password:

Đây phương thức xác nhận cổ điển sử dụng phổ biến (do tính đơn giản dễ quản lý)

MỗI ngườI dùng xác nhận tên truy cập mật Mật thông thường lưu sở liệu dướI dạng mã hố khơng mã hố Tuy nhiên

mật dễ dàng bị đốn phương pháp vét cạn Ch

í nh sách mậ t k h ẩ u :

Ngoài mật cần tuân theo số yêu cầu sau: - Kết hợp ký tự hoa thường

- Sử dụng số, ký tự đặc biệt, khơng sử dụng từ có tự điển

- Không sử dụng thông tin cá nhân để đặt mật (ngày sinh, số điện thoại, tên ngườI thân …)

1.3.2 CHAP:

Do điểm yếu User/Pass thông tin đễ dàng bị chuyển mạng, cần phải có phương pháp để đảm bảo liệu truyền thơng an tồn q trình chứng thực CHAP giao thức đáp ứng yêu cầu

CHAP thường dùng để bảo vệ thông tin xác nhận kiểm tra kết nối đến tài nguyên hợp lệ, sử dụng dãy thách thức trả lời mã hoá Đây nghi thức xác nhận truy cập từ xa mà không cần gửi mật qua mạng

CHAP sử dụng để xác định hợp lệ cách sử dụng chế bắt tay -Way Cơ chế sử dụng kết nối khởi tạo sử dụng nhiều lần để trì kết nối

- Nơi cần xác nhận gửi thông điệp “Challenge”

- Bên nhận sử dụng mật hàm băm chiều để tính kết trả lời cho bên cần xác nhận

- Bên cần xác nhận tính tốn hàm băm tương ứng đối chiếu với giá trị trả Nếu giá trị việc xác nhận hợp lệ, ngược lại kết nối kết thúc

- Vào thời điểm ngẫu nhiên,bên cạnh xác nhận gửi Challenge để kiểm tra hợp lệ kết nối

1.3.3 Chứng (Certificates)

Trong sống sử dụng CMND hay hộ chiếu để giao tiếp với người khác xã hội sử dụng để du lịch, tàu xe … Trong máy tính sử dụng chứng để xác nhận với máy khác người dùng máy tính hợp lệ giúp cho máy tính truyền thơng với an toàn

Chứng điện tử dạng liệu số chứa thông tin để xác định thực thể (thực thể cá nhân, server, thiết bị hay phần mềm…)

Chi tiết chứng tham khảo phần sau 1.3.4 Mutual Authentication (Xác nhậnlẫn nhau):

Đa số chế chứng thực thực chiều, việc xác thực dễ bị giả lập dễ bị Hacker công phương pháp giả lập cách thức kết nối (như Reply Attack …) Trong thực tế có nhiều ứng dụng đòi hỏi chế xác nhận qua lại ví dụ người dùng có tài khoản Ngân hàng Khi người dùng truy xuất để kiểm tra ngày nạp tiền vào Ngân hàng kiểm tra tính hợp lệ Ngân hàng thao tác Nếu thông tin kiểm tra hợp lệ trình đăng nhập thành cơng người dùng thay đổi thơng tin tài khoản

Mỗi thành phần giao tiếp điện tử xác nhận thành phần Khi đó, khơng xác nhận người dùng với hệ thống mà cịn xác nhận tính hợp lệ hệ thống

1.3.5 Biometrics:

Các thiết bị sinh học cung cấp chế xác nhận an toàn cao cách sử dụng đặc tính vật lý hành vi cá nhân để chứng thực, sử dụng khu vực cần an toàn cao

Cách th ứ c h o t độ ng Biometric : - Ghi nhận đặc điểm nhận dạng sinh học

 Các đặc điểm nhận dạng đối tượng quét kiểm tra  Các thông tin sinh học phân tích lưu lại thành mẫu - Kiểm tra

 Đối tượng cần kiểm tra quét

 Máy tính phân tích liệu quét vào đối chiếu với liệu mẫu

 Nếu liệu mẫu đối chiếu phù hợp người dùng xác định hợp lệ có quyền truy xuất vào hệ thống

M

ộ t s ố d ạn g :

- Các đặc điểm vật lý:  Dấu vân tay  Hand geometry  Quét khuôn mặt  Quét võng mạc mắt  Quét tròng đen mắt - Các đặc tính hành vi:

 Chữ ký tay  Giọng nói

Hiện chế xác nhận sinh học xem chế mang tính an toàn cao Tuy nhiên để xây dựng chế xác nhận chi phí cao

1.3.6 Multi – Factor:

khi hệ thống sử dụng hai hay nhiều phương pháp chứng thực khác để kiểm tra việc User đăng nhập hợp lệ hay khơng gọi multi – factor Một hệ thống vừa sử dụng thể thông minh vừa sử dụng phương pháp chứng thực username va password gọi hệ thống chứng thực two – factor Khi ta kết hợp hai hay nhiều chế xác nhận để tạo chế xác nhận phù hợp với nhu cầu

Chỉ danh cá nhân xác định sử dụng hai factors xác nhận sau:

- Bạn biết (một mật hay số pin) - Bạn có (smart card hay token) - Bạn (dấu vân tay, võng mạc …) - Bạn làm (giọng nói hay chữ ký) 1.3.7 Kerberos:

Kerberos dịch vụ xác nhận bảo đảm tính an toàn, xác nhận lần, xác nhận lẫn dựa vào thành phần tin cậy thứ ba

Sử dụng ticket, dạng thông điệp mã hóa có thời gian, để chứng minh hợp lệ người dùng Vì mật người dùng bảo vệ tốt khơng cần gửi qua mạng hay lưu nhớ máy tính cục

Xác

nh ậ n truy cậ p m ộ t lầ n :

Người dùng cần đăng nhập lần truy cập đến tất tài nguyên hệ thống hay máy chủ khác hỗ trợ nghi thức Kerberos

Thành p hầ n tin c ậ y t h ứ ba :

Làm việc thông qua máy chủ xác nhận trung tâm mà tất hệ thống mạng tin cậy

Xác

nh ậ n l ẫ n :

Không xác nhận người dùng hệ thống mà xác nhận hợp lệ hệ thống người dùng

Xác nhận Kerberos tích hợp trực tiếp cấu trúc quản lý thư mục (Active Directory) Windows 2000, 2003 server hỗ trợ máy trạm đăng nhập lần vào DC sử dụng dịch vụ server khác thuộc DC mà khơng cần phải đăng nhập Việc hồn tồn suốt vớI ngườI dùng nên họ không nhận hỗ trợ Kerberos

II CÁC DẠNG TẤN CÔNG: 2.1 Giới thiệu:

Để xây dựng hệ thống bảo mật, trước hết phải hiểu rõ cách thức

Hacker sử dụng để cơng vào hệ thống Việc tìm hiểu cách thức cơng góp phần nhiều cho cơng tác bảo mật hệ thống mạng, giúp việc ngăn chặn hiệu

nhiều Môi trường mạng ngày phát triển, nhu cầu bào mật, bảo đảm an ninh mạng phát triển

Hiện nay, phương pháp công đa dạng phong phú Tuy có nhiều phương thức cơng tạm xếp chúngvào nhóm sau:

- Theo mục tiêu công: Ứng dụng mạng hay hai

- Theo cách thức công: Chủ động (Active) hay thụ động (Passive)

- Theo phương pháp cơng: Có nhiều loại ví dụ bẻ khố, khai thác lỗi, phần mềm hay hệ thống, mã nguy hiểm …

Ranh giới nhóm dần khó nhận cách cơng ngày nay, ngày phức tạp, tổng hợp

Tuy nhiên, hacker cơng nhằm mục đích phá hoại hệ thống Có số đối tượng cơng vào hệ thống có mục đích nhằm tìn lỗ hỏng hệ thống báo cho người quản trị để họ vá lỗ hỏng lại Những hacker dạng người ta gọi “ White hat”, hacker dạng khác người người ta gọI “Black hat”

Một số người lại lầm tưởng hacker cracker Cracker người chuyên tìm hiểu phần mềm bẻ khố phần mềm đó, cịn hacker người chuyên tìm lỗ hỏng hệ thống

Tuỳ thuộc vào mục tiêu cơng mà hacker có kịch công khác Ở minh hoạ dạng kịch tổng quát để công vào hệ thống

Các bước cơng - Bước 1: Tiến hành thăm dị đánh giá hệ thống

- Bước 2: Thực bước thâm nhập vào hệ thống Sau quay lại bước để tiếp tục thăm dị, tìm thêm điểm yếu hệ thống

- Bước 3: Tìm cách để gia tăng quyền hạn Sau quay lại bước để tiếp tục thăm dị, tìm thêm điểm yếu hệ thống sang bước hay bước

- Bước 4: Duy trì truy cập, theo dõi hoạt động hệ thống - Bước 5: Thực cơng (ví dụ: từ chốI dịch vụ …) 2.3 Tấn công chủ động:

Là dạng công mà kể công trực tiếp gây nguy hại tới hệ thống mạng ứng dụng (khống chế máy chủ, tắt dịch vụ) không nghe hay thu thập thông tin Những dạng công phổ biến như: Dos, Ddos, Buffer overflow, IP spoofing …

2.3.1 DOS:

Tấn công từ chối dịch vụ, viết tắt DOS (Denial of service) thuật ngữ gọi chung chonhững cách công khác làm cho hệ thống bị q tải khơng thể cung cấp dịch vụ, phải ngưng hoạt động Kiểu công làm gián đoạn hoạt động khả đánh cắp thông tin hay liệu

Thông thường mục tiêu công từ chối dịch vụ máy chủ (FTP, Web, Mail) nhiên thiết bị mạng như: Router, Switch, Firewall …

Tấn công từ chối dịch vụ khơng cơng qua mạng mà cịn công máy cục hay mạng cục gọi Logcal Dos Against Hosts

Chúng ta phân nhỏ công từ chối dịch vụ thành dạng Broadcast stom, SYN, Finger, Ping, Flooding …

Hai v ấ n đề công t c h ố i d ị ch vụ :

- Việc sử dụng tài nguyên (Resource consumption attacks) số lượng lớn yêu cầu làm hệ thống tải Các tài nguyên mục tiêu công từ chối dịch vụ bao gồm: Bandwidth (thường bị công nhất), Hard disk (mục tiêu bom mail), Ram, CPU - Có lỗi việc xử lý String, Input, Packet đặc biệt attacker xây dựng

(malfomed packet attack) Thông thường dạng công áp dụng với router hay switch Khi nhận packet hay string dạng này, phần mềm hay hệ thống bị lỗi dẫn đến router hay switch bị crash …

