Category: NETWORK – SECURITY

Sau định dạng .SWF (Shockwave Flash) là định dạng .FLV (Flash Video) ngày càng trở nên phổ biến. Tuy nhiên với một Server Windows sử dụng IIS thì mặc định chỉ hiểu và hiển thị .SWF chứ không hiểu .FLV, muốn trang web xuất được định dạng này bạn cần phải khai báo MIME (Multipurpose Internet Mail Extensions) trong IIS.

– Chọn site cần cấu hình, R.Click chọn "Properties"

– Bên dưới tab HTTP Headers, chọn "File Types"

– Trong File Types chọn "New Type" và khai báo :

+ Associated extension : .flv

+ Content type (MINE) : video/x-flv

– Restart lại IIS.

Bạn có thể khai báo các loại MINE khác, tham khảo tại đây

I- GIỚI THIỆU CHUNG

Hệ thống địa chỉ IPv4 hiện nay không có sự thay đổi về cơ bản kể từ RFC 791 phát hành 1981. Qua thời gian sử dụng cho đến nay đã phát sinh các yếu tố như :

– Sự phát triển mạnh mẽ của hệ thống Internet dẫn đến sự cạn kiệt về địa chỉ Ipv4

– Nhu cầu về phương thức cấu hình một cách đơn giản

– Nhu cầu về Security ở IP-Level

– Nhu cầu hỗ trợ về thông tin vận chuyển dữ liệu thơi gian thực (Real time Delivery of Data) còn gọi là Quality of Service (QoS)

– …

Dựa trên các nhược điểm bộc lộ kể trên, hệ thống IPv6 hay còn gọi là IPng (Next Generation : thế hệ kế tiếp) được xây dựng với các điểm chính như sau :

1- Đinh dạng phần Header của các gói tin theo dạng mới

Các gói tin sử dụng Ipv6 (Ipv6 Packet) có cấu trúc phần Header thay đổi nhằm tăng cương tính hiệu quả sử dụng thông qua việc dời các vùng (field) thông tin không cần thiết (non-essensial) và tùy chọn (Optional) vào vùng mở rộng (Extension Header Field)

2- Cung cấp không gian địa chỉ rộng lớn hơn

3- Cung cấp giải pháp định tuyến (Routing) và định vị địa chỉ (Addressing) hiệu quả hơn

-Phương thức cấu hình Host đơn giản và tự động ngay cả khi có hoặc không có DHCP Server

(stateful / stateless Host Configuration)

4- Cung cấp sẵn thành phần Security (Built-in Security)

5- Hỗ trợ giải pháp Chuyển giao Ưu tiên (Prioritized Delivery) trong Routing

6- Cung cấp Protocol mới trong việc tương tác giữa các Điểm kết nối (Nodes )

7- Có khả năng mở rộng dễ dàng thông qua việc cho phép tạo thêm Header ngay sau Ipv6 Packet Header

 

II- ĐỊA CHỈ IPv6

1- Không gian địa chỉ IPv6

Địa chỉ IPv6 (IPv6 Adddress) với 128 bits địa chỉ cung cấp khối lượng tương đương số thập phân là

2¹²⁸ hoặc 340,282,366,920,938,463,463,374,607,431,768,211,456 địa chỉ

so với IPv4 với 32 bits địa chỉ cugn cấp khối lượng tương đương số thập phân là

2³² hoặc 4,294,967,296 địa chỉ

 

2-Hình thức trình bày

IPv6 Address gồm 8 nhóm, mỗi nhóm 16 bits được biểu diển dạng số Thập lục phân (Hexa-Decimal)

Vd-1 : 2001:0DB8:0000:2F3B:02AA:00FF:FE28:9C5A

(1) (2) (3) (4) (5) (6) (7) (8)

Co thể đơn giản hóa với quy tắc sau :

– Cho phép bỏ các số không (0) nằm phía trước trong mỗi nhóm

– Thay bằng 1 số 0 cho nhóm có giá trị bằng không

– Thay bằng :: cho các nhóm liên tiếp có giá trị bằng không

Như vậy địa chỉ ở Vd-1 có thể viết lại như sau :

Vd-2 : 2001:DB8:0:2F3B:2AA:FF:FE28:9C5A

Vd-3 : địa chỉ = FE80:0:0:0:2AA:FF:FE9A:4CA2

Có thể viết lại = FE80::2AA:FF:FE9A:4CA2

(*) Lưu ý : phần Giá trị đầu (Prefix) được xác định bởi Subnet Mask IPv6 tương tự IPv4

