Ếch Con giở chiêu đột nhập vào WebServer của Tư Nòng Nọc

Lưu ý : Bài viết này là demo chứng minh cho tầm quan trọng của việc quản trị mạng chứ không phải hướng dẫn các bạn đi "chôm" pasword ! Đối với vai trò 1 Administrator thì không phải build up một network cho chạy là xong, mà phải kiểm soát và phải có phương hướng bảo mật cho network của mình. (Các tên nhân vật và tình huống câu chuyện là do tôi hư cấu)

****

Như các bạn đã theo dõi bộ truyện nhiều tập "CHÔM PASSWORD VÀ ĐỌC LÉN MAIL CỦA SẾP", đã biết qua các nhân vật như :

– Ếch Con là lính của Sếp Hai Nhái : thích tìm tòi học hỏi những cái mới và thích châm chọc những người tự cao tự đại.

– Tư Nòng Nọc là lính của Sếp Ba Cóc : thích khoe khoang mặc dù không biết gì, giang hồ có câu "Điếc hay ngóng, ngọng hay nói" thì Tư Nòng Nọc đã có 7 phần trong đó smile_embaressed

****

Cũng vào một dịp nhậu nhẹt tại quán Thu Nở có đầy đủ các nhân vật Hai Nhái, Ếch Con, Ba Cóc, Tư Nòng Nọc. Đang vào tháng 9 nên Phan Thiết có đặc sản là cá Tắc Kè và cá Bò hòm (*). Vô được 5-6 chai ken thì Hai Nhái nhớ "bài lai" vụ laptop của mình shutdown lâu lắc và hay đòi restart liền hỏi Ếch. Ếch ta trả lời là do Windows update các bản vá lỗi cho an toàn nên phải restart lại mới … "ép phê". Nghe đến đây thì Tư Nòng Nòng nọc "xìiiii" 1 tiếng rõ to và nói rằng "chú chỉ khéo vẽ trò, mình cài Windows xong rồi đặt password thật khó là không ai phá được. Như bản thân anh cài máy "con server" ở cơ quan cũng có update gì đâu mà vẫn chạy tốt. Hôm nào chú sang anh giở vài chiêu xem có làm ăn gì được không vì anh đặt password … dài lắm, haha". Ếch Con nghĩ thầm "hãy đợi đấy, rồi có lúc ông anh sẽ thấy việc quan trọng của update. Nu! pododi (**)".

Bẵng đi một thời gian, Ếch Con lại có dịp sang cơ quan của Ba Cóc. Cũng như lần trước, nó cũng xin một sợi cable mạng để vào Internet. Nó nhớ lại vụ hôm trước và truy cập vào WebServer của cơ quan Ba Cóc (nó biết được IP nội bộ không khó vì khi nó dùng lệnh "net view" thì thấy có computer tên là WebServ). Hmmm, gớm nhỉ, "Security by Tư Nòng Nọc" luôn cơ à, nếu như theo lời Tư Nòng Nọc không update Windows thì hãy xem thằng Ếch này đây.

picture001

– Thằng Ếch liền download Meta Framework 3.1 để chuẩn bị "ảo thuật" đột nhập vào WebServer.

– Sau khi download xong thì nó liền Install vào.

picture002

– Trong quá trình cài đ8ạt Metasploit Framework 3.1 thì có yêu cầu cài thêm Nmap, thằng Ếch cài luôn.

picture003

– Finish rồi, chạy chương trình thôi

picture004

– Metasploit Framework đang khởi động.

picture005

– Ui chu choa, giao diện ngầu quá đi smile_omg

picture006

– Sau khi chương trình start xong, nó liền search 1 cái lỗi mà nó biết qua trang milw0rm.com là lỗi "rpc dcom".

picture008

– Đây rồi, click vô 1 cái.

picture009

– Đây rồi Windows NT/2000/XP/2003 đều có thể "chơi" được, click forward 1 cái.

picture010

– Thằng Ếch nó chọn shell_bind_tcp, forward cái nữa.

picture011

– Điền IP của Webserver vào, mọi thứ để default rồi forward tiếp.

picture012

– Chương trình detect, đợi thành công thì nhấn apply 1 cái.

picture013

– Oh yeah ! thằng ếch nó cười nham hiểm vì thấy phiên làm việc (session) đã được khởi tạo.

picture014

– Thằng Ếch liền chọn Interact Session.

picture015

– Haha, lấy được CMD rồi, giở chiêu quậy phá thôi.

picture016

– Ếch dùng lệnh "dir" để xem đĩa C:\ của Server và tạo 1 folder "Server_bi_hack" để cảnh báo.

