Messages posted by: manthang

Như trong bài này,

/hvaonline/posts/list/39329.html (Ba mục tiêu chính của bảo mật (tam giác C.I.A))

đã đề cập đến ba mục tiêu chính cần đạt được trong công tác bảo mật cho một hệ thống thông tin và ba mục tiêu này tạo thành bộ ba (hay tam giác) bảo mật C.I.A. Còn ở bài này sẽ giới thiệu một tam giác bảo mật (security triangle) khác mà trong đó 3 thành tố của nó có mối liên hệ và ảnh hưởng tới nhau.

gpj.elgnairt-ufs/60/1102/moc.sserpdrow.selif.gnahtnam//:ptth

Hình trên cho biết 3 đặc tính cơ bản của một hệ thống thông tin và đó cũng là 3 yếu tố (tương ứng với 3 góc) của tam giác bảo mật S.F.U (hoặc S.F.E) mà sẽ được đề cập trong bài này đó là:

+ Functionality: chức năng (mặt định lượng)
+ Security: tính bảo mật
+ Usability (hoặc Ease of Use): tính tiện dụng

Ở bên trong tam giác S.F.U này có một quả bóng nhỏ. Khi quả bóng này có thiên hướng di chuyển về một góc nào đó của tam giác thì có nghĩa rằng yếu tố tương ứng với góc đó được chú trọng, tăng cường và đồng thời 2 yếu tố còn lại sẽ bị coi nhẹ, suy giảm. Cụ thể:

- Nếu nâng cao độ bảo mật cho hệ thống (quả bóng di chuyển về góc Security) cũng đồng nghĩa với việc người dùng phải chịu nhiều rằng buộc, trải qua nhiều bước kiểm tra an ninh khi muốn tiếp cận và sử dụng hệ thống (tức, tính Usability bị giảm đi) và số lượng các chức năng của hệ thống sẽ được giữ ở mức tối thiểu nhất có thể vì rõ ràng, càng nhiều chức năng thì hệ thống đó tiềm ẩn thêm những lỗ hổng có thể bị khai thác (tức, tính Functionality bị giảm đi).

- Nếu bổ sung thêm nhiều chức năng cho hệ thống (quả bóng di chuyển về góc Functionality) cũng đồng nghĩa việc hệ thống đó có thể chứa đựng nhiều lỗ hổng không lường trước được, các mối đe dọa và rủi ro tăng lên (tức, tính Security giảm đi) và rõ ràng, càng nhiều chức năng thì độ phức tạp khi sử dụng hệ thống tăng lên (tức, tính Usability giảm đi).

- Cuối cùng, nếu muốn việc sử dụng hệ thống trở nên đơn giản, thuận tiện hơn (quả bóng di chuyển về góc Usability) thì buộc lòng ta phải giảm tinh giản, làm gọn các chức năng trong hệ thống (tức, tính Functionality giảm đi) và nới lỏng các biện pháp an ninh (tức, tính Security giảm đi).

Ví dụ sau sẽ minh hoạ thêm cho sự tác động qua lại giữa 3 yếu tố trong tam giác S.F.U:

Bạn có một hệ thống E-commerce nhằm quảng bá cho các sản phẩm, dịch vụ của bạn và đồng thời cho phép khách hàng đặt hàng, thanh toán trực tuyến. Rõ ràng, khi giao dịch qua mạng Internet thế này thì yếu tố bảo mật phải được đặt lên hàng đầu nhằm tránh rủi ro, thiệt hại cho khách hàng và chính bạn khi xảy ra các sự cố an ninh như hệ thống bị tấn công khiến dữ liệu khách hàng, bí mật kinh doanh bị đánh cắp, thông tin giao dịch bị lộ, hay toàn bộ hệ thống bị tê liệt…

Trước nguy cơ đó, để phòng chống với các mối đe dọa thì tất nhiên bạn sẽ đầu tư xây dựng và triển khai một loạt các cơ chế bảo vệ như:

- Xác thực đa yếu tố (multi-factor) với smart card, mã PIN kết hợp với mật khẩu mạnh.

- Mã hóa cho các phiên giao dịch với SSL Certificate.

- Kiểm soát truy cập, giám sát, cảnh báo, phản ứng sử dụng firewall,VPN, proxy, IDS/IPS, Anti-Virus,…

- Các chính sách bảo mật nghiêm ngặt.
v.v...

Nhiêu đó thôi cũng đủ làm cho hệ thống tuy có an toàn hơn nhưng lại trở nên phức tạp hơn và gây bất tiện cho những người dùng với kiến thức bảo mật ít ỏi nhưng luôn mong mỏi được thoải mái, dễ dàng trong việc sử dụng dịch vụ, chức năng của hệ thống, đôi khi còn làm cho bản thân những người quản trị bảo mật cho hệ thống đó khó khăn trong việc điều hành, duy trì.

Ngoài tình huống trên, bạn có thể tự tìm hiểu thêm nhiều ví dụ khác minh họa cho ý nghĩa của tam giác bảo mật S.F.U.

Suy cho cùng, một giải pháp bảo mật tối ưu thì cần cân đối hài hòa giữa cả 3 yếu tố Security, Functionality và Usability. Khi đó, quả bóng kia sẽ ở chính giữa của tam giác S.F.U.

–manthang.

Như chúng ta đều biết, đối với nhiều tổ chức, doanh nghiệp, cá nhân thì thông tin/dữ liệu đóng một vai trò hết sức quan trọng trong đời sống và có khi ảnh hướng tới sự tồn vong của họ. Vì vậy, việc bảo mật những thông tin và dữ liệu đó là điều vô cùng cần thiết, nhất là trong bối cảnh hiện nay các hệ thống thông tin ngày càng được mở rộng và trở nên phức tạp dẫn đến tiềm ẩn nhiều nguy cơ không lường trước được.

Mặt khác, tính chất, mức độ, và phạm vi của các cuộc tấn công vào hệ thống máy tính và mạng ngày càng gia tăng bởi chưa bao giờ việc tiếp cận với các kỹ thuật và sử dụng các công cụ “hacking” lại trở nên dễ dàng và đơn giản hơn thế. Và cuối cùng, xuất phát từ động cơ kiếm lợi hoặc chính trị mà các tổ chức tài chính và cơ quan chính phủ đang đang trở thành mục tiêu chính của các “hacker”.

Nhưng các bạn khoan vội nghĩ ngay tới các công nghệ hay cách thức để bảo mật cho hệ thống thông tin. Trước hết, bạn phải hiểu được những mục tiêu nào cần đạt được khi làm công tác bảo mật và đó là 3 mục tiêu sau:

Confidentiality

- Đảm bảo tính bí mật của thông tin, tức là thông tin chỉ được phép truy cập (đọc) bởi những đối tượng (người, chương trình máy tính…) được cấp phép.

- Tính bí mật của thông tin có thể đạt được bằng cách giới hạn truy cập về cả mặt vật lý (ví dụ, tiếp cận trực tiếp tới thiết bị lưu trữ thông tin đó…) và logic (ví dụ, truy cập thông tin đó từ xa qua môi trường mạng…) hoặc mã hóa thông tin trước khi truyền nó đi qua mạng. Sau đây là một số cách thức như vậy:

+ Yêu cầu đối tượng cung cấp credential (ví dụ, cặp username/password) để xác thực.
+ Sử dụng firewall hoặc ACL trên router để ngăn chặn truy cập trái phép.
+ Mã hóa thông tin sử dụng các thuật toán mạnh (như AES, DES…).