Vd-4 : 21DA:D3::/48 có Prefix = 21DA:D3:0 (48 bits)

hoặc 21DA:D3:0:2F3B::/64 có Prefix = 21DA:D3:0:2F3B ( 64 bits)

 

Chú thích : Để không bị bỡ ngỡ, chúng ta nên lưu ý về một số khái niệm trước khi nói về địa chỉ của IPv6 Host a) Link-Local : khái niệm chí về các Host kết nối cùng hệ thống thiết bị vật lý (tạm hiểu Hub, Switch) b) Site-Local : khái niệm chỉ về các Host kết nối cùng Site c) Node : điểm kết nối vào mạng (tạm hiểu là Network Adapter). Mỗi Node sẽ có nhiều IPv6 Address cần thiết (Interface Address) dùng cho các phạm vi (Scope), trạng thái (State), vận chuyển (Tunnel) khác nhau thay vì chỉ có 1 địa chỉ cần thiết như IPv4 d) Do vậy khi cài đặt IPv6 Protocol trên một Host, mỗi Network Adapter sẽ có nhiều IPv6 Address gán cho các Interface khác nhau

3-Các loại IPv6 Address

a- Unicast

Unicast Address dùng để định vị một Interface trong phạm vi các Unicast Address. Gói tin (Packet) có đích đến là Unicast Address sẽ thông qua Routing để chuyển đến 1 Interface duy nhất

b- Multicast

Multicast Address dùng để định vị nhiều Interfaces. Packet có đích đến là Multicast Address sẽ thông qua Routing để chuyển đến tất cả các Interfaces có cùng Multicast Address

c-Anycast

Anycast Address dùng để định vị nhiều Interfaces. Tuy vậy, Packet có đích đến là Anycast Address sẽ thông qua Routing để chuyển đến một Interfaces trong số các Interface có cùng Anycast Address, thông thường là Interface gần nhất (khái niệm Gần ở đây được tính theo khoảng cách Routing)

Trong các trường hợp nêu trên, IPv6 Address được cấp cho Interface chứ không phải Node, một Node có thể được định vị bởi một trong số các Interface Address

IPv6 không có dạng Broadcast, các dạng Broadcast trong IPv4 được xem như tương đương Multicast trong Ipv6

 

4-Các loại IPv6 – Unicast Address

IPv6 Unicast Address gồm các loại :

· Global unicast addresses

· Link-local addresses

· Site-local addresses

· Unique local IPv6 unicast addresses

· Special addresses

a-Global unicast addresses (GUA)

GUA là địa chỉ IPv6 Internet (tương tự Public IPv4 Address). Phạm vi định vị của GUA là tòan bộ hệ thống IPv6 Internet (RFC 3587)

001 : 3 bits đầu luôn có giá trị = 001 nhị phân (Binary – bin) (Prefix = 001 /3)

Global Routing Prefix : gồm 45 bits. Là địa chỉ được cấp cho một tổ chức, Công ty / Cơ quan ..(Organization) khi đăng ký IPv6 Internet Address (Public IP)

Subnet ID : gồm 16 bits. Là địa chỉ tự cấp trong tổ chức để tạo các Subnets

Interface ID : gồm 64 bits. Là địa chỉ của Interface trong Subnet

Có thể đơn giản hóa thành dạng như sau (Global Routing Prefix = 48 bits)

 

(*) Các địa chỉ Unicast trong nội bộ (Local Use Unicast Address) : gồm 2 loại : Link-Local Addresses : gồm các địa chỉ dùng cho các Host trong cùng Link và Neighbor Discovery Process (quy trình xác định các Nodes trong cùng Link) Site-Local Addresses : gồm các địa chỉ dùng để các Nodes trong cùng Site liên lạc với nhau

b-Link-local addresses (LLA)

LLA là địa chỉ IPv6 dùng cho các Nodes trong cùng Link liên lạc với nhau (tương tự các địa chỉ IPv4 = 169.254.X.X). Phạm vi sử dụng của LLA là trong cùng Link (do vậy có thể bị trùng lặp trong các Link)

Khi dùng HĐH Windows, LLA được cấp tự động với cấu trúc như sau :

64 bits đầu = FE80 là giá trị cố định (Prefix = FE80 :: / 64)

Interface ID = gồm 64 bits . Kết hợp với Physical Address của Netwoprk Adapter (nói ở phần sau)

c-Site-local addresses (SLA)

SLA tương tự các địa chỉ Private IPv4 (10.X.X.X, 172.16.X.X, 192.168.X.X) được sử dụng trong hệ thống nội bộ (Intranet). Phạm vi sử dụng SLA là trong cùng Site.

