Giáo trình An toàng mạng

Chương 1 TỔNG QUAN VỀ BẢO MẬT MẠNG Một trong những yếu tố quan tâm hàng đầu trong việc Thiết kế Security một hệ thống thông tin đó là kiểm soát chặt chẽ tất cả Computer của tổ chức. Vì chúng là nơi cất giữ tài sản thông tin có giá trị của tổ chức. Attacker có thể trực tiếp tấn công thẳng vào Computer và lấy đi những dữ liệu quý báu. Việc xác định những mối đe dọa và những lỗ hỗng ở tất cả computer trong tổ chức là điều thiết yếu và cấp bách (Quan tâm đến Security cho Computer kể từ lúc mua, cho đến khi cất chúng vào kho - life Cycle) Hầu hết các loại Computer nếu không có những kẽ hỡ thiếu an toàn về vật lý, thì bản thân hệ điều hành cũng có thể phơi bày những tử huyệt, những miếng mồi ngon cho attacker. Security Admin phải đảm bảo an toàn và cập nhật đầy đủ các miếng vá lỗi và thiết lập hệ thống phòng thủ trong suốt quá trình "sống" của Computer. A. Xác định những rủi ro và những mối đe dọa Computer. Bảo mật suốt chu kì "sống" của một computer: Vòng đời của một computer trải qua những giai đoạn sau: Tiến hành cài đặt: Trong suốt quá trình tiến hành cài đặt Hệ điều hành và Ứng dụng, sự xâm nhập của Virus, và những lỗi cấu hình có thể là nguy cơ trực tiếp cho Computer. Chú ý setup password cho tài khỏan built-in ADMINISTRATOR tại giai đoạn này theo đúng chính sách đặt password của tổ chức. Chúng ta có thói quen không tốt ở giai đoạn này là set password null (không đặt pssword) Xác lập chính sách bảo mật chuẩn (baseline security) theo quy định an toàn thông tin của tổ chức sau khi hoàn thành cài đặt mỗi Computer Bảo mật cho các Computer có vai trò đặc biệt. ví dụ Web server , Database Server. Căn cứ trên chính sách bảo mật chuẩn, các security admin cần tăng cường hơn nữa các xác lập bảo mật đối với các Computer đặc biệt này nhằm tạo một hệ thống được bảo vệ tối đa có thể đương đầu với các kiểu tấn công đa dạng và phức tạp từ phía attackers. Cập nhật security cho tất cả ứng dụng phát sinh lỗi trên Computer (thông thường sẽ update các Service packs, securiry updates) Đây là điều bắt buộc để nâng cao hơn nữa baseline security đã được thiết lập Tạm biệt Computer: Kết thúc vòng đời, giờ là lúc đem chiếc Computer này vào kho làm kỉ niệm hoặc giải phong một nó cho một ai đó cũng cần phải security, attacker có thể lấy những thông tin còn sót lại trên HDD, hoặc các thiết bị Media khác để khai thác những thông tin còn sót lại này.Tầm quan trọng của việc bảo mật cho Computer Những cuộc tấn công từ bên ngoài: Khi một admin cài đặt software trên một computer mới, một Virus có thể lây nhiễm vào Computer trước khi Admin này cài service pack bảo vệ hệ thống. Virus này sẽ khai thác lỗ hổng đã xác định, và cài tiếp vào hệ thống một chú Trojan Horse (ví dụ như Bo 2k). Admin hoàn thành việc cài software và đưa vào sử dụng mà không hề biết rằng Computer có thể đã nằm trong tầm kiểm soát của một attacker ngoài hệ thống Mạng của tổ chức Hiểm họa từ bên trong: Admin chọn cách cài đặt cho các Computer của tổ chức là cài đặt từ xa và không cần phải theo dõi trong suốt quá trình cài đặt (unattended Installation) , cách cài đặt này nhanh chóng và tỏ ra rất "professional". Trong suốt quá trình cài đặt operating system qua Mạng này, tài khỏan Local administrator của các máy được cài đặt được chuyển qua Mạng dưới dạng Clear-text (không mã hóa). Một nhân viên có chút trình độ về hệ thống và Network, thúc đẩy bởi những động cơ bất hợp pháp có thể cài các công cụ nghe lén và thâu tóm thông tin chuyển đi trên Mạng, đặc biệt là các Local Administrator Password (nếu admin Mạng đang tiến hành cài đặt qua Mạng cho Computer của sếp và password chuyển qua Mạng dưới dạng cleart-text thì nguy tovì dữ liệu của các Manager rất important và hầu hết có giá trị economic..). Đây là một trong rất, rất nhiều những nguy cơ attack từ bên trong Mạng nội bộ. Những mối đe dọa phổ biến: Mặc dù những kĩ thuật bảo mật được trang bị trên các Computer, thế nhưng rủi ro lại đến từ yếu tố con người và những kẽ hở trong quy trình làm việc với Computer. Ví dụ như attacker có thể lấy thông tin từ Đĩa cứng, hoặc truy cập vào máy tính qua các ứng dụng (không cài đặt các bản vá lỗi), mà nhân viên sử dụng, đặc biệt là những ứng dung connecting với Internet như Chat, Internet Browser, E-mail B. Thiết kế Security cho các Computer Những phương thức chung bảo mật Computer Tiến hành cài đặt an toàn ngay từ ban đầu cho Hệ điều hành và các Ứng dụng theo hướng dẫn: Thực thi các cấu hình bảo mật mặc định cho HDH và ứng dụng Chỉ cài đặt những ứng dụng và dịch vụ cần thiết trên các Server (ví dụ: không cài lung tung các ứng dụng và triễn khai những dich vụ không cần thiết trên Mail, Web server của tổ chức..) Xác lập bảo vệ cho tất cả các tài khỏan mặc định của hệ thống (ví dụ: tài khoản mặc định Administrator nên được rename vì tên này ai cũng biết, và set password phức hợp, sẽ có tác dụng lớn để đối phó với attacker trong những cuộc tấn công dạng Brute force password) Những file cài đặt cho HDH và application phải an toàn, phải được xác nhận (digitally sign) từ nhà cung cấp, có thể dùng nhiều utility để kiểm tra vấn đề này , ví dụ Sign verification Tiến hành cài đặt phải là những Người có đủ độ tin cậy trong tổ chức. Nên cô lập Mạng trong quá trình cài đặt . Tạo một Network riêng dành cho việc cài đặt nếu phải cài đặt HDH, ứng dụng qua Mạng (ví dụ dùng dịch vụ RIS của Microsoft..), điều này là thiết yếu và tăng sự an toàn, có thể chống được sự lây nhiễm Virus từ bên ngoài hoặc các Built-in account như Administrator được tạo ra qua Mạng từ các unattended installation scripts không bị thâu tóm.. các CD cài đặt HDH, ứng dụng nên tích hợp đầy đủ các Service packs, security updates (vá lỗi ngay trong quá trình cài đặt) Làm thế nào để cấu hình các xác lập chuẩn bảo mật cho một tổ chức (Security baseline) Trước khi triển