picture017

– Chưa đủ trò quậy phá nó liền sữa trang chủ của website thành nội dung "Tư Nòng Nọc bị đứt đuôi rồi"

picture018

– Truy cập lại xem cái coi, oh ! đẹp quá đi smile_wink Mất tiêu cái "Security by Tư Nòng Nọc" rồi.

picture019

– Ngoài ra nó còn tạo thêm 1 user tên ech và cho vào group Administratos luôn. Chà, nó có thâm ý gì đây nhỉ smile_omg

picture020

– Oh ! nó chạy chương trình Remote Desktop Connection, thì ra là nó muốn quản lý Server bằng giao diện luôn. hihi

picture021

– Nó nhập IP WebServer vào rồi chọn Connect

picture022

– Nó nhập user ech và password vừa tạo vào.

picture023

– Tèn ten ten ten, đăng nhập được vào Server với quyền Administrator luôn rồi. Chiến này Tư Nòng Nọc khổ dài dài rồi.

picture024

Hihi, vậy là Tư Nòng Nọc hết dám khoe khoang lộn chỗ rồi phải không các bạn. Và các bạn cũng đã thấy cái hại của việc không cập nhật bản vá lỗi thường xuyên rồi đấy nhé, sau này các bạn nhớ update windows thường xuyên nha.

—————-

(*) Muốn biết cá Tắc Kè và cá Bò Hòm thì các bạn xem tại đây

(**) Nu! pogodi : là câu nói của nhân vật Sói trong phim hoạt hình nổi tiếng "Hãy Đợi Đấy" đó bạn.

ĐÔI ĐIỀU VỀ CÀI ĐẶT ISA SERVER 2006

Cài đặt ISA? Thật là đơn giản!!!

Trong quá trình công tác và giao tiếp với một số quản trị viên hệ thống, tôi thỉnh thoảng được nghe bày tỏ quan điểm như vừa nói trên. Quả thật, không hề đại ngôn khi cho rằng cài ISA thật là đơn giản.
Chính vì “thật là đơn giản” nên “có khi mưa ngoài trời là giọt nước mắt em, đã tan theo vào đời làm thành nỗi ưu phiền” (lời của nhạc sĩ Trịnh Công Sơn chứ không phải của Mr. Bill Gates). Tức là sau khi cài xong rồi thì không chỉ riêng server ISA mà cả hệ thống LAN bỗng dưng trở nên chập chờn như mưa nắng Sài Gòn làm anh quản trị ưu phiền không dứt!!! Vì thế bài viết này không nhằm hướng dẫn từng bước mà chỉ nêu lên một số vấn đề cần đặc biệt quan tâm khi cài đặt với mong muốn giúp quý vị xây dưng một server ISA 2006 hoàn chỉnh ngay từ những bước đầu tiên.

1. Cấu hình máy chủ cần thiết:
– CPU Intel hoặc AMD tối thiểu 773 MHz.
– RAM tối thiểu 512MB.
– Tối thiểu 01 card mạng (nếu chỉ dùng ISA làm proxy server).
– Đĩa cứng trống tối thiểu 150MB, định dạng NTFS.
– Hệ điều hành Windows server 2003 SP1 32 bit hoặc Windows Server 2003 R2 32 bit
Băng thông internet và cấu hình đề nghị tương ứng:
Băng thông: đến 25 Mbps
CPU: 3 đến 4 GHz
RAM: 512 MB
Card mạng: 10/100 Mbps
Số kết nối VPN đồng thời tối đa: 700
Băng thông: đến 90 Mbps
CPU: Dual core 2 đến 3 GHz
RAM: 2 GB
Card mạng: 100/1000 Mbps
Số kết nối VPN đồng thời tối đa: 2000
Tham khảo thêm cấu hình tối ưu tại: http://www.microsoft.com/technet/isa/2006/perf_bp.mspx

2. Hoàn chỉnh bảng định tuyến (routing table)
Bảng định tuyến trên máy ISA và các router nội bộ nên được cấu hình hoàn chỉnh trước khi cài ISA. Bảng định tuyến phải có định tuyến mặc định (default route) hướng đến cổng (gateway) phù hợp và phải có đủ các định tuyến (route) đến mọi mạng con (network – subnet) trong nội bộ. Trong hầu hết các mô hình mạng thông dụng, định tuyến mặc định sẽ được tạo ra bằng cách khai báo giá trị default gateway trên card mạng mà ISA dùng để kết nối internet.
Theo nguyên tắc định tuyến, chỉ có thể có 01 default gateway khả dụng (nghĩa là chỉ có 01 định tuyến mặc định khả dụng); vì thế, phải tạo thêm các định tuyến đến các mạng con trong nội bộ để ISA có thể giao tiếp (và phục vụ) mọi thành phần mạng trong nội bộ. Xin đơn cử một cấu trúc mạng đơn giản thông thường:

ISAInstall001
Chú ý rằng trên interface 192.168.3.254 của router nội bộ phải có default gateway 192.168.3.1
Với cấu hình IP như trên, bảng định tuyến của ISA sẽ có các định tuyến:
Dest. Subnet mask Gateway Interface
0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.1
192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1
192.168.3.0 255.255.255.0 192.168.3.1 192.168.3.1

ISAInstall002

ISAInstall003
Để ISA có thể giao tiếp với hệ thống mạng nội bộ, phải thêm 2 định tuyến:
Dest. Subnet mask Gateway Interface
192.168.1.0 255.255.255.0 192.168.3.254 192.168.3.1
192.168.2.0 255.255.255.0 192.168.3.254 192.168.3.1
Để tạo thêm định tuyến, có thể dùng console Routing and Remote Access hoặc các lệnh NETSH và ROUTE
ví dụ:
route add 192.168.1.0 mask 255.255.255.0 192.168.3.254 metric 1
route add 192.168.2.0 mask 255.255.255.0 192.168.3.254 metric 1

ISAInstall004

3. Chú ý thông số DNS
Để có thể phục vụ cho Proxy client và Firewall client, ISA phải có khả năng phân giải được các tên miền (DNS name) của nội bộ và của internet. Để thoả yêu cầu này, chỉ khai báo thông số preferred DNS server trên card mạng trong (card nối với mạng nội bô – internal interface):
– Preferred DNS server: địa chỉ IP của máy chủ DNS nội bộ. (xem lại hình minh hoạ).
– Alternate DNS server: địa chỉ IP của máy chủ DNS thứ hai (backup / secondary DNS server) nội bộ.
– Có thể tuỳ chọn tăng tốc phân giải bằng cách khai báo DNS forwarder trên máy chủ DNS nội bộ.
Cho dù ISA được triển khai trên máy đơn (stand-alone server) hay trên thành viên của domain (domain member server) thì vẫn khai báo máy chủ DNS như vừa nêu trên. Không bao giờ dùng máy chủ DNS của nhà cung cấp dịch vụ internet (ISP). Đây là một lỗi thường gặp khi cấu hình thông số IP trên máy ISA. Lỗi cấu hình này sẽ dẫn đến quá trình phân giải DNS của ISA bị chậm hoặc thậm chí bị thất bại.
Dĩ nhiên vẫn phải loại trừ trường hợp mạng nội bộ không có máy chủ DNS – nghĩa là không có domain – thì thông số DNS được cấu hình trên card mạng nối internet (external interface) là địa chỉ IP máy chủ DNS của ISP.

4. Tinh chỉnh cấu hình external interface
Để bảo đảm nhân viên bảo vệ – ISA – toàn tâm toàn ý với công việc của mình, cần có một số quy định sau đây:
– Quy định 1: Không được … đi nhậu!!!
– Quy định 2: Không được mời ai đến phòng bảo vệ để … nhậu!!!
– Quy định 3: Không được nghe lời … bọn xấu dụ dỗ!!!
Để tăng cường bảo vệ chính máy ISA, cần thiết lập các hạn chế trên external interface:
– Để thoả quy định 1 và quy định 2: External interface properties: bỏ các dấu kiểm “Client for Microsoft Networks” và “File and Printer Sharing for Microsoft Networks”
ISAInstall005

– Để thoả quy định 3: External interface properties > Internet Protocol (TCP/IP) properties > nút Advanced > tab WINS: bỏ dấu kiểm “Enable LMHOSTS lookup” và chọn “Disable NetBIOS over TCP/IP”

ISAInstall006

5. Cài ISA trên một máy chủ “sạch”
Cũng với mục tiêu “đào tạo” một nhân viên bảo vệ chuyên trách & để giúp nhân viên này “vô cảm” trước “gợi ý” của những kẻ “bất chính”, nên cài ISA trên một máy sạch, nghĩa là chỉ có hệ điều hành như yêu cầu.
Cài thêm bất cứ dịch vụ gì trên ISA cũng đồng nghĩa với việc chia sẻ hiệu suất giành cho hoạt động định tuyến và chặn lọc thông tin.
Cài thêm bất cứ dịch vụ gì trên ISA cũng đồng nghĩa với việc gia tăng nguy cơ chính ISA bị tấn công.
Tất nhiên không được phép tiết kiệm đến mức cài ISA ngay trên Domain Controller. Khi đó không chỉ ISA không hoàn thành nhiệm vụ mà Domain Cotroller cũng “tê liệt ” nốt. Nếu nhân viên bảo vệ đồng thời là … giám đốc doanh nghiệp thì … xin miễn ý kiến!!!