(*) Site : là khái niệm để chỉ một phần của hệ thống mạng tại các tọa độ địa lý khác nhau

1111 1110 11 = 10 bits đầu là giá trị cố định (Prefix = FEC0 /10)

Subnet ID : gồm 54 bits dùng để xác địng các Subnets trong cùng Site

Interface ID : gồm 64 bits. Là địa chỉ của Interfaces trong Subnet

 

(*) Chú thích Với cấu trúc như trình bày ở phần trên, các Local Use Unicast Address (Link-local, Site Local) có thể bị trùng lặp (trong các Link khác, Site khác). Do vậy khi sử dụng các Local Use Unicast Addresss có 1 thông số định vị được thêm vào (Additional Identifier) gọi là Zone_ID với cú pháp : Address%Zone_ID Vd-5 : ping fe80::2b0:d0ff:fee9:4143%3 Zone_ID = %3. Trong đó : Address = Local-Use Address (Link-Local / Site-Local) Zone ID = giá trị nguyên, giá trị tương tương đối (so với Host) xác định Link hoặc Site. Trong các Windows-Based IPv6 Host, Zone ID được xác định như sau : + Đối với Link-Local Address (LLA) : Zobe ID là số thứ tự của Interface (trong Host) kết nối với Link. Có thể xem bằng lệnh : netsh interface ipv6 show interface + Đối với Site-Local Address (SLA) : Zone ID là Site ID, được gán cho Site trong Organization. Đối với các Organization chỉ có 1 Site, Zone ID = Site ID = 1 và có thể xem bằng lệnh :  netsh interface ipv6 show address level=verbose

d-Unique- local addresses (ULA)

Đối với các Organization có nhiều Sites, Prefix của SLA có thể bị trùng lặp. Có thể thay thể SLA bằng ULA (RFC 4193), ULA là địa chỉ duy nhất của một Host trong hệ thống có nhiều Sites với cấu trúc:

111 110 : 7 bits đầu là giá trị cố định FC00/7. L=0 : Local à Prefix =FC00 /8

Glocal ID : địa chỉ Site (Site ID). Có thể gán tùy ý

Subnet ID : địa chỉ Subnet trong Site

Với cấu trúc này, ULA sẽ tương tự GUA và khác nhau ở phần Prefix như sau :

e- Các địa chỉ đặc biệt (Special addresses)

Các địa chỉ đặc biệt trong IPv6 gồm :

0:0:0:0:0:0:0:0 : địa chỉ không xác định (Unspecified address)

0:0:0:0:0:0:0:1 : địa chỉ Loopback (tương đương IPv4 127.0.0.1)

IPv4-Cpompatible Address (IPv4CA) :

Format : 0:0:0:0:0:0:w.x.y.z Trong đó w,x,y,z là các IPv4 Address

Vd : 0:0:0:0:0:0:0:192.168.1.2

IPv4CA là địa chỉ tương thích của một IPv4/IPv6 Node. Khi sử dụng IPv4CA như một IPv6 Destination, gói tin sẽ được đóng gói (Packet) với IPv4 Header để truyền trong môi trường IPv4

IPv4-mapped address (IPv4MA)

Format : 0:0:0:0:0:FFFF:w.x.y.z (::FFFF:w.x.y.z) Trong đó w,x,y,z là các IPv4 Address

Vd : 0:0:0:0:0:FFFF:192.168.1.2

IPv4MA là địa chỉ của một IPv4 Only Node đối với một IPv6 Node, IPv4MA chỉ có tác dụng thông báo và không được dùng như Resource hoặc Destination Address

6to4 Address

Là địa chỉ sử dụng trong liên lạc giữa các IPv4/IPv6 nodes trong hệ thống hạ tầng IPv4 (IPv4 Routing Infrastructure). 6to4 được tạo bởi Prefix gồm 64 bits như sau :

Prefix = 2002/16 + 32 bits IPv4 Address =64 bits

6to4 Address là địa chỉ của Tunnel (Tulneling Address) định nghĩa bởi RFC 3056

5-Các loại IPv6 – Multicast Address

Multicast Address của IPv6 Node có họat động tương tự Maulticast trong IPv4. Một IPv6 Node có thể tiếp nhận tín hiệu của nhiều Multicast Address cùng lúc. IPv6 Node có thể tham gia hoặc rời khỏi một IPv6 Multicast Address bất kỳ lúc nào

