Archive

Archive for the ‘NETWORK – SECURITY’ Category

How my PC became a ZOMBIE

June 24, 2011 Leave a comment

Botnets Demystified and Simplified

Read more…

Categories: NETWORK - SECURITY

Windows Server 2008 Step-by-Step Guides

September 26, 2009 1 comment
Overview :

These step-by-step guides help IT Professionals learn about and evaluate Windows Server 2008.
These documents are downloadable versions of guides found in the Windows Server 2008 Technical Library. (http://go.microsoft.com/fwlink/?LinkId=86808)

System Requirements:

Supported Operating Systems: Windows Server 2008

Files in This Download :

http://www.microsoft.com/downloads/details.aspx?FamilyID=518d870c-fa3e-4f6a-97f5-acaf31de6dce&displaylang=en

– Creating_and_Deploying_Active_Directory_Rights_Management_Se rvices_Templates_Step-by-Step_Guide.doc
– Deploying Active Directory Rights Management Services in a Multiple Forest Environment Step-by-Step Guide.doc
– Deploying Active Directory Rights Management Services in an Extranet Step-by-Step Guide.doc
– Deploying Active Directory Rights Management Services with Microsoft Office SharePoint Server 2007 Step-By-Step Guide.doc
– Deploying an Active Directory Rights Management Services Licensing-only Cluster Step-by-Step Guide.doc
– Deploying SSTP Remote Access Step by Step Guide.doc
– Removing Active Directory Rights Management Services Step-by-Step Guide.doc
– Server Manager Scenarios Step-by-Step Guide.doc
– Server_Core_Installation_Option_of_Windows_Server_2008_Step-By-Step_Guide.doc
– Step_by_Step_Guide_to_Customizing_TS_Web_Access_by_Using_Win dows_SharePoint_Services.doc
– Step-by-Step Guide for Configuring a Two-Node File Server Failover Cluster in Windows Server 2008.doc
– Step-by-Step Guide for Configuring a Two-Node Print Server Failover Cluster in Windows Server 2008.doc
– Step-by-Step Guide for File Server Resource Manager in Windows Server 2008.doc
– Step-by-Step Guide for Services for NFS in Windows Server 2008.doc
– Step-by-Step Guide for Storage Manager for SANs in Windows Server 2008.doc
– Step-by-Step Guide to Deploying Policies for Windows Firewall with Advanced Security.doc
– Step-by-Step_Guide_for_Configuring_Network_Load_Balancing_with_Termi nal_Services_in_Windows_Server_2008.doc
– Step-by-Step_Guide_for_Windows_Deployment_Services_in_Windows_Server _2008.doc
– TS RemoteApp Step-by-Step Guide.doc
– Using Identity Federation with Active Directory Rights Management Services Step-by-Step Guide.doc
– Windows Server 2008 Active Directory Certificate Services Step-By-Step Guide.doc
– Windows Server 2008 Foundation Network Guide.doc
– Windows Server 2008 Network Policy Server (NPS) Operations Guide.doc
– Windows Server 2008 Step-by-Step Guide for DNS in Small Networks.doc
– Windows Server 2008 TS Gateway Server Step-By-Step Setup Guide.doc
– Windows Server 2008 TS Licensing Step-By-Step Guide.doc
– Windows_ Server_Active_Directory_Rights_Management_Services_Step-by-Step_Guide.doc
– Windows_Server_2008_TS_Session_Broker_Load_Balancing_Step-By-Step_Guide.doc

Categories: NETWORK - SECURITY

PFSENSE : Load Balancing & Failover With Dual/ Multi WAN / ADSL

December 2, 2008 Leave a comment

CÀI ĐẶT VÀ CẤU HÌNH PFSENSE

Mô hình LAB (nhóm 2 máy)

clip_image002

 

Client

PFSense

NAT Server

LoopBack

IP: 192.168.30.X
SM: 255.255.255.0
Gateway: 192.168.30.1
Pre.DNS:203.162.4.191

IP: 192.168.30.1
SM: 255.255.255.0
Gateway: để trống
Pre.DNS: để trống

 