Tấn công từ chối dịch vụ khơng đem lại cho attacker quyền kiểm sốt hệ thống dạng cơng vơ nguy hiểm, đặc biệt với giao dịch điện tử hay thương mại điện tử Những thiệt hại tiền danh dự, uy tính khó tính Nguy hiểm khó đề phịng dạng cơng thơng thường chí biết bị công

Đối với hệ thống bảo mật tốt công từ chối dịch vụ coi phương pháp cuốI attacker áp dụng để triệt hạ hệ thống

2.3.2 DDOS:

Tấn công từ chối dịch vụ phân tán thực với tham gia nhiều máy tính So với Dos mức độ nguy hiểm DDos cao nhiều

T

ấ n c ô ng D Dos b a o g m hai thành p h ầ n :

- Thành phần thứ nhất: Là máy tính gọi zombie (thông thường internet) bị hacker cài vào phần mềm dùng để thực công nhiều dạng UDP flood hay SYN flood … Attacker sử dụng kết hợp với spoofing để tăng mức độ nguy hiểm Phần mềm công thường dạng daemon

- Thành phần thứ hai: Là máy tình khác cài chương trình client Các máy tình zombie nhiên attacker nắm quyền kiểm sốt cao hơn.Chương trình client cho phép attacker gửi thị đến Daemon zombie

Minh hoạ công DDOS

Thông thường mục tiêu DDos chiếm dụng bandwidth gây nghẽn mạng Các công cụ thực tìm thấy nhưTri00 (Win Trin00), Tribe Flood Network (TFN hay TFN2K), Sharf … Hiện phát triển dịng virus, worm có khả thực DDos

2.3.3 Buffer Overflows (tràn đệm):

Đây dạng công làm tràn đệm máy tính Buffer Overflows xuất ứng dụng nhận nhiều liệu chương trình chấp nhận Trong trường hợp ứng dụng bị ngắt Khi chương trình bị ngắt cho phép hệ thống gửidữ liệu với quyền truy cập tạm thời đến mức độ có đặc quyền cao vào hệ thống bị công Nguyên nhân việc tràn đệm lỗi chương trình

2.3.4 Spoofing:

Truy cập vào hệ thống cách giả danh (sử dụng danh đánh cắp người khác, giả địa MAC, IP …)

Là phương pháp công mà attacker cung cấp thông tin chứng thực giả dạng user hợp lệ để truy cập bắt hợp lệ vào hệ thống Tuy nhiên vài trường hợp việc cấu hình hệ thống sai gây hậu tương tự Ví dụ cấu hình hệ thống có lỗi cho user có quyền cao quyền phép mà user không cố ý giả mạo

attacker không nhận trả lời Dạng thứ hai cần quan tâm “informed spoofing” attacker kiểm sốt truyền thơng hai hướng

Tấn công cách giả mạo thường nhắc đến IP spoofing ARP spoofing hay gọi ARP poisoning

Việc giả mạo IP xảy điểm yếu giao thức TCP/IP Giao thức TCP/IP tính chứng thực địa packet nhận có phải địa địa giả mạo.Một IP address coi máy tính (thiết bị) kết nối vào

mạng máy tính giao tiếp với mà không cần kiểm tra Tuy nhiên khắc phục cách sử dụng Firewall, router, giao thức thuật toán chứng thực Việc thực giả mạo IP cách sử dụng Raw IP

ARP poisoning cách công nhằm thay đổI ARP entries bảng ARP nhờ thay đổi nơi nhận thơng điệp Các cơng áp dụng vớI LAN switch Trình bày cách t ấ n công b ằ ng ARP poisonin g :

- ARP (Address Resolution Protocol): Là giao thức dùng để làm cho địa IP phù hợp với địa MAC ARP dùng tất trường hợp nơi mà nút mạng TCP/IP cần biết địa MAC nút khác mạng hay mạng tương tác Về bàn, ARP cho phép máy tính gửi thơng điệp ARP mạng cục để tất nút nghe thấy có nút mạng có địa IP tương ứng trả lời

- Một vài hệ điều hành khơng cập nhật thơng tin ARP khơng có sẵn cache, số khác chấp nhận lần trả lời lại (ví dụ Solaris) - Attacker có thề giả mạo packet ICMP bắt chước để bắt buộc máy trạm

thực ARP request Ngay sau nhận ICMP, máy trạm gửi lại ARP

Bi

ệ n pháp đố i ph ó :

- Chúng ta sử dụng biện pháp sau: (Yes: sử dụng được, No: sử dụng được)

 Yes – Passive monitoring (arp watch)  Yes – Active monitoring (ettercap)  Yes – IDS (detect but not avoid)  Yes – Static ARP entries (avoid it)  Yes – Secure ARP (puplic key auth)  No – Port security on the switch

 No – Anticap, antidote, middleware approach 2.3.5 SYN Attacks:

Là dạng công kinh điển Lợi dụng điểm yếu bắt tay bước TCP Việc bắt tay ba bước sau:

- Bước 2: Server gửi trả client packet chức SYN/ACK thông báo sẵn sàng chấp nhận kết nối đồng thời chuẩn bị tài nguyên phục vụ kết nối, ghi nhận lại thông tin client

- Bước 3: Client gửi trả server ACK hoàn thành thủ tục kết nối

Khai thác lỗi chế bắt tay bước TCP/IP Vấn đề client không gửi trả cho server packet chứa ACK , việc gọI half – open connection (client mở kết nối nửa) với nhiều packet server tải tài nguyên có hạn Khi u cầu hợp lệ khơng đáp ứng Việc tương tự máy tính bị treo mở nhiều chương trình lúc

Máy tính khởi tạo kết nối gửI thông điệp SYN + Spoofing IP Máy nhận trả lời lạI SYN ACK

Sẽ khơng có người nhận ACK (do địa giả)

Do máy nhận đợi khoảng thời gian dài trước xoá kết nối

Khi số lượng tạo kết nối SYN nhiều làm cho hàng đợi tạo kết nối bị đầy phục vụ yêu cầu kết nối khác

Trên Windows để nhận biết công SYN dùng lệnh Netstar – n – p tcp

Chúng ta ý SYN – Received connection Tuy nhiên công SYN thường chung với IP spoofing Cách attacker thường sử dụng random source IP, server thường khơng nhận ACK từ máy có IP khơng thật, đồng thời server có cịn phải gửi lại SYN/ACK nghĩ client không nhận SYN/ACK Lý tránh bị phát source IP , nhân viên quản trị block source IP

Gi

ả i ph p :

- Giảm thời gian chờ đợi khởi tạo kết nối Việc sinh lỗi từ chối dịch vụ với máy từ xa có băng thơng thấp truy xuất đến

- Tăng số lượng cố gắng kết nối

- Sử dụng tường lửa để gửi gói ACK cho máy nhận để chuyển kết nối thực sang dạng kết nối thành công

2.3.6 Man in the Middle Attacks:

Kẻ công đứng kênh truyền thơng hai máy tính để xem trộm thơng tin chí thay đổI nộI dung trao đổI hai máy tính

Trong hai máy tính nghĩ kết nối trực tiếp với máy tính Cách t ấ n công Man in t h e Middl e :

- Tấn công mạng nội bộ:  ARP Poisoning

 DNS Spoofing  STP mangling  Port Stealing

- Tấn công từ cục đến máy xa (thông qua gateway)  ARP Poisoning

 DHCP Spoofing  ICMP Redirection  IRDP Spoofing  Route mangling  Tấn công từ xa  DNS Spoofing  Traffic tunneling  Route mangling

- Tấn công mạng không dây  Access Point Reassociation 2.3.7 Replay Attacks:

Sử dụng công cụ để ghi nhận tất thơng tin trao đổi máy tính truy

xuất đến server Sau sử dụng thông tin bắt mạng để nốI kết lại đến server

Đây kỹ thuật mà Attacker nắm số lượng packet sử dụng lại packet sau Ví dụ Attacker có packet chứa password user Password mã hố attacker khơng biết Tuy nhiên hệ thống chứng thực khơng có chức kiểm tra Session time hay hệ thống có TCP Sequence number Attacker thực Bypass Authenticate cách gửi packet lần hay gọi

là replay

2.3.8 Dumpster Diving:

Dumpster Diving thuật ngữ mô tả công cách thu lượm thông tin từ thứ tưởng khơng cịn giá trị Ví dụ Attacker có nhiều thơng tin từ “Recycle bin” từ giấy tờ chứng từ bõ … Không từ thơng tin máy vi tính, thơng tin thu lượm lấy từ tài liệu, hồ sơ ngườI dùng bỏ Từ loạI giấy tờ thu nhận rút trích để lấy thơng tin cần thiết cho việc công

2.3.9 Social Engineering:

Đây dạng sử dụng phổ biến khó phịng ngừa Cách cơng khơng địi hỏi kẻ cơng sử dụng cơng cụ hay thiết bị mà có thông tin cần thiết để thâm nhập vào hệ thống

Đa số người dùng thường đặt mật dựa vào thông tin cá nhân họ tên, số điện thoại, ngày sinh, … Khi kẻ cơng thu thập thơng tin để thực việc đoán mật người dùng

Một dạng khác khai thác tin cậy hay nhẹ người để tìm thơng tin quan giả danh khách hàng quen thuộc Công ty để thu thập thông

Gi

ả i ph p : Đào tạo hướng dẫn người dùng cảnh giác

2 Tấn cơng thụ động:

2.4.1 Dị tìm lổ hỏng:

Đây bước kẻ cơng thực để đánh giá tìm điểm yếu hệ thống, kỹ thuật dùng cơng cụ qt để tìm điểm yếu công

Sử dụng công cụ quét cổng để thăm dị phát thơng tin hệ thống hệ điều hành, phiên bàn, ứng dụng triển khai …

Attacker kiểm tra để ht vọng tìm cửa khơng khố dễ dàng phá mà không bị phát

A/ Giới thiệu công cụ NMAP:

NMAP viết tắt Network Mapper Ban đầu NMAP thiết kế chủ yếu dành cho System admin nhằm scan mạng có nhiều máy tính để biết máy hoạt động, service chạy hệ điều hành sử dụng

NMAP hỗ trợ kỹ thuật scan bao gồm: UDP, TCP, TCP SYN (half – open), FTP Proxy (bounce attack), ICMP (ping sweep), FIN, ACK sweep, Xmas tree, SYN sweep, IP Protocol … Có thể dùng xác định thơng tin cúa máy xa, ví dụ OS qua TCP/IP Fingerprinting

Cơng cụ NMAP dễ dàng tìm internet cài đặt … Mặc định hệ điều hành Unix NMAP có phiên chạy Windows hỗ trợ giao diện đồ hoạ (NMAP Win)

M

ộ t s ố c c n ă ng c ủ a NMA P :