Integrity

- Đảm bảo tính toàn vẹn của thông tin, tức là thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưu trữ hay truyền đi (về điểm này, nhiều người thường hay nghĩ tính “integrity” đơn giản chỉ là đảm bảo thông tin không bị thay đổi (modify) là chưa chưa còn chuẩn xác).

- Ngoài ra, một giải pháp “data integrity” có thể bao gồm thêm việc xác thực nguồn gốc của thông tin này (thuộc sở hữu của đối tượng nào) để đảm bảo thông tin đến từ một nguồn đáng tin cậy và ta gọi đó là tính “authenticity” của thông tin.

- Sau đây là một số trường hợp tính “integrity” của thông tin bị phá vỡ:

+ Thay đổi giao diện trang chủ của một website (hay còn gọi là deface website).
+ Chặn đứng và thay đổi gói tin được gửi qua mạng.
+ Chỉnh sửa trái phép các file được lưu trữ trên máy tính.
+ Do có sự cố trên đường truyền mà tín hiệu bị nhiễu hoặc suy hao dẫn đến thông tin bị sai lệch.

Availability

- Đảm bảo độ sẵn sàng của thông tin, tức là thông tin có thể được truy xuất bởi những người được phép vào bất cứ khi nào họ muốn. Ví dụ, nếu một server chỉ bị ngưng hoạt động hay ngừng cung cấp dịch vụ trong vòng 5 phút trên một năm thì độ sẵn sàng của nó là 99,999%.

- Ví dụ sau cho thấy hacker có thể cản trở tính sẵn sàng của hệ thống như thế nào: Máy của hacker sẽ gửi hàng loạt các gói tin có các MAC nguồn giả tạo đến switch làm bộ nhớ lưu trữ MAC address table của switch nhanh chóng bị đầy khiến switch không thể hoạt động bình thường được nữa. Đây cũng thuộc hình thức tấn công từ chối dịch vụ (DoS).

- Để tăng khả năng chống trọi với các cuộc tấn công cũng như duy trì độ sẵn sàng của hệ thống ta có thể áp dụng một số kỹ thuật như: Load Balancing, Clustering, Redudancy, Failover…

Như vậy, vấn đề bảo mật thông tin không chỉ gói gọn trong việc phòng chống lại các cuộc tấn công từ hacker hay ngăn chặn malware mà bạn còn cần quan tâm tới độ sẵn sàng, tính dễ sử dụng và khả năng mở rộng của hệ thống thông tin nữa… Hiểu rõ 3 mục tiêu của bảo mật ở trên là bước căn bản đầu tiên trong quá trình xây dựng một hệ thống thông tin an toàn nhất có thể. Ba mục tiêu này còn được gọi là tam giác bảo mật C.I.A.

–manthang.

Hôm rồi mình có nhận được email của một người bạn hỏi rằng: "Một developer nếu muốn tham gia vào quá trình phát triển Linux kernel thì nên bắt đầu từ đầu? Tôi có hẳn source code của Linux kernel, trong đó có hàng nghìn file thì tôi nên tìm hiểu chúng như thế nào?"

Người bạn của mình chưa có kiến thức về Linux và thế giới open source nên mình có tra khảo thông tin trên mạng và hình thành nên một số gợi ý cho câu hỏi trên của bạn đó. Mọi người xem qua rồi giúp mình bổ sung, sửa chữa sai sót nếu có nhé.

------

Nếu có ý định tham gia vào cộng đồng các nhà phát triển (developer) hay người đóng góp (contributor) cho dự án xây dựng, duy trì và phát triển mã nguồn của Linux Kernel thì bạn khoan vội mày mò tìm hiểu nội dung trong gói source code của Linux Kernel nếu chưa thực sự có kiến thức và sự hiểu biết về các vấn đề sau:

1. Triết lý của phần mềm tự do và những quy định trong giấy phép GPL mà Linux Kernel tuân theo

-> điều này giúp bạn biết cách sử dụng và phân phối Linux sao cho đúng luật chơi smilie

. Xem thêm:

http://www.gnu.org/philosophy/
http://www.gnu.org/licenses/gpl.html

2. Quy trình phát triển Linux kernel:

gồm các bước nào, thủ tục nào cần phải tuân thủ; cách thức làm việc, cộng tác với các developer khác trong "Linux kernel development community"...

-> thông qua đây bạn cũng biết được quy trình phát triển phần mềm nguồn mở nói chung. Xem thêm:

http://ldn.linuxfoundation.org/how-participate-linux-community
http://www.kernel.org/doc/Documentation/HOWTO

Hai documentation trên chỉ mang tính định hướng cho bạn khi tham gia vào quá trình phát triển Linux kernel chứ không chứa chi tiết các vấn đề kỹ thuật liên quan đến cách thức lập trình Linux kernel ra làm sao.

Trong gói source code của Linux kernel có một số file tham khảo quan trọng mà bạn cần đọc, tham khảo phần Documentation ở link sau để biết những file nào cần đọc

http://www.kernel.org/doc/Documentation/HOWTO

3. Nắm vững ngôn ngữ lập trình chủ đạo mà tạo nên gần hết mã nguồn Linux kernel là: C, thành thạo C ở mức sâu là cực kỳ cần thiết. Một số phần của mã nguồn Linux cũng được viết bằng Assembly nhưng chỉ cần thiết học nó nếu bạn muốn phát triển Linux ở mức thấp dành cho một kiến trúc (architecture) cụ thể nào đó như x86, x64,... Tham khảo một số sách tốt về C sau:

- "The C Programming Language" by Kernighan and Ritchie [Prentice Hall]
- "Practical C Programming" by Steve Oualline [O'Reilly]
- "C: A Reference Manual" by Harbison and Steele [Prentice Hall]

4. Một số nguồn tài nguyên trợ giúp bạn trong quá trình học tập, nghiên cứu và phát triển Linux kernel

* Sách:
Linux Device Drivers, 3rd Edition (Jonathan Corbet, Alessandro Rubini, and Greg Kroah-Hartman). Online at http://lwn.net/Kernel/LDD3/.
Linux Kernel Development, 3rd Edition (Robert Love).
Understanding the Linux Kernel, 3rd Edition (Danial Bovet and Marco Cesati).

* Website:
http://kernelnewbies.org/
http://lwn.net/
http://kernel.org/

----

Kết luận:

Tất cả những điều trên đôi khi rất khó để thực hiện đúng và đủ. Có thể phải mất nhiều năm để luyện tập, thích ứng và hoàn thiện công việc phát triển Linux. Nó là một quá trình liên tục và cải tiến không ngừng nên đòi hỏi cần có sự đam mê, quyết tâm và sự bền bỉ, kiên trì. Nhưng đừng vội nản chí và từ bỏ - "nothing is impossible". Như bạn thấy đấy, đã có rất nhiều người tham gia dự án này và trở thành core Linux developer và ai cũng vậy thôi, tất cả đều bắt đầu từ những thứ căn bản nhất mà mình đã đề cập ở trên.

Chúc bạn thành công!

vanthanh1501 wrote:

Vậy cho em hỏi có thể dùng cách ngược lại là mình cũng lợi dụng các máy tính khác host để giải toả và luôn luôn như thế để dễ dàng thoát khỏi tình trạng tê liệt khi bị ddos không ? Nghĩa là bình thường mình để nguyên cho các máy đó làm việc bình thường nhung chỉ khi có chuyện mới dùng nó giải vây tạm thời , em nghĩ khoảng 10 - 20 phút là các anh có thể xử lí được. Tiếp đó sẽ thả các máy đó ra...

ý của bạn là xây dựng một hệ thống gồm nhiều máy tính để chúng chia nhau đón nhận và xử lý một lượng lớn dữ liệu đổ dồn vào hệ thống cùng lúc? Nếu thế thì giải pháp bạn nghĩ ra ở trên không có gì mới cả, trong forum đã có vài topic thảo luận về các giải pháp phòng chống DoS/DDoS có đề cập tới vấn đề đó rồi, bạn tìm kiếm thử.

Thêm một số địa chỉ blog hữu ích nữa cho mọi người:

http://chuvakin.blogspot.com/

--> This blog focuses on SIEM, log management, PCI DSS compliance and other information security issues.

http://taosecurity.blogspot.com/

--> Richard Bejtlich's blog on digital security and the practices of network security monitoring, incident response, and forensics.

http://nixmicrosoft.blogspot.com/
--> Unix/Linux, Networking, Security

http://jeremiahgrossman.blogspot.com/
--> Jeremiah Grossman, founder and chief technology officer of WhiteHat Security...

http://dankaminsky.com/
--> Dan Kaminsky is best known for his work finding a critical flaw in the Internet’s Domain Name System (DNS)

http://blog.andlabs.org/
--> Attack and Defense Labs will be a repository of the independent security research. It would also serve as a platform to broadcast and discuss random thoughts and ideas on Security.

GhoZt wrote:

Nói chung về mặt kỹ thuật mình đã hiểu ! tuy nhiên về tính thực tế thì mình thấy nó vẫn không hữu dụng lắm !

manthang wrote:

GhoZt wrote:

Vậy thì ta có cần một cái DMZ hay ko cần khi sự hoạt động của nó phụ thuọc vào firewall ?!

Nếu không tạo ra vùng DMZ thì tức là bạn sẽ đặt các public server vào internal -> điều này sẽ còn gây nguy hiểm cho các máy trong internal nếu xảy ra trường hợp các public server bị tấn công.

Dĩ nhiên là tạo rule trên firewall rồi.

Nếu là bạn, bạn đã vượt firewall, bạn sẽ tấn công vào chổ nào tiếp theo ?? DMZ hay Internal Network ??
Mà bạn thử so sánh tốn kém về mặt kinh tế giữa việc xây dựng DMZ với nâng cấp Firewall, cái nào hiệu suất bảo vệ cao hơn ?

- Tuỳ mục đích và dữ liệu cần thâu tóm khi đó mà mình sẽ chọn mục tiêu tiếp theo.

- Bình thường (không có DMZ) ta vẫn cần một con firewall có 2 NIC. Nếu chọn single firewall thì chỉ cần thêm 1 NIC nữa cho nó để tạo thành "three legged firewall" và cần thiết thì thêm một switch nữa cho các public server (nếu chỉ có một public server thì khỏi cần switch, nối thắng public server duy nhất này vào 1 trong 3 NIC dành cho DMZ trên "three legged firewall" smilie

.

- "Mà bạn thử so sánh tốn kém về mặt kinh tế giữa việc xây dựng DMZ với nâng cấp Firewall" -> nâng cấp firewall ở đây cụ thể là làm gì với con firewall đó?

GhoZt wrote:

Nếu như sơ đồ trên thì firewall sẽ thành trung tâm hứng chịu mọi tấn công ! một khi firewall còn sống thì rule còn=> DMZ còn sống ?!

Như mình đã nói trong bài viết, trong kiến trúc single firewall thì con "three legged firewall" sẽ là điểm chịu lỗi duy nhất, tức là khi nó bị "chết" thì mạng internal và vùng DMZ không còn được bảo vệ nữa.

GhoZt wrote:

Vậy thì ta có cần một cái DMZ hay ko cần khi sự hoạt động của nó phụ thuọc vào firewall ?!

Nếu không tạo ra vùng DMZ thì tức là bạn sẽ đặt các public server vào internal -> điều này sẽ còn gây nguy hiểm cho các máy trong internal nếu xảy ra trường hợp các public server bị tấn công.

GhoZt wrote:

Mà rốt cuộc cái rule nằm ở đâu ? trên firewall hay trên DMZ ??

Không những con firewall cần được bảo mật thông qua việc thiết lập các rule hợp lý, update + patch + fix đầy đủ và thường xuyên cho software (ISA, iptables...) và OS mà bạn còn cần phải bảo mật cho cả các public server trong DMZ nữa.

GhoZt wrote:

Vậy ta chỉ cần nâng cao bảo mật cho firewall là đc ! Mà rốt cuộc cái rule nằm ở đâu ? trên firewall hay trên DMZ ??

Dĩ nhiên là tạo rule trên firewall rồi.

GhoZt wrote:

Bạn có thể lí giải tại sao ở phần "single firewall " thì lại sử dụng sơ đồ kiểu chân vạc như vậy mà ko phải là Internal Network => Dmz => external network ko? Vì như lí thuyết đưa ra thì DMZ là cái vùng phân cách của Internal và External , nếu nằm ở thế chân vạc thế thì làm sao đc !
Mong bạn chỉ giúp !!

Bình thường nếu không có vùng DMZ thì có thể tất cả các máy như public server (Web, Mail...), private server (DHCP, File/Print...) và workstation đều nằm cùng một mạng và nằm đằng sau một firewall -> con firewall này được coi như là một lớp bảo vệ ngăn cách giữa external và internal.

Còn nếu ta tạo ra vùng DMZ theo kiến trúc single firewall thì sự phân cách giữa external và internal ở đây có nghĩa là hacker từ external chỉ có thể truy cập vào vùng DMZ mà không thể truy cập vào internal được (ta sẽ có rule để hiện thực điều này).

đó vẫn là cách hiểu và giải thích của cá nhân mình, mong đợi thêm ý kiến từ mọi người.

Giới thiệu

Về mặt địa lý và con người, thì DMZ (Demilitarized Zone - vùng phi quân sự) là một khu vực mà tại đó sự hiện diện của các lực lượng quân đội (gồm binh lính, vũ khí, đạn dược…) cũng như các hoạt động quân sự (như do thám, tập trận, đánh nhau…) đều không được cho phép.

Vì vậy, DMZ được coi như là một vùng ranh giới chia tách hai bên mà là thù địch của nhau và vùng DMZ thường được tạo nên sau những hiệp ước hòa bình, những thỏa thuận đình chiến. Trong thế giới thực, dải đất cắt ngang bán đảo Triều Tiên và phân tách bán đảo này ra thành hai nước là Hàn Quốc và Triều Tiên chính là một ví dụ về DMZ. Còn trong lịch sử chiến tranh Việt Nam thì sông Bến Hải chia tách hai miền nam Bắc cũng là một ví dụ khác về DMZ.