khai Computer cho tổ chức, cần xác định các security baseline. Các security admin có thể triển khai những security baseline này trong suốt quá trình cài đặt hoặc sau đó. Trên Microsoft Windows 2000 và Microsoft Windows XP, các admin có thể taọ và triển khai các security templates để đạt được những yêu cầu bảo mật cần thiết. Tuân thủ những hướng dẫn sau để tạo security baseline cho các Computer : Tạo một chính sách security baseline cho các Computer theo đúng những quy định của tổ chức về an toàn thông tin phục vụ cho các quy trình nghiệp vụ. Chính sách này phải đảm bảo an toàn cho Computer, HDH và các ứng dụng nghiệp vụ Ví dụ: chính sách chỉ định rằng tất cả HDH trong tổ chức phải chống được kiểu tấn công SYN-ACK (synchronize acknowledge) denial of service (DoS) tấn công từ chối dịch vụ. Một chính sách tốt cũng hình dung được vai trò của Computer cần bảo vệ.. Tạo sẵn các security templates mẫu, cho phép chỉnh sửa. Ví dụ để bảo vệ HDH chống lại SYN-ACK attacks, có thể đơn giản thêm vào Registry những giá trị mong muốn nhằm thay đổi cách thức vận hành của TCP/IP stack trong giao tiếp Mạng với các Computer khác, như vậy có thể chống được những cuộc tấn công kiểu này. Vận hành thử và Kiểm tra các security templates này. Mỗi security template được triển khai sẽ không có các yếu tố gây cản trở HDH, các dich vụ khác, hoặc xung đột với các ứng dụng Triển khai các security templates cho Computer thông qua những công cụ như command Secedit Group Policy, hoặc tự động hóa triển khai cho hàng loạt Computer thông qua các Group Policy của Active Directory Domain (GPO) Security cho các Computer có vai trò đặc biệt như thế nào. Admin sẽ cài đặt những Ứng dụng và những dịch vụ phụ thuộc vào vai trò của những Computer đó. Như vậy những Computer đặc biệt này cần có những Security baseline tương đối khác nhau để phù hợp với dịch vụ đang vận hành. Ví dụ: Web server chạy dịch vụ Internet Information Services (IIS) cho phép hàng ngàn truy cập mỗi ngày từ Internet với những mối nguy hiểm luôn rình rập. Ngược lại thì một File server sẽ không chạy dịch vụ IIS và chỉ có thể truy cập bởi những user trong mạng nội bộ . Thiết kế bảo mật cho các Computer có vai trò đặc biệt đòi hỏi có kinh nghiệm và am hiểu chi tiết về những ứng dụng và dịch vụ mà chúng đang vận hành. Ví dụ một Windows 2000 administrator có thể không có những kiến thức để hiểu được cách hoạt động của một database server như Microsoft SQL Server 2000, cho dù nó được cài đặ trên một Windows 2000. Phải đảm bảo những cá nhân chịu trách nhiệm thiết kế bảo mật cho những Server này có những hiểu biết cần thiết và kinh nghiệm đáp ứng được các yêu cầu bảo mật cua tổ chức. Và cũng đảm bảo rằng tổ chức chúng ta có những chính sách sẵn sàng, quản lý bảo mật cho các server ày khi chúng thay đổi vai trò hoạt động. ví dụ File Server được triển khai lại thành một Web server. Những Phương pháp chung để áp dụng Security Updates (cập nhật security) Có thể dùng những phương pháp sau để tiến hành cập nhật security cho các Computer trên Mạng. Dùng tính năng Windows Update: Để scan Computer, đảm bảo rằng tất cả security updates mới nhất, các thành phần liên quan đến Windows (Windows components) , và các driver cho thiết bị đã được cài đặt. Để sử dụng Windows Update phải là thành viên của nhóm Administrators. Nếu phải scan nhiều máy trên Mạng từ một location, có thể sử dụng tool: MBSA (Microsoft Baseline Security Analyzer) của hãng Shavlik, một partner của Microsoft. Hoặc chuyên dụng hơn và cung cấp giải pháp scan bảo mật toàn diện có thể dùng GFI Languard network security scanner của GFI, rất phổ biến với Admin. Office Update: Scan và cập nhật những secuirty mới nhất cho bộ sản phẩm Microsoft Office. Vá lỗi cho các sản phẩm này cũng là một việc rất quan trong mà các Security admin cần chú ý. Chỉ thành viên nhóm Administrators mới đuợc dùng tính năng này Dùng Group Policy: Nếu triển khai security updates cho hàng loạt các Computer trong môi trường Active directory domain, các admin sẽ sử dụng các chính sách của Domain hoặc GPO cho các OU trong Domain. Khi dùng Group Policy, User không cần phải làm bất cứ động tác nào vì thông qua Active Directory service, Group Policy có thể thực hiện hoàn toan 2 tự động Dùng dịch vụ Microsoft Windows Software Update Services (WSUS/SUS): Server cài đặt dịch vụ này, được xem là trung tâm phân phối các security updateas cho các Computer trên Mạng. Admin có thể cấu hình trên các Computer để tự động download security updates hoặc lập lịch biểu (scheduling) download từ WSUS server này Dùng tính năng Feature Pack (Microsoft Systems Management Server (SMS) Update Services Feature Pack) có trong dịch vu SMS: Bao gồm Wizard hướng dẫn đóng gói các Security updates và triển khai chúng đến các Computer thông qua kho lưu trữ Software Inventory.Windows Update: Cập nhật service pack, security updates cho HDH. Dùng cho môi trường nhỏ SOHO.Office Update: Cập nhật service pack, security updates cho Office 2000/XP. Dùng cho môi trường nhỏ SOHO. Group Policy: Triển khai cho các Computer dùng Windows 2000 /Windows XP trong Active Directory Domain. Đóng gói các service packs và security updates (thành định dang file .MSI) Bằng cách dùng các chính sách software installation policies. WSUS: Câp nhật Security updates dựa trên chính sách Group Policy của Domain, cho các Computer dùng Windows 2000/Windows XP SMS update services feature pack: Tất cả các SMS client Computer có thể kết nối đến SMS update services feature pack trên SMS server để cập nhật Service packs và security updateschính sách an toàn Account cho Computer (Security Account Policies) Ở phần trước tôi đã giới thiệu những phương thức chung để bảo vệ máy tính của một tổ chức. Phần tiếp theo này tôi sẽ trình bày những phương thức cụ thể theo trình tự, từ quá trình setup hệ thống, vận hành hệ thống dựa trên những chính sách an toàn từ basic cho đến những kĩ năng advance mà các Security Admin cần quan tâm để áp dụng vào việc xây dựng các quy trình an toàn thông tin cho tổ chức. Phần trình bày này tôi xin đề cập đến vấn đề an ninh account (account security) và cách thức tạo account an toàn nhằm đối phó với những kiểu tấn công rất phổ biến và hiệu quả dưới sự trợ giúp của những công cụ phù thủy Chính sách về account và cách thức tạo account nghèo nàn là con đường dễ dàng nhất cho attacker, như vậy những hình thức bảo mật khác được áp dụng vào hệ thống như trang bị các công cụ chống maleware (prevent virus, worm, spyware, ad-ware..), triển khai hệ thống phòng thủ Mạng (Firewall) cũng sẽ không có tác dụng nào đáng kể, vì Admin quá thờ ơ trong cách thức tạo account và đưa ra chính sách tạo account chứa đựng nhiều rủi ro này. Yêu cầu xác định các chính sách tạo password mạnh và đưa ra được chiến lược an toàn account áp dụng vào an toàn thông tin của tổ chức là vấn đề mang tính cấp bách. C. Làm thế nào để tạo và quản lý Account an toàn Những yếu tố dưới đây sẽ cho chúng ta thấy cách thức tạo và quản lý Account sao cho an toàn Account phải được bảo vệ bằng password phức hợp ( password length, password complexity) Chủ sở hữu account chỉ được cung cấp quyền hạn truy cập thông tin và dịch vụ cần thiết (không thiếu quyền hạn mà cũng không thể để thừa) Mã hóa account trong giao dịch trên Mạng (kể cả giao dịch trong Mạng nội bộ) Lưu trữ account an toàn ( nhất định database lưu giữ tai khoản phải được đặt trên những hệ thống an toàn và được mã hóa) Huấn luyện nhân viên, những người trực tiếp sử dụng Computer cách thức bảo mật account tránh rò rĩ (attacker có thể lợi dụng mối quan hệ với nhân viên hoặc giả danh bộ phận kĩ thuật hỗ trợ xử lí sự cố hệ thống từ xa để khai thác ), hướng dẫn cách thức thay đổi password khi cần thiết và tránh tuyệt đối việc ghi lại account trên các stick-notes rồi gián bừa bãi trên Monitorhoặc Keyboard..), Khóa (lock) ngay Computer khi không sử dụng, mặc định trên các máy tính thường cũng có chính sách tự động lock computer sau môt thời gian không sử dụng, để giúp cho những nhân viên hay quên tránh được lỗi bảo mật sơ đẳng (lỗi này giống như việc ra khỏi nhà mà không khóa cửa) Những người tạo và quản lý account (đặc biệt là những account hệ thống – System accounts, và account vận hành, kiểm soát các dịch vụ - service accounts) cho toàn bộ tổ chức là những người được xem là AN TOÀN TUYỆT ĐỐI. Disable những account tạm thời chưa sử dụng, delete những account không còn sử dụng. Tránh việc dùng chung Password cho nhiều account Khóa (lock) account sau một số lần người sử dụng log-on không thành công vào hệ thống. Có thể không cho phép một số account quản trị hệ thống và dịch vụ, không được log-on từ xa (remote location log-on), vì những hệ thống và dịch vụ này rất quan trọng và thông thường chỉ cho phép được kiểm soát từ bên trong (internal Network), nếu có nhu cầu quản trị và support từ xa Security Admin vẫn dễ dàng thay đổi chính sách để đáp ứng nhu cầu. Các Security admin khi log-on vào Server chỉ nên dùng account có quyền hạn thấp, khi cần quản trị hay vận hành các dịch vụ, mới nên dùng account System hoặc Service (ví dụ Microsoft Windows hỗ trợ command run as thông qua run as service để cho phép độc lập quản trị các thành phần của hệ thống, các dịch vụ mà không cần phải log-on vào máy ban đầu bằng account admin). Điều này giúp chúng ta tránh được các chương trình nguy hiểm đã lọt vào máy tính chạy với quyền admin, khi đó các admin thật sự của Computer sẽ gặp nhiều rắc rối. Vá tất cả những lỗ hỗng hệ thống để ngăn chặn các kiểu tấn công "đặc quyền leo thang" (bắt đầu lọt vào hệ thống với account thông thường và sau đó leo thang đến quyền cao nhất) Trên đây là những phần trực quan nhất mà Admin Security cần hình dung cụ thể khi thiết kế chính sách bảo mật account (account security policies). Một trong những chính sách bảo vệ hệ thống cần phải xem xet kĩ lưỡng nhất nhưng thông thường dễ lơ là thậm chí là coi nhẹ, mà sự thực hầu hết các con đường xâm nhập vào hệ thống đều qua khai thác Credentials (có được thông tin account), attacker nắm được vulnerabilities ( yếu điểm ) này, nên lợi dụng khai thác rất hiệu quả. D. Phân tích và thiết kế các chính sách an toàn cho account. Phân tích những rủi ro và xác định các mối đe dọa đối với account: Account cho một User sẽ xác định những hành động mà User đó có thể thực hiện. Việc phân loại account sẽ chỉ ra những cấp độ bảo vệ thích hợp khác nhau. Các account trên hệ thống sẽ nhận được 2 loại quyền cơ bản: + User rights (Quyền hệ thống): Là loại đặc quyền mà User được hệ thống cho phép thực thi những hành động đặc biệt (ví dụ: Quyền Backup Files Và Folders, thay đổi thời gian hệ thống, shutdown hệ thống) Trên Windows các bạn có thể type command secpol.msc tại RUN, để open Local Security Settings local policies User rights assignment là nơi xác lập các User rights của hệ thống + Permissions (Quyền truy cập): Được kiểm soát bởi DACLs (Discretionary access control lists) của hệ thống, được phép truy cập vào các File/Folder hay Active Directory objects (trong Domain) (ví dụ User A được quyền Read/Modify đối với Folder C:Data, User B được Full Control đối với OU Business..) Chú ý trong việc cấp phát Permission cho account, nên đưa account vào Group để dễ kiểm soát, tránh việc phân quyền mang tính cá nhân cho một account nào đó. Điều này tăng cường khả năng kiểm soát account, vì khi số lượng account của hệ thống (Local hay Domain) tăng lên thì việc tổ chức này tạo sự an toàn và dễ kiểm soát hơn. Những kẽ hở từ Account có thể tạo cơ hội cho attacker: Password: Password quá yếu (độ dài password quá ngắn, các kí tự đơn giản, lấy ngày tháng năm sinh, tên những bộ phim, địa danh, nhân vật nổi tiếng , đặt cho password). Dùng cùng password cho nhiều account. password được dán bừa bãi lên Monitor/Keyboard, hoặc lưu password vào một text file không bảo vệ. Chia sẽ password hệ thống của mình cho bạn đồng nghiệp Cấp phát đặc quyền: Cấp phát đặc quyền Administrator cho các User. Các services của hệ thống không dùng Service account. Cấp phát User right không cần thiết cho account. Việc sử dụng account: Log-on vào máy với account Administrators khi thi hành những tác vụ thông thường. Tạo những User account cho phép quyền quản trị các tài khoản khác. Kích hoạt những tài khoản không còn được sử dụng (ví dụ nhân viên đã nghỉ việc, tài khỏan vẫn được lưu hành trên hệ thống..) Thiết kế chính sách tạo Password đáp ứng bảo mật cho Account: Chính sách tạo password sao cho an toàn thực sư là một trong những yếu tố chính để bảo vệ tài khoản. Chính sách này bao gồm các yếu tố chính như sau: + Thời gian tối đa sử dụng password (maximum password age): Hạn sử dụng tối đa của password trước khi user phải thay đổi password. Thay đổi password theo định kì sẽ giúp tăng cường an toàn cho tài khoản + Thời gian tối thiểu password phải được sử dụng trước khi có thể thay đổi (minimum password age). Admin có thể thiết lập thờigian này khoảng vài ngày, trước khi cho phép user thay đổi password của họ. + Thực thi password history: Số lần các password khác biệt nhau phải sử dụng qua, trước khi quay lại dùng password cũ. Số Password history càng cao thì độ an toàn càng lớn. + Chiều dài password tối thiểu (minimum password length) cần phải đặt. Càng dài càng an toàn + Password phải đạt yêu cầu phức hợp: không chỉ về độ dài mà còn về độ phức hợp của các kí tự đặt password (ví dụ bạn có thể thấy sự khác biệt giữa password và P@ssW0rd) Khi dùng password phức hợp cần quan tâm: + Không sử dụng họ và tên + Chứa ít nhất 6 kí tự + Có thể đan xen chữ hoa,(A..Z) thường (a..z), và các kí tự đặc biệt như: !@#$%^&*() Account lockout: Sẽ bị khóa tài khoản trong một thời gian nhất định, nếu như sau một số lần log-on không thành công vào hệ thống. Mục đích của chính sách này nhằm ngăn chặn các cuộc tấn công dạng brute force vào account để dò password. Trên đây là những vấn đề cốt lõi trong việc tạo và quản lý Account sao cho an toàn, nhằm đáp ứng các yêu cầu khắt khe trong chính sách an toàn thông tin của tổ chức và đối với các Security Admin thiết nghĩ vấn đề này không nên chễnh mãng hoặc thờ ơ, vì đây là "ngõ vào" đầu tiên mà attacker luôn ưu tiên trong việc thăm dò, khai thác yếu điểm của hệ thống. Chương 2 BẢO MẬT VỚI LỌC GÓI IP 1. Giới thiệu gói lọc Static fillter packet: Nói chung, một router (bộ định tuyến) là một thiết bị liên mạng chuyên dụng vốn chạy một hệ điều hành chuyên biệt (Ví dụ như Cisco IOS) để chuyển các gói giữa hai hoặc nhiều đoạn mạng được tách biệt. Nó hoạt động tại lớp network của mô hình tham chiếu OSI hoặc lớp Internet của mô hình TCP/IP. Do đó, nó định tuyến các gói IP bằng cách tham khảo các bảng vốn chỉ định đường dẫn tốt nhất mà gói IP sẽ đi qua để tiến đến đích của nó Chính xác hơn, một router nhận một gói IP trên một giao diện mạng và chuyển tiếp nó trên một giao diện mạng khác. Nếu router biết giao diện nào để chuyển tiếp gói trên đó, nó sẽ là như vậy. Nếu không, nó không thể định tuyến gói. Trong trường hợp này, router thường trả về gói bằng cách sử dụng thông báo ICMP destination unreachable đến địa chỉ IP nguồn. Bởi vì mọi gói IP chứa một địa chỉ IP nguồn và đích, các gói bắt nguồn hoặc được chỉ định cho một host hoặc đoạn mạng cụ thể có thể được lọc một cách có chọn lựa bởi một thiết lọc gói. Cũng vậy, các giao thức lớp Transport chẳng hạn như TCP hoặc UDP thêm một số cổng nguồn và đích vào mỗi đoạn hoặc khối dữ liệu dưới dạng một phần thông tin tiêu đề của chúng. Những số cổng này chỉ định những tiến trình nào mà mỗi host sau cùng sẽ nhận được dữ liệu được đóng gói trong gói IP. Thông tin này cũng có thể được sử dụng để lọc các gói IP một cách có chọn lọc. Vào cuối những năm 1980 và đầu những năm 1990, một số bà tham luận và bài báo khoa học đã được xuất bản mô tả cách sử dụng các bộ lọc gói nhằm cung cấp các dịch vụ kiểm soát truy cập cho các intranet công ty. Một số bài tham luận này thực sự mô tả việc sử dụng tính năng lọc gói trong các mô hình firewall ban đầu tại AT&T và Digital Equiment Corporation (DEC). Ngày nay, hầu hết các sản phẩm router thương mại (ví dụ như các router Cisco) cung cấp khả năng trắng các gói IP và lọc chúng phù hợp với một tập hợp qui tắc bộ lọc gói. Các router như vậy đôi khi còn được gọi là các router trắng. Nói chung, các router trắng có thể cung cấp một cơ chế hiệu quả để kiểm soát loại lưu lượng mạng vốn có thể vào hoặc ra một đoạn mạng cụ thể. Bằng cách kiểm soát loại lưu lượng mạng vốn có thể vào hoặc ra một đoạn mạng, có thể kiểm soát các loại dịch vụ vốn có thể hiện hữu. Các dịch vụ mà sau cùng làm tổn hại đến sự bảo mật của đoạn mạng có thể được giới hạn một cách hiệu quả. Như đã đề cập ở trên, các gói IP thường được lọc dựa vào thông tin được tìm thấy trong các tiêu đề gói: Các số giao thức Các địa chỉ IP nguồn và đích Các số cổng nguồn và đích Các cờ nối kết TCP Một số tùy chọn khác. Chú ý rằng những router thường không xem xét các số cổng (TCP hoặc UDP) khi đưa ra các quyết định về đường truyền, nhưng thực hiện đối với các mục đích lọc, biết rằng số cổng nguồn và đích cho phép lọc có chọn lựa dựa vào dịch vụ đang được sử dụng. Ví dụ, một server Telnet lắng nghe tại cổng 23, trong khi server SMTP thường lắng nghe tại cổng 25. Tính năng lọc có chọn lựa theo các số cổng cũng tận dụng cách các cổng được gán. Mặc dù một server Telnet sử dụng công 23 phần lớn thời gian, nhưng một số cổng client Telnet không cố định nhưng được gán động. Trong một môi trường UNIX hoặc Linux chẳng hạn, cổng client được gán một số lớn hơn 1023. Cũng chú