- Connect Scan (TCP connect): Đây dạng việc quét TCP Kỹ thuật dùng để quét tất cổng hệ thống máy tính Nếu cổng lắng nghe, kết nối thành cơng, ngược lại cổng khơng đạt đến Điểm

mạnh kỹ thuật không cần phải có đặc quyền

- Việc quét kỹ thuật dễ dàng bị phát máy quét

- TCP SYN (haft – open): Kỹ thuật thường hiểu kiểu quét (haft – open) bạn khơng mở kết nối đầy đủ TCP Bạn gửi SYN packet, bạn mở kết nối thực bạn chờ hồi đáp Một SYN /ACK cho biết cổng lắng nghe Một RST biểu lộ Non – listener Nếu SYN/ACK nhận, RST gửi liên tục đến kết nối Thuận

lợi kỹ thuật quét site lưu lại thơng tin Để thực phải có quyền root

- FTP Proxy (Bounce attack): Đây đặc điểm thú vị giao thức FTP hỗ trợ cho kết nối FTP thơng qua proxy Nói cách khác kết nối từ Evil.com đến FTP server target.com yêu cầu server gửi file

Khi khái niệm cũ FTP server viết lại vào năm 1995, sai lầm giao thức sử dụng để đưa news mail gần phát được, gây nguy hiểm server site khác nhau, làm đầy đĩa cứng … Chúng ta lợidụng đặc điểm để Scan TCP port từ proxy FTP server Vì bạn kết nối đến FTP server đặt sau Firewall sau quét port dường bị blocked NếuFTP server cho phép đọc ghi vài thư mục, bạn gửi liệu đến cổng mà bạn

tìm thấy (NMAP khơng làm việc này)

- ICMP (Ping Sweep – PingScanning): Thỉnh thoảng muốn biết host mạng có mở hay khơng NMAP làm điều cách gửi ICMP echo request packet đến địa IP mạng mà bạn định Những host mà trả lời host mở Một số site thi block echo request packets Vì NMAPcó thể gửi TCP ACK packet theo cổng 80 Nếu nhận RST trả về, máy tính mở Một kỹ thuật thứ ba liên quan đến việc gửi SYN packet chờ RST hay SYN/ACK Mặc định (cho user root) NMAP sử dụng hai kỹ thuật ACK ICMP Bạn thay đổi điều với

option – p

Chú ý thao tác ping thực bắt lúc host hồi đáp quét Chỉ sử dụng tùy chọn bạn mong muốn ping sweep mà không cần port scans thực hoạt động

- ACK Sweep (ACK Scan): Đây phương pháp thuận lợi thường sử dụng để vạch luật firewall Trong trường hợp đặc biệt, giúp xác định nơi firewall khơng có hiệu lọc packet đơn giản block SYN packet

- Các Scan gửi ACK packet đến port định Nếu có RST trả về, port phân loại “unfiltered” Nếu thơng tin trả (hay

nếu ICMP unreachable trả về) port phân loại “filtered” Chú ý NMAP thường không in port phân loại “unfiltered”

- Xmas tree, FIN, Null Scan: Đó lần sử dụng qt SYN khơng bảo đảm bí mật vài firewall packet filter nhìn thấy tín hiệu SYN giới hạn port chương trình giống SYN logger courtney dễ dàng phát

hiện việc quét Việc sử dụng cách quét (Xmas tree, FIN, Null Scan) vượt qua mà không bị cản trở

- IP Protocol: Phương pháp sử dụng để xác định giao thức IP hỗ trợ host Kỹ thuật gửi IP packet dạng raw mà không chứa protocol header đến giao thức định host đích Nếu nhận ICMP protocol unreachable message, điều có nghĩa giao thức khơng sử dụng, ngược lại giả sử mở ý vài host (AIX, HP – UX, Digital UNIX) số firewall gửi protocol unreachable messages, nguyên nhân làm cho hiểu lầm tất giao thức “open”

Cú

ph p chu ẩ n n h sa u :

Scan type bao gồm: - -sS: TCP SYN - -sT: TCP connect () - -sU: UDP scan - -sO: IP protocol

- -sF -sX -sN: Stealth FIN, Xmas tree, Null scan - -sP: ping scanning

- -sV: version detection Các Option sau:

- -PA [portlist] sử dụng TCP ACK ping xem danh sách host hoạt động - -PS [portlist] tương tự -PA dùng SYN (connection request)

- -PU [portlist] dùng UDP Ví

dụ : Để quét tất cổng TCP máy đích 172.29.14.141 Nmap –v 172.29.14.141

Tùy chọn –v: Mở chế độ hiển thị chi tiết trình quét

Để quét đường mạng lớp C mà có chứa địa IP 172.29.14.141 dùng tín hiệu SYN Ngồi xác định ln hệ điều hành mà sử dụng máy ? Có hoạt động hay khơng ? Để sử dụng đặc điểm này, người sử dụng phải có quyền root

Nmap –sS – O 172.29.14.141 2.4.2 Nghe (Sniffing):

Kẻ nghe phải nằm đường mạng đặt vị trí cổng truy cập để đọc thơng tin truyền mạng

Sử dụng phần mềm để đón bắt thơng tin quan trọng (ví dụ tên truy cập, mật khẩu, cookie) truyền mạng mà không mã hóa sử dụng chế mã hóa đơn giản

Các quản trị mạng sử dụng công cụ sniff để xem xét đánh giá lưu thông mạng

A/ Giới thiệu cơng cụ TCP Dump:

Là cơng cụ phân tích phổ biến môi trường Unix hay Linux TCP Dump hỗ trợ giao thức TCP, UDP, IP ICMP Ngồi cịn hỗ trợ dạng liệu ứng dụng phổ biến Hầu hết chương trình TCP Dump phải chạy với quyền root hay

setuid root Cú

ph p TCP D u m p n h sa u :

[ -c count ] [ -C file _size ] [ -F file ] [ -i interface ] [ -m module ] [ - r file ] [ -s snaplen ] [ -T type ] [ -U user ] [ - w file ]

[ -E algo: secret ] [ expression ] Các lưu ý :

- c dùng bắt đủ số gói tin

- C trước save raw packet vào file kiểm tra file có kích thước lớn

hơn file _size hay khơng Nếu có mở file với tên định –w cộng với kích thước phía sau Đơn vị file _size 1000000 bytes

Ví

d ụ : Để in tất packet nhận gửi từ máy có tên sundown: # tcpdump host sundown

Để in lưu thơng hai hệ thống máy tính có tên sundown moondown: # tcpdump host sundown and moodown

Để in tất gói tin IP sundown host khác ngoại trừ máy có tên testking:

# tcpdump ip host sundown and not testking B/ Giới thiệu công cụ Ethereal:

Là công cụ “phân tích giao thức” protocol analyzer nay, phát triển năm 1998 Ethereal có phiên cho Unix/Linux windows Một thực bắt gói tin, packet giữ buffer sau hiển thị lên

hình Một tính Ethereal live decodes packet dừng việc bắt gói tin Chúng ta thấy điều qua Network monitor windows trình bày sau Tuy nhiên tính khơng tốt lưu lượng mạng nhiều 10000

packet chẳng hạn mà khơng thực biện pháp lọc gói Khi khơng thể theo dõi kịp thơng tin trình bày

C/ Giới thiệu cơng cụ Network monitor windows:

Windows 2000, 2003 có hỗ trợ công cụ Network monitoring hỗ trợ quản trị mạng theo dõi phân tích gói tin gửi kết nối truy xuất đến

thể dễ dàng cài đặt thêm cách:

Start  Setting  Control pannel  Add/Remove Program  Add/Romove Windows Components  Management and Monitoring tools

Chạy chương trình:

Sau chọn Network interface nhấn start capture để bắt gói tin Nhấn biểu tượng Stop and View capture để xem gói tin bắt Ngay sau bắt panel đầu panel liệt kê tóm tắt

Bỏ chọn Zoom panel (thanh toolbar hình kính lúp) để xem panel gói tin bị capture sau:

Panel thứ hai thông tin chi tiết panel cuối biểu diễn dạng hex Dùng Edit/Display Filter (thanh toolbar hình phễu) để lọc gói tin

D/ Giới thiệu cơng cụ Cain & Abel:

Đây công cụ lắng nghe mạnh hỗ trợ tính năng:

- Giả mạo điạ ARP để thu thập thêm nhiều thông tin

- Khả giải mã số password bắt dạng mã hóa

Hướng dẫn sử dụng Cain & Abel để lắng nghe thông tin mạng LAN (thiết bị sử dụng mạng thuộc tầng 2)

Cài đ ặt c h ơng trình Cain & Abe l :

- Download chương trình Cain & Abel từ website: http://www.oxid.it/

- Cài đặt chương trình (cần cài đặt Winpcap v3.1 beta trước sử dụng chương trình Cain & Abel)

- Sử dụng chương trình Cain & Abel để lắng nghe thông tin mạng C

Chọn mục công cụ để bắt đầu q trình lắng nghe mạng, sau chọn tab Sniffer

Lưu ý: Chúng ta quét máy tính thuộc đường mạng với

Chọn tab password để quan sát thơng tin trả có trao đổi thơng tin mạng

Nếu password bị mã hóa dùng chương trình Cain & Abel để giải mã dùng chương trình LC5 Có nhiều thuật tốn để giúp cho việc giải mã thành công như:

- Giải mã dùng phương pháp Dictionary Attack - Giải mã dùng phương pháp Brute – Force Attack - Giải mã dùng phương pháp Cryptanalysis

2.5 Password Attacks:

Là phương pháp cơng nhằm đốn password cịn gọi password guessing Chúng ta nghĩ đến việc đốn password từ thơng tin liên quan đến user sử dụng nó: Ngày sinh, tên …

Có hai cách cơng chình Brute – Force Attack (vét cạn) Dictionary – based Attack (dựa danh sách mật xây dựng trước)

2.5.1 Brute Force Attacks:

- Sử dụng công cụ đoán mật quét cạn

2.5.2 Dictionary – Based Attacks:

- Các mật có từ tự điển dễ bị phá mật

- Cách phá mật sử dụng danh sách từ nằm tự điển tính giá trị băm trước

- Danh sách từ giá trị băm tìm thấy internet

2.5.3 Một số cơng cụ công password:

Để công password, sử dụng cơng cụ có khả giải mã password Những cơng cụ mạnh có khả cơng password Cain & Able (xem phần trên), LC5 …

Ví

d ụ : Cách công mật phương pháp vét cạn Sử dụng chương trình Cain & Able

Mục tiêu: Lấy mật user máy cục Cách thục hiện:

- B1: Kích hoạt chương trình Cain & Abel

- B2: Chọn tab Cracker panel bên trái, chọn mục LM & NTLM Hash Sau chọn cơng cụ chức add to list