LAN

IP: 111.111.111.X
SM:255.255.255.0
Gateway:để trống
Pre.DNS: để trống

IP: 192.168.P.X
SM: 255.255.255.0
Gateway:192.168.P.200
Pre.DNS:để trống

IP: 192.168.P.Y
SM: 255.255.255.0
Gateway:192.168.P.200
Pre.DNS:203.162.4.191

CROSS

IP: 222.222.222.X
SM:255.255.255.0
Gateway:để trống
Pre.DNS: để trống

IP: 192.168.20.X
SM: 255.255.255.0
Gateway:192.168.20.Y
Pre.DNS:203.162.4.191

IP: 192.168.20.Y
SM: 255.255.255.0
Gateway: để trống
Pre.DNS:để trống

Lưu ý:

-Địa chỉ Router : 192.168.20.Y

-Địa chỉ IP máy 200 : 192.168.P.200

-P là số phòng X,Y : là số máy.

*Chuẩn bị :

Để có 2 line truy cập Internet :

Cấu hình NAT server cho PFsense có thể truy cập Internet bằng card Cross.

-Kiểm tra đường truyền cho PFSense truy cập Internet bằng card LAN

I. Tạo card mạng Loopback (thực hiện trên máy thật)

Start -> Settings -> Control Panel -> Add Hardware

clip_image004

Welcome Next.

clip_image006

Chọn Yes.I have already… -> Next

clip_image008

Chọn Add a new hardware device -> Next

clip_image010

Install the hardware that …. -> Next

clip_image012

Chọn Network adapters -> Next.

clip_image014

Chọn Microsoft Loopback Adapter -> Next.

clip_image016

Next -> Finish.

clip_image018

II. Cấu hình máy ảo:

Start -> Programs -> Microsoft Virtual PC -> Tạo 1 Máy ảo mới

clip_image020

Lưu tại thư mục gốc ổ đĩa C:

clip_image022

Next.

clip_image024

Chọn lại thêm Ram nếu cần thiết.

clip_image026

Chọn A new virtual hard disk.

clip_image028

Virtual hard disk size 2000MB

clip_image030

Finish.

clip_image032

Màn hình máy ảo chọn Setting -> Networking -> Chọn 3 card mạng

Theo thứ tự -Adapter 1 : Microsoft Loopback

-Adapter 2 : Card Cross

-Adapter 3 : Card Lan

clip_image034

III. Cài đặt PFSense (thực hiện trên máy ảo)

Start máy ảo lên.

clip_image036

Menu CD chọn Capture ISO Image..

clip_image038

Chọn File pfSense-1.2-RC…. -> Open.

clip_image040

Chương trình khởi động để chạy mặc định.

clip_image042

Do you want to setup VLANs now -> gõ n -> Enter.

clip_image044

Cấu hình các Interface -> LAN interface -> gõ de0 -> Enter.

clip_image046

WAN interface -> gõ de1 -> Enter.

clip_image048

Optional 1 -> gõ de2 -> Enter.

clip_image050

Optional 2 -> Enter -> D you want to proceed -> nhập y -> Enter.

clip_image052

Enter an option 2 -> Enter.

clip_image054

Nhập vào địa chỉ IP 192.168.30.1 -> Enter.

clip_image056

Nhập vào 24 -> Enter.

clip_image058

Chọn n -> Enter.

clip_image060

Sau khi hiện lên Enter to continue chọn Enter

IV. Cấu hình PFSense (thực hiện trên máy thật)

Mở IE -> Nhập địa chỉ 192.168.30.1 -> Enter.

clip_image062

Username: admin , Password : pfsense -> Enter.

clip_image064

Menu Interfaces -> Chọn WAN

clip_image066

Type Chọn Static

clip_image068

IP address -> Thông số IP card Cross -> Save Settings.

clip_image070

Menu Interfaces chọn OPT1.

clip_image072

Check vào khung Enable Optional 1 interface.Description sửa lại WAN2.

clip_image074

Phần IP configuration nhập vào thông số card Lan.

clip_image076

Menu Services -> Chọn Load Balancer

clip_image078

Chọn Add Pools.

clip_image080

Name : Can Bang Tai

Type : Gateway

Behaviour : Load Balancing.