6. Nên cài ISA trên stand-alone server hay domain member server?
Khi cài ISA trên stand-alone server, đương nhiên ISA sẽ không có bất cứ quan hệ luận lý nào với domain. Ưu điểm của cấu trúc này là kẻ tấn công không thể thông qua ISA để “với tới” dịch vụ danh bạ động (Active Directory service) hay domain controller. Thế nhưng giá phải trả là ISA không thể kiểm soát và chứng thực được domain user nếu không thông qua RADIUS server (Remote Authentication Dial-In User Service).
Chọn phương án cho ISA giao tiếp AD qua trung gian RADIUS được xem là một phương pháp tăng cường bảo vệ hệ thống bằng cách phức tạp hóa “lộ trình” đến AD của kẻ tấn công. Và tất yếu là công tác của quản trị viên cũng sẽ … phức tạp hơn.
Cài ISA trên member server: Có thể dùng quyền local administrator để cài ISA trên domain member server. Khi cấu hình các rule với quyền của domain administrator, có thể triển khai kiểm soát và chứng thực được domain user.
Lựa chọn stand-alone hay member server có thể xem là lựa chọn giữa độ bảo mật với độ phức tạp cấu hình và … túi tiền. Xét trên khả năng chặn lọc hữu hiệu của ISA, đa số tổ chức thiên về phương án giảm độ phức tạp và bảo toàn … ngân quỹ tức cài ISA trên domain member server.
Tuy nhiên, các bước cài đặt là như nhau trên cả hai môi trường

7. Những lưu ý rất quan trọng khi cài đặt:
– Kích hoạt tập tin ISAAutorun.exe từ đĩa cài đặt ISA 2006.
– Hộp thoại Microsoft Internet Security and Acceleration Server 2006: Nếu ISA có thể truy cập internet, nên chọn Review Release Notes và đọc release notes. Văn bản này có một số thông tin quan trọng mô tả những thay đổi chức năng cơ bản mà ta không thể tìm được trong phần giúp đỡ (Help) của chương trình ISA. Sau khi tham khảo release notes, chọn Install ISA Server 2006.
– Hộp thoại Setup Type: Khác với ISA 2004, ISA 2006 không có phương thức cài Firewall Client Installation Share trên ISA server. Do vậy, chỉ chọn Custom (trên hộp thoại kế tiếp, chọn Change) nếu không muốn cài ISA trên đĩa hệ thống hiện hành. Nếu không, chọn Next.
– Hộp thoại Internal Network: Khai báo tất cả các khoảng IP thuộc hệ mạng nội bộ. Giả sử hệ mạng có cấu trúc như ở đầu bài viết, cần phải khai báo 03 khoảng: 192.168.1.0 – 192.168.1.255, 192.168.2.0 – 192.168.2.255 và 192.168.3.0 – 192.168.3.255 (ISA tương thích RFC 1812). Nếu khai báo thiếu một phân đoạn mạng nào trong LAN thì thông tin từ phân đoạn mạng đó (khi đến với ISA) sẽ bị ISA xem như “người ngoài” (External). ISA xem Internal Network là một “vùng tin cậy” (trusted zone) và dùng Internal Network trong các System Policy rule để phục vụ hoạt động cũa hệ điều hành. Khai báo Internal Network sai hoặc thiếu sẽ ảnh hưởng không chỉ hoạt động của các máy trong LAN mà còn ảnh hưởng đến chính ISA.
– Hộp thoại Firewall Client Connections: Chỉ cần check “Allow non-encrypted Firewall client connections” nếu trong LAN có các máy được cài các phiên bản trước của WinSock Proxy (MS Proxy Server 2.0) hoặc Firewall Client ISA 2000. Nếu chọn phương thức này thì user name và password từ các máy trong LAN gửi đến ISA sẽ không được mã hóa. Cách tối ưu là nên cài Firewall Client ISA 2006 trên các máy trạm.

———

Bài viết của MCT Lê Ngọc Hiến – NHAT NGHE IT TRAINING CENTER

 

 

Tết Trung Thu trên quê tôi

Ở quê tôi ngày Trung Thu được gọi là một cái Tết, phải ! vì ngày Trung Thu là ngày lễ hội lớn không kém ngày Tết Âm Lịch. Rước đèn vào dịp Tết Trung Thu là truyền thống của quê tôi, và tôi không rõ là tập tục rước đèn này có từ bao giờ nhưng tôi chỉ nhớ là từ tấm bé thì tôi đã được ông Nội chở đi xem rước đèn rồi. Và cứ như thế năm nào tôi cũng ráng xem trực tiếp cho kì được lễ hội rước đèn trong những năm còn khoát áo học trò tại Phan Thiết. Các em nhỏ kéo tay cha mẹ sà vào các cửa hàng đồ chơi, và như có sức hút đều dừng trước cây đèn kéo quân, xoay tít mù với những hình người và vật lung linh. Ngoài hình rối chuyển động, giữa thân đèn còn phát ra tiếng lách tách vui tai.