Ví dụ về một số IPv65 Multicast Address được sử dụng :

FF01::1 (interface-local scope all-nodes multicast address)

FF02::1 (link-local scope all-nodes multicast address)

FF01::2 (interface-local scope all-routers multicast address)

FF02::2 (link-local scope all-routers multicast address)

FF05::2 (site-local scope all-routers multicast address)

Solicited-Node Address (SNA)

Là địa chỉ sủ dụng trong quy trình phân giải để cấp địa chỉ LLA (Link-Local Address) tự động cho các Node (tương tự quy trình tự cấp địa chỉ 169.254.X.X trong IPv4)

SNA có dạng : FF02:0:0:0:0:1:FF / 104 + 24 bits địa chỉ MAC

6-Các loại IPv6 – Anycast Address

Anycast Address có thể gán cho nhiều Interfaces, gói tin chuyển đến Anycast Address sẻ được vận chuyển bởi hệ thống Routing đến Interface gần nhất. Hiện nay, Anycast Address chỉ được dùng như Destination Address và gán cho các Router

IPv6 – Interface ID

Trong tất cả các loại địa chỉ nói trên đều có giá trị Interface ID dùng để xác định Interface. Giá trị Interface ID được xem xét và tạo nên theo các yếu tố sau :

– Xác định bởi Extended Unique Identifier (EUI)-64 Address (*) . EUI-64 Address có thể do gán hoặc kết hợp với MAC (physical) Address của Network Adapter (Window XP / Windows 2k3)

– Được gán tạm thời với giá trị ngẫu nhiên (**) (RFC 3041)

– Được tạo thành bởi Link-layer address hoặc Serial Number khi cấu hình Point-to-Point Protocol (PPP)

– Tự cấp (manual address configuration)

– Là một giá trị phát sinh ngẫu nhiên và gán thường trực cho Interface (Windows Vista / LogHorn)

Extended Unique Identifier (EUI)-64 Address (*)

EUI-64 Address xác định phưong thức tạo 64 bits Interface ID bằng cách kết hợp Mac Address của Network Adapter (48 bits) theo quy tắc như sau :

Mac Address = 6 nhóm 8 bits = 48 bits. Trong đó 24 bits là mã nhà sản xuất, 24 bits là mã số Adapter

Bước 1 : Tách đôi MAC Address làm 2 nhóm (mổi nhóm 24 bits), chèn vào giữa 16 bits giá trị FFFE

Bước 2 : Đảo ngược giá trị bit thứ 7 của nhóm đầu

Ví dụ : Network Adapter có MAC address = 00-AA-00-3F-2A-1C

Bước 1 à 00-AA-00-FF:FE-3F-2A-1C

Bước 2 à 02-AA-00-FF-FE-3F-2A-1C à Interface ID = 02AA:00FF:FE3F:2A1C (64 bits)

1. SSL là gì ?

Client vào trang web của www.amazon.com để mua sách và trả tiền bằng thẻ tín dụng. với protocol HTTP chạy ở port 80, mọi thông tin gửi và nhận trên đường truyền đều ở dạng clear text. Nhưng trên Internet có vô số kẻ xấu, luôn rình rập đẻ sniff các thông tin (capture hòng lấy được user name, password, số credit card…). Vì vậy, trong các giao dịch trên internet, cụng là web nhưng phải mã hóa dữ liệu. lúc đó sẽ sử dụng HTTPS chạy ở port 443, và phải có key để mã hóa.

Có ba cơ chế phát sinh key đã biết :

– Preshared key : không dùng được trong trường hợp này, vì client và Amazon là 2 người xa lạ.

– Kerberos : càng không được vì client và Amazon không ở cùng một domain.

– Certificate Authority (CA) : dường như là tốt, nhưng thật ra là dư. Dư vì nếu dùng certificate, hai bên có thể verify lẫn nhau. ở đây đang chỉ có nhu cầu verify một chiều – tức chỉ có client đang cần verify Web-server xem có đúng là Amazon không, trước khi dùng key nào đó mã hóa các thông tin nhạy cảm để gởi đi.

Công ty Netspace đã cung cấp một tiêu chuẩn mã hóa dữ liệu dùng trong trường hợp này. Đó là SSL (Secure Socket Layer). Trong SSL, giả định rằng chỉ cần server có certificate là đủ, client không cần.