clip_image082

Monitor IP Chọn WAN’s Gateway -> Interface Name Chọn WAN -> Add to pool

clip_image084

Monitor IP Chọn WAN2’s Gateway -> Interface Name Chọn WAN2

-> Add to pool -> Save.

clip_image086

Apply changes

clip_image088

Menu Firewall -> Rules

clip_image090

Chọn WAN -> Add a new rule.

clip_image092

Phần Gateway chọn Can bang Tai -> Save.

clip_image094

WAN2 -> Add a new rule

clip_image096

Phần Gateway chọn Can Bang Tai -> Save

clip_image098

LAN chọn Edit.

clip_image100

Phần Gateway chọn Can Bang Tai -> Save.

clip_image102

V. Kiểm tra

Menu Status -> Chọn Load Balancer.

clip_image104

Trạng thái là online trên cả 2 Line.

clip_image106

Truy cập Internet Thành công.

clip_image108

Rút dây card Lan.

clip_image110

Vẫn sử dụng được Internet.

clip_image112

Rút dây card Cross.

clip_image114

Truy cập Internet vẫn bình thường.

clip_image116

Categories: NETWORK - SECURITY

TOP 10 BÀI LAB QUẢN TRỊ MẠNG

October 16, 2008 2 comments

1 – Thiết Lập Hệ thống Mạng cho Doanh Nghiệp vừa và nhỏ

I. Mô hình: image001

II. Giới Thiệu:
– Giải pháp dùng cho Doanh nghiệp nhỏ với các yêu cầu cơ bản như :
+ Chia sẻ dữ liệu, chia sẻ máy in
+ Truy cập Internet với 1 đường truyền ADSL
– Mô hình dùng mạng WorkGroup. Các máy User dùng Windows XP, các máy cung cấp tài nguyên (Files, Printer ) dùng Windows Server 2k3 với các bước thực hiện :
+ Đặt IP cho các máy
+ Cấu hình Router ADSL
+ Cấu hình File server
+ Cấu hình Print server

Xem chi tiết…

2 – Giải pháp Mail Offline cho doanh nghiệp

I. Mô hình:image002

II. Giới thiệu:
Với bài Lab-1 , phát triển thêm nhu cầu sử dụng Mail cho toàn Doanh nghiệp, với yêu cầu giảm tôi đa chi phí và công sức quản lý (không co’ IP tĩnh, Mail Server không cần Online 24/7)
=>Giải pháp đề nghị : sử dụng giải pháp Mail Offline kết hợp sử dụng dịch vụ Mail Relay để không bị xếp loại Spam Mail

III. Các bước triển khai:
Phát triển từ mô hình hệ thống Workgroup bài Lab-1 trước, kết hợp sử dụng :
– Máy Windows Server 2003 dùng làm Mail Server với chương trình Mail Daemon
– Kết hợp thêm các bước thực hiện :
+ Mua domain tại website DirectNIC
+ Đăng ký dịch vụ dùng để RELAY MAIL tại DNSexit
+ Cấu hình chức năng POP trên MAILBOX trung gian là YAHOO.COM.VN cho phép MAIL SERVER nội bộ truy cập lên lấy mail về.
+ Cài đặt Mdeamon làm MAILSERVER trong nội bộ
+ Cấu hình Outlook Express để User nội bộ d tài khoản mail nội bộ
+ Kiểm tra gửi mail ra ngoài và từ bên ngoài gửi về

Xem chi tiết…

3 – Giải pháp Free Mail Online cho doanh nghiệp

I. Giới thiệu:
Với yêu cầu tương tự bài Lab-2 nhưng sử dụng giải pháp MailOnline với dịch vụ Mail Hosting miễn phí của hệ thống Google . điểm lợi thế là :
– Không cần máy làm Mail Server
– Không cần Mail Administrator chuyên nghiệp
– Online 24/7
– Không bị xếp loại Spam Mail

II. CÁC BƯỚC TRIỂN KHAI:

– Hướng dẫn cách đăng ký Google Application
– Hướng dẫn cách gán tên miền với các dịch vụ của Google App (Web, Mail, FTP, Calenda …) và tạo các alias name tương ứng..
– Test thử bằng cách gởi mail từ trong ra và từ ngoài vào