ý rằng các router trắng cũng có thể lọc trên bất kỳ cờ kết nối TCP, nhưng các cờ SYN và ACK là những cờ thường được sử dụng nhiều nhất để lọc gói (đây là do hai cờ này xác định chung việc một kết nối TCP có thể được thiết lập nội biên hoặc ngoại biên hay không). Ví dụ, tất cả đoạn TCP ngoại trừ đoạn đầu tiên (nghĩa là thông báo yêu cầu kết nối TCP) mang một cờ ACK. Thật không may, không phải tất cả router trắng đều có thể lọc các gói IP dựa vào tất cả trường tiêu đề được đề cập ở trên. Ví dụ, một số router trắng không thể xem xét cổng nguồn của một gói IP. Điều này làm cho những qui tắc lọc gói trở lên phức tạp hơn và ngay cả tạo ra những lổ hổng trong toàn bộ sơ đồ lọc gói. Ví dụ, có một sự cố như vậy nếu một site muốn cho phép lưu lượng SMTP cả nội lẫn ngoại biên cho email. Hãy nhớ rằng trong trường hợp một client thiết lập một kết nối SMTP với một server, số cổng nguồn của client này sẽ được chọn ngẫu nhiên tại hoặc trên 1024 và số cổng đích sẽ là 25, cổng mà một server SMTP thường được đặt ở đó. Kết quả, server SMTP đã trả về các gói IP với một số cổng nguồn là 25 và một số cổng đích bằng với số cổng được chọn ngẫu nhiên bởi client. Trong tình huống này, một bộ lọc gói phải được cấu hình để cho phép các số cổng đích và nguồn lớn hơn 1023 đi qua theo một trong hai hướng. Nếu router có thể lọc trên cổng nguồn, nó có thể ngăn chặn lưu lượng SMTP đến bằng một cổng đích lớn hơn 1023 và một cổng nguồn ngoại trừ 25. Tuy nhiên, nếu không có khả năng này, router không thể xem xét cổng nguồn và do đó phải cho phép lưu lượng SMTP đến bằng một cổng đích lớn hơn 1023 và một số cổng nguồn tùy ý. Kết quả, những người dùng hợp lệ nhưng có ý đồ xấu có thể lợi dụng tình huống này và chạy các server tại cổng lớn hơn 1023 để tránh chính sách truy cập dịch vụ được áp đặt bởi bộ lọc gói. Ví dụ, server Telnet vốn thường lắng nghe tại cổng 23 có thể được yêu cầu lắng nghe tại cổng 7777. Những người dùng trên Internet sau đó có thể sử dụng một client Telnet thông thường để kết nối với server nội bộ này ngay cả nếu bộ lọc gói ngăn chặn cổng đích 23. Ngoài thông tin tiêu đề được tuân theo hạng mục ở trên, một số thiết bị lọc gói cũng cho phép nhà quản trị xác định các qui tắc lọc gói dựa vào giao diện mạng nào mà một gói thực sự đi vào và giao diện nào mà gói được chỉ định để rời khỏi. Khả năng xác định các bộ lọc trên các giao diện nội biên và ngoại biên cho phép một nhà quản trị có sự kiểm soát đáng kể đối với nơi mà bộ lọc gói xuất hiện trong toàn bộ sơ đồ và rất tiện lợi cho việc lọc hữu dụng trên các router trắng có hơn hai giao diện mạng. Thật không may, vì những lý do hiệu suất, không phải tất các router trắng đều có thể lọc trên những giao diện nội biên và ngoại biên và nhiều router thực thi những tính năng lọc gói chỉ trên giao diện ngoại biên. Chú ý rằng đối với các gói IP đi, các qui tắc lọc có thể quyết định giao diện để tiếp tục gửi gói đi. Tuy nhiên, vào thời điểm này router không còn biết giao diện nào mà gói đi vào, nó đã làm mất một số thông tin quan trọng. Các router trắng lọc các gói IP theo một tập hợp qui tắc lọc gói. Một cách chính xác hơn, khi một gói IP đi đến một giao diện mạng của một thiết bị lọc, các tiêu đề cố được phân tích. Mỗi qui tắc lọc gói được áp dụng vào gói theo thứ tự mà các qui tắc lọc gói được lưu trữ. Nếu một qui tắc ngăn chặn việc truyền hoặc nhận một gói, gói này không được cho phép. Nếu một qui tắc cho phép truyền hoặc nhận một gói, gói này được cho phép tiến hành. Nếu một gói không đáp ứng bất kỳ qui tắc, nó được phép hoặc bị ngăn chặn phụ thuộc vào qui tắc "mặc định" của firewall. Nói chung, client có một qui tắc vốn ngăn chặn các gói IP không phù hợp với bất kỳ qui tắc khác. Các bộ lọc gói không có trạng thái nghĩa là mỗi gói IP phải được kiểm tra tách biệt với những gì đã xuất hiện trước đây (và những gì sẽ xảy ra sau này), buộc bộ lọc đưa ra một quyết định để cho phép hoặc từ chối mỗi gói một cách riêng lẻ dựa vào qui tắc lọc gói. Các router thường được tối ưu hóa để xáo trộn nhanh các gói IP. Các bộ lọc gói của một router trắng mất thời gian và có thể làm thất bại toàn bộ những lỗ lực tối ưu hóa. Thực tế, việc lọc gói là một hoạt động chậm vốn có thể giảm đáng kể lưu lượng định tuyến. Việc ghi chép các gói IP cũng xuất hiện mà không liên quan đến lịch sử và cho phép ghi chép các kết quả trong một hit khác theo hiệu suất. Việc lọc và ghi chép gói thường không được kích hoạt trong các router chủ yếu để đạt thông lượng và hiệu suất tốt hơn. Nếu được kích hoạt và được sử dụng, việc lọc và ghi chép gói thường được cài đặt giao diện giữa các miền quản lý khác nhau. 2. Một số ví dụ về gói lọc Cấu hình bảo mật IP: Cấu trúc IP gồm toàn bộ một giao thức bảo mật. Bộ giao thức này bao gồm các giao thức IPSec và giao thức IKE. Các giao thức IPSec gồm hai giao thức: AH (Authentication Header) và ESP (Encapsulating Security Payload). Tương tự, giao thức IKE đã phát triển từ hai đề xuất giao thức quản lý khóa chính (là ISAKMP và OAKLEY). Một tổng quan cấp cao về cấu trúc bảo mật IP được trình bầy ở hình bên. Tóm lại, một module IPSec là một module (phần cứng hoặc phần mềm) vốn thực thi cấu trúc IPsec và các giao thức của nó. Mục đích chính của một monitor IPsec là bảo vệ lưu lượng IP vốn được gửi đến hoặc được nhận từ một module IPsec khác. Về cơ bản điều này có nghĩa theo các dịch vụ bảo mật và cơ chế bảo mật được xác định trong liên kết bảo mật (SA) tương ứng IPsec là sử dụng những SA này. Ở một trong hai phía của một SA, các tham số bảo mật của SA đó (ví dụ thuật toán mã hóa và khóa session) được lưu trữ trong một cơ sở dữ liệu liên kết bảo mật (SAD). Một SA và mục tương ứng trong SAD được tạo index với ba giá trị: - Một index các tham số bảo mật (SPI); - Một địa chỉ đích IP; - Một bộ nhận dạng giao thức bảo mật (là AH hoặc ESP) Hình 2.1: Tổng