I. Các thành phần cấu trúc của một thư điện tử
1.3.2. Chuyển sang một tài khoản thư điện tử bảo mật hơn
Một số nhà cung cấp dịch vụ thư điện tử cho phép truy cập với đường truyền mã hóa tới hộp thư của người dùng. Yahoo và Hotmail là những vắ dụ cung cấp kết nối mã hóa trong khi đăng nhập vào hộp thư để bảo vệ mật khẩu, nhưng thư của người dùng lại được gửi và nhận mà không được bảo mật. Hơn nữa, Yahoo, Hotmail và một số nhà cung cấp dịch vụ thư điện tử khác gắn thêm thông tin về Địa chỉ IP của máy tắnh người sử dụng đang dùng vào trong thư người dùng gửi đi.
Các tài khoản Gmail, trái lại, có thể được sử dụng hoàn toàn trên một kết nối được mã hóa, ngay khi đăng nhập từ địa chỉ https://mail.google.com (với HTTPS),
thay vì http://mail.google.com. Thực tế là hiện tại người dùng có thể thiết lập để Gmail luôn sử dụng kết nối mã hóa. Hơn nữa, không giống như Yahoo hay Hotmail, Gmail tránh việc để lộ thông tin Địa chỉ IP với người nhận. Tuy nhiên cũng không nên hoàn toàn tin cậy vào Google về sự bảo mật cho các liên lạc thư điện tử bắ mật. Google sao
chép và ghi lại thông tin của người dùng cho nhiều mục đắch khác nhau.
Cho dù dùng công cụ bảo mật thư điện tử nào, cần luôn nhớ rằng mọi thư điện tử đều gồm thông tin người gửi và một hay nhiều người nhận. Ngay cả khi thực hiện truy cập hộp thư một các bảo mật, cân nhắc kỹ những cảnh báo trong trường hợp đối tác có thể hoặc không thực hiện khi gửi, đọc và trả lời các thư điện tử. Nên cố gắng tìm hiều xem nhà cung cấp dịch vụ Internet cho đối tác nằm ở đâu. Thường thì mỗi quốc gia sẽ có mức độ kiểm duyệt khác nhau đối với thư điện tử. Để đảm bảo bảo mật cho truyền thông tin, cả người dùng lẫn đối tác đều cần sử dụng các dịch vụ thư điện tử bảo mật tại những quốc gia an toàn. Và nếu muốn chắc chắn rằng thông tin không bị can thiệp giữa máy chủ phắa người dùng hay phắa đối tác, cả hai bên đều nên cùng sử dụng các tài khoản từ cùng một nhà cung cấp dịch vụ thư điện tử.
Luôn luôn chú ý cảnh giác khi mở các tệp đắnh kèm theo thư không mong đợi, đến từ những người không biết hoặc có chứa những tiêu đề đáng ngờ. Khi mở những tệp như vậy, cần chắc chắn rằng phần mềm diệt virut được cập nhật và hết sức để ý tới những thông báo cảnh báo của trình duyệt hay chương trình quản lý thư điện tử
Khi tạo một tài khoản thư điện tử mà người dùng định dùng nặc danh với mọi người bao gồm cả những người nhận, hay với những diễn đàn công cộng mà người dùng cần gửi bài qua thư điện tử, người sử dụng cần chú ý không đăng ký tên người dùng hay ỔHọ và TênỖ có liên quan tới thông tin cá nhân hay công việc ngoài đời. Trong trường hợp này, cũng nên tránh sử dụng dịch vụ của Yahoo, Hotmail hay các nhà cung cấp khác có đắnh kèm thông tin Địa chỉ IP của người dùng theo tin nhắn người dùng gửi đi.
Tùy thuộc vào thực tế những ai có thể truy cập máy tắnh của người sử dụng, xóa bỏ mọi dấu vết liên quan tới thư điện tử khỏi các tệp tạm thời trên máy cũng quan trọng không kém việc bảo mật thư điện tử của người dùng khi truyền qua mạng Internet vậy.