Xem chi tiết…

4 – Hệ thống Mạng Domain Network Dùng trong Quản lý Doanh Nghiệp

I. Mô hình:image004

II. Giới thiệu:

Với các mô hình trước sử dụng mạng Workgroup tuy có lợi điểm là đơn giản , dễ triển khai nhưng không thuận lợi trong công tác quản trị và tính bảo mật kém, do vậy mô hình Lab-4 giói thiệu hệ thống Domain Network với các ưu điểm
– Quản lý tập trung toàn bộ mọi thành phần trong hệ thống
– Khả năng bảo mật cao nhưng thuận lợi nhờ cơ chế Single Set of Credential
– Khả năng co giãn linh động cho mọi quy mô, dễ dàng mở rộng
– Áp dụng cơ chế quản lý dựa trên Policy (Policy-based Administration)
– Cho phép triển khai các Application tích hợp trong AD Database do vậy tận dụng được cơ chế Replication của AD

Xem chi tiết…

5 – Hệ thống Domain Network nhiều Networks/Subnets

I. Mô hình:image005

II. Giới thiệu:
Với các hệ thống Mạng lớn nhiều Tài nguyên và có sự phân cấp trong việc truy cập các loại Tài nguyên, việc phân chia hệ thống mạng Vật lý ra các Network_IDs hoăc Subnets khác nhau sẽ đem lại các lợi thế như :
– Tránh hiện tượng nghẽn mạch đường truyền do số Hosts trong Network Logic quá nhiều
– Ngăn chặn các hiện tượng lan truyền toàn mạch (broadcast) do sử dụng hoặc do Virus
– Dễ dàng thiết lập các bộ lọc (Filter) để định tuyến khi truy cập Tài nguyên
III. Các bước triển khai:
Mô hình dưới đây phát triển từ hệ thống Domain của Lab-4 nhưng phân chia các Network_IDs như sau : VIP, USER, SERVER. Sử dụng :
+ 01 máy Windows Server 2003 với 04 NICs dùng làm Router
+ 01 máy Windows Server 2003 dùng làm Domain Controller tại Network = SERVER
+ 01 máy Windows Server 2003 hoăc Windows XP : dùng làm máy User VIP
+ 01 máy Windows Server 2003 hoăc Windows XP : dùng làm máy User USER
Thiết lập Routing và các bộ lọc (Filter) sao cho
– Tất cà các Networks (VIP, SERVER, USER) đều truy cập Internet được
– Network VIP và USER không truy cập lẫn nhau được
– Network VIP và USER đều truy cập Network SERVER được

Xem chi tiết…

6 – Xây dựng và cấu hình ISA Server 2006

I. Mô hình:

image006

II. Giới thiệu:
Khi kết nối hệ thống mạng nội bộ để giao dịch với Internet ,các Công ty thường có yêu cầu như :
– Kiểm soát các giao dịch thực hiện giữa mạng nội bộ và Internet
– Ngăn chặn các tấn công, thâm nhập trái phép từ Internet
Giải pháp thích hợp cho các nhu cầu trên là sử dụng các Firewall (bức tường lửa). Bài Lab này giới thiệu việc cài đặt và triển khai phần mềm Firewall của Microsoft : Internet Security and Acceleration 2006 (ISA-2K6)

III. CÁC BƯỚC TRIỂN KHAI:
Phát triển từ hệ thống Domain của bài Lab-5, bài Lab này sử dụng thêm 1 máy tính độc lập ,dùng Windows Server 2003 để triển khai ISA-2K6
Các bước triển khai bao gồm :
– Cấu hình thông số TCP/IP và cài đặt ISA-2K6
– Cấu hình các ISA-Clients trong mạng nội bộ
– Khai báo trên ISA-2K6 các thành phần trong mạng nội bộ như :VIP, USER, SERVER
– Thiết lập các Access Rules, Application Filer trên ISA-2K6 để kiểm soát các giao dịch
– Cấu hình ISA-2K6 để nhận biết và ngăn chặn các tấn công từ bên ngoài Internet
– Thực hiện thống kê, báo cáo về các giao dịch thông qua ISA-2K6