Cũng giống như nhiều thuật ngữ tin học khác được vay mượn từ thế giới thực, DMZ cũng là một thuật ngữ được dùng trong lĩnh vực bảo mật mạng máy tính. Vậy thì ý nghĩa và mục đích của từ DMZ trong tin học có giống với từ DMZ trong quân sự hay không?

Trước khi đi vào giải thích DMZ là gì cũng như tác dụng của nó thì tôi xin đưa ra một tình huống như thế này.

Hệ thống mạng nội bộ (internal network) của một tổ chức thường bao gồm các server cung cấp các dịch vụ cơ bản như: Directory Service (Active Directory, OpenLDAP…), DNS, DHCP, File/Print Sharing, Web, Mail, FTP. Trong đó thì các server Web, Mail, FTP thường phải cung cấp các dịch vụ của chúng cho cả những người dùng nằm bên trong lẫn bên ngoài mạng nội bộ của tổ chức.

Nếu trường hợp bạn đặt tất cả các server này nằm trong cùng một lớp mạng với các máy trạm của người dùng trong tổ chức thì sẽ như thế nào nếu hacker từ mạng bên ngoài (external network – ví dụ như Internet) kiểm soát được (các) “public server” như Web, Mail, FTP?

Rất có thể hacker sẽ dựa vào các server đã bị chiếm đoạt này để đánh vào các server khác (như DNS, DHCP, Directory Service…) cũng như thâm nhập sâu hơn vào các máy trạm bên trong. Thế nên ở đây, ta cần có một giải pháp nào đó để hạn chế khả năng mạng internal bị tổn thương khi các public server trên bị tấn công. Và DMZ là một câu trả lời cho vấn đề này.

DMZ là một mạng tách biệt với mạng internal vì DMZ sử dụng đường mạng (hoặc có subnet) khác với mạng internal. Và các server như Web, Mail, FTP, VoIP… là các dịch vụ tổ chức mong muốn người dùng có thể truy cập và sử dụng thông qua các mạng ngoài như Internet được đặt trong vùng DMZ. Còn các server phục vụ cho các mục đích nội bộ như DNS, DHCP, File/Print… vẫn được đặt trong vùng internal.

Giữa DMZ và mạng external ta có thể đặt một firewall để cho phép các kết nối từ external chỉ đến được DMZ mà thôi. Còn giữa mạng internal và DMZ ta có thể đặt thêm một firewall khác để kiểm soát các lưu lượng từ DMZ đi vào internal.

Như vậy, cũng giống với vùng DMZ trong quân sự, DMZ ở đây đã tạo ra sự phân tách giữa hai bên đối nghịch nhau: mạng internal và mạng external. Và có thể nói rằng DMZ đã bổ sung thêm một lớp bảo vệ cách ly cho mạng internal khi mà hacker từ mạng ngoài chỉ có thể tiếp cận tới các máy nằm trong DMZ mà thôi.

Nếu bạn nghĩ mạng external như là “untrusted network” và mạng internal như là “trusted network” thì có thể coi DMZ như là mạng “nửa tin cậy, nửa không tin cậy” (semi-trusted). Nó không được an toàn như LAN nhưng do nó nằm sau một firewall nên nó an toàn hơn Internet. Hoặc bạn cũng có thể nghĩ về DMZ như là một "liaison network" (mạng có quan hệ bất chính :-p) vì nó có thể liên lạc với cả hai mạng Internet và LAN trong khi nằm giữa hai mạng này như được thể hiện trong hình trên.

Nhưng không giống như sự yên ả, không có giao tranh mà ta có thể tìm thấy ở vùng DMZ ngoài đời thực, mạng DMZ ở đây thực sự ẩn chứa rất nhiều rủi ro do các mối đe dọa từ phía ngoài mang lại. Điển hình như việc hacker có thể sử dụng hình thức tấn công từ chối dịch vụ (DoS/DDoS) nhắm vào các server trong DMZ để làm gián đoạn hoặc dập tắt khả năng đáp ứng yêu cầu dịch vụ của các server này cho những người dùng hợp pháp thông thường.

Và cũng không giống như sự vô chủ, trung lập của các vùng DMZ ở đời thực, khi tạo ra một DMZ cho tổ chức thì thực sự nó là một phần của cả hệ thống mạng nội bộ mà bạn phải kiểm soát chúng thật tốt. "Screened subnet" hoặc "Perimeter network” là những tên gọi khác của DMZ.

Kiến trúc xây dựng DMZ

DMZ được tạo nên bởi hai thành phần cơ bản là: các địa chỉ IP và các firewall. Có hai đặc điểm nhận dạng quan trọng của DMZ mà bạn cần nhớ là:

1. Nó có một network ID khác so với mạng internal.
2. Nó bị phân tách khỏi mạng Internet và cả mạng internal bởi (các) firewall.

Dưới đây tôi sẽ nói rõ hơn về hai đặc điểm này của DMZ

Địa chỉ IP dùng trong DMZ

Tùy vào kiến trúc của DMZ và cấu hình trên firewall mà một DMZ có thể sử dụng public IP hoặc private IP cho các server trong DMZ.

Nếu bạn sử dụng public IP cho DMZ, thường bạn sẽ cần chia mạng con (subnetting) khối địa chỉ IP mà ISP cấp cho bạn để bạn có được hai network ID tách biệt. Một trong hai network ID này sẽ được dùng cho external interface (card mạng nối trực tiếp tới ISP) của firewall và network ID còn lại được dùng cho mạng DMZ. Lưu ý khi chia subnet khối public IP này, bạn phải cấu hình cho router của bạn để các gói tin từ ngoài Internet đi vào sẽ tới được DMZ.

Bạn cũng có thể tạo một DMZ có network ID giống với mạng internal nhưng vẫn đảm bảo có sự cách ly giữa DMZ và mạng internal bằng cách sử dụng VLAN Tagging (IEEE 802.1q). Lúc này các server trong DMZ và các máy trạm trong mạng internal đều được cắm chung vào một switch (hoặc khác switch nhưng các switch này được nối với nhau) nhưng được gán vào các VLAN khác nhau.

Còn nếu bạn sử dụng private IP cho DMZ, bạn sẽ cần đến NAT (một số firewall hỗ trợ sẵn tính năng này) để chuyển các private IP này sang một public IP (mà được gán cho external interface của firewall nằm giữa Internet và DMZ). Vì một số ứng dụng không làm việc tốt với NAT (ví dụ, Java RMI) nên bạn cân nhắc việc chọn cấu hình NAT hay định tuyến giữa Internet và DMZ.

Các Firewall

Có nhiều cách khi thiết kế một hệ thống mạng có sử dụng DMZ. Hai mô hình cơ bản và thường gặp nhất là: single firewall (hay three legged firewall) và dual firewall.

Dưới đây tôi sẽ nói sơ qua về phương thức hoạt động cũng như ưu khuyết điểm của hai mô hình này.

Với single firewall

Bạn sẽ chỉ cần tới một thiết bị có ba NIC (network interface card). Trong đó, một NIC nối với mạng external, NIC thứ hai nối với mạng DMZ, và NIC còn lại nối với mạng internal.