PHẦN II
MẠNG VÀ BẢO MẬT TRONG WINDOWS
Địa chỉ IP
IP tĩnh và động
Mỗi thiết bị trong một mạng IP được chỉ định bằng một địa chỉ vĩnh viễn (IP tĩnh) bởi nhà quản trị mạng hoặc một địa chỉ tạm thời, có thể thay đổi (IP động) thông qua công cụ DHCP (giao thức cấu hình host động sẽ tự động xác định địa chỉ IP tạm thời) ngay trên Windows Server.
Các router (bộ định tuyến), firewall (tường lửa) và máy chủ proxy dùng địa chỉ IP tĩnh còn máy khách có thể dùng IP tĩnh hoặc động.
Thường thì các nhà cung cấp Internet DSL hay cáp sẽ chỉ định loại IP động cho bạn. Trong các router và hệ điều hành, cấu hình mặc định cho các máy khách cũng là IP động. Loại địa chỉ này hay được dùng cho máy tắnh xách tay kết nối Wi- Fi, PC truy cập bằng Dial-up hay mạng riêng.
Phân phối địa chỉ IP
Trên thế giới có hàng chục triệu máy chủ và hàng trăm nghìn mạng khác nhau. Do đó, để quản lý sao cho địa chỉ IP không trùng nhau, một tổ chức mang tên Network Information Center (NIC) ra đời với nhiệm vụ phân phối Net ID (địa chỉ mạng) cho các quốc gia. Ở mỗi nước lại có một trung tâm quản lý Internet làm công việc phân phối Host ID (địa chỉ máy chủ). Tại Việt Nam, nếu muốn thiết lập một hệ thống máy chủ, khách hàng có thể tới VNNIC để đăng ký IP tĩnh với mức phắ từ 1 đến 285 triệu đồng, tùy theo quy mô sử dụng.
Cấu trúc và phân lớp địa chỉ IP
Các địa chỉ này được viết dưới dạng một tập hợp bộ số (octet) ngăn cách nhau bằng dấu chấm (.). Nếu biết địa chỉ IP của một website, bạn có thể nhập vào trình duyệt để mở mà không cần viết tên miền. Hiện nay có 2 phiên bản là IPv4 và IPv6, trong đó IPv4 là chuẩn đang dùng rộng rãi với độ dài 32 bit. Nhưng trong tương lai, khi quy mô của mạng mở rộng, người ta có thể phải dùng đến IPv6 là chuẩn 128 bit. Xét trong phiên bản IPv4, địa chỉ 32 bit này được chia làm 4 bộ, mỗi bộ 8 bit (viết theo dạng nhị phân gồm các số 0 và 1) được đếm thứ tự từ trái sang phải. Nếu viết theo dạng thập phân (thường dùng để dễ nhận biết), địa chỉ IP có công thức là x x x.x x x.x x x.x x x, trong đó x là số thập phân từ 0 đến 9. Tuy vậy, khi 0 đứng đầu mỗi bộ số, bạn có thể bỏ đi, vắ dụ 123.043.010.002 được viết thành 123.43.10.2.
Cấu trúc trên thể hiện 3 thành phần chắnh là Class bit | Net ID | Host ID
Phần 1 là bit nhận dạng lớp, dùng để xác định địa chỉ đang ở lớp nào.
Địa chỉ IP được phân thành 5 lớp A, B, C, D, E, trong đó lớp D, E chưa dùng tới. Ta xét 3 lớp đầu với hệ đếm nhị phân.
Lớp A:
Như vậy, bit nhận dạng thứ nhất của lớp A bằng 0, 7 bit còn lại dành cho địa chỉ mạng Net ID, phần tiếp theo dành cho địa chỉ máy chủ Host ID. Vùng số của
mạng được gọi là tiền tố mạng (network prefix). Lớp A áp dụng khi địa chỉ network ắt và địa chỉ máy chủ nhiều. Tắnh ra, ta được tối đa 126 mạng và mỗi mạng có thể hỗ trợ tối đa 167.777.214 máy chủ. Vùng địa chỉ lý thuyết tắnh theo hệ đếm thập phân từ 0.0.0.0 đến 127.0.0.0 (thực tế ta không dùng các địa chỉ đều có giá trị bit bằng 0 hay 1).