Tạp tục rước đèn của quê tôi đại khái như sau : mỗi trường tiểu học và phổ thông cơ sở sẽ là 1 đoàn, trong 1 đoàn gồm có 1 đèn lồng lớn tượng trưng, và theo sau là 100~200 em học sinh với đèn lồng nhỏ. Mỗi đoàn tập trung tại trường, sẽ có một đoàn đi đầu tiên ghé qua trường đó và nối đuôi nhau đi tiếp tục đi diễu hành quanh các đường phố chính ở Phan Thiết, cứ thế người nối đuôi người, đèn nối đuôi đèn làm cả con đường sáng rực lên với hàng ngàn đèn lồng. Điểm dừng chân cuối cùng là khu di tích lịch sử Dục Thanh (nơi Bác Hồ đã dừng chân và dạy học tại Phan Thiết).

Đây là vài hình ảnh rước đèn mà tôi đã sưu tầm được vào dịp Tết Trung Thu 2008.

IMG_0928 IMG_0953

– Chú Cuội ngồi gốc Cây Đa Thần được miêu tả qua hai đèn lồng này.

IMG_0888 IMG_0890

– Thiên Nga và con gì thế nhỉ ? À thì ra là chú Chuột, oh yeah !!! có 1 bày chuột con phía dưới nữa kìa, xinh nhỉ Love Struck

IMG_0895 IMG_0899

– Ui cha, "Kungfu Panda" tận bên Tàu cũng về quê tôi dự rước đèn, hihi smile_regular

  IMG_0902IMG_0941

– Bươm bướm và Hưu Cao Cổ cũng diễu hành trên phố.

 IMG_0903IMG_0901

– Quả Thanh Long và Quả Điều không nói thì ai cũng biết là đặc sản Bình Thuận rồi thumbs_up

IMG_0905 IMG_0907

– Đèn hình Hoa Sen và Đèn hình Tàu Vũ Trụ, chắc tác giả có … "ước mơ vươn tới một ngôi sao" sun

IMG_0910  IMG_0916

– Cá Chép tiễn Ông về trời nhé

IMG_0917 IMG_0911

– Đèn lồng truyền thống Ngôi Sao 5 Cánh

IMG_0919 IMG_0934

– Tuân thủ luật giao thông nhé bạn smile_tongue

IMG_0921  IMG_0949

– Ý, đoàn này có lẽ đến từ Châu Úc lightbulb

IMG_0927 IMG_0940

– Lân Sư Rồng dẫn đầu đoàn rước đèn, bé gái cười hớn hở vì lễ hội vui quá mà.

Thắm thoát cũng 5 năm rồi nhỉ. Phải, tôi đã vào Sài Gòn được 5 năm. 5 năm không được xem rước đèn và ăn bánh trung thu cùng gia đình. Nếu sau này tôi có gia đình và có con thì tôi sẽ cố gắng dành những ngày phép về Phan Thiết để cho con tôi được xem lễ hội truyền thống này giống như cha nó ngày xưa vậy.

Bật mí : ngày xưa khi còn là học sinh tôi cũng cầm đèn đi rước với đoàn đó nhé. Hầu như trung thu năm nào bọn trẻ chúng tôi cũng chơi trò "phù thủy"* nên tôi cũng bị cháy xém tóc và bỏng tay vì sáp nến. Nhưng …. nghĩ lại mà vui  smile_wink

——

* Trò "phù thủy" là cái tên do bọn nhóc chúng tôi tự đặt ra. Cách chơi là dùng 1 vỏ sò chứa đầy sáp kề trên 2 viên gạch, phía dưới đốt nến cho sáp tan chảy ra, kế đó là bỏ vào 1 cái tim nến và mồi lữa lên. Đợi cho nến thật sự nóng thì sẽ có 1 đứa lớn nhất đứng từ xa dùng miệng phun nước vào. Nước vừa vào đến vỏ sò là phừng lên thành ngọn lửa cao, bọn trẻ chúng tôi cứ thế mà vỗ tay la hét khí thế.