Đó là lý do tại sao người ta gọi nó là “three legged firewall” (mỗi “chân” của firewall chính là một NIC của nó). Lúc này “three legged firewall” phải có khả năng kiểm soát toàn bộ traffic vào/ra giữa ba mạng (internal, external và DMZ) và nó trở thành điểm chịu lỗi duy nhất (single point of failure) cho toàn hệ thống mạng.

Nếu có sự cố xảy ra với “three legged firewall” này thì cả DMZ và mạng internal đều không còn được bảo vệ nhưng bù lại bạn không phải tốn chi phí đầu tư thêm một firwewall nữa như trong mô hình dual firewall dưới đây.

Khi sử dụng single firewall để tạo DMZ, ta có khái niệm trihomed DMZ. Bạn cũng có thể tạo ra hai (hoặc nhiều hơn) vùng DMZ tách biệt có các network ID khác nhau bằng cách cách trang bị thêm số NIC tương ứng cho single firewall.

Với dual firewall

Bạn sẽ cần tới hai thiết bị firewall, mỗi firewall có hai NIC và được bố trí như sau:

- Firewall thứ nhất (được gọi là front-end firewall) có một NIC nối với mạng external (external interface) và NIC còn lại nối với DMZ (internal interface). Front-end firewall này có nhiệm vụ kiểm soát traffic từ Internet tới DMZ và mạng internal.

- Firewall thứ hai (được gọi là back-end firewall) có một NIC nối với DMZ (external interface) và NIC còn lại nối với mạng internal (internal interface). Back-end firewall này có nhiệm vụ kiểm soát traffic từ DMZ và Internet tới mạng internal.

Rõ ràng, so với single firewall thì giải pháp này tuy tốn kém hơn về chi phí triển khai khi phải đầu tư tới hai thiết bị firewall tách biệt nhưng về mặt hiệu suất và độ an toàn cho hệ thống mạng của bạn sẽ được cải thiện. Vậy nên, tùy vào hoàn cảnh của tổ chức và môi trường của từng hệ thống mạng mà bạn nên xem xét lựa chọn giữa single firewall hay dual firewall cho thích hợp.

Một số khuyến cáo cho rằng nên chọn hai firewall từ hai nhà cung cấp (vendor) khác nhau với lời giải thích rằng nếu hacker có thể bẻ gãy firewall đầu tiên thì cũng hắn cũng khó khăn hơn trong việc phá vỡ firewall thứ hai bởi chúng được tạo nên theo những cách khác nhau. Còn bạn, bạn nghĩ như thế nào về điều này?

Kết luận

DMZ được coi như là một trong các lá chắn bảo vệ của hệ thống phòng thủ nhiều lớp (defense in depth) cho mạng nội bộ của tổ chức. Nhưng cũng giống như các lá chắn khác, nó vẫn có khả năng bị phá hủy và việc giữ gìn sự lành lặn của lá chắn này đòi hỏi bạn cần cài đặt, cấu hình, giám sát hoạt động đầy đủ và thường xuyên cho các firewall và server trong DMZ.

Hy vọng qua bài viết này bạn đã có một cái nhìn tổng quan về các khía cạnh của DMZ: Nó là gì? Nó có tác dụng gì? Đặc điểm của nó? Các hình thái khác nhau của nó?... Còn việc triển khai DMZ trong từng trường hợp cụ thể với từng sản phẩm firewall cụ thể thì xin hẹn các bạn ở các bài viết khác.

--Hết.

myquartz wrote:

Desktop phishing chứ có phải web phishing đâu mà trang web giả làm gì.

Bạn đã có tìm hiểu về Desktop Phishing chưa?
Phải chăng là khi bạn thấy từ Desktop trong thuật ngữ "Desktop Phishing" thì bạn đã nghĩ rằng đây là hình thức đánh lừa người dùng mà không liên quan gì tới Webpage mà liên quan tới thứ gì đó khác?

Dưới đây là bài viết gốc bằng tiếng Anh:
http://images.globalknowledge.com/wwwimages/whitepaperpdf/WP_Steward_Hackers.pdf

Còn tiếp theo là phần biên dịch của manthang

-----

Giới thiệu

“Hacking”, “cracking” và tội phạm công nghệ cao đã, đang và sẽ luôn là những chủ đề nóng bỏng được “giới IT” nhắc đến nhiều. Tuy nhiên, vẫn có các bước mà bạn có thể thực hiện để làm giảm những mối đe dọa và rủi ro về an ninh thông tin cho tổ chức của mình.

- Bước đầu tiên là bạn (với tư cách là người nắm giữ trọng trách đảm bảo an ninh thông tin của tổ chức) cần biết được những rủi ro (risk), mối đe dọa (threat) và lỗ hổng (vulnerability) nào đang hiện diện trong môi trường CNTT của tổ chức.

- Bước thứ hai là bạn cần tìm hiểu kỹ nhất có thể về ba vấn đề đó, đồng thời vạch ra kế hoạch phòng chống toàn diện, vững chắc.

- Bước thứ ba là bạn sẽ triển khai, áp dụng một cách thông minh, linh hoạt những biện pháp đối phó và phòng vệ mà bạn đã lựa chọn ở trên để dựng nên một hệ thống bảo vệ quanh những “tài sản thông tin” tối quan trọng của bạn.

Bài viết này sẽ tập trung vào tìm hiểu về mười phương thức phổ biến mà các hacker sử dụng để phá vỡ hệ thống an ninh hiện tại của bạn (đây chính là bước một trong ba bước đảm bảo an ninh thông tin cho tổ chức ở trên).

1. Đánh cắp mật khẩu

Từ nhiều năm nay, vấn đề an toàn mật khẩu (password security) luôn được các chuyên gia bảo mật đem ra thảo luận. Nhưng dường như chỉ có số ít người dùng là lắng nghe và làm theo các khuyến cáo về cách tạo và quản lý mật khẩu sao cho an toàn.

Nếu môi trường CNTT của bạn chỉ sử dụng mật khẩu để kiểm soát việc chứng thực thì đây thực sự là một rủi ro lớn khi mà hacker có thể sử dụng các công cụ “password cracking” để dò tìm ra mật khẩu và nhờ đó xâm nhập vào hệ thống CNTT của bạn.

Giải pháp tốt hơn cho vấn đề này là (nếu có thể) bạn nên sử dụng một vài hình thức “multi-factor authentication” (chứng thực sử dụng nhiều yếu tố).

Vấn đề ở đây là sức mạnh tính toán của các máy tính ngày này ngày càng tăng. Chúng có khả năng xử lý một lượng lớn dữ liệu chỉ trong một khoảng thời gian ngắn.
Một “password” chỉ là một chuỗi các ký tự (có trên bàn phím) mà một người cần ghi nhớ và cung cấp cho máy tính khi cần thiết (như để đăng nhập vào máy tính, truy cập tài nguyên trên mạng…).

Thật không may, các mật khẩu mà quá phức tạp để ghi nhớ đối với con người thì lại dễ dàng bị dò ra bởi các công cụ “pasword cracking” trong một khoảng thời gian ngắn đến kinh ngạc. Các kiểu tấn công như “dictionary attack”, “brute fore attack” và “hybrid attack” thường được sử dụng để đoán và bẻ khóa mật khẩu.