- Click chuôt user cần lấy password, chọn mục Brute – Force Attack (NTLM)>LM hashes

2.6 Malicous Code Attacks:

2.6.1 Viruses:

Virus, wrom trojan horse gọi chun g đoạn mã nguy hiểm chúng chiếm dụng tài nguyên làm chậm hệ thống, làm hư hệ thống

Virus chương trình thiết kế để phá hoại hệ thống mức hệ điều hành ứng dụng

2.6.2 Trojan horse:

Trojan horse loại chương trình an tồn hữu ích thực bên lại nhúng đaọn mã nguy hiểm

2.6.3 Logic Bombs:

Những đoạn mã tích hợp vào ứng dụng thực để côngkhi thỏa mãn điều kiện (ví dụ Script hay ActiveX tích hợp trang web)

Là loại malware thường attacker để lại hệ thống có tính tương tự “bom hẹn giờ” Logic bomb gặp điều kiện định phát huy tính phá hoại Một logic bomb tiếng Chemobyl phát huy tính pháhoại vào ngày 26/4

Một cách dùng logic bomb mà attacker hay dùng để hủy chứng đợt công admin hệ thống bắt đầu phát đột nhập

2.6.4 Worms:

Worm dạng virus có khả tự tạo để phát tán, lây lan qua mạng

2.6.5 Back door:

Một chương trình, đoạn mã hay cấu hình đặc biệt hệ thống mà cho phép attacker truy cập mà khơng cần chứng thực hay logon

III. CÁC PHƯƠNG PHÁP PHÒNG CHỐNG:

3.1 Giới thiệu công cụ Essential NetTools:

Essential NetTools công cụ bao gồm Netstat , Nslookup, Tracert, Ping, … Việc sử dụng lệnh windows phức tạp khó đánh giá đượ Tuy nhiên,

với công cụ này, việc sử dụng tương đối đơn giản nhờ giao diện thân thiện, dễ dùng tài lệu hướng dẫn chi tiết đầy đủ

Với công cụ Essential NetTools, người quản trị mạng giám sát hoạt động xảy hệ thống máy tính (kiểm tra xem có người cơng SYN flood) Gi

ả i ph p :

- Loại bỏ dịch vụ không cần thiết

- Sử dụng tường lửa hay IP Sec để lọc thông tin không cần thiết

- Sử dụng IDS để phát thăm dị thơng báo truy cập khả nghi

3.2 Giới thiệu công cụ Microsoft Baseline Security Analyzer:

M

ụ c tiê u :

Tìm hiểu cách thực phát lỗ hỏng bảo mật máy cục mạng, diễn giải báo cáo trả

Cách th ự c hi ệ n :

- Sử dụng công cụ Microsoft Baseline Security Analyzer (MBSA) để kiểm tra lỗ hỏng hệ điều hành windows

- Nghiên cứu lỗ hỏng bảo mật tìm thấy cung cấp cách vá lỗ hỏng

- Sử dụng MBSA để quét điểm yếu hệ thống windows Cài đ ặt MBSA :

Kích hoạt chương trình MBSA Chọn Scan a computer

Chọn Start Scan để bắt đầu dò lỗ hỏng, báo cáo trả lời sau: Với Score có biểu tượng X là lỗ hỏng nghiêm trọng

Chọn mục Result details để xem chi tiết lỗ hỏng bảo mật chọn mục how to correct this để tìm phương thức khắc phục vấn đề

Chú ý: muốn quét lỗi bảo mật từ hệ thống khác, cần nhập tên hay IP máy cần quét

3.3 Sử dụng công cụ Tenable NeWT Scanner:

M

Tìm hiểu cách thức phát lỗ hỏng bảo mật máy cục bộ, diễn giải báo cáo trả

Cách th ự c hi ệ n :

- Sử dụng NeWT để dò lỗ hỏng bảo mật máy cục - Tìm hiểu lỗ hỏng tìm thấy cung cấp cách vá lỗ hỏng - Sử dụng NeWT để quét nơi bị công hệ thống cục Cài đ ặt c h ơng trình Tenable N e WT Scanne r :

Kích hoạt chương trình NeWT Security Scanner Chọn New Scan task để bắt đầu trình quét

Nhập vào tên địa IP máy cần quét  chọn Next

Chọn Scan now để bắt đầu scan Sau q trình qt thành cơng Một thơng báo hiển thị sau:

Dựa báo cáo trả về, đưa giải pháp để khắc phục lỗi

3.4 Xây dựng Firewall để hạn chế công:

Để ngăn chặn xâm nhập bắt hợp pháp người dùng mạng, cần xây dựng hệ thống phòng thủ Firewall giải pháp tốt cho vấn đề Việc xây dựng

firewall dùng thiết bị phần cứng sử dụng giải pháp phần mềm Trong phần hiểu hai giải pháp

3.4.1 Giải pháp phần cứng:

Hiện thị trường có nhiều sản phẩm cho phép thiết lập firewall từ đơn giản đến phức tạp Các firewall tích hợp thiết bị nối đường truyền ADSL hay thiết bị Load Balance Router sản phẩm firewall chuyên dụng Fotinex, Juniper, Check Point, … Tùy vào mức độ hệ thống mạng mà sử dụng loại firewall tương ứng Trong phần này, tìm hiểu số tính firewall sản phẩm Load Balance Router

Với thiết bị Load Balance Router hãng Dray tek (vigor 3300V) sử dụng tính để hạn chế người dùng mạng như:

A/ IP Filter:

Đây tính để lọc thơng tin từ mạng ngồi ngược lại

B/ Dos:

Đây tính cho phép giới hạn cơng máy tính bên ngồi sử dụng Dos

C/ URL Filter:

Đây tính cho phép lọc nội dung địa website truy cập

D/ Bind IP to MAC:

Đây tính để giới hạn người dùng khơng hợp lệ truy cập sử dụng đường internet

Đây tính cho phép cấm một vài địa IP truy cập vào dịch vụ tin nhắn, VoIP hay dịch vụ chia liệu ngang hàng

3.4.2 Giải pháp phần mềm:

Ngoài giải pháp sử dụng phần cứng, cịn sử dụng giải pháp

phần mềm để hạn chế xâm nhập từ máy khác Từ Windows XP trở sau này, phiên tích hợp cách thức thiết lập firewall để bảo vệ máy tính Nếu mong muốn bảo vệ an toàn mạng, có số phần mềm giải giải pháp ISA, Kerio Win Route Firewall, Zone Alam, … Trong phần sử dụng ISA 2004 để xây dựng firewall

CHƯƠNG BẢO MẬT VỚI LỌC GĨI IP

I Gói Tin (Packet): 1.1 Packet gì?

- Như biết tín hiệu trao đổi hai máy tính tín hiệu điện dạng bít nhị phân 0/1

- Với việc truyền liệu dạng bít nhị phân đơn không

thể biết thông tin nhận thơng tin gì, thuộc kiểu dạng liệu nào, gởi cho ứng dụng mạng máy nhân gói tin

- Để khắc phục khó khăn người ta đưa khái niệm gói tin (data packet) Theo khái niệm thơng tin liệu trước gởi chia thành

nhiều phần nhỏ, phần nhỏ trước gởi đóng vào khn dạng gọi gói tin sau gởi Trong gói tin có phần dùng để chứa đựng thơng tin nơi gởi nhận, phương pháp kiểm sốt lỗi, mã hóa, … gọi phần mào đầu gói tin (data packet header)

- Giao thức TCP/IP giao thức phổ biến sử dụng phương thức truyền liệu dạng gói tin Trong giao thức có nhiều loại

gói tin như: gói TCP, gói IP, gói UDP,…

1.2 Gói IP:

Đây loại gói tin sử dụng giao thức IP (internet protocol) lớp Internet mơ hình TCP/IP

Gói tin có chức đảm bảo cho việc truyền liệu cách xác từ máy đến máy

Cấu trúc gói IP sau:

dụng Số version náy quan trọng ngày ta tồn hai phiên IP song song Một số phần mềm ứng dụng giao thức xử lý IP datagram bắt buột phải biết số version , khơng nhân biết số version coi gói tin dó bị lỗi không chấp nhận để xử lý

 Header Length : trường có độ dài bít , cho biết số word sử dụng IP

header , ta sừ dụng trường IP header có hai cấu trúc short_IP_header có 20 byte , long_IP_header có 24 byte có sử dụng trường option

 Type Of Service : có độ dài byte cho biết cách thức sử lý gói tin

truyền mạng

Ba bít cho biết mức độ ưu tiên gói tin 000 : thấp

111: cao Bit D quy định độ trễ

1 : yêu cầu độ trễ thấp : bình thường

Bit T thơng lương yêu cầu : yêu cầu thông lượng cao : bình thường

Bít R độ tin cậy yêu cầu : độ tin cậy cao : bình thường Bit M u cầu chi phí

1 : chi phí thấp : bình thường Bít Z chưa sử dụng

 Total Length : Cho biết độ dài toàn IP datagram bao gồm header

, đơn vị tính byte Nó có giá trị thấp 20byte lớn 65535 byte Trường dùng để xác định độ lớn phần data

 Identification : có độ dài 16 bít , dùng cho việc đánh số gói tin truyền ,

cho biết thứ tự gói tin , số thứ tự cho đầu phát không bị thay đổi trình từ nguồn tới đích

 DF (don’t fragment): bít cho biết gói tin có phép chia nhỏ suốt

quá trình truyền hay không

1 : không cho phép chia nhỏ : cho phép chia nhỏ

 MD (more fragment) : cho biết sau cịn có gói tin khác hay khơng

1 : cịn gói tin đứng sau

 Fragment offset : có độ dài 13 bít , đơng vị tính trường octect ( (

octect = byte ) cho biết vị trí octect cùa gói bị phân mảnh q trình truyền so với vị trí octect thứ gói gốc Trường sử dụng DF có giá trị

 Time To Live : có độ dài byte , qui định thới gian sống gói tin , đơn vị

tính số nút mạng mà qua , thời gian sống thuyết lập gói tin gởi , lần qua nút mạng thời gian sống giảm , thời gian sồng trước gói tin tới đích bị hủy Mục đích hạn chế tắc ngẽn

đường truyền

 Protocol : có độ dài byte , cho biết giao thức sử dụng lớp VD :

TCP ( ) ; UDP ( 17 ) ……

 Header Checksum : có 16 bit dùng để kiểm tra lỗi IP header , trường có thề

thay đồi sau mổi lần qua nút mạng DF = Trường dùng phương pháp kiểm tra lỗi CRC

Source/Destination address : chi biết địa nguồn địa đích , trường có độ dài 32 bít