Nhưng nếu client không có certificate, làm sao hai bên trao đổi key được ? Quá trình trao đổi key diễn ra trong 6 bước :

B1. Client chủ động phát sinh một “Key”.

B2. Client yêu cầu Webserver gửi certificate của Webserver.

B3. Nhận được certificate của Webserver, client kiểm tra tính toàn vẹn của public key “p_a”.

B4. Nếu “p_a” còn tốt, client đem “Key” mã với “p_a”, ra được “Cipher”.

B5. Client gửi “Ciper” cho Webserver.

B6. Webserver dùng private key “q_a” của mình để giải mã “Cipher” ra lại “Key”.

Nói cách khác, SSL (Secure Socket Layer) là loại CA đặc biệt, verify một chiều. Sáu bước vừa trình chỉ để hiểu bản chất vấn đề. Trong thực tế, để chạy được SSL, Web-server chủ cần đi xin sẵn một certificate là đủ. Còn đối với client, gần như là trong suốt, cứ việc gõ https thay vì http hoặc người Administrator có thể cấu hình redirect sẵn trên webserver, client chỉ việc gõ http là vào https .

2. Bài LAB

– Cài đặt IIS (Internet Information Services) và tạo trang web defauft, truy cập bằng http://localhost/ bình thường. Nhưng truy cập theo https://localhost/ sẽ không được.

– Đi xin certificate cho Webserver : chạy IIS Manager, vào Web Sites, chọn Default Web Site Properties – tab Directory Security – mục Secure Commnunications – Nút Server Certificate và làm theo wizzard.

– Sau khi xin certificate thì xem lại bằng nút View Certificate.

– Client truy cập lại trang web default bằng https://localhost/ sẽ có thông báo về security nhưng không quan trọng, chọn nút Yes sẽ truy cập tốt.

Trong thực tế, client có thể chọn nút View Certificate để xem certificate của Web-server, nhất là xem Root CA. Nếu Root CA của Web-server chưa nằm trong trusted list, client phải add certificate của Root Ca vào trusted list bằng tay. Lúc đó, nếu đúng là Web-server tin tưởng được thì chọn nút Yes để tiếp tục trao đổi thông tin.

Phần 1: Triển khai nhiều server chạy song song trên Windows Server 2003 AD

Nội dung của phim lab là hướng dẫn triển khai cài đặt vả cấu hình hệ thống AD có nhiều Domain Controller, Global Catalog Server và DNS Server chạy song song.

Phim lab gồm các bước :

1. Nâng cấp Primary Domain Controller
2. Join Domain
3. Nâng cấp Additional Domain Controller
4. Cấu hình Global Catalog
5. Cài đặt và cấu hình Secondary DNS Server

Tiếp theo phần 1, sau khi các bạn đã cài đặt thành công ISA Server 2006, các bạn cần phải tạo ra các Access Rule để quản lý mọi gói tin ra vào hệ thống. Trong phần 2 sẽ hướng dẫn cách tạo các Access Rule phù hợp với nhu cầu của các doanh nghiệp hiện nay.

Bài lab bao gồm các bước:

1. Kiểm tra Default Rule

2. Tạo rule truy vấn DNS để phân giải tên miền

3. Tạo rule cho phép các user thuộc nhóm Manager truy cập Internet không hạn chế

4. Tạo rule cho phép các user thuộc nhóm Staff chỉ được phép truy cập 1 số trang web trong giờ hành chánh

5. Tạo rule cho phép các user thuộc nhóm Staff được truy cập web trong giờ giải lao, ngoại trừ trang ngoisao.net

6. Tạo rule cho phép user có thể kết nối mail yahoo bằng Outlook Express

7. Không cho nghe nhạc trực tuyến, cấm chat Yahoo Messenger, cấm download file có đuôi .exe

8. Cấm truy cập một số trang web, nếu truy cập sẽ tự động chuyển đến trang web cảnh báo của công ty

Nội dung bài LAB

ISA Server 2006 là phiên bản mới nhất của sản phẩm Microsoft  ISA Server. Về giao diện thì ISA 2006 giống ISA 2004 đến 90%. Tuy nhiên, nó có những tính năng mới nổi trội hơn mà ISA 2004 vẫn còn hạn chế, chẳng hạn như:

+ Phát triển hỗ trợ OWA, OMA , ActiveSync và RPC/HTTP pubishing

+ Hổ trợ SharePoint Portal Server

+ Hổ trợ cho việc kết nối nhiều certificates tới 1 Web listener

+ Hỗ trợ việc chứng thực LDAP cho Web Publishing Rules

+…

Ở phần 1 này, các bạn sẽ bắt đầu làm quen với ISA Firewall thông qua việc cài đặt ISA Server 2006 

 

Bài lab bao gồm các bước:

      1. Cài đặt ISA Server 2006

      2. Cài đặt và cấu hình Firewall Client

      3. Cấu hình Auto Discovery

      4. Tạo Access Rule để kiểm tra kết nối Internet

Nội dung bài LAB

 

Cốc cốc cốc
Ai gọi đó
Tôi là thỏ
Nếu là thỏ
Cho xem tai
Cốc cốc cốc
Ai gọi đó
Tôi là nai
Nếu là nai
Cho xem gạc
Cốc cốc cốc
Ai gọi đó
Tôi là gió
Nếu là gió
Xin mời vào

Bạn có đang nhớ về tuổi thơ của mình như tôi? Ừh, nhớ thật đó. Nhưng mà tôi vô cái blog này không phải để đọc đồng dao, đây là blog bảo mật thông tin kia mà? Ấy bạn đừng nóng, nào hãy cùng ngồi xuống với tôi, uống một ngụm trà (và vài con nghêu hấp xã chẹp chẹp) rồi ta cùng đi vào chủ đề chính nào.

Bạn thấy tiêu đề của bài viết này không? Authentication, tạm dịch là xác thực. Authentication là chữ A đầu tiên trong bộ tứ Authentication, Authorization, Availability và Authenticity như bốn trụ chống trời nâng đỡ thế giới bảo mật. Hôm nay chúng ta sẽ bàn về chữ A đầu tiên, nghĩa là đi tìm câu trả lời (hay tìm cách hỏi) cho câu hỏi: bạn có phải là người mà bạn tự nhận không?

Bạn và tôi mỗi ngày đều xác thực ít nhất vài lần, có khi là chúng ta xác thực người khác, có khi người khác xác thực chúng ta. Ví dụ như khi bạn đi gửi xe chẳng hạn, người ta sẽ cho bạn một mẩu giấy, mà thuật ngữ gọi là token, trên đó thường có ghi thông tin về chiếc xe của bạn (biển số chẳng hạn). Mẫu giấy này chính là một thứ gì đó mà bạn sở hữu (something you have) giúp bạn chứng minh với người giữ xe rằng: bạn chính là người chủ của chiếc xe. Chỉ có những người có mẩu giấy đó mới được phép lấy chiếc xe của bạn ra ngoài. Nhiệm vụ của bạn là phải giữ nó an toàn, mất là rất phiền toái đấy nhé.
Một ví dụ khác chính là bài đồng dao ở trên. Nếu bạn là thỏ ư, chắc hẳn tai bạn phải dài lắm, cho tôi xem đi nào rồi tôi mới tin. Ở đây, tôi xác thực bằng một đặc điểm trên cơ thể của bạn (something you are). Dấu vân tay, võng mạc hay giọng nói là những đặc điểm thường được sử dụng. Còn có một cách xác thực khác khá phổ biến, đó là dựa trên những điều mà bạn biết (something you know). Bạn đang chat trên Yahoo! Messenger? Thế làm sao bạn đăng nhập vào đó được? Bạn phải biết mật khẩu, chính mật khẩu là thông tin giúp Yahoo! xác thực bạn là chủ nhân của tài khoản đang đăng nhập. Tất cả những ai biết mật khẩu đều có thể đăng nhập vào tài khoản của bạn.

Ngoài ra còn một cách xác thực nữa là dựa vào sự tin tưởng (something you trust). Cách xác thực này thường được áp dụng trong các trường hợp những cá nhân đơn lẻ có nhu cầu xác thực danh tính lẫn nhau. Khi đó họ sẽ dựa vào một bên thứ ba mà cả hai cùng tin tưởng để làm trung gian. Ví dụ như người ta tin tưởng vào thông tin trong chứng minh thư của bạn không phải vì họ tin tưởng bạn mà vì họ tin tưởng vào tổ chức cấp chứng minh thư đó cho bạn, ở đây là cơ quan công an. Cũng có trường hợp họ áp dụng tính bắt cầu trong niềm tin để xác thực. Ví dụ như anh A tin chị B, chị B tin anh C, nên anh A sẽ tin anh C (vì anh A tin rằng chị B đã xác thực danh tính anh C trước đó rồi).