Phương thức bảo vệ duy nhất chống lại những “threat” như vậy là tạo ra các mật khẩu mạnh - “strong password” (độ dài của mật khẩu thường từ 8 ký tự trở lên, trong đó bao gồm cả chữ cái in thường/in hoa, chữ số, ký tự đặc biệt) và sử dụng thêm các yếu tố khác (vân tay, smart card, võng mạc mắt,…) cho việc chứng thực.

Nhưng ngay cả khi người ta có thể nhớ được các “strong password” (tất nhiên độ phức tạp của “password” này cần ở mức vừa phải) như dài từ 12 đến 16 ký tự, thì vẫn còn các vấn đề khác mà các hệ thống chứng thực chỉ dựa vào “password” phải đối mặt, bao gồm:

• Mọi người có thói quen sử dụng cùng một “password” cho nhiều tài khoản, đặc biệt là các tài khoản ở các Website kém bảo mật trên Internet.

• Mọi người thường ghi các “password” của họ xuống đâu đó (như mẩu giấy, tập tin trên máy tính…) và cất giấu chúng ở những nơi không an toàn (như ngăn kéo bàn, tập tin không được mã hóa (clear text)…). Lời khuyên trong trường hợp này là bạn nên định kỳ đổi các “password” của mình.

• Sử dụng các giao thức không an toàn kém an toàn (insecure protocol) như HTTP (web service), SMTP/POP3/IMAP (mail service), FTP (file transfer)… để truyền đi các “password” dưới dạng “clear text”.

• Các phần mềm ghi nhận lại các thao tác gõ phím (keylogger) cũng là một “threat” đáng lo ngại khi chúng sẽ âm thầm gửi các “password” thu thập được cho hacker.

• Kẻ xấu có thể nhìn trộm bạn gõ “password” từ đằng sau hoặc đặt camera giám sát việc sử dụng máy tính của bạn.

Các hành vi đánh cắp, bẻ khóa, đoán “password” thì vẫn còn là những “threat” đáng lo ngại đối với môi trường CNTT của bất kỳ tổ chức nào. Cách bảo vệ tốt nhất để chống lại những “threat” này là triển khai các hệ thống “multi-factor authentication” và chỉ dẫn người dùng hình thành thói quen quản lý mật khẩu sao cho an toàn.

2. Trojan Horse

Trojan horse (thường gọi tắt là trojan) là mối đe dọa tiếp theo cho bất cứ môi trường CNTT nào. Về cơ bản, trojan là một chương trình độc hại được bí mật cài vào máy tính của người dùng.

Chắc hẳn bạn cũng đã nghe qua về một số trojan nổi tiếng như Back Orifice, NetBus, SubSeven... Nhưng mối đe dọa thực sự của trojan lại nằm ở chỗ chúng có thể được xây dựng bởi bất kỳ ai với những kỹ năng cơ bản về máy tính.

Thường thì trojan được tạo nên bằng cách kết hợp “payload” (đoạn mã độc hại) với các phần mềm hợp pháp khác và có rất nhiều cách thức cũng như công cụ để làm điều này. Vì vậy, sự nguy hiểm từ những cuộc tấn công sử dụng trojan là không thể lường trước được.

Các mã độc có trong trojan có thể làm nhiều chuyện như: phá hủy dữ liệu, sửa đổi nội dung tập tin, ghi lại thao tác gõ phím, giám sát lưu lượng mạng, theo dõi hoạt động truy cập Web, sao chép e-mail và dữ liệu nhạy cảm rồi gửi về cho hacker, cho phép hacker truy cập và điều khiển máy tính của nạn nhân từ xa, sử dụng máy tính của nạn nhân để phát động các cuộc tấn công chống lại các mục tiêu khác, cài các chương trình “proxy server”,…

Các hacker có thể tải về các “payload” sẵn có từ Internet hoặc nếu có khả năng hacker có thể tự viết ra các “payload” riêng cho mình. Sau đó, “payload” này sẽ được nhúng (đính kèm/kết hợp) vào trong bất kỳ phần mềm hợp pháp nào (như anti-virus, media player, office suite, game, screen saver, admin utilities, và thậm chí là các loại tài liệu …) để tạo thành trojan.

Để tấn công sử dụng trojan được thành công thì yêu cầu duy nhất là người dùng thực thi thành công “host program” (chương trình được tạo nên bởi “payload” kết hợp với phần mềm hợp pháp). Một khi điều này được hoàn tất, “payload” cũng sẽ tự động được khởi chạy và thường người dùng khó mà nhận thấy được các biểu hiện bất thường của máy tính do hoạt động của trojan tạo ra.

Trojan có thể được cài lên máy tính của nạn nhân thông qua việc người dùng tải về các tập tin được đính kèm theo e-mail, các tập tin từ các Website, hoặc được chứa trong các thiết bị lưu trữ di động (thẻ nhớ, CD/DVD, ổ USB, ổ đĩa mềm….). Trong bất cứ trường hợp nào, bạn nên sử dụng các công cụ phòng chống mã độc (anti-malware) và hơn hết là giáo dục ý thức sử dụng máy tính và Internet của người dùng.

3. Khai thác các thiết lập mặc định

Việc hệ thống mục tiêu (target) sử dụng các cấu hình được thiết lập mặc định bởi nhà sản xuất thiết bị phần cứng/phần mềm làm cho việc tấn công vào “target” đó trở nên dễ dàng hơn bao giờ hết.

Nhiều công cụ tấn công và các mã khai thác giả định rằng “target” đang sử dụng các thiết lập mặc định (default setting). Vì vậy, một trong các phương án phòng ngừa hiệu quả và không thể bỏ qua là đơn giản thay đổi các “default setting” này.

Các rất nhiều dạng “default setting” như: username, password, access code, path name, folder name, component, service, configuration, setting… Nhiệm vụ của bạn là cần biết tất cả các “default setting” của các sản phẩm phần cứng/phần mềm mà bạn đã (hoặc sắp) triển khai và cố gắng thay đổi các “default” đó thành các thiết lập khác bí mật hơn.

Bạn có thể xem trong tài liệu đi kèm với sản phẩm/dịch vụ hoặc tìm kiếm trên Internet để biết được hệ thống của bạn có những “default setting” nào.

Về vấn đề này thì manthang xin lấy một ví dụ sau: “default setting” mà cho phép hacker có thể truy cập và quản lý thiết bị router (giả sử có tên model là ABC-123) của nạn nhân từ xa (có thể thông qua HTTP, Telnet, SSH…) là username/password mặc định của “tài khoản admin”.

Hacker có thể tìm kiếm trên Internet với từ khóa “default password + ABC-123” là có thể dễ dàng biết được thông tin “default” mà một số người dùng thường quên đổi đi này.

Bạn nên cân nhắc việc điều chỉnh lại các lựa chọn “default” khi có thể. Cố gắng tránh cài đặt hệ điều hành lên các ổ đĩa và thư mục mặc định. Đừng cài đặt các ứng dụng, phần mềm tới các vị trí “chuẩn” của chúng. Đừng chấp nhận trên các thư mục được đưa ra bởi trình cài đặt. Bạn điều chỉnh càng nhiều các “default setting” thì hệ thống của bạn sẽ trở nên “khó tương thích” hơn với các công cụ mà mã khai thác của hacker (đồng nghĩa với việc hacker cần nhiều nỗ lực hơn để tấn công vào “target”).