 Option : trường có độ dày từ đến byte , khơng sử

dụng Nó cung cấp thông tin kiểm tra lổi , đo lường , …

FC (flag copy) : bít có chức có chép trường option phân mảnh (đoạn) hay không

1 : chép trường option cho tất phân đoạn

0 : có phân đoạn có trường option , phân đoạn cịn lại khơng có trường option

Class : có bít có giá trị sau :

00 : dùng cho điều khiển datagram 10 : dùng cho mục đích điều hành giá trị trường type cùa option :

FC class Number option Ý nghĩa

1 00 00000 Marks the end of the options list 00 00001 No option (used for padding)

1 00 00010 Security options (military purposes only)

1 00 00011 Loose source routing

1 00 00111 Activates routing record (adds fields)

1 00 01000 Tream ID

1 00 01001 Strict source routing

Length : cho biết độ dài trường option bao gồm cà trường type length Option data : dùng để chứa đựng thông tin liên quan đến trường type

 Padding : trường sử dụng trường option có độ dài nhỏ byte , thực tế trường đệm lót them vào dầy cấu trúc khung

Data : dùng để chứa liệu gói tin Nó có độ dài khơng cố định , tùy thuộc vào độ lớn thông tin truyền mơi trường mạng

1.3 Gói UDP:

Chức cấu trúc: Chức năng:

Đây gói tin sử dụng giao thức UDP chức đảm bảo cho liệu truyền từ ứng dụng host nguồn đến ứng dụng host đích cách xác dựa phương pháp hoạt động không kết nối

Cấu trúc gói tin:

Source port number : cho biết địa ứng dụng nguồn gởi gói UDP Destination port number : cho biết địa ứng dụng đích nhận gói UDP UDP length : cho biết độ dài gói UDP bao gồm phần header phần data

UDP checksum : đây vùng tùy chọn , không sử dụng , không sử dụng có giá trị , muốn đảm bảo an toàn độ xác gói tin trường sử dụng

Hoạt Động Của UDP Đóng gói UDP :

hình 4.2 : q trình đóng gói UDP

UDP sử dụng với ứng dụng không yêu cầu độ tin cậy cao địi hỏi tính thời gian thực : TFTP , BOOTP , Multimedia (intenet vedeo , VoIP ….)

1.4 Gói TCP:

Sequence number : đơn vị tính octect , cho biết vị trí byte trường data luồng liệu truyền Trường có giá trị từ đến 232 

Khi bắt đầu kết nối sequence number chứa đựng giá trị , giá trị host nguồn chọn thường khơng có giá trị cố định Khi gói liệu gởi có giá trị giá trị đầu cộng thêm

Tổng quát trường sequence number tính sau : sequence _ numbern  sequence _ numbern 1  len(datan 1 )

Acknowledgement number : trướng cho biết gói tin mà nơi gởi muốn thông báo cho nơi nhận biết đợi phía nhận gởi cho gói tin có số sequence number có giá trị bắng với giá trị Acknowledgement number , nhận thông báo nơi nhận xác định gới tin mà gởi đến đầu trước đến đích an tồn Hlen : cho biết độ dài phần TCP header , nhờ vào trường mà đầu thu biết trường Option có xử dụng hay không

Reserved : trường chưa sử dụng

Flag bit : trường có bít cờ , bít sử dụng vào mục đích khác , gồm bít sau :

URG : cho biết trường Urgent pointer có hiệu lực hay khơng ACK : cho biết ACK number có sử dụng hay khơng PHS : _ đưa thẳng lên lớp không cần kiểm tra

0 _ kiểm tra trước đưa lên lớp RST : yêu cầu thiết lập lại kết nối

SYN : thiết lập lại số trình tự FIN : kết thúc truyền tải

Window : cho biết độ lớn của host nguồn

Checksum : dùng để kiểm tra lỗi của gói TCP , việc kiểm tra lỗi đầu nhận thực Việc tính tốn phía gở đảm nhận TCP sử dụng mã CRC để kiểm tra lỗi

dung phần đầu giả giống nội dung phần đầu giả UDP :

Urgent pointer : đây trường trỏ khần cấp , có chức : Ngăn cản trình q trình truyền tải

Dùng để ranh giới giữa phần liệu khẩn cấp v1 phần liệu thường (trong TCP phần liệu khẩn cấp đặt trước)

Option : trường túy chọn , có cấu trúc giống trường Option cùa IP :

Type : cho biết loại thông điệp option Length : cho biết độ dài trường option Optiondata : chứa nội dung trường option Các loại thông điệp option :

II.Bảo Mật Với Lọc Gói: 2.1 Khái Quát Về Lọc Gói:

Bảo mật dựa lọc gói tin phương pháp bảo mật dựa thông tin phần header gói tin, thơng qua thơng tin mà ta quy định gói tin phép hay không phép qua lọc

Các thông tin mà quan tâm đến thông tin địa máy gởi nhận gói tin, địa ứng dụng nhận gởi gói tin, giao thức sử dụng suốt qua trình trao đổi thơng tin hai máy

Type number length means

0 - Kết thúc option list

1 - Không sử dụng

2 Cho biết kích thước tối đa phân đoạn

3 Thông báo thay đổi cửa sổ

4 Shack permit

5 X shack

2.2 Các Bước Để Xây Dựng Luật Bảo Mật Trong IPSEC:

Bư

c 1: Xác đ ịnh bộ l ọ c gói tin:

- Bộ lọc gói tin có chức cho phép hay ngăn cấm hay số loại gói tin phép hay khơng phép truyển qua

- Các bước xây dựng lọc sau: > Khởi động IPSEC:

 vào administrative tool  Local security policy

 Right click lên IP security policies  manage ip filter list …

 xuất hộp thoại:

 chọn mục manage ip filter list and filter action  chọn add để tiến hành tạo lọc mới:

- name: cho phép khai báo tên lọc

- Description: cho phép gõ vào mô tả chi tiết lọc - Filters: cho phép khai báo chức lọc - Add: cho phép thêm vào lọc chức

- Edit …: cho phép hiệu chỉnh (thay đổi) chức có sẳn lọc - Remove: cho phép xóa chức lọc

 Chọn add để thêm chức vào lọc

 next  xuất hộp thoại: ip trafic source

Hộp thoại cho phép khai báo địa ip máy nhận gói tin  next  xuất hộp thoại: ip protocol type

Hộp thoại cho phép khai báo địa port ứng dụng gởi ứng dụng nhận gói tin

- From any port/ from this port: mục cho phép khai báo địa port ứng dụng gởi gói tin

- To any port/ to this port: mục cho phép khai báo địa port ứng dụng nhận gói tin

 next  finish: để hoàn tất việc xây dựng chức cho lọc

Bư

c 2: xác đ ịnh c c hành đ ộng c b ộ l ọ c: Chúng ta có loại hành động lọc:

 Permit: cho phép

 Block: ngăn cấm (khóa)

 Negotiate security: mã hóa liệu truyền

 Tại cửa sổ manage ip filter list and filter action  chọn manage filter action

 chọn add để tạo hành động cho lọc:

Description: phần mô tả chi tiết cho hành động

 next  filter action general option: hộp thoại cho phép khai báo hành động tương ứng lọc như: ngăn cản, cho phép, mã hóa liệu:

 next  finish để hoàn tất việc tạo action filter

Bư

c 3: xây d ự ng lu ậ t:

 right click lên ip security policy local computer  chọn create ip security policy

 xuất hộp thoại:

 chọn add để thêm vào luật sách  next  … xuất hộp thoại

- all net connection: co hiệu lực cho tất mạng - local area network: co hiệu lực mạng nội

- remote access: có hiệu lực với máy sử dụng dịch vụ truy nhập từ xa

 next xuất hộp thoại filter action: hộp thoại cho phép chọn hành động tương ứng lọc

 chọn ok để hoàn tất trình cài đặt sách lọc cho luật (rule)

 tới đậy chọn close để hoàn tất việc xây dựng luật, chọn add để thêm sách vào luật

2.3 Lọc Gói IP Dựa Trên Thiết Bị Phần Cứng Chúng ta sử dụng modem Drayteck 2800

Sau nhập user/pass trình duyệt xuất màng hình cấu hình thiết bị sau:

- IM blocking: khóa dịch vụ tin nhắn

- P2P blocking: khóa dịch vụ chia file như: emule, … - Dos defense: ngăn chặn công bằn DDOS

- URL conten filter: ngăn cấm truy nhập số địa web

CHƯƠNG 3: IPSEC (Internet protocol security)

I. Tổng quan

Giao thức IPsec làm việc tầng Network Layer – layer mô hình OSI Các giao thức bảo mật Internet khác SSL, TLS SSH, thực từ tầng transport layer trở lên (Từ tầng tới tầng mơ hình OSI) Điều tạo tính mềm dẻo cho IPsec, giao thức hoạt động từ tầng với TCP, UDP, hầu hết giao thức

sử dụng tầng IPsec có tính cao cấp SSL phương thức khác hoạt động tầng mơ hình OSI Với ứng dụng sử dụng IPsec mã (code) không bị thay đổi, ứng dụng bắt buộc sử dụng SSL giao thức bảo mật tầng mơ hình OSI đoạn mã ứng dụng bị thay đổi lớn II. Cấu trúc bảo mật

IPsec triển khai (1) sử dụng giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin (packet) q trình truyền, (2) phương thức xác thực (3) thiết lập thơng số mã hố

Xây dựng IPsec sử dụng khái niệm bảo mật tảng IP Một kết hợp bảo mật đơn giản kết hợp thuật tốn thơng số (ví khoá – keys) tảng việc mã hoá xác thực chiều Tuy nhiên giao tiếp hai chiều, giao thức bảo mật làm việc với đáp ứng trình giao tiếp Thực tế lựa chọn thuật toán mã hoá xác thực lại phụ thuộc vào người quản trị IPsec IPsec bao gồm nhóm giao thức bảo mật đáp ứng mã hoá xác thực cho gói tin IP

Trong bước thực phải định cần bảo vệ cung cấp cho gói tin outgoing (đi ngồi), IPsec sử dụng thông số Security Parameter Index (SPI), trình Index (đánh thứ tự lưu liệu – Index ví danh bạ điện thoại) bao gồm Security Association Database (SADB), theo suốt chiều dài địa đích header gói tin, với nhận dạng thoả hiệp bảo mật (tạm dịch từ - security association) cho gói tin Một q trình tương tự làm với gói tin vào (incoming packet), nơi IPsec thực trình giải mã kiểm tra khoá từ SADB

III. Hiện trạng

IPsec phần bắt bược IPv6, lựa chọn sử dụng IPv4 Trong chuẩn thiết kết cho phiên IP giống nhau, phổ biến áp dụng triển khai tảng IPv4