Xem chi tiết…

7 – Server Publishing thông qua ISA Server 2006

I. Mô hình:

image007

II. Giới thiệu:
Mô hình tương tự bài Lab 6, phát sinh thêm yêu cầu sau :
– Công ty cần Publish một Web Server trong mạng nội ra ngoài Internet để các Client dù trong mạng nội bộ hay từ ngoài Internet đuề có thể truy cập cập
– Thiết lập cơ chế điều khiển từ xa với Remote Desktop sao cho Administrator có thể khiển Web Server từ một máy bất kỳ trong mạng nội bộ hoặc từ ngoài Internet

III. CÁC BƯỚC TRIỂN KHAI:
Bài Lab sử dụng các thành phần tương tự Lab-6 với 1 máy trong Network = SERVER dùng Windows Server 2003 để dùng làm Web Server (có thể dùng chung với máy Domain Controller)
Các bước thực hiện gồm :
– Xây dựng Web Server, Website (default) với Internet Information Service (IIS)
– Cấu hình cho phép truy cập Remote Desktop trên máy Web Server
– Cấu hình Access Rule và Publishing Rule trên ISA cho Web Server
– Cấu hình NAT Inbound trên Router ADSL
– Tạo Public Hostname bằng giao diện Domain Control Panel của Yahoo

Xem chi tiết…

8 – Hệ thống mở rộng & Kết nối WAN

I. Mô hình:

image008

M1: DC Sài Gòn (card CROSS)
M2: ISA Sài Gòn (2 card CROSS & LAN)
R1: Router ADSL 1 nối với switch.

AP: Access point nối port WAN với switch
M3: Giả lập laptop của nhân viên / khách hàng (card LAN / wireless card )
R2: Router ADSL 2 nối card LAN của M3 / M4
M4: ISA Hà Nội (2 card CROSS & LAN)
M5: Server Hà Nội (card CROSS)

II. Giới thiệu:
Doanh nghiệp mở rộng hoạt động kinh doanh và mở thêm chi nhánh ở Hà Nội. Từ đó, phát sinh một số nhu cầu:
– Nhân viên làm việc ngoài công ty cần kết nối an toàn đến hệ mạng Sài Gòn.
– Trao đổi dữ liệu an toàn giữa 02 hệ mạng Sài Gòn & Hà Nội khi doanh nghiệp không có đường thuê bao riêng.
– Khách hàng đến doanh nghiệp có thể dùng laptop kết nối không dây để truy cập internet.
– Nhân viên có thể dùng laptop kết nối không dây để truy cập internet và truy cập tài nguyên mạng nội bộ.

III- Các bước triển khai:
Bài Lab phát triển từ mô hình của Lab-7 đươc xem như Site Saigon và các máy cho Site Hanoi dùng mô hình mạng Workgroup bao gồm :
– 01 máy Windows Server 2003 dùng làm ISA-2K6 (M4)
– 01 máy Windows Server 2003 dùng làm Server (M5)
Để đáp ứng các yêu cầu nêu trên , các giải pháp đuọc đề nghị bao gồm
– Thiết lập kết nối VPN Client to Gateway qua ISA server.
– Thiết lập kết nối Gateway to Gateway qua ISA server giữa 2 văn phòng Sài Gòn & Hà Nội.
– Thiết lập Wireless Access Point và cấu hình ISA server.

Xem chi tiết…

9 – Chia Site logic cho Domain Network

I. Mô hình:image009

II. Giới thiệu:
Trong bài Lab 8, chi nhánh Hà Nội sử dụng mô hình Workgroup, nhưng do số lượng nhân viên tại site Hà Nội tăng lên , nên phát sinh nhu cầu
– Tại site Hanoi sử dụng cùng Domain Network với Site Saigon để quản lý tập trung
– Xây dựng thêm Domain Controller tại site Saigon để duy trì quá trình đăng nhập khi Domain Controller hiện tại có sự cố
– Mỗi site duy trì quá trình đăng nhập độc lập khi kết nối VPN bị lỗi