Còn tiếp...

tranhuuphuoc wrote:

thangnguyen0704 wrote:

Chào các anh chị.
Các anh chị cho em hỏi 1 vấn đề nhỏ cái : Hiện tại máy em đang sử dụng là Win7 32bit có cài Vmware. Giờ em muốn cài RHEL 5 64bit trên Vmware có được không ạ? Và nếu được, mong anh chị có thể share cho em tài liệu hướng dẫn cài đặt bằng dòng lệnh RHEL 5 để em có thể hiểu sâu về RHEL được ko ạ? Xin lỗi vì làm phiền mọi người.
Cảm ơn rất nhiều

Theo như tôi biết thì dòng máy HP 6520 không hỗ trợ chạy 64bit như kiểu bro mô tả đâu vì vài năm trước tôi có sử dụng HP 6530S chạy Centos 64bit khi cài đặt VMWare và cài đặt thêm 1 OS guest Centos 64bit thì nó bị báo lỗi như bro mô tả.

Tôi có tham khảo 1 số bạn có bật chế độ Virtualization trong Bios thì việc cài đặt 64bit trên OS guest OK, qua kiểm tra trên máy tính HP6530S thì không có chức năng này, nên cuối cùng mua máy tính để bàn quậy phá nó cho tiện

Do vậy theo tôi phỏng đoán để làm theo yêu cầu của bro thì cần kiểm tra 2 bước sau:
- CPU trên con HP 6520 của bro hỗ trợ 64bit
- BIOS trên máy tính của bro có chức năng Virtualization

Theo em được biết thì công nghệ Virtualization phải nằm trên CPU. Với CPU Intel thì là Intel® Virtualization Technology (Intel® VT) và CPU AMD thì là AMD Virtualization (AMD-V™).
Còn BIOS cung cấp cho mình tùy chọn là enable/disable tính năng Virtualization này.

thangnguyen0704 wrote:

Chào các anh chị.
Các anh chị cho em hỏi 1 vấn đề nhỏ cái : Hiện tại máy em đang sử dụng là Win7 32bit có cài Vmware. Giờ em muốn cài RHEL 5 64bit trên Vmware có được không ạ? Và nếu được, mong anh chị có thể share cho em tài liệu hướng dẫn cài đặt bằng dòng lệnh RHEL 5 để em có thể hiểu sâu về RHEL được ko ạ? Xin lỗi vì làm phiền mọi người.
Cảm ơn rất nhiều

Hồi trước mình cũng có thắc mắc này giống bạn đó là:
"host OS ("giang hồ" quen gọi là "máy thật") của mình là bản 32-bit thì liệu có thể cài guest OS ("máy ảo") 64-bit (bất kể là Windows, Linux hay Solaris) trong VMware được hay không?"
Về vấn đề trên thì mình đã tìm hiểu trên Internet và đã kiểm chứng lại. Và giờ mình xin chia sẻ với bạn là muốn làm được như vậy thì yêu cầu CPU của bạn phải hỗ trợ cả 2 công nghệ:
- 64-bit
- Virtualization
Thiếu 1 trong 2 công nghệ trên thì bạn đều không thể cài guest OS 64-bit trong host OS 32-bit được.
Tham khảo:
http://communities.vmware.com/message/970521
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1003945

nhoctydaica wrote:

conmale wrote:

nhoctydaica wrote:

Cảm ơn các anh.
Em đã vững tin hơn để bước đi trên con đường phía trước.
Tiện thể cho em hỏi luôn
Người quản trị mạng chỉ cần cần cù, chịu học hỏi là có thể thành công phải không ạ.
Tại vì khả năng tư duy của em không được cao cho lắm

Đọc kỹ những câu đã trả lời và không nên hỏi lại những điều đã được trả lời.

Ý em là em hỏi về khả năng tư duy của ngành Quản Trị Mạng mà thôi.

Càng đọc những "trăn trở" của bạn mình càng cảm thấy rối và khó "tư vấn" cho bạn. Nói chung, bất kể làm việc gì, tư duy càng tốt thì kết quả đạt được càng cao. Vậy nên, bạn cứ "tư duy" hết khả năng có thể đi.

Cuối cùng, mình có lời khuyên thế này dành cho bạn: Đối với một người bình thường nhưng học hành thua kém thì chỉ cần sự chịu khó và có phương pháp rèn luyện đúng đắn thì sẽ tiến bộ dần lên thôi. Chịu khó hay không là ở bạn, phương pháp rèn luyện thì mỗi người có thể tự đề ra phương pháp riêng và thích hợp nhất cho mình. Thân mến!

Nguyen Minh Thong wrote:

Câu hỏi đầu tiên của Nhí!
Mấy anh ơi, em vô:
Start/Programs/Accessories/Command Promt
:? Cái chương trình "Command Promt" dùng để làm gì trong HDH WinXp?
Khi em gõ help thì nó sổ ra cái này:? trời ơi em chèn hình vào mà hông được?)
:? Có tài liệu nào nói về mấy cái lệnh đó hông?

:? Uh, còn cái "cmd.exe" em bị cài lại HDH mấy lần vì nó đấy, tại sao thế nhỉ?

Chúng ta học theo phương pháp vấn đáp nà smilie

A. Command Prompt (CP) là gì?

CP ở đây mang 2 ý nghĩa:

1) Trong các hệ điều hành Windows, nó là một chương trình (program) (hoặc có thể gọi nó là một tính năng (feature)) mà cung cấp cho ta (user) một giao diện (mặc định là một cửa sổ có nền đen và chữ trắng) để ta gõ vào các câu lệnh (command). Các câu lệnh này có thể là các câu lệnh (không phải tất cả) có trong MS-DOS (một hệ điều hành của hãng Microsoft) hoặc có thể là các câu lệnh máy tính khác nữa (mình nói câu này vì nhiều bạn vẫn nói sai rằng CP là MS-DOS).

Môi trường mà trong đó bạn gõ vào các dòng lệnh để thực hiện các thao tác với máy tính thường được gọi là CLI (command-line interface).

Còn cmd.exe, hiểu đơn giản, nó là một file mà khi bạn chạy file này thì nó hiện ra cái giao diện của CP smilie

.

2) Ngoài ra, CP còn mang ý nghĩa khác nữa đó là: nó là một chuỗi các ký tự nằm trước câu lệnh (từ trái sang phải). Ví dụ dưới đây là một CP trong Windows:

C:\Users\manthang>

Trong đó:

+ C:\Users\manthang là current working directory (hoặc location). Đây là thư mục mà câu lệnh sẽ tác động lên trước. Ví dụ, nếu bạn gõ lệnh dir (lệnh dùng để liệt kê ra các file/folder có trong 1 thư mục nào đó)

C:\Users\manthang>dir

Thì bạn sẽ thấy được các file/folder hiện có trong thư mục C:\Users\manthang

+ Dấu lớn hơn (> smilie

, đơn giản là một ký tự dùng để phân cách giữa current working directory và tên câu lệnh.

+ Khi bạn thấy CP thì bạn cần hiểu rằng CLI đang chờ bạn gõ vào câu lệnh tiếp theo (đằng sau dấu lớn hơn (> smilie

bạn sẽ thấy một con trỏ đang nhấp nháy).