Lỗi không chứng thực AD Users của ISA Server 2006

del.icio.us Tags:

Hi bà con, do một thời gian qua làm lab với ISA Server 2006 Std thì Hiếu có gặp 1 số lỗi ở ISA Firewall Client 2006, các “triệu chứng” thường gặp sau đây :

– User loggon domains không được hoặc chậm, kể cả user thuộc nhóm Administrator.

– Không lấy được AD Users khi tạo các Access Rules …

Các bạn có thể khắc phục bằng cách sau đây :

B1. UnJoin máy ISA Server ra khỏi Domain.

B2. Remove ISA Firewall Client ra khỏi các máy client. Restart lại.

B3. Cho máy ISA Server join lại Domain.

B4. Download ISA Firewall Client và cài lại trên các máy client. (Không dùng ISA Client đi theo ISA)

http://www.microsoft.com/downloadS/details.aspx?FamilyID=05c2c932-b15a-4990-b525-66380743da89&displaylang=en

Logo của MICROSOFT qua các giai đoạn

Năm 1975, logo của Microsoft được thể hiện rõ sự chiết tự chữ "Micro" (máy tính, chip siêu nhỏ để thay thế cho các hệ thống cồng kềnh thời bấy giờ) và "Soft" (Software – phần mềm) nằm ở hàng trên, hàng dưới. Cái tên Microsoft là một tham vọng lớn kết hợp ngành sản xuất phần cứng với phần mềm để làm nên nền công nghiệp máy tính khổng lồ.

1975

Tuy nhiên, người ta cũng đùa vui với nó bằng câu chuyện "Đêm tân hôn của Bill Gates".

– Vợ Bill Gates đã nói gì vào đêm tân hôn của họ?

– Cô ấy bảo: "Thảo nào anh gọi cả công ty là vừa mềm (soft) vừa nhỏ xíu (micro)". smile_tongue

Sau này, chữ o và chữ s có một gạch nối để thể hiện "soft" như là một phần không thể tách rời của toàn bộ cái tên, vừa tạo cảm giác lao về phía trước.

Hội thảo Microsoft FACULTY PARTNERSHIP 12/09/2008

Tổ chức : Microsoft Vietnam; Đồng tổ chức : Hội tin học Việt Nam

Địa điểm : Hội trường lớn , trường Đại học Khoa học Tự nhiên TP Hồ Chí Minh, 

Đối tượng đại biểu, khách mời :

· Lãnh đạo các trường Đại học , Cao Đẳng ở TP Hồ Chí Minh và các tỉnh phía nam

· Trưỏng , phó khoa các khoa thuộc khối KHOA HỌC , CÔNG NGHỆ, TOÁN, KỸ NGHỆ

· Đại diện giảng viên các khoa liên quan

· Đại diện phòng đào tạo, Trung tâm CNTT

Microsoft FACULTY PARTNERSHIP

Activities

TCP/IP (Part 1)

Truớc khi bạn lấy được bằng lái xe, bạn phải qua được một bài thi viết về luật giao thông. Tương tự như vậy, trước khi bạn vào “siêu xa lộ thông tin”, bạn phải hiểu về các protocol điều khiển luồng thông tin. Bài này giới thiệu với bạn các luật như thế, được gọi là Transmission Control Protocol/Internet Protocol (TCP/IP). Bạn sẽ học những luật này và xem chúng ảnh hưởng trên đường truyền giao tiếp như thế nào, nhằm mục đích giúp bạn có thể tự phòng thủ một cách tốt nhất trước các tấn công của hacker.

Bất kỳ lúc nào bạn kết nối vào Internet bằng đường điện thoại hoặc bằng một đường truyền băng thông rộng là máy tính của bạn đã trở thành một phần của World Wide Web. Nếu bạn có thể yêu cầu truy cập vào máy tính giữ địa chỉ của www.microsoft.com thì mọi nhân vật ở microsoft.com cũng có thể kết nối vào máy tính của bạn. Các lý giải tương tự tiếp theo đây sẽ minh họa cho liên kết vừa nói, bằng cách so sánh giữa cơ sở hạ tầng của Internet và các con đường nối liền các ngôi nhà lại với nhau.

tcp-ip

Máy tính cũng giống như một ngôi nhà

Một ngôi nhà và tương quan của nó với đường vào nhà, với các con đường xung quanh cũng tương tự như một máy tính và tương quan của nó với Internet . Hãy tưởng tượng ra một căn nhà nằm tách biệt giữa rừng. Nó sẽ là mục tiêu khó gặm đối với một tên trộm. Dĩ nhiên là tên trộm vẫn có thể lội bộ xuyên qua khu rừng và lấy đi một số món đồ nhỏ nào đấy, nhưng nếu để lấy nhiều đồ, hắn sẽ phải vác chúng một quãng đường dài để ra khỏi khu vực hoang sơ đó.