quan cấp cao về cấu trúc bảo mật IP Cấu trúc IPsec cho phép người dùng hoặc nhà quản trị hệ thống kiểm soát độ chi tiết hóa mà tại đó các dịch vụ bảo mật được cung cấp. Trong chuỗi RFC đầu tiên, ba phương pháp hướng đến cách cung cấp cho các SA những tham số bảo mật và các khóa mật mã được phân biệt: Việc tạo khóa định hướng host yêu cầu tất cả người dùng trên host chi sẻ cùng một khóa session để sử dụng trên lưu lượng được chỉ định cho tất cả người dùng trên một host khác. Việc tạo khóa định hướng người dùng cho phép mỗi người dùng trên một host có một hoặc nhiều khóa session duy nhất cho lưu lượng được chỉ định cho một host khác (chẳng hạn như các khóa session không được chia sẻ với những người dùng khác.) Việc tạo khóa session duy nhất có một khóa session được gán vào một địa chỉ IP, giao thức lớp trên và bội ba số cổng (trong trường hợp này, session FTP của một người dùng có thể sử dụng một khóa khác với session Telnet của cùng một người dùng). SPD của một phần thực thi IPsec xác định tại một mức trừu tượng cao các yêu cầu bảo mật cho các gói IP vốn được chuyển tiếp hoặc được định tuyến. Do đó, SPD được thiết lập và được duy trì bởi một người dùng hoặc nhà quản trị hệ thống (hoặc bởi một trình ứng dụng hoạt động trong một giới hạn được thiết lập bởi một trong số họ). Một trong số SPD sẽ xác định lưu lượng cần được bảo vệ, cách bảo vệ nó và sự bảo vệ được chia sẻ với ai. Đối với mỗi gói IP vào hoặc ra phần thực thi IPsec, SPD phải được tham khảo để ứng dụng các dịch vụ bảo mật IPsec. Cụ thể hơn, một mục SPD có thể xác định một trong ba hoạt động để thực hiện đối với một sự tương hợp lưu lượng: + Loại bỏ: Một gói không được cho vào hoặc cho ra. + Bỏ qua: Một gói được cho vào và cho ra mà không áp dụng dịch vụ bảo mật Ipsec + Áp dụng: Một gói chỉ được cho vào hoặc cho ra sau khi đã áp dụng các dịch vụ bảo mật Ipsec. Do đó, SPD cung cấp sự áp đặt kiểm soát truy cập tương đương như một bộ lọc gói (tĩnh) Nói chung, các giao thức AH và ESP phần lớn độc lập với SA đi kèm và các kỹ thuật và giao thức quản lý khóa, mặc dù những kỹ thuật và giao thức có liên quan ảnh hưởng đến một số dịch vụ bảo mật được cung cấp bởi các giao thức. Chương 3 IPSEC 1. Giới thiệu: IP Security (IPSec) là một giao thức hỗ trợ thiết lập các kết nối an toàn dựa trên IP. Giao thức này hoạt động ở tầng ba (Network) trong mô hình OSI do đó nó an toàn và tiện lợi hơn các giao thức an toàn khác ở tầng Application như SSL. IPSec cũng là một thành phần quan trọng hỗ trợ giao thức L2TP trong công nghệ mạng riêng ảo VPN (Virtual Private Network). Để sử dụng IPSec bạn phải tạo ra các qui tắc (rule), một qui tắc IPSec là sự kết hợp giữa hai thành phần là các bộ lọc IPSec (filter) và các tác động IPSec (action). 2. Các tác động bảo mật. IPSec của Microsoft hỗ trợ bốn loại tác động (action) bảo mật, các tác động bảo mật này giúp hệ thống có thể thiết lập những cuộc trao đổi thông tin giữa các máy được an toàn. Danh sách các tác động bảo mật trong hệ thống Windows Server 2003 như sau: Block transmissons: có chức năng ngăn chận những gói dữ liệu được truyền, ví dụ bạn muốn IPSec ngăn chận dữ liệu truyền từ máy A đến máy B, thì đơn giản là chương trình IPSec trên máy B loại bỏ mọi dữ liệu truyền đến từ máy A. Encrypt transmissions: có chức năng mã hóa những gói dữ liệu được truyền, ví dụ chúng ta trên đường truyền nối kết mạng giữa hai máy A và B. Cho nên chúng ta cần cấu hình cho IPSec sử dụng giao thức ESP (encapsulating security payload) để mã hóa dữ liệu cần truyền trước khi đưa lên mạng. Lúc này những người xem trộm sẽ thấy những dòng byte ngẫu nhiên và không hiểu được dữ liệu thật. Do IPSec hoạt động ở tầng Network nên hầu như việc mã hóa được trong suốt đối với người dùng, người dùng có thể gởi mail, truyền file hay telnet như bình thường. Sign transmissions: có chức năng ký tên vào các gói dữ liệu truyền, nhằm tránh những kẻ tấn công trên mạng giả dạng những gói dữ liệu được truyền từ những máy mà bạn đã thiết lập quan hệ tin cậy, kiểu tấn công này còn có cái tên là main-in-the-middle. IPSec cho phép bạn chống lại điều này bằng một giao thức authentication header. Giao thức này là phương pháp ký tên số hóa (digitally signing) vào các gói dữ liệu trước khi truyền, nó chỉ ngăn ngừa được giả mạo và sai lệnh thông tin chứ không ngăn được sự nghe trộm thông tin. Nguyên lý hoạt động của phương pháp này là hệ thống sẽ thêm một bit vào cuối mỗi gói dữ liệu truyền qua mạng, từ đó chúng ta có thể kiểm tra xem dữ liệu có bị thay đổi khi truyền hay không. Permit transmissions: có chức năng là cho phép dữ liệu được truyền qua, chúng dùng để tạo ra các qui tắc (rule) hạn chế một số điều và không hạn chế một số điều khác. Ví dụ một qui tắc dạng này “Hãy ngăn chặn tất cả những dữ liệu truyền tới, chỉ trừ dữ liệu truyền trên các cổng 80 và 443”. Chú ý: đối với hai tác động bảo mật theo phương pháp ký tên và mã hóa thì hệ thống còn yêu cầu bạn chỉ ra IPSec dùng phương pháp chứng thực nào. Microsoft hỗ trợ ba phương pháp chứng thực: Kerberos, chứng chỉ (certificate) hoặc một khóa dựa trên sự thỏa thuận (agreed-upon key). Phương pháp Kerberos chỉ áp dụng được giữa các máy trong cùng một miền Active Directory hoặc trong những miền Active Directory có ủy quyền cho nhau. Phương pháp dùng các chứng chỉ cho phép bạn sử dụng các chứng chỉ PKI (public key infrastructure) để nhận diện một máy. Phương pháp dùng chìa khóa chia sẻ trước thì cho phép bạn dùng một chuỗi ký tự văn bản thông thường làm chìa khóa (key). 