III. Các bước triển khai:
Để đáp ứng các yêu cầu nêu trên , các bước thực hiện bao gồm:
– Xây dựng thêm máy Additional Domain Controller (DC2) tại site Saigon
– Xây dựng thêm máy Additional Domain Controller (DC3) tại site Hanoi
– Cấu hình chia site logic cho Domain Network

Xem chi tiết…

10 – Xây dựng Child Domain

I. Mô hình: (như bài lab 9)

II. Giới thiệu:
Do sự phát triển, mở rộng tại Site Saigon và từ đó phát sinh nhu cầu phân cấp trong quản lý, Doanh nghiệp có yêu cầu tạo nên hệ thống Chi Nhánh (Child Domain) trong Site Saigon với mục đích:
– Có thể xây dựng hệ thống Account Policy dộc lập cho Chi Nhánh
– Cô lập quyền của Administrator chịu trách nhiệm quản lý Chi Nhánh
– Tối ưu hóa quy trình đồng bộ (Replication) giữa các Domain Controller trong toàn Domain

III. Các bước thực hiện:
Xây dựng từ bài Lab-9 với Domain = Nhatnghe.Local, xây dựng thêm hệ thống Chi Nhánh (Child Domain) = SG.Nhatnghe.Local
Các máy cần dùng cho Child Domain gồm : 01 máy Windows Server 2003 dùng làm Domain Controller cho Child Domain SG.Nhatnghe.Local
Các bước tiến hành bao gồm :
– Tại Site Saigon, tạo Forward Lookup Zone: sg.nhatnghe.local
– Tại Site Saigon, nâng cấp Primary DC cho Domain sg.nhatnghe.local
– Cấu hình Global Catalog Server và Secondary DNS Server trên Domain Controller của domain sg.nhatnghe.local
– Cấu hình Account Policy cho Domain sg.nhatnghe.local
– Tạo User trên domain con, kiểm tra Password Policy
– Kiểm tra quyền Domain Admins của Domain sg.nhatnghe.local

Xem chi tiết…

Categories: NETWORK - SECURITY

GIẢI PHÁP MAIL VÀ INSTANT MESSAGING VỚI WINDOWS LIVE CUSTOM DOMAINS

October 15, 2008 2 comments

Để triển khai hệ thống e-mail với tên miền riêng, chúng ta có các giải phải như: Mail Online, Mail Offline, hoặc giải pháp có chi phí “mềm” hơn như Google Application.

Và để phục vụ cho nhu cầu Instant Messaging, chúng ta thường sử dụng Yahoo Messenger, Hotmail, Live Messenger… Nhưng nếu hệ thống chúng ta có nhu cầu sử dụng Instant Messaging với tên miền riêng thì thông thường chúng ta phải triển khai Micosoft Office Communication 2007…

Mục đích của bài viết này là chúng tôi sẽ trình bài cách triển khai hệ thống Mail và Instant Messaging bằng dịch vụ Windows Live Custom Domains với tên miền riêng và có chi phí không đáng kể

live_is_good

Bài lab bao gồm các bước:

1. Đăng ký Windows Live Custom Domain

2. Cấu hình DNS Record trên Internet Domain

3. Tạo E-mail Account

4. Kiểm tra gởi và nhận E-mail

5. Instant Messaging với Windows Live Messenger

6. Đưa giao diện Account Sign-Up lên Web Site

NỘI DUNG BÀI LAB

Categories: NETWORK - SECURITY

WEB SERVER SECURITY

September 27, 2008 Leave a comment

del.icio.us Tags:

Để một WebServer an toàn trước những tấn công từ bên ngoài thì ta cần có một tường lửa (ISA Server). Theo những gì ta đã biết thì ta cần phải có 2 máy (1 máy làm WebServer, 1 máy làm Firewall), tuy nhiên với mô hình doanh nghiệp vừa và nhỏ ta chỉ có được một Server đặt trên các ISP (FPT, VDC …). Vì vậy trong bài lab này sẽ trình bày cách cài đặt dịch vụ Web Services và ISA trên cùng một Server vật lý.