Lớp B:
Bit nhận dạng của lớp B là 10, 14 bit còn lại dành cho Net ID. Lớp này áp dụng khi địa chỉ mạng và địa chỉ máy chủ ở mức vừa. Tắnh ra, ta được tối đa 16.382 mạng, mỗi mạng phục vụ tối đa 65.534 máy chủ. Vùng địa chỉ lý thuyết từ 128.0.0.0 đến 191.255.0.0.
Lớp C:
Bit nhận dạng của lớp C là 110, 21 bit còn lại dành cho Net ID. Lớp này áp dụng khi địa chỉ mạng nhiều và địa chỉ máy chủ ắt. Tắnh ra, ta được tối đa 2.097.150 mạng, mỗi mạng phục vụ tối đa 254 máy chủ. Vùng địa chỉ lý thuyết từ 192.0.0.0 đến 223.255.255.0.
Địa chỉ IP cho mạng riêng
Trên thực tế, khi phạm vi hoạt động mạng mở rộng, nếu công ty phải đi xin thêm địa chỉ thì sẽ tốn kém. Hơn nữa, có khi một mạng nhỏ chỉ gồm vài chục máy chủ và điều này gây lãng phắ rất nhiều địa chỉ còn lại. Do đó, người ta nghĩ đến mạng riêng (private network) để tận dụng nguồn tài nguyên. Các thiết bị trong một mạng nội bộ sẽ dùng địa chỉ IP riêng mà không kết nối trực tiếp với Internet.
Các mạng riêng này trở nên phổ biến với thiết kế LAN vì nhiều tổ chức thấy rằng họ không cần địa chỉ IP cố định trên toàn cầu cho mỗi máy tắnh, máy in, máy fax... Các router trên Internet thường được định cấu hình để từ chối kết nối dùng địa chỉ IP riêng. Chắnh sự "cách ly" này đã khiến mạng riêng trở thành hình thức bảo mật cơ bản vì người ngoài không kết nối trực tiếp được với máy trong network đó. Cũng vậy, do các mạng riêng này không thể kết nối trực tiếp với nhau nên chúng có thể dùng một vùng địa chỉ IP con giống nhau mà không gây xung đột gì.
Cách phân chia địa chỉ mạng con như sau:
Về bản chất, ta sẽ tận dùng các bộ số không dùng đến của địa chỉ máy chủ để mở rộng quy mô cho mạng. Subnet Mask (giá trị trần của từng mạng con) cho phép bạn chuyển đổi một mạng lớp A, B hay C thành nhiều mạng nhỏ, tùy theo nhu cầu sử dụng. Với mỗi giá trị trần này, bạn có thể tạo ra một tiền tố mạng mở rộng để thêm bit từ số máy chủ vào tiền tố mạng. Việc phân chia này sẽ dễ hiểu hơn khi bạn dùng hệ đếm nhị phân.
- Các bit được đánh số 1 nếu bit tương ứng trong địa chỉ IP là một phần của tiền tố mạng mở rộng.
- Các bit được đánh số 0 nếu bit là một phần của số máy chủ.
Vắ dụ tiền tố mạng lớp B luôn bao gồm 2 bộ số đầu của địa chỉ IP, nhưng tiền tố mạng mở rộng của lớp B lại dùng cả bộ số thứ 3.
Vắ dụ 1: Nếu có địa chỉ IP lớp B là 129.10.0.0 và bạn muốn dùng cả bộ số thứ 3 làm một phần của tiền tố mạng mở rộng thay cho số máy chủ, bạn phải xác định một giá trị trần của mạng con là: 11111111.11111111.11111111.00000000 (255.255.255.0). Như vậy, giá trị trần này chuyển địa chỉ của lớp B sang địa chỉ lớp C, nơi số máy chủ chỉ gồm bộ số thứ 4. Ký hiệu /24 thể hiện bạn đã dùng 24 bit đầu để làm tiền tố mạng mở rộng.