3. Các bộ lọc IPSec. Để IPSec hoạt động linh hoạt hơn, Microsoft đưa thêm khái niệm bộ lọc (filter) IPSec, bộ lọc có tác dụng thống kê các điều kiện để qui tắc hoạt động. Đồng thời chúng cũng giới hạn tầm tác dụng của các tác động bảo mật trên một phạm vị máy tính nào đó hay một số dịch vụ nào đó. Bộ lọc IPSec chủ yếu dự trên các yếu tố sau: Địa chỉ IP, subnet hoặc tên DNS của máy nguồn. Địa chỉ IP, subnet hoặc tên DNS của máy đích. Theo số hiệu cổng (port) và kiển cổng (TCP, UDP, ICMP) 4. Ví dụ: Bảo vệ thư mục dùng chung với IPSec Giải pháp VLAN (Virtual LAN) thường được triển khai để cách ly các máy tính nối mạng nhưng trong thực tế nhiều đơn vị không có điều kiện trang bị switch hỗ trợ VLAN. Trong trường hợp này, dùng IPSec là giải pháp hữu hiệu để bảo vệ tài nguyên mạng chẳng hạn như thư mục dùng chung. Trong mô hình ví dụ có 2 nhóm máy tính, gọi là nhóm 1 và nhóm 2. Ta sẽ thực hiện cấu hình IPSec để chỉ có các máy tính ở trong cùng 1 nhóm có thể truy cập thư mục dùng chung của nhau. Để truy cập thư mục dùng chung, hệ điều hành XP/2000/2003 dùng giao thức TCP port 139 và port 445. Như vậy ta sẽ tạo 1 policy để lọc các cổng này. 1. Tạo mới và cấu hình IP Secutity Policy cho máy tính đầu tiên Bước 1: Chọn Start, Run và gõ MMC, nhấn Enter để mở trình Microsoft Manangement Console. Bước 2: Trong cửa sổ Console, chọn File, rồi chọn Add/Remove Snap-in. Bước 3: Trong hộp thoại mới mở, nhấn Add. Trong hộp thoại Add Stanalone Snap-in ta chọn IP Security Policy Management rồi nhấn Add. Bước 4: Trong hộp thoại Select Computer or Domain ta chọn Local computer rồi nhấn Finish. Bước 5: Tiếp theo nhấn Finish -> Close, rồi OK để trở về màn hình của MMC Bước 6: Nhấn phải chuột vào mục IP Security Policies on Local Computer và chọn Create IP Security Policy. Nhấn Next để tiếp tục. Bước 7: Tiếp theo, gõ tên của Policy cần tạo vào ô name, ví dụ "Lọc cổng 445 và 139". Nhấn Next để tiếp tục. Bước 8: Chọn Activate the default response rule, rồi nhấn Next. Tiếp theo, tại Default Response Rule Authentication Method, bạn chọn Use this string to protect the key exchange (preshared key) và gõ vào "1234". Nhấn Next để tiếp tục. Bước 9: Chọn Edit properties, rồi nhấn Finish để hoàn tất. Bước 10: Trong hộp thoại "Lọc cổng 445 và 139", bạn bỏ mục chọn ở phần và nhấn Add. Tiếp tục, bạn chọn Next và chọn This rule does not specify a tunnel. Nhấn Next, chọn All Connection, rồi nhấn Next; bạn chọn Use this string to protect the key exchange (preshared key) và gõ vào "1234". Nhấn Next để tiếp tục. Bước 11: Trong hộp thoại IP Filter List, bạn chọn Add. Tại mục name, bạn gõ vào tên của danh sách, ví dụ "Cổng 445, 139 ra - vào" (nên đặt tên cho dễ nhớ). Nhấn Add, rồi Next -> Next để tiếp tục. Bước 12: Trong hộp thoại IP Filter Wizard, bạn gõ mô tả vào ô Description, ví dụ "445 ra". Nhấn Next để tiếp tục. Bước 13: Tại mục IP Traffic Source Address bạn chọn My IP Address. Nhấn Next để tiếp tục. Tại mục IP Traffic Destination Address bạn chọn Any IP Address. Nhấn Next để tiếp tục. Tại mục Select a protocol type bạn chọn TCP. Nhấn Next để tiếp tục. Tại mục hộp thoại IP Protocol Port bạn chọn To this port và gõ vào giá trị 445.Nhấn Next rồi Finish để hoàn tất. Bước 14: Lặp lại từ bước 12 đến bước 13 thêm 3 lần nữa với các tham số như sau: Lần 1: Descripton : Cổng 445 vào Source Address : My IP Address Destination Address: Any IP Address Protocol Type: TCP IP Protocol Port: Chọn From this port giá trị 445 Lần 2: Descripton: Cổng 139 ra Source Address: My IP Address Destination Address: Any IP Address Protocol Type: TCP IP Protocol Port: Chọn To this port giá trị 139 Lần 3: Descripton: Cổng 139 vào Source Address: My IP Address Destination Address: Any IP Address Protocol Type: TCP IP Protocol Port: Chọn From this port giá trị 139 Kết thúc ta thu được kết quả như hình. Nhấn OK để tiếp tục. Bước 15: Trong hộp thoại Security Rile Wizard, ta chọn mục Cổng 445, 139 ra - vào. Nhấn Next để tiếp tục. Bước 16: Tại hộp thoại Filter Action ta chọn mục Require Security. Nhấn Edit để thay đổi tham số của Filter Action. Bước 17: Trong hộp thoại Require Security Properties, ta chọn mục Use session key perfect forward secrecy (PFS). Nhấn OK để quay trở lại rồi nhấn Next để tiếp tục. Bước 18: Tiếp theo trong hộp thoại Authentication Method, bạn chọn Use this string to protect the key exchange (preshared key) và gõ vào "1234". Bạn có thể dùng chuỗi khác phức tạp hơn, tuy nhiên phải nhớ rằng các máy tính trong cùng 1 nhóm sẽ có preshared key giống nhau. Tại hộp thoại này còn có 2 mục trên chúng ta không chọn có ý nghĩa như sau: Active Directory default (Kerberos V5 protocol): Chỉ chọn khi máy tính của bạn là thành viên được đăng nhập vào máy chủ (Windows Server 2000/2003) có cài Active Directory (hay còn gọi tắt là AD). Kerberos V5 là giao thức được mã hóa dữ liệu sử dụng giữa các user nằm trong AD. Use a certificate from this certification authority (CA): Sử dụng phương thức xác thực dựa trên Certificate Authority (CA). Muốn dùng phương thức này, bạn cần kết nối đến một máy chủ có cài Certificate Service để thực hiện yêu cầu và cài đặt CA dùng cho IPSec. Nhấn Next tiếp tục, rồi Finish để trở về. Bước 19: Trong hộp thoại Edit Rule Properties bạn chọn mục "Cổng 445, 139 ra - vào" và nhấn Apply rồi OK để trở về. Bước 20: Nhấn phải chuột vào mục IP Security Policy vừa tạo (Lọc cổng 445 và 139) và chọn Assign. 2. Sao chép IP Security cho máy tiếp theo Ta có thể tiến hành 20 bước trên cho máy 2, rồi máy 3. Tuy nhiên, như vậy sẽ rất mất thời gian và có thể xảy ra nhầm lẫn dẫn đến không thể liên lạc được với nhau. Ta dùng công cụ netsh để thực hiện thao tác Export IPsec Policy để xuất policy ra 1 file, sau đó nhập (Import) file này vào máy tính khác. Cách thực hiện như sau: Bước 1: Chuẩn bị Chọn Start, Run và gõ cmd và ấn Enter. Tại dấu nhắc của DOS ta gõ lệnh sau để tạo ra thư mục Ipsec ở ổ đĩa C: md C:\Ipsec (tạo thư mục Ipsec ở ổ đĩa C) Bước 2: Xuất IPSec policy ra file có tên Loc445va139.ipsec Gõ lệnh sau: netsh ipsec static exportpolicy file = c:\Ipsec\Loc445va139 (phần mở rộng ipsec do netsh tự thêm vào) Bước 3: Nhập IPSec Policy từ file Loc445va139.ipsec Chép file Loc445va139.ipsec vào thư mục C:\IPsec ở máy 2 và gõ lệnh sau: netsh ipsec static importpolicy file = c:\Ipsec\Loc445va139.ipsec Tại máy 2, tiếp tục các bước từ 1 đến 5 ở mục 1, để có được màn hình quản lý IP Security Management. Nhấn phải chuột vào mục IP Security Policy (Lọc cổng 445 và 139) và chọn Assign. Tiếp tục bước 3 với máy 3. 