Cách xác thực bằng mật khẩu là cách thông dụng nhất vì tính đơn giản và dễ triển khai của nó. Tuy nhiên, qua thời gian cách này bộc lộ nhiều điểm yếu mà dễ thấy nhất là: mật khẩu rất dễ bị đánh cắp. Sự thực là bất kì thứ gì lưu trữ trên máy tính đều rất dễ bị đánh cắp. Nhưng tôi đâu có lưu mật khẩu trên máy tính đâu? Tôi nhớ chúng trong não và chỉ khi nào cần thiết tôi mới gõ chúng ra kia mà? Bạn có lưu đấy. Có thể bạn không lưu xuống ổ cứng nhưng khi bạn gõ ra nghĩa là bạn đang lưu mật khẩu của mình vào RAM. Và chỉ trong tích tắc, mật khẩu "tối mật" của bạn sẽ được chuyển đến tay một kẻ khác! Nhưng bạn an tâm, đã có rất nhiều giải pháp cho vấn đề này, trọn vẹn hay không trọn vẹn.

Tôi có mở tài khoản ở một ngân hàng, chủ yếu để nhận tiền lương từ công ty mà tôi làm chuyển vào. Tôi thường rút tiền thông qua máy ATM. Làm thế nào tôi chứng minh cho ngân hàng biết tôi là chủ tài khoản? Tôi phải trình ra được thẻ ATM của mình (something you have) và nhập vào đúng số PIN gắn với thẻ ATM đó (something you know). Rõ ràng cách làm này an toàn hơn việc chỉ sử dụng mật khẩu. Muốn đánh cắp tiền của tôi, kẻ trộm phải vừa chôm được thẻ ATM, vừa biết được mã PIN của tôi. Nói cách khác hắn phải chôm được hai yếu tố mới xác thực được.

Đây chính là ý tưởng chủ đạo của việc nâng câo tính an toàn khi xác thực: kết hợp nhiều yếu tố khác nhau (multi-factor authentication), mà thông dụng nhất là xác thực hai yếu tố (two-factor authentication) và xác thực ba yếu tố (three-factor authentication). Người ta sẽ gộp 4 yếu tố ở trên (thông thường là 3 yếu tố đầu), để tạo ra các tổ hợp yếu tố dùng để xác thực. Thông dụng nhất là sự kết hợp giữa something you know và something you have như cách làm của thẻ ATM. Dĩ nhiên bạn hoàn toàn có thể làm n-factor authentication với n > 3 nhưng lúc đó hệ thống của bạn sẽ chẳng có người nào sử dụng cả bởi vì nó quá bất tiện. Bảo mật bao giờ cũng phải là sự cân bằng giữa an toàn và tiện dụng. Vả lại, không có gì là an toàn tuyệt đối. Two-factor hay n-factor đi chăng nữa cũng chỉ giúp bạn giảm xác suất bị tấn công xuống một mức nào đó, nhưng không bao giờ là zero.
-mrro

 

TIN BUỒN

Gia đình vô cùng thương tiếc báo tin
Bé Iu-xơ Cu Tèo
Con bà Ắc-ti Đai-réc-tri
Cháu ông Đồ-men Cồng-tron-lơ
01 giờ 12 phút tuổi

Đã bị Bác sĩ sát thủ Đồ-men Át-min "lỡ tay" sát hại cách đây hai ngày khi đem Bé Cu Tèo ra làm vật thí nghiệm, hiện chưa tìm được xác, mặc dù Bác sĩ Đồ-men Át-min đã cố gắng tìm mọi thuốc men để cứu chữa cho cả gia đình (?).

Mặc dù tang gia vô cùng bối rối, nhưng vẫn tranh thủ "tám" với các nhân chứng và đã thu thập được các sự kiện sau :
– Tiếng hét thứ nhất : "Tui chưa chết mà sao Bác sĩ đòi hồi sinh, hồi sức cho tui ?"
– Lời đồn thứ nhất : "Bên Tàu có bán thuốc DSRM, uống chung với thuốc RMP sẽ chữa được bá bệnn, làm người chết tự động sống dậy".
– Tiếng hét thứ hai : "Bác sĩ ơi, con em bị liệt rồi !"
– Lời đồn thứ hai : "Uống thuốc DSRM thì hồn lìa khỏi xác, lúc đó muốn làm gì xác thì làm".