Vắ dụ 2: Nếu bạn chỉ muốn dùng một phần của bộ số thứ 3 cho tiền tố mạng mở rộng, hãy xác định giá trị trần của địa chỉ mạng con là
1111111.11111111.11111000.00000000 (255.255.248.0), trong đó chỉ có 5 bit của bộ số thứ 3 được đưa vào tiền tố mạng mở rộng. Lúc này ta có ký hiệu /21.
Để xác định Subnet Mask dựa trên số máy chủ mình muốn, bạn có thể tham khảo bảng sau:
Chú ý: Địa chỉ đầu tiên và cuối cùng của mạng con được giữ lại, trừ /32 vì đây là địa chỉ máy chủ duy nhất.
Xác định địa chỉ để sử dụng với giá trị trần của mạng con
Địa chỉ cho lớp C
Đối với một mạng có từ 2 đến 254 máy chủ, bộ số thứ 4 sẽ được dùng đến, bắt đầu từ 0. Vắ dụ, mạng con 8 máy chủ (/29) sẽ có vùng địa chỉ như sau:
Chú ý: địa chỉ đầu tiên và cuối cùng của mạng con được giữ lại. Bạn không dùng được 192.168.0.0 hay 192.168.0.7.
Nói tóm lại, các vùng địa chỉ sau được chỉ định cho mạng riêng:
* 10.0.0.0 - 10.255.255.255 (lớp A) * 172.16.0.0 - 172.31.255.255 (lớp) * 192.168.0.0 - 192.168.255.255 (lớp C) Thiết lập và xem địa chỉ IP trên máy tắnh
Khi xây dựng một mạng nội bộ gồm máy chủ và máy khách, bạn sẽ phải vào hệ thống để lập địa chỉ IP. Nhấn chuột phải vào biểu tượng My network places, chọn Properties. Tiếp tục nhấp chuột phải vào biểu tượng Local Area Connection > Properties > chọn Internet Protocol (TCP/IP) > Properties. Một bảng sau hiện ra:
Muốn xem địa chỉ này, bạn vào menu Start > All Programs > Accessories > Command Prompt. Khi màn hình Dos hiện ra, gõ ngay vào vị trắ con trỏ chữ "ipconfig". Cách khác: Start > Run > gõ ipconfig > OK.
Khi một thiết bị nào đó trên network riêng cần liên hệ với các mạng khác, người dùng phải đảm bảo mạng ngoài có dùng địa chỉ IP thực để các router chấp nhận kết nối. Thường thì "cánh cổng" router này chắnh là thiết bị dịch địa chỉ mạng (NAT - network address translation) hoặc công đoạn đó được thực hiện nhờ một máy chủ proxy.
INTERNET OPTION Bao mat
Mặc dù Microsoft vẫn tăng cường khả năng bảo mật cho Internet Explorer (IE), song IE vẫn luôn yếu thế hơn các đối thủ Mozilla Firefox, Opera, Safari và Google Chrome. 10 thiết lập sau giúp người dùng được bảo vệ an toàn hơn khi lướt web bằng IE.
2.1.1. Vô hiệu hóa các tài liệu định dạng XPS
XPS là một chuẩn định dạng hình ảnh mới được Microsoft trong HĐH Windows Vista. Tin tặc có thể lợi dụng lỗ hổng trong những tài liệu/ hình ảnh theo định dạng XPS để phân tắch và tấn công người sử dụng. Do đó, HĐH hỗ trợ càng ắt định dạng tài liệu, máy tắnh càng an toàn hơn. Tuy điều này có thể ảnh hưởng đôi chút đến việc xem XPS nhưng bạn có thể xem tài liệu định dạng này bằng những công cụ khác ngoài IE.