Bài lab bao gồm các bước:
Phần 1 : Cài đặt và cấu hình ISA Server

1. Cài đặt card loopback, cấu hình WebServer lắng nghe trên card loopback
2. Cài đặt ISA Server
3. Tạo Rules và Public các dịch vụ

Phần 2 : Bảo mật WebServer

1. Bảo mật AdminCP với tools IIS Password
2. Bảo mật Webserver với tools ServerMask
3. Hiệu chỉnh Local Security Policy

Nội dung bài lab

Categories: NETWORK - SECURITY

TCP/IP (Part 1)

August 24, 2008 3 comments

Truớc khi bạn lấy được bằng lái xe, bạn phải qua được một bài thi viết về luật giao thông. Tương tự như vậy, trước khi bạn vào “siêu xa lộ thông tin”, bạn phải hiểu về các protocol điều khiển luồng thông tin. Bài này giới thiệu với bạn các luật như thế, được gọi là Transmission Control Protocol/Internet Protocol (TCP/IP). Bạn sẽ học những luật này và xem chúng ảnh hưởng trên đường truyền giao tiếp như thế nào, nhằm mục đích giúp bạn có thể tự phòng thủ một cách tốt nhất trước các tấn công của hacker.

Bất kỳ lúc nào bạn kết nối vào Internet bằng đường điện thoại hoặc bằng một đường truyền băng thông rộng là máy tính của bạn đã trở thành một phần của World Wide Web. Nếu bạn có thể yêu cầu truy cập vào máy tính giữ địa chỉ của http://www.microsoft.com thì mọi nhân vật ở microsoft.com cũng có thể kết nối vào máy tính của bạn. Các lý giải tương tự tiếp theo đây sẽ minh họa cho liên kết vừa nói, bằng cách so sánh giữa cơ sở hạ tầng của Internet và các con đường nối liền các ngôi nhà lại với nhau.

tcp-ip

Máy tính cũng giống như một ngôi nhà

Một ngôi nhà và tương quan của nó với đường vào nhà, với các con đường xung quanh cũng tương tự như một máy tính và tương quan của nó với Internet . Hãy tưởng tượng ra một căn nhà nằm tách biệt giữa rừng. Nó sẽ là mục tiêu khó gặm đối với một tên trộm. Dĩ nhiên là tên trộm vẫn có thể lội bộ xuyên qua khu rừng và lấy đi một số món đồ nhỏ nào đấy, nhưng nếu để lấy nhiều đồ, hắn sẽ phải vác chúng một quãng đường dài để ra khỏi khu vực hoang sơ đó.

Một ngôi nhà biệt lập cũng giống như một máy tính không kết nối vào Internet. Mặc dù một hacker có thể tiếp cận nơi ở của nạn nhân, đột nhập hẳn hòi vào nhà và lấy trộm thông tin trong máy tính của cô ta, nhưng làm như vậy sẽ phải tốn nhiều công sức mà lại quá mạo hiểm. Vấn đề ngược lại sẽ xảy ra cho những kết nối Internet “lúc nào cũng online” như kết nối bằng modem DSL hay modem cáp. Vì những kết nối như vậy luôn tạo sẵn con đường từ Internet vào máy tính của bạn, cho nên một hacker luôn có thể dễ dàng sờ mó đến các tài sản của bạn.

Các port trên máy tính của bạn chính là các cửa sổ và cửa đi

Các port chính là các “cổng” ảo mà qua đó thông tin đi vào và đi ra khỏi máy tính của bạn. Khi bạn kết nối vào Internet, có tới 65.534 port có thể dùng được. Điều này không có nghĩa là tất cả các port này đều mở hoặc đều được sử dụng; đơn giản chúng chỉ dành sẵn cho các chương trình trên máy của bạn khi cần đến.

Khi máy tính của bạn kết nối vào Internet, một số port sẽ được mở mặc định (default port). Tuy nhiên, nhiều chương trình (ví dụ như một Web server hay một ftp server) sẽ mở thêm một số port nữa (extra port). Đa số trong các chương trình này luôn chạy ở những port mặc định và cố định (fixed port). Như thế, nếu một hacker tiếp cận và truy vấn về tất cả các port đang mở trên máy tính của bạn, anh ta có thể nói được dễ dàng danh mục các chương trình có liên quan đến Internet mà bạn đang chạy. Ví dụ, nếu bạn có một ftp server đang chạy thì port 21 sẽ mở.