Các giao thức IPsec định nghĩa từ RFCs 1825 – 1829, phổ biến năm 1995 Năm 1998, nâng cấp với phiên RFC 2401 – 2412, khơng tương thích với chuẩn 1825 – 1929 Trong tháng 12 năm 2005, hệ thứ chuẩn IPSec, RFC 4301 – 4309 Cũng không khác nhiều so với chuẩn RFC 2401 – 2412 hệ cung cấp chuẩn IKE second Trong hệ IP security viết tắt lại IPsec

Sự khác quy định viết tắt hệ quy chuẩn RFC 1825 – 1829 ESP phiên ESPbis

IV. Thiết kế theo yêu cầu.

IPsec cung cấp Transport mode (end-to-end) đáp ứng bảo mật máy tính giao tiếp trực tiếp với sử dụng Tunnel mode (portal-to-portal) cho giao tiếp hai mạng với chủ yếu sử dụng kết nối VPN

IPsec sử dụng giao tiếp VPN, sử dụng nhiều giao tiếp Tuy nhiên việc triển khai thực có khác hai mode

Giao tiếp end-to-end bảo mật mạng Internet phát triển chậm phải chờ đợi lâu Một phần bở lý tính phổ thơng no khơng cao, hay không thiết thực, Public Key Infrastructure (PKI) sử dụng phương thức

IPsec giới thiệu cung cấp dịch vụ bảo mật: Mã hố q trình truyền thơng tin

2 Đảm bảo tính nguyên vẹn liệu Phải xác thực giao tiếp

4 Chống trình replay phiên bảo mật Modes – Các mode

Có hai mode thực IPsec là: Transport mode tunnel mode Transport mode

các thông tin bị hash (băm) Transport application layers thường bảo mật hàm băm (hash), chúng khơng thể chỉnh sửa (ví dụ port number) Transport mode sử dụng tình giao tiếp host-to-host

Điều có nghĩa đóng gói thơng tin IPsec cho NAT traversal định nghĩa thông tin tài liệu RFC NAT-T

Tunnel mode

Trong tunnel mode, tồn gói IP (bao gồm data header) mã hố xác thực Nó phải đóng gói lại dạng IP packet khác trình routing router Tunnel mode sử dụng giao tiếp network-to-network (hay routers với nhau), host-to-network host-to-host internet

V. Technical details.

Có hai giao thức phát triển cung cấp bảo mật cho gói tin hai phiên IPv4 IPv6:

IP Authentication Header giúp đảm bảo tính tồn vẹn cung cấp xác thực

IP Encapsulating Security Payload cung cấp bảo mật, option bạn lựa chọn tính authentication Integrity đảm bảo tính tồn vẹn liệu

Thuật toán mã hoá sử dụng IPsec bao gồm HMAC-SHA1 cho tính tồn vẹn liệu (integrity protection), thuật toán TripleDES-CBC AES-CBC cho mã mã hố đảm bảo độ an tồn gói tin Tồn thuật tốn thể RFC 4305 a Authentication Header (AH)

AH sử dụng kết nối khơng có tính đảm bảo liệu Hơn lựa chọn nhằm chống lại công replay attack cách sử dụng công nghệ công sliding windows discarding older packets AH bảo vệ trình truyền liệu sử dụng IP Trong IPv4, IP header có bao gồm TOS, Flags, Fragment Offset, TTL, Header Checksum AH thực trực tiếp phần gói tin IP

Ý nghĩa phần:

Next header: Nhận dạng giao thức sử dụng truyền thông tin Payload length: Độ lớn gói tin AH

RESERVED: Sử dụng tương lai (cho tới thời điểm biểu diễn số 0)

Security parameters index (SPI): Nhận thơng số bảo mật, tích hợp với địa IP, nhận dạng thương lượng bảo mật kết hợp với gói tin

Sequence number: Một số tự động tăng lên gói tin, sử dụng nhằm chống lại công dạng replay attacks

Authentication data: Bao gồm thông số Integrity check value (ICV) cần thiết gói tin xác thực

b Encapsulating Security Payload (ESP)

Ý nghĩa phần:

Security parameters index (SPI): Nhận thông số tích hợp với địa IP Sequence number:Tự động tăng có tác dụng chống cơng kiểu replay attacks Payload data: Cho liệu truyền

Padding: Sử dụng vài block mã hoá Pad length: Độ lớn padding

Next header: Nhận giao thức sử dụng q trình truyền thơng tin Authentication data: Bao gồm liệu để xác thực cho gói tin

VI. Implementations - thực hiện

IPsec thực nhân với trình quản lý key trình thương lượng bảo mật ISAKMP/IKE từ người dùng Tuy nhiên chuẩn giao diện cho quản lý key, điều khiển nhân IPsec

Dự án KAME hoàn thành việc triển khai sử dụng IPsec cho NetBSB, FreeBSB Trình quản lý khố gọi racoon OpenBSB tạo ISAKMP/IKE, với tên đơn giản isakmpd (nó triển khai nhiều hệ thống, bao gồm hệ thống Linux)

Trong viết giới thiệu với bạn tổng quan cách thức làm việc

Public Key Infrastructure (PKI)

Nếu bạn sử dụng Active Directory cơng nghệ Windows NT user tạo liền với có cặp Key: Public key Private key Ngồi cịn có nhiều ứng dụng để tạo cặp khoá

Cặp key tạo ngẫu nhiên với nhiều chữ số hiển thị Khi keys tạo từ nhiều chữ số ngẫu nhiên, giải mã private key biết public key Nhưng có số thuật tốn tạo public key từ private key Nhưng có Public key published cho toàn người

Một thơng tin mã hố với public key giải mã private key Nếu có public key bạn khơng thể giải mã gói tin Điều có nghĩa người gửi thơng tin mã hố tới người khác có người nhận mở thơng tin mà thơi Những người khác có bắt tồn thơng tin khơng thể giải mã có Public key

Một thơng tin mã hố với private key giải mã với public key Khi public key public cho toàn người đọc thơng tin có public key

CHƯƠNG : NAT (Network Address Translation)

I. Nat Là Gì ?

NAT hay cịn gọi Network Address Translation kỉ thuật phát minh lúc khởi đầu dùng để giải vấn đề IP shortage Khi có hai máy tính lớp mạng (cùng subnet ), máy tính k ết nối trực tiếp với nhau, điều có nghĩa chúng có

thể gởi nhận liệu trực tiếp với Nếu máy tính khơng lớp mạng khơng có kết nối trực tiếp liệu chuyển tiếp qua lại lớp mạng phải cần router (có thể phần mềm phần cứng) Ðây trường hợp máy tính muốn kết nối tới máy khác internet II. Mơ Hình Mạng Của Dịch Vụ Nat

III. Nguyên Lỳ Hoạt Động Của NAT

NAT làm việc router, cơng việc chuyển tiếp gói tin (packets) lớp mạng khác mạng lớn Bạn nghĩ Internet mạng đơn có vơ số subnet Routers có đủ khả để hiểu lớp mạng

khác xung quanh chuyển tiếp gói tin đến nơi cần đến

Khi máy thực kết nối gởi liệu tới máy tính internet, liệu gởi tới NAT, sau NAT thay địa IP gốc máy gửi gói liệu với địa IP NAT Máy tính từ xa máy tính

internet nhận tín hiệu gởi gói tin trở cho NAT computer chúng nghĩ NAT computer máy gởi gói liệu NAT ghi lại bảng thơng tin máy tính gởi gói tin ngồi cổng dịch vụ gởi gói tin nhận máy tính (client)

NAT thực công việc sau:

- Chuyển đổi địa IP nguồn thành địa IP nó, có nghĩa liệu nhận máy tính từ xa (remote computer) giống nhận từ máy tính có cấu hình NAT

- Gởi liệu tới máy tính từ xa nhớ gói liệu sử dụng cổng dịch vụ - Dữ liệu nhận từ máy tính từ xa chuyển tới cho máy

NAT có hoạt động với giao thức ứng dụng không?

Giao thức sử dụng đa kết nối đa phương tiện nhiều kiểu liệu (như FTP RealAudio) Với FTP, bạn bắt đầu công việc truyền file, bạn thực kết nối tới FTP server FTP client, máy client kết nối vào yêu cầu truyền file thư

mục, với vài FTP client bạn thấy tượng lệnh port, mà dịng lệnh thực thiết lập kết nối liệu để gởi tập tin thư mục lại cho FTP client Cách thực công việc có nghĩa máy client “nói” với server “hãy kết nối với địa IP cổng port để truyền liệu”

Vấn đề máy client cho server biết để kết nối ngược lại địa IP nội bên mạng LAN server khơng tìm địa IP thất bại server cố gắng tìm kiếm kết nối với địa này, lúc phải cần tới

NAT

IV. Triển Khai Dịch Vụ Nat

4.1 Yêu Cầu:

-Máy phải có từ hai giao tiếp network trở lên Có hai card mạng

Có card mạng giao tiếp thông qua modem dialup -Máy phải cài đặt HĐH window server

4.2 Triển khai dịch vụ Nat: Bước 1: khởi động dịch vụ Nat:

- Khởi động chương trình Routing and Remote Access: menu start  all program  administrative tools  routing and remote access

- Khởi động dịch vụ Nat :  right click server-radius (tên máy Nat server) configue and enable routing and remote access

 next  khởi động hộp thoại Nat internet conection: hộp thoại cho phép chọn lựa giao tiếp kết nối với hệ thống mạng internet

Có mục chọn lựa:

 use this public interface to connect to internet:

Chúng ta chọn lựa mục máy có từ card mạng trở lên Tại list box chọn lưa card mạng dùng để kết nối internet  Create a new demand-dial interface to the internet

 sau khởi động dịch vụ nat ta co giao diện chương trình sau:

Bước 2: Cấu hình dịch vụ Nat:  Cấu hình giao tiếp internet:

 right click lên giao tiếp internet  properties  để mở hộp thoại cấu hình kết nối internet

Tab Nat/Basic firewall:

Hộp thoại cho phép thiết lập bảo mật giao tiếp internet

oPublic interface connect to the internet: Mục chọn lựa giao tiếp giao tiếp kết nối với hệ thống mạng bên

- Enable NAT on this interface: mục cho phép bật hay tắt chức

nối internet

- Enable basic firewall on this interface: mục cho phép bật tắt chế độ bảo vệ NAT server giao tiếp

Static Packet Filter:

Mục cho phép thiết lập sách lọc gói tin qua nat server - Inbound filter: cho phép thiết lập lọc gói tin vào interface - Outbound filter: cho phép thiết lập lọc gói tin interface

Tab Address pool:

Cho phép quy định máy có địa IP phép truy nhập internet

- Add: cho phép thêm vào loại dịch vụ

- Edit: cho phép hiệu chỉnh thông tin tưng loại dịch vụ

CHƯƠNG 5: VIRUS VÀ CÁCH PHÒNG CHỐNG I. Virus

Virus tin học nỗi băn khoăn lo lắng người làm công táctin học, nỗi lo sợ người sử dụng máy tính bị nhiễm virus Khi máy tính bị nhiễm virus, họ biết trơng chờ vào phần mềm diệt virus có thị trường, trường hợp phần mềm không phát không tiêu diệt được, họ bị lâm phải tình khó khăn, khơng biết phải làm

Vì lý đó, có cách nhìn nhận chế nguyên tắc hoạt động củavirus tin học cần thiết Trên sở đó, có cách nhìn đắn virus tin học việc phòng chống, kiểm tra, chữa trị cách phân tích, nghiên cứu virus xuất

1.1 Virus ?

Thuật ngữ virus tin học dùng để chương trình máy tính tự chép lên nơi khác (đĩa file) mà người sử dụng khơng hay biết Ngồi ra, đặc điểm chung thường thấy virus tin học tính phá hoại, gây lỗi thi hành, thay đổi vị trí, mã hố huỷ thơng tin đĩa

1.2 Phân Loại:

Thông thường, dựa vào đối tượng lây lan file hay đĩa mà virus chia thành hai nhóm chính:

- B-virus: Virus cơng lên Master Boot hay Boot Sector - F-virus: Virus công lên file khả thi

Mặc dù vậy, cách phân chia khơng xác Ngoại lệ có virus vừa cơng lên Master Boot (Boot Sector) vừa công lên file khả thi

Ðể có cách nhìn tổng quan virus, xem chúng dành quyền điều khiển

a B-virus.

Khi máy tính bắt đầu khởi động (Power on), ghi phân đoạn đặt 0FFFFh, ghi khác đặt Như vậy, quyền điều khiển ban đầu trao cho đoạn mã 0FFFFh: 0h, đoạn mã thực lệnh nhảy JMP FAR đến đoạn chương trình ROM, đoạn chương trình thực trình POST (Power On Self Test - Tự kiểm tra khởi động)

thiết bị gắn thêm để trao quyền điều khiển cho chúng tự khởi tạo lấy lại quyền điều khiển Chú ý rông đoạn chương trình ROM (Read Only Memory) nên khơng thể sửa đổi, chèn thêm đoạn mã khác

Sau trình POST, đoạn chương trình ROM tiến hành đọc Boot Sector đĩa A Master Boot đĩa cứng vào RAM (Random Acess Memory) địa 0:7C00h trao quyền điều khiển cho đoạn mã bơng lệnh JMP FAR 0:7C00h Ðây chỗ mà B-virus lợi dụng để công vào Boot Sector (Master Boot), nghĩa thay Boot Sector (Master Boot) chuẩn bơng đoạn mã virus, quyền điều khiển trao cho

virus, tiến hành hoạt động trước, sau tiến hành thao tác thơng thường: Ðọc Boot Sector (Master Boot) chuẩn mà cất giấu vào

0:7C00h trao quyền điều khiển cho đoạn mã chuẩn này, người sử dụng có cảm giác rơng máy tính hoạt động bình thường

b F-virus.

Khi DOS tổ chức thi hành File khả thi (bông chức 4Bh ngắt 21h), tổ chức lại vùng nhớ, tải File cần thi hành trao quyền điều khiển cho File F-virus lợi dụng điểm bơng cách gắn đoạn mã vào file vị trí mà DOS trao quyền điều khiển cho File sau tải vào vùng nhớ Sau F-virus tiến hành xong hoạt động mình, xếp, bố trí trả lại quyền điều khiển cho File File lại tiến hành hoạt động bình thường, người sử dụng khơng thể biết

Trong loại B-virus F-virus, có số loại sau dành quyền điều khiển, tiến hành cài đặt đoạn mã vùng nhớ RAM chương trình thường trú (TSR), vùng nhớ nơm ngồi tầm kiểm sốt DOS, nhơm mục đích kiểm sốt ngắt quan trọng ngắt 21h, ngắt 13h, Mỗi ngắt

gọi, virus dành quyền điều khiển để tiến hành hoạt động trước trả lại ngắt chuẩn DOS

1.3 Đặc Điểm Của B-Virus:

Qua phần trước, đưa thông tin cấu trúc đĩa, tiến trình khởi động cách thức tổ chức vùng nhớ, tổ chức thi hành file DOS Những thơng tin giúp tìm hiểu đặc điểm virus, từ đưa cách phòng chống, chữa trị trường hợp máy bị nhiễm virus

a Phân l o i B-virus.

được cất giữ Side 0, Cylinder track này, DOS sử dụng

sector cho bảng Partition Trên đĩa mềm, vị trí cất giữ phức tạp chỗ có khả bị ghi đè thông tin Một số hướng sau virus áp dụng:

Sử dụng sector cuối Root Directory, thường sử dụng

Sử dụng sector cuối đĩa, phân bổ vùng trống cho file, DOS tìm vùng trống từ nhỏ đến lớn vùng thường sử dụng

Ghi vào vùng trống đĩa, đánh dấu bảng FAT vùng vùng bị hỏng để DOS không sử dụng cấp phát Ccáh làm an toàn cách làm

Format thêm track ghi vào track vừa Format thêm

Tùy thuộc vào độ lớn đoạn mã virus mà B-virus chia thành hai loại: - SB-virus.

Chương trình SB-virus chiếm sector khởi động, tác vụ SB-virus không nhiều tương đối đơn giản Hiện số virus loại thường gặp có lẽ virus nước "sản xuất"

- DB-virus

Ðây loại virus mà đoạn mã lớn 512 byte (thường thấy) Vì mà chương trình virus chia thành hai phần:

- Phần đầu virus: Ðược cài đặt sector khởi động để chiếm quyền điều hiển quyền điều khiển trao cho sector khởi động Nhiệm vụ phần đầu

là: tải tiếp phần thân virus vào vùng nhớ trao quyền điều khiển cho phần thân Vì nhiệm vụ đơn giản nên phần đầu virus thường ngắn, ngắn tốt ngắn khác biệt sector khởi động chuẩn sector khởi động bị nhiễm virus ít, giảm khả bị nghi ngờ

- Phần thân virus: Là phần chương trình virus Sau phần đầu tải vào vùng nhớ trao quyền, phần thân tiến hành tác vụ mình, sau tiến hành xong đọc sector khởi động chuẩn vào vùng nhớ trao quyền cho để máy tính

b M ộ t số k ỹ th uậ t c bả n c ủ a B-virus.

Dù SB-virus hay DB-virus, để tồn lây lan, chúng có số kỹ thuật sau:

- Kỹ thuật kiểm tra tính

Virus phải tồn nhớ đĩa, song tồn nhiều đĩa nhớ làm chậm trình Boot máy, chiếm nhiều vùng nhớ ảnh hưởng tới việc tải thi hành chương trình khác đồng thời làm giảm tốc độ truy xuất đĩa Chính thế, kỹ thuật yêu cầu nghiêm

ngặt với B-virus

Việc kiểm tra đĩa có hai yếu tố ảnh hưởng: Thứ thời gian kiểm tra:

Nếu tác vụ đọc/ghi đĩa phải kiểm tra đĩa thời gian truy xuất bị tăng gấp đơi, làm giảm tốc độ truy xuất gia tăng nghi ngờ

Ðối với yêu cầu này, virus áp dụng số kỹ thuật sau: Giảm số lần kiểm tra cách kiểm tra trường hợp thay đổi truy xuất từ ổ đĩa sang ổ đĩa khác, kiểm tra trường hợp bảng FAT đĩa đọc vào

Thứ hai kỹ thuật kiểm tra:

Hầu hết virus kiểm tra bơng giá trị từ khố Mỗi virus tạo cho giá trị đặc biệt vị trí xác định đĩa, việc kiểm tra tiến hành cách đọc Boot record kiểm tra giá trị từ khoá Kỹ thuật gặp trở ngại số lượng B-virus ngày đơng đảo, mà vị trí Boot Record có hạn Cách khắc phục

các virus tăng số lượng mã lệnh cần so sánh để làm giảm khả trùng hợp ngẫu nhiên

Ðể kiểm tra tồn nhớ, virus áp dụng kỹ thuật sau: Ðơn giản kiểm tra giá trị Key value vị trí xác định vùng nhớ cao, ngồi kỹ thuật khác áp dụng virus chiếm ngắt Int 21 DOS yêu cầu thực chức đặc biệt khơng có ngắt Nếu cờ báo lỗi bật lên nhớ chưa có virus, ngược lại virus lưu trú vùng nhớ giá trị trả lại (trong ghi AX chẳng hạn) giá trị xác định - Kỹ thuật lưu trú

B-virus áp dụng kỹ thuật sau đây: Sau tải phần lưu trú lên vùng nhớ cao, giảm giá trị vùng nhớ DOS quản lý 03h lượng bơng kích thước virus Tuy nhiên khơng kiểm tra tốt có mặt vùng nhớ, bị Boot mềm liên tục, giá trị tổng số vùng nhớ bị giảm nhiều lần, ảnh hưởng tới việc thực

của chương trình sau Chính thế, virus thiết kế tốt phải kiểm tra tồn nhớ, có mặt nhớ khơng giảm dung lượng vùng nhớ

- Kỹ thuật lây lan

Ðoạn mã thực nhiệm vụ lây lan đoạn mã quan trọng chương trình virus Ðể đảm bảo việc lây lan, virus khống chế ngắt quan trọng việc đọc/ghi vùng hệ

thống: ngắt 13h, nhiên để đảm bảo tốc độ truy xuất đĩa, chức (đọc/ghi) dẫn tới việc lây lan Việc lây lan cách đọc Boot Sector (Master Boot)

lên kiểm tra xem bị lây chưa (kỹ thuật kiểm tra nói trên) Nếu sector khởi động chưa bị nhiễm virus tạo sector khởi động với tham số tương ứng đoạn mã virus ghi trở lại vào vị trí đĩa Còn sector khởi động vừa đọc lên với thân virus (loại DB-virus) ghi vào vùng xác định đĩa Ngoài số virus chiếm ngắt 21 DOS để lây nhiễm phá hoại file mà ngắt 21 làm việc

Việc xây dựng sector khởi động có đoạn mã virus phải đảm bảo kỹ thuật sau đây: - Sector khởi động bị nhiễm phải chứa tham số đĩa phục vụ cho trình truy xuất đĩa, bảng tham số BPB Boot record hay bảng phân chương trường hợp Master boot Việc khơng bảo tồn dẫn đến việc virus quyền điều khiển

khơng thể kiểm sốt đĩa virus khơng có mặt mơi trường

- Sự an toàn sector khởi động nguyên thể đoạn thân virus phải đặt lên hàng đầu Các kỹ thuật vị trí cất giấu phân tích phần - Kỹ thuật ngụy trang gây nhiễu