Một ngôi nhà biệt lập cũng giống như một máy tính không kết nối vào Internet. Mặc dù một hacker có thể tiếp cận nơi ở của nạn nhân, đột nhập hẳn hòi vào nhà và lấy trộm thông tin trong máy tính của cô ta, nhưng làm như vậy sẽ phải tốn nhiều công sức mà lại quá mạo hiểm. Vấn đề ngược lại sẽ xảy ra cho những kết nối Internet “lúc nào cũng online” như kết nối bằng modem DSL hay modem cáp. Vì những kết nối như vậy luôn tạo sẵn con đường từ Internet vào máy tính của bạn, cho nên một hacker luôn có thể dễ dàng sờ mó đến các tài sản của bạn.

Các port trên máy tính của bạn chính là các cửa sổ và cửa đi

Các port chính là các “cổng” ảo mà qua đó thông tin đi vào và đi ra khỏi máy tính của bạn. Khi bạn kết nối vào Internet, có tới 65.534 port có thể dùng được. Điều này không có nghĩa là tất cả các port này đều mở hoặc đều được sử dụng; đơn giản chúng chỉ dành sẵn cho các chương trình trên máy của bạn khi cần đến.

Khi máy tính của bạn kết nối vào Internet, một số port sẽ được mở mặc định (default port). Tuy nhiên, nhiều chương trình (ví dụ như một Web server hay một ftp server) sẽ mở thêm một số port nữa (extra port). Đa số trong các chương trình này luôn chạy ở những port mặc định và cố định (fixed port). Như thế, nếu một hacker tiếp cận và truy vấn về tất cả các port đang mở trên máy tính của bạn, anh ta có thể nói được dễ dàng danh mục các chương trình có liên quan đến Internet mà bạn đang chạy. Ví dụ, nếu bạn có một ftp server đang chạy thì port 21 sẽ mở.

Có thể dễ dàng so sánh các port với các cửa đi và cửa sổ của một ngôi nhà. Mỗi ngôi nhà đều có sẵn một bộ gồm các cửa đi và cửa sổ. Có cửa sau, cửa trước, cửa nhà xe, và thường có cả cửa hông nữa. Việc đầu tiên mà các tên trộm thường tìm kiếm là một lối đột nhập dễ dàng. Không cần phải phá lỗ trên tường, khi mà một cửa đi hoặc một cửa sổ là đủ để vào. Đấy là những gì mà một hacker sẽ làm khi anh ta rà quét (scan) để tìm những port đang mở trên máy tính của bạn. Hacker tìm kiếm các port đang mở và có thể truy cập được.

computer-security_7447

Tuy nhiên, với một port đang mở thì chưa chắc một hacker có thể chui vào được. Để có thể “hack” được, port này phải có cho phép truy cập. Ví dụ, mỗi lúc bạn kết nối với microsoft.com, máy tính của bạn thực ra đã kết nối với port 80 trên máy server của Microsoft. Dù sao đi nữa, bạn cũng không thể làm gì được ngoài chuyện đọc các trang Web thông qua port này. Điều đó bảo vệ các thông tin của Web server khỏi bị các hacker quậy phá. Nếu microsoft.com cho phép những người lướt Web (surfer) xóa hoặc thay đổi nội dung trang Web, chắc microsoft.com không giữ được trang Web của mình lâu như vậy. Nếu chương trình Web server bị cấu hình sai (misconfigure), hoặc nếu có một lỗi về lập trình trong phần mềm Web server, các hacker có thể chiếm quyền truy cập trái phép.

Phần mềm bị cấu hình sai có thể so sánh với một cửa đi hoặc một cửa sổ quên khóa. Ăn trộm không phải bao giờ cũng “khoét vách” để vào nhà. Thay vào đó, đầu tiên họ sẽ tìm cửa sổ hoặc cửa đi không khóa để vào cho dễ. Phần mềm bị cấu hình sai thường luôn là mục tiêu tấn công của các hacker Internet.

Đường và xa lộ Internet

Du hành trên Internet có thể là chuyện nhỏ mà cũng có thể là chuyện lớn. Một máy tính của người dùng có thể lang thang đến cách nó vài dặm, hoặc cũng có thể đi tuốt đến bên kia trái đất. Nó có thể cũng đơn giản giống như lái xe đến nhà một người bạn ở cách năm dặm, hay là gửi một thông tin kỹ thuật số ở khoảng cách gần. Khi khoảng cách tăng lên, việc kết nối bắt đầu phức tạp lên theo.