Có thể dễ dàng so sánh các port với các cửa đi và cửa sổ của một ngôi nhà. Mỗi ngôi nhà đều có sẵn một bộ gồm các cửa đi và cửa sổ. Có cửa sau, cửa trước, cửa nhà xe, và thường có cả cửa hông nữa. Việc đầu tiên mà các tên trộm thường tìm kiếm là một lối đột nhập dễ dàng. Không cần phải phá lỗ trên tường, khi mà một cửa đi hoặc một cửa sổ là đủ để vào. Đấy là những gì mà một hacker sẽ làm khi anh ta rà quét (scan) để tìm những port đang mở trên máy tính của bạn. Hacker tìm kiếm các port đang mở và có thể truy cập được.

computer-security_7447

Tuy nhiên, với một port đang mở thì chưa chắc một hacker có thể chui vào được. Để có thể “hack” được, port này phải có cho phép truy cập. Ví dụ, mỗi lúc bạn kết nối với microsoft.com, máy tính của bạn thực ra đã kết nối với port 80 trên máy server của Microsoft. Dù sao đi nữa, bạn cũng không thể làm gì được ngoài chuyện đọc các trang Web thông qua port này. Điều đó bảo vệ các thông tin của Web server khỏi bị các hacker quậy phá. Nếu microsoft.com cho phép những người lướt Web (surfer) xóa hoặc thay đổi nội dung trang Web, chắc microsoft.com không giữ được trang Web của mình lâu như vậy. Nếu chương trình Web server bị cấu hình sai (misconfigure), hoặc nếu có một lỗi về lập trình trong phần mềm Web server, các hacker có thể chiếm quyền truy cập trái phép.

Phần mềm bị cấu hình sai có thể so sánh với một cửa đi hoặc một cửa sổ quên khóa. Ăn trộm không phải bao giờ cũng “khoét vách” để vào nhà. Thay vào đó, đầu tiên họ sẽ tìm cửa sổ hoặc cửa đi không khóa để vào cho dễ. Phần mềm bị cấu hình sai thường luôn là mục tiêu tấn công của các hacker Internet.

Đường và xa lộ Internet

Du hành trên Internet có thể là chuyện nhỏ mà cũng có thể là chuyện lớn. Một máy tính của người dùng có thể lang thang đến cách nó vài dặm, hoặc cũng có thể đi tuốt đến bên kia trái đất. Nó có thể cũng đơn giản giống như lái xe đến nhà một người bạn ở cách năm dặm, hay là gửi một thông tin kỹ thuật số ở khoảng cách gần. Khi khoảng cách tăng lên, việc kết nối bắt đầu phức tạp lên theo.

Ví dụ, để đi mua sắm ở một khu thương xá, bạn có thể chỉ cần ra khỏi nhà, ra đường nhánh, quẹo lên đường chính để lên xa lộ, chạy đến lối rẽ vào khu thương xá, qua cổng, đậu xe vào bãi. Quá trình cũng diễn ra tương tự khi máy tính gửi thông tin đi trên Internet.

internet

Khi bạn yêu cầu một trang Web, sự việc xảy ra giống như bạn gửi đi nhiều toa xe nhỏ chứa thông tin. Những gói tin này đi dọc theo line điện thoại hoặc đường cáp đến nhà cung cấp dịch vụ Internet (ISP), và sau đó sẽ được gửi tiếp ra một trong những đường cáp quang truyền tốc độ cao xuyên lục địa. Khi tín hiệu đến gần đích, nó nhảy khỏi đường cáp quang và đi đến ISP đang nắm giữ địa chỉ của trang Web; sau đó kết nối với máy Web server ta cần. Trong trường hợp này, lời yêu cầu một trang Web sẽ chỉ giống như vài chiếc xe hơi (gói tin nhỏ) đi đến địa chỉ mong muốn, trong khi dữ liệu trả về từ trang Web sẽ gồm rất nhiều toa xe.

(còn tiếp)

———————————

Tài liệu tham khảo : Windows Internet Security – Protecting Your Critical Data (Seth Forgie & Dr. Cyrus Peikari)

Categories: NETWORK - SECURITY