CP trong các HĐH *nix sẽ có quy tắc viết khác, bạn cứ từ từ tìm hiểu thêm.

B. Trong Windows, làm sao để mở CP lên đây?
Cái này thì đã có mấy bạn ở trên trả lời rồi.

C. Mình có thể chạy những lệnh nào trong CP?
- Để xem danh sách các câu lệnh có thể thực thi, bạn gõ vào lệnh:
help
- Để xem thêm thông tin, sơ lược về cách sử dụng câu lệnh abcxyz bạn gõ lệnh:
help abcxyz

D. Tài liệu tham khảo về cách sử dụng CP?
Ở đây có tất nè smilie

http://technet.microsoft.com/en-us/library/cc778084(WS.10).aspx

Chúc bạn học tốt!

hocvui wrote:

có ai biết bộ API để điều khiển camera xoay trái xoay phải, zoom không vậy?

Mình nghĩ là việc có hay không có API dùng để hỗ trợ cho việc lập trình điều khiển camera thì tuỳ từng model cụ thể. Còn dạng camera có thể xoay trái, xoay phải, zoom lớn/nhỏ như bạn nói có tên chính thống là PTZ Camera (PTZ là viết tắt của các từ Pan/Tilt/Zoom).

Giới thiệu

Theo định nghĩa từ Wikipedia http://en.wikipedia.org/wiki/Dictionary_attack thì:

Dictionary attack là một kỹ thuật (technique) dùng để hạ gục cơ chế mã hóa (cipher) hoặc xác thực (authentication) bằng cách tìm ra khóa giải mã (decryption key) hoặc chuỗi mật khẩu (passphrase). Việc dò tìm này dựa trên các dictionary (hoặc word list) – là một kho cực kỳ đồ sộ gồm hàng ngàn hoặc thậm chí hàng triệu các chuỗi ký tự thuộc nhiều loại như:

- Từ vững trong các ngôn ngữ khác nhau
- Tên người, tên địa danh
- Các mật khẩu phổ dụng như: 123456, iloveu, admin…

Các chương trình bẻ khóa mật khẩu (password cracking) thường được trang bị các bộ dictionary nhằm khai thác khuynh hướng sử dụng các mật khẩu đơn giản, dễ đoán (weak password) của người dùng.

Tuy nhiên, bạn có thể sử dụng các công cụ dictionary attack này để kiểm tra độ an toàn của mật khẩu. Bây giờ chúng ta quay trở lại vấn đề chính trong bài:

Phòng chống dictionary attack trên Linux như thế nào?

Đặt mật khẩu thật phức tạp, khó đoán (strong password) xem ra là cách hữu hiệu nhất để ngăn ngừa khả năng mật khẩu bị dictionary attack tìm ra. Vậy thì thế nào mới gọi là strong password đây? Ví dụ, xem xét một mật khẩu như sau:

#!T()i2@C|-|In4t01;

Qua đây, có thể thấy một strong password phải thõa mãn các yêu cầu sau:

- Mật khẩu không nằm trong các bộ từ điển có sẵn, không đặt theo tên người, địa danh, thú cưng hoặc thông tin cá nhân như: ngày sinh, số CMND, biệt danh,…

- Chiều dài của mật khẩu đủ lớn, ít nhất là 8 ký tự trở lên và không được có nhiều ký tự được lặp lại nhiều lần trong mật khẩu.

- Bao gồm cả chữ chữ cái in hoa, in thường, chữ số, các ký tự đặc biệt như: ~, !, @, -, +, :, }, |, >, ?,…

Nhưng, đa số người dùng đều không ưa những mật khẩu dài loằng ngoằng và khó nhớ. Họ không biết hoặc thậm chí phớt lờ những chỉ dẫn để tạo strong password như trên. Vậy làm sao để ép buộc họ tuân thủ chặt chẽ chính sách mật khẩu do bạn đề ra khi họ có ý định thay đổi mật khẩu?

Trong Linux, câu trả lời đó đến từ pam_cracklib.so - một PAM module cho phép bạn thiết lập chính sách mật khẩu đủ mạnh để hạn chế dictionary attack. Nó sẽ kiểm tra mật khẩu được nhập vào để đảm bảo rằng người dùng sẽ không được phép đặt lại mật khẩu mới cho tới khi mật khẩu đó thỏa mãn các yêu cầu đặt ra.

Lưu ý: pam_cracklib.so đã được cài sẵn trên Redhat/Fedora/CentOS. Nếu hệ thống Debian/Ubuntu chưa có module này thì gõ lệnh sau để cài đặt nó.

# apt-get install libpam-cracklib

Dưới đây là cách tinh chỉnh cho module pam_cracklib.so.

- Gõ lệnh sau để mở file cấu hình cho PAM
# vi /etc/pam.d/system-auth

- Tìm dòng bắt đầu bằng password required (hoặc requisite) pam_cracklib.so và sửa lại như sau:

password required pam_cracklib.so retry=2 minlen=12 difok=6

Lưu và đóng file này lại. Ý nghĩa các tùy chọn là:

• retry = 2: nhắc nhở người dùng nhiều nhất 2 lần trước khi trả về thông báo lỗi.

Ví dụ: Sử dụng lệnh passwd để thay đổi mật khẩu.

Nếu ở lần 1 bạn gõ vào mật khẩu mới không thỏa mãn 1 trong các yêu cầu của chính sách mật khẩu, thì bạn sẽ nhận được nhắc nhở và có thêm lần 2 để gõ lại mật khẩu khác.

Nếu ở lần 2 này mật khẩu bạn gõ vào cũng không thỏa mãn yêu cầu thì bạn lại nhận được nhắc nhở nhưng không có thêm lần 3 để bạn gõ tiếp mật khẩu khác và bạn nhận được thông báo như sau:

passwd: Have exhausted maximum number of retries for service

• minlen = 12: Chiều dài tối thiểu của mật khẩu là 12 ký tự.

• difok = 6: Số ký tự trong mật khẩu mới có thể trùng với mật khẩu cũ. Ví dụ, người dùng sẽ thấy thông báo lỗi sau

BAD PASSWORD: is too similar to the old one

nếu mật khẩu mới có 6 ký tự (hoặc hơn) trùng với mật khẩu cũ trước đó.

Ngoài ra, bạn có thể áp dụng thêm các tùy chọn sau để tăng độ khó cho mật khẩu:

 dcredit=N : Số lượng chữ số.
 ucredit=N : Số lượng chữ cái in hoa.
 lcredit=N : Số lượng chữ cái thường.
 ocredit=N : Số lượng các ký tự đặc biệt khác.

Lưu ý cuối cùng là những tùy chọn rằng buộc này chỉ áp dụng đối với những tài khoản người dùng thông thường. Người dùng root không hề bị ảnh hưởng bởi các yêu cầu về mật khẩu này. Nhưng đối với tài khoản root, bạn lại càng phải đặt mật khẩu phức tạp hơn cho nó…

Hết.
----

Em cảm ơn,cho em hỏi là mình cần những kiến thức nào về bảo mật smilie

Cho em hỏi em mới vào nghề ,như vậy cần phải có kiến thức về gì.Cảm ơn mọi người.
P/S:Em kiếm mà chẳng thấy nên post vào mục nào,nếu post ở đây xin MOD move qua đúng box nha.Cảm ơn MOD.