Ví dụ, để đi mua sắm ở một khu thương xá, bạn có thể chỉ cần ra khỏi nhà, ra đường nhánh, quẹo lên đường chính để lên xa lộ, chạy đến lối rẽ vào khu thương xá, qua cổng, đậu xe vào bãi. Quá trình cũng diễn ra tương tự khi máy tính gửi thông tin đi trên Internet.

internet

Khi bạn yêu cầu một trang Web, sự việc xảy ra giống như bạn gửi đi nhiều toa xe nhỏ chứa thông tin. Những gói tin này đi dọc theo line điện thoại hoặc đường cáp đến nhà cung cấp dịch vụ Internet (ISP), và sau đó sẽ được gửi tiếp ra một trong những đường cáp quang truyền tốc độ cao xuyên lục địa. Khi tín hiệu đến gần đích, nó nhảy khỏi đường cáp quang và đi đến ISP đang nắm giữ địa chỉ của trang Web; sau đó kết nối với máy Web server ta cần. Trong trường hợp này, lời yêu cầu một trang Web sẽ chỉ giống như vài chiếc xe hơi (gói tin nhỏ) đi đến địa chỉ mong muốn, trong khi dữ liệu trả về từ trang Web sẽ gồm rất nhiều toa xe.

(còn tiếp)

———————————

Tài liệu tham khảo : Windows Internet Security – Protecting Your Critical Data (Seth Forgie & Dr. Cyrus Peikari)

Microsoft thử nghiệm nút tạm dừng nhận email

Phòng thí nghiệm Microsoft Office vừa cho ra mắt một sản phẩm mới mang tên E-mail Prioritize, không chỉ giúp bạn sắp xếp lại hòm thư nhằm tìm ra cái nào quan trọng, mà còn cung cấp một phím “tạm dừng” trong trường hợp bạn muốn tránh một dòng thác email spam từ máy chủ Exchange server.

ms

Người sử dụng phải chạy phiên bản mới nhất của Outlook (2007), và hiện tại công cụ này mới chỉ có trên PC. Sau khi cài đặt, bạn sẽ nhận được một option menu toolbar mới cho phép bạn bật chế độ “không làm phiền” trong một khoảng thời gian nhất định hoặc trong khi bận họp. Khi bạn quay lại hoặc khi thời gian hết, nó sẽ hoạt động trở lại và tiếp tục nhận các tin nhắn mới

Rủi thay đây chỉ là thứ thay thế máy trạm. Chắc chắn rằng admin máy chủ của bạn có thể ấn tạm dừng tài khoản của bạn, nhưng bạn thì không. Tùy chọn này đơn giản chỉ tắt đi anten email dựa vào phần mềm của Outlook, vì thế tin nhắn vẫn sẽ tới được điện thoại của bạn nếu bạn cài đặt cho phép nhận các thư khẩn.

Để bật chế độ “vắng mặt” bạn có thể sử dụng menu di xuống. Menu này cho phép bạn sắp xếp lại toàn bộ các email theo thứ tự ưu tiên.

Điểm thú vị nhất của công cụ này là khả năng sắp xếp thứ tự ưu tiên. Nó sẽ chấm email trong hòm thư của bạn từ 0 đến 3 sao. Điểm này được lấy từ một hệ thống được sử dụng bởi nhiều người, bao gồm cả vài nhân viên của Microsoft mà tôi từng nói chuyện vào tháng 3 vừa rồi.

Ví dụ, email được gửi đến cho duy nhất mình bạn, hoặc những email được gửi đến từ sếp của bạn sẽ được 3 sao, trong khi những thư được gửi tới nhiều người, mà bạn chỉ là một trong số đó thì sẽ được chấm điểm thấp hơn nhiều.

Trong trường hợp của tôi, hòm thư của tôi có tới khoảng 450 thư, việc đánh giá sẽ được diễn ra trong vòng 1 phút.

(theo Cnet)

BẢO MẬT WEBSITE VỚI SSL CERTIFICATE CỦA VERISIGN.COM

Giao thức Secure Socket Layer (SSL) được phát triển bởi Netscape, ngày nay giao thức Secure Socket Layer (SSL) đã được sử dụng rộng rãi trên hệ thống mạng nhằm mục đích xác thực và mã hoá thông tin giữa client và server. Cụ thể SSL được sử dụng để mã hóa cho tất cà các protocol hoạt động tại lớp Application như: HTTP, FTP, SMTP, POP, IMAP…

ssl_increasetrust_570x200

Bài lab bao gồm các bước:

1. Tạo file Request Certificate

2. Xin SSL Certificate từ VeriSign.com

3. Cấu hình Trusted Root Certification Authority

4. Import SSL Certificate cho Web Server

5. Kiểm tra kết quả

Nội dung bài lab