Sự thật về vụ án Cu Tèo và các tiếng hét cũng như các lời đồn đãi như thế nào, xin quí vị xem tiếp sẽ rõ

SỰ THẬT VỀ VỤ ÁN VÀ CÁC SỰ KIỆN

Tiếng hét thứ nhất : "Tui chưa chết mà sao Bác sĩ đòi hồi sinh, hồi sức cho tui ?"

Tiếng thét hãi hùng này là của bà Ắc-ti Đai-réc-tri lúc bà đang còn khỏe mạnh, chạy nhảy đùng đùng, không hề bị tê liệt, nhưng Bác Sĩ Đồ-men Át-min lại định đè ra làm vật lý trị liệu nhằm phục hồi chức năng vận động.
Khi bà này phản ứng thì Bác sĩ Đồ-men Át-min lại nghe được lời đồn về thuốc DSRM ở bên Tàu rất hiệu nghiệm.

Bạn đã backup System State cho máy Domain Controller (trong đó có các thông tin về Active Directory). Active Directory ở máy Domain Controller vẫn đang hoạt động, như vậy bạn không thể Restore trực tiếp System State được.

Hệ thống còn gợi ý cho bạn phải boot lại và chọn Directory Services Restore Mode mới có thể phục hồi được.

Tiếng hét thứ hai : "Bác sĩ ơi, con em bị liệt rồi !"

Lần này thì ông Đồ-men Cồng-tron-lơ hét đấy, sau khi ông uống lộn xộn hai ba thứ thuốc thì hình như bà Ắc-ti Đai-réc-tri liệt thật. Bà này liệt thật thì mới có hy vọng cứu sống Cu Tèo (?), nhưng Bác sĩ Đồ-men Át-min cho bệnh nhân uống thuốc mà lại không "Đọc kỹ hướng dẫn sử dụng trước khi dùng", thấy bà này liệt và được chương trình quảng cáo trên ti vi nhắc tuồng, chỉ lo làm cho bà này phục hồi chức năng vận động mà lại không lo cứu Cu Tèo, cứ tưởng thuốc Tàu tự cứu thằng bé rồi.

Lúc Domain Controller hoạt động, bạn muốn restore System State thì đương nhiên là không được, bây giờ đã vào DSRM, Windows chạy Safe Mode, không cho Active Directory hoạt động để bạn tiến hành các hoạt động restore đấy.

Lúc này, nếu bạn chạy chương trình Active Directory Users and Computers thì sẽ thấy thông báo như hình trên, cho thấy lúc này máy của bạn vừa giống như máy Workstation Local, vừa giống Domain Controller. Nếu lúc này bạn nóng lòng có Active Directory, restart lại Domain Controller và logon như Domain Admin bình thường thì coi như công cốc, file SAM trong Domain Controler vẫn sẽ như cũ, và user CuTeo vẫn không restore được (Vì có ai chạy chương trình Backup (BK) để restore đâu).

Lời đồn thứ hai : "Uống thuốc DSRM thì hồn lìa khỏi xác, lúc đó muốn làm gì xác thì làm".

Lời đồn này quá chính xác, nhưng Bác sĩ Đồ-men Át-min dù đã được xem phim về hai tiếng thét hãi hùng trước rồi, vẫn không chịu để ý. Đúng ra khi thấy bà Ắc-ti Đai-réc-tri liệt rồi, ông Đồ-men Cồng-tron-lơ mặt mày thấy ghê thì Bác sĩ phải cho ông này uống tiếp liều thuốc giải BK. Uống thuốc giải BK đúng cách thì Cu Tèo chắc chắn được cứu sống, không qua đời thảm thương như vậy.

Lúc đang trong DSRM-Safe Mode, bạn vẫn chạy được Backup (BK) như bình thường. Vì lúc này Active Directory không hoạt động, máy Domain Controller của bạn đang như một máy Workstation Local bình thường, cho nên bạn hoàn toàn có thể cho restore System State đã backup trước đó.

Nhớ chỉnh option restore cho đúng. Xong chầu restore, boot lại máy thì Domain Controller lại hoạt động bình thường và user CuTeo sẽ có lại như xưa.

Qua bài viết này bạn rút ra được gì ? Cái cần thiết của một Domains Administrator là phải luôn luôn chạy backup System State, đến khi Active Directory có sự cố thì cứ lôi file backup ra và sẽ có cách cứu mạng

*********
Bé Iu-xơ Cu Tèo : user CuTeo
Ắc-ti Đai-réc-tri : Active Direcroty
Đồ-men Cồng-tron-lơ : Domain Controller
Đồ-men Át-min : Domains Administrator