Cách làm:
Mở IE: Tools -> Internet Options -> tab Security -> Internet zone -> Custom
2.1.2. Vô hiệu hóa font download
Đôi khi lướt web, có thể các trang web chứa kắ tự quốc tế yêu cầu bạn cài font chữ mới để xem được nội dung trang đó, dĩ nhiên đây cũng là một Ộhiểm họa tiềm ẩnỢ! Nếu bạn không thường duyệt web ngoài ngôn ngữ chắnh thống của mình, hãy bỏ chức năng này đi.
Cách làm:
Tools -> Internet Options -> tab Security -> Internet zone -> Custom Level -> Font download: Disable.
2.1.3. Vô hiệu hóa đường dẫn thư mục gốc khi upload file
Khi ta upload 1 file lên web server (vắ dụ upload ảnh vào blogẦ), trình duyệt sẽ có lựa chọn việc gửi tên file hoặc đường dẫn gốc của file, ngay cả website đó chỉ cần tên file là đủ. Đường dẫn thư mục file upload sẽ cung cấp các thông tin nhận dạng trên máy tắnh của bạn, vắ dụ ỘC:\Users\nguyenkhoa\ Pictures\blog.gifỢ sẽ Ộđể lộỢ tài khoản đăng nhập máy tắnh của bạn là ỘnguyenkhoaỢẦ
Cách làm:
Tools -> Internet Options -> tab Security -> Internet zone -> Custom Level
-> Include local file directory path when uploading files to a server: Disable.
2.1.4. Vô hiệu hóa thông báo xác nhận nếu bạn thiên về lựa chọn ỘYesỢ
Chế độ mặc định bảo mật ở tab Security là ỘPromptỢ - sẽ hiện ra thông báo xác nhận mỗi khi bạn thực hiện tác vụ nào đó. Nếu bạn thiên về lựa chọn ỘYesỢ, tức là đồng ý với hầu hết tác vụ này, bạn có thể xóa thông báo đơn giản bằng cách thay mặc định ỘPromptỢ thành ỘDisableỢ.
Cách làm:
Tools -> Internet Options -> tab Security -> Internet zone -> Custom Level.
2.1. 5. Luôn cảnh báo về tài khoản đăng nhập/mật khẩu
Đối với người sử dụng máy tắnh tại nhà cũng như công sở, chức năng đăng nhập tự động (auto-logon) khá hữu ắch và giúp tiết kiệm thời gian, song nếu ai đó sử dụng máy tắnh của bạn vô tình hay cố ý đi chăng nữa, thông tin đăng nhập của bạn có thể bị rò rỉẦ
Cách làm:
Tools -> Internet Options -> tab Security -> Internet zone -> Custom Level -> User Authentication -> Logon: Prompt for username and password.
2.1.6. Vô hiệu hóa hỗ trợ SSL 2.0
SSL2 (Secure Socket Layer - một giao thức truyền tải thông tin an toàn trên Internet) từ lâu đã bị cho là không đảm bảo an toàn, không phù hợp với công việc liên quan đến tài chắnhẦ Các website trên thế giới nếu chỉ hỗ trợ SSL2 (mà không phải SSL3, TLS) thì đa số chúng hoặc sẽ có chiều hướng bị khai thác, hoặc Ộlạc hậuỢ đến mức có thể trở thành Ộhiểm họaỢ đối với người lướt web khi truy cập vào.
Cách làm:
Tools -> Internet Options -> tab Advanced -> Use SSL 2.0: bỏ dấu check.
2.1.7. Kắch hoạt tắnh năng hỗ trợ TLS
TLS (Transport Layer Security) là bước cải tiến và cao cấp hơn so với giao thức SSL kể trên, thậm chắ nó còn tăng cường tắnh bảo mật hơn cả SSL3.
Cách làm:
Tools -> Internet Options -> tab Advanced -> Use TLS 1.0: đánh dấu check.
2.1.8. Vô hiệu hóa tắnh năng tìm kiếm từ thanh địa chỉ