Kỹ thuật đời muộn sau này, khuynh hướng chống lại phát người sử dụng lập trình viên virus Vì kích thước virus nhỏ bé lập trình viên hồn tồn dị bước xem chế virus hoạt động nào, virus tìm cách lắt léo để chống lại theo dõi lập trình viên

Các virus thường áp dụng số kỹ thuật sau đây:

- Cố tình viết lệnh cách rắc rối đặt Stack vào vùng nhớ nguy hiểm, chiếm

và xoá ngắt, thay đổi cách lắt léo ghi phân đoạn để người dị khơng biết liệu lấy từ đâu, thay đổi giá trị lệnh phía sau để người sử dụng khó theo dõi

- Mã hố chương trình để người sử dụng khơng phát quy luật, không thấy cách rõ ràng hoạt động virus

- Ngụy trang: Cách thứ đoạn mã cài vào sector khởi động ngắn tốt giống sector khởi động tốt Tuy cách thứ hai nhiều virus áp dụng: Khi máy nôm quyền chi phối virus, yêu cầu đọc/ghi Boot sector

đánh lừa người sử dụng chương trình chống virus khơng thiết kế tốt máy chịu chi phối virus

- Kỹ thuật phá hoại

Ðã virus có tính phá hoại Có thể phá hoại mức đùa cho vui, phá hoại mức độ nghiêm trọng, gây mát đình trệ thơng tin đĩa Căn vào thời điểm phá hoại, chia thành hai loại:

- Loại định thời: Loại lưu giữ giá trị, giá trị ngày giờ, số lần lây nhiễm, số máy chạy, Nếu giá trị vượt số cho phép, tiến hành phá hoại Loại thường nguy hiểm chúng phá hoại lần

- Loại liên tục: Sau bị lây nhiễm liên tục, virus tiến hành phá hoại, song tính liên tục này, hoạt động phá hoại khơng mang tính nghiêm trọng, chủ yếu đùa cho vui

1.4 Đặc Điểm Của F-Virus:

So với B-virus số lượng F-virus đơng đảo nhiều, có lẽ tác vụ đĩa với hỗ trợ Int 21 trở nên dễ dàng thoải mái, điều kiện phát triển cho F-virus

Thường F-virus lây lan file khả thi (có COM EXE), nhiên nguyên tắc mà virus phải tuân thủ là: Khi thi hành file khả thi bị lây nhiễm, quyền điều khiển phải nôm tay virus trước virus trả lại cho file bị nhiễm, file nhận lại quyền điều khiển, tất liệu file phải bảo tồn

Ðối với F-virus, có số kỹ thuật nêu đây:

a

K ỹ th uậ t lây lan:

Các F-virus chủ yếu sử dụng hai kỹ thuật: Thêm vào đầu thêm vào cuối - Thêm vào đầu file

Thông thường, phương pháp áp dụng cho file COM, tức đầu vào chương trình ln ln PSP0h Lợi dụng đầu vào cố định, virus chèn đoạn mã chương trình virus vào đầu chương trình đối tượng, đẩy tồn chương trình đối tượng xuống phía Cách có nhược điểm đầu vào cố định chương trình COM PSP0, trước trả lại quyền điều khiển cho chương trình, phải đẩy lại tồn chương trình lên offset 100h Cách lây gây khó khăn cho người khơi phục phải đọc tồn file vào vùng nhớ tiến hành ghi lại

- Thêm vào cuối file

Do thân virus không nôm đầu vào chương trình, để chiếm quyền điều khiển, phải thực kỹ thuật sau đây:

- Ðối với file COM: Thay byte chương trình (đầu vào) lệnh nhảy JMP, chuyển điều khiển đến đoạn mã virus

E9 xx xx JMP Entry virus

- Ðối với file EXE: Chỉ cần định vị lại hệ thống ghi SS, SP, CS, IP Exe Header để trao quyền điều khiển cho phần mã virus

Ngoài hai kỹ thuật lây lan chủ yếu trên, có số virus sử dụng số kỹ thuật đặc biệt khác mã hố phần mã chương trình virus trước ghép chúng vào file để ngụy trang, chí thay số đoạn mã ngắn file đối tượng

đoạn mã virus, gây khó khăn cho q trình khơi phục

Khi tiến hành lây lan file, file đặt thuộc tính Sys (hệ thống), Read Only (chỉ đọc), Hidden (ẩn), phải tiến hành đổi lại thuộc tính để truy nhập, ngồi việc truy nhập thay đổi lại ngày cập nhật file, hầu hết virus lưu lại thuộc tính, ngày cập nhật file để sau lây nhiễm trả lại y nguyên thuộc tính ngày cập nhật ban đầu

Ngoài ra, việc cố gắng ghi lên đĩa mềm có dán nhãn bảo vệ tạo dịng thơng báo lỗi DOS: Retry - Aboart - Ignoreô, khơng xử lý tốt dễ bị người sử dụng phát có mặt virus Lỗi kiểu DOS kiểm sốt bơng ngắt 24h, virus muốn tránh thông báo kiểu DOS tiến hành lây lan phải thay ngắt

24h DOS trước tiến hành lây lan sau hồn trả

b

K ỹ th uậ t đả m bả o tính t n t i n hấ t

Cũng giống B-virus, yêu cầu nghiêm ngặt đặt F-virus tính tồn nhớ file

Trong vùng nhớ, thông thường F-virus sử dụng hai kỹ thuật chính: Thứ tạo thêm chức cho DOS, cách sử dụng chức đặt chức lớn chức cao mà DOS có Ðể kiểm tra cần gọi chức này, giá trị trả lại ghi định tồn virus nhớ hay chưa Cách thứ hai so sánh đoạn mã vùng nhớ ấn định với đoạn mã virus,

c.

K ỹ th uậ t t h ường trú

Ðây kỹ thuật khó khăn, lý DOS cung cấp chức thường trú cho chương trình, nghĩa cho phép chương trình thường trú Vì sử dụng chức DOS, chương trình virus muốn thường trú file đối tượng phải thường trú, mà điều khơng thể kích thước file đối tượng lớn

Chính lý trên, hầu hết chương trình virus muốn thường trú phải thao tác qua mặt DOS chuỗi MCB phương pháp "thủ công" Căn vào việc thường trú thực trước hay sau chương trình đối tượng thi hành, chia kỹ thuật thường trú thành hai nhóm:

- Thường trú trước trả quyền điều khiển

Như nói trên, DOS khơng cung cấp chức cho kiểu thường trú này, chương trình virus phải tự thu xếp Các cách sau virus dùng đến: - Thao tác MCB để tách khối vùng nhớ khỏi quyền điều khiển DOS, dùng vùng để chứa chương trình virus

- Tự định vị vị trí nhớ để tải phần thường trú virus vào, thường virus

chọn vùng nhớ cao, phía phần tạm trú file command.com để tránh bị ghi đè hệ thống tải lại command.com Vì khơng cấp phát bọ nhớ cho phần chương trình virus thường trú, command.com hồn tồn có quyền cấp phát vùng nhớ cho chương trình khác, nghĩa chương trình thương trú virus phải chấp nhận mát may rủi

- Thường trú chức thường trú 31h: Ðây kỹ thuật phức tạp, tiến trình cần thực mơ tả sau:

Khi chương trình virus trao quyền, tạo MCB khai báo phần tử trung gian chuỗi MCB để chứa chương trình virus, sau lại tạo tiếp MCB chương trình bị nhiễm bơng cách dời chương trình xuống vùng Ðể thay đổi PSP mà DOS lưu giữ thành PSP mà chương trình virus tạo cho chương trình đối tượng, phải sử dụng chức 50h ngắt 21h

- Thường trú sau đoạt lại quyền điều khiển

Chương trình virus lấy tên chương trình thi hành mơi trường DOS, thi hành thân Sau thi hành xong, quyền điều khiển lại trả cho virus, tiến hành thường trú cách bình thường chức 31h ngắt 21h

c.

K ỹ th uậ t n gụ y trang gây nhi ễ u

ngắt để thi hành bước một, virus chiếm ngắt mà người lập trình dùng debug để theo dõi virus kết khơng lường trước

d

K ỹ th uậ t phá h o i

Thông thường, F-virus sử dụng cách thức kỹ thuật phá hoại giống B-virus Có thể phá hoại cách định thời, liên tục ngẫu nhiên Ðối tượng phá hoại hình, loa, đĩa,

II. Phòng Chống Virus:

Để phòng chống virus có nhiều cách khác nhau, cách phổ biến ngày sử dụng phần mềm diệt virus

Symantec antivirus phần mềm diệt virus phổ biến

2.1 Cài Đặt Chương Trình Symantec Antivirus Server (Server Intall):

Chạy file cài đặt setup.exe

Màng hình welcome … xuất

Chọn Next  màng hình chọn lưa phương thức cài đặt xuất hiện: client server option  chọn server intall

Chọn Next  hộp thoại select server group xuất  hộp thoại này, khai báo thông tin sau:

- server group: cho phép khai báo nhóm server

Chọn next  hộp thoại ready to … xuất để xác lập lại trình cài đặt

Chọn install để bắt đầu trình cài đặt

2.2 Cài Đặt Chương Trình Symantec System Center:

a Chức năng:Đây chương trình cho phép quản lý symantec antivirus server

symantec antivirus client

Thơng qua chương trình thực chức quản lý như: - Cài đặt antivirus bảo vệ lỗ hổng bảo mật máy

- Cho phép cập nhật symantec antivirus client defination - Cài đặt chương trình bảo vệ máy trạm

b Cài đặt :

Các bước cài đặt giống cài đặt synmantec server Tại hộp thoại select

Chọn next …  install để bắt đầu trình cài đặt

Chọn ok để khởi động lại máy

2.3 Cài Đặt Symantec Antivirus Client :

Các bước cài đặt symantec client giống cài đặt symantec server khác hộp thoại client server option : chọn mục client intall

Chọn next  hộp thoại network setup type  chọn managed  next

Chọn browse để tìm kiếm symantec server mà client cần kết nối đến :

Tài Liệu Tham Khảo

[1] Làm chủ Windows Server 2003 tâp 1,2,3 nhà xuất thống kê, Phạm Hoàng Dũng (chủ biên)

[2]Tài liệu Quản trị Windows Server 2003 trung tâm tin học Đại học Khoa học

Tự nhiên.

[3] Giáo trình Mạng doanh nghiệp Đại học sư phạm kỹ thuật Hưng Yên.