3. Thực hiện với nhóm 2 Đối với máy 4, 5 trong nhóm 2, ta tiến hành tương tự với nhóm 1 như đã trình bày ở trên. Tuy nhiên giá trị preshared key phải khác là giá trị của nhóm 1 Chương 4 NAT  1. Giới Thiệu: Như đã được biết, địa chỉ IP được chia thành hai loại: địa chỉ private chỉ được sử dụng trong mạng LAN, không được hiểu khi đi ra ngoài Internet, và địa chỉ Public được sử dụng trong mạng Internet. Như vậy khi một gói tin được gửi đi từ trong mạng LAN của bạn ra ngoài Internet cần phải có một cơ cấu phiên dịch địa chỉ Private ra địa chỉ Public để có thể được vận chuyển trong mạng. Đây chính là chức năng của Network Address Translation (NAT). 2. Thiết lập NAT trên Windows Server2003 NAT có thể hoạt động theo các cách sau: Static NAT: Một địa chỉ private được map với một địa chỉ public Dynamic NAT: Một địa chỉ private được map với một địa chỉ public từ một nhóm các dịa chỉ public. Ví dụ 1 máy tính trong một mạng LAN có địa chỉ 192.168.10.121 được “phiên dịch” thành 1 địa chỉ public trong dải 212.156.98.100 đến 212.156.98.150 khi gửi tin ra ngoài Internet. Overloading: Một hình thức của dynamic NAT, nó map nhiều địa chỉ Private đến một địa chỉ Public, việc phân biệt các địa chỉ Private này được dựa theo port, ví dụ IP address 192.168.10.121 sẽ được map đến ip address 212.56.128.122:port_number (212.56.128.122:1080). NAT làm việc như thế nào? Để thực hiện được công việc của mình, NAT duy trì một bảng thông tin về mỗi gói tin được gửi qua. Khi một PC trên mạng kết nối đến 1 website trên Internet header của địa chỉ IP nguồn được thay đổi và thay thế bằng địa chỉ Public mà đã được cấu hình sẵn trên NAT server , sau khi có gói tin trở về NAT dựa vào bảng record mà nó đã lưu về các gói tin, thay đổi địa chỉ IP đích thành địa chỉ của PC trong mạng và chuyển tiếp đi. Thông qua cơ chế đó quản trị mạng có khả năng lọc các gói tin được gửi đến hay gửi từ một địa chỉ IP và cho phép hay cấm truy cập đến một port cụ thể. Điều này có nghĩa NAT cũng có chức năng như một fire wall cơ bản. 2.1 Setup NAT Để setup NAT bước đầu tiên bạn phải mở Configure your server wizard trong administrative tool và lựa chọn chức năng RRAS/VPN Server->next-> RRAS setup winrad . Lựa chọn như trong hình ở dưới: Bấm next để tiếp tục tiến trình cài đặt, sau khi kết thúc sẽ xuất hiện hộp thoại thông báo. 2.2. Cấu hình NAT Để cấu hình NAT đầu tiên bạn mở Routing and Remote Access mmc trong Administrative Tools folder ở Control Panel hay trong Start menu. Kích chuột vào interface bạn muốn cấu hình để hiện ra cửa sổ properties để thay đổi các thông số như packet filtering hay port blocking, cũng như enabling/disabling các đặc tính hiện tại như firewall. Trong ví dụ trên tôi chọn interface là public interface kết nối đến internet. NAT và basic firewall option cũng đã được chọn. Các nút inbound và outbound sẽ mở ra một cửa sổ cho phép bạn giới hạn traffic dựa trên địa chỉ IP và Protocol. Để cấu hình thêm firewall , lựa chọn tab Services and Ports . Tại đây bạn có thể lựa chọn dịch vụ nào bạn muốn cho các user trong mạng của bạn truy cập vào Như vậy bạn đã thấy Network Address Translation là một đặc tính khả dụng cho phép không chỉ tiết kiệm địa chỉ mà còn thêm vào bảo mật trong mạng của bạn. Với việc IPv6 vẫn trong quá trình nghiên cứu và phát triển thì việc sử dụng NAT vẫn đang còn tồn tại lâu dài. Chương 5 VIRUS VÀ CÁCH PHÒNG CHỐNG 1. Giới thiệu tổng quan về virus 1.1. Virus máy tính là gì ? Virus máy tính là một chương trình máy tính có khả năng tự sao chép chính nó từ đối tượng lây nhiễm này sang đối tượng khác (đối tượng có thể là các file chương trình, văn bản, máy tính...). Virus có nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại, nhưng chỉ cần bạn nhớ rằng đó là một đoạn chương trình và đoạn chương trình đó thường dùng để phục vụ những mục đích không tốt Virus máy tính là do con người tạo ra, quả thực cho đến ngày nay có thể coi nó đã trở thành như những bệnh dịch cho những chiếc máy tính và chúng ta là những người bác sĩ, phải luôn chiến đấu với bệnh dịch và tìm ra những phương pháp mới để hạn chế và tiêu diệt chúng. Cũng như mọi vấn đề ngoài xã hội, cũng khó tránh khỏi việc có những loại bệnh mà phải dày công nghiên cứu mới trị được, hoặc cũng có những trường hợp gây ra những hậu quả khôn lường. Chính vì vậy, phương châm "Phòng hơn chống" vẫn luôn đúng đối với virus máy tính . 1.2. Virus máy tính lây lan như thế nào ? Virus máy tính có thể lây vào máy tính của bạn qua email, qua các file bạn tải về từ Internet hay copy từ máy khác về, và cũng có thể lợi dụng các lỗ hổng phần mềm để xâm nhập từ xa, cài đặt, lây nhiễm lên máy tính của bạn một cách âm thầm. Email là con đường lây lan virus chủ yếu và phổ biến nhất hiện nay. Từ một máy tính, virus thu thập các địa chỉ email trong máy và gửi email giả mạo có nội dung hấp dẫn kèm theo file virus để lừa người nhận thực thi các file này. Các email virus đều có nội dung hấp dẫn, hoặc virus trích dẫn nội dung của 1 email trong hộp thư của nạn nhân để tạo ra phần nội dung của email giả mạo, điều đó giúp cho email giả mạo có vẻ “thật” hơn và người nhận dễ bị mắc lừa hơn. Với cách hoàn toàn tương tự như vậy trên những máy nạn nhân khác, virus có thể nhanh chóng lây lan trên toàn cầu theo cấp số nhân. Máy tính của bạn cũng có thể bị nhiễm virus khi bạn chạy một chương trình tải từ Internet về hay copy từ một máy tính bị nhiễm virus khác. Lý do là các chương trình này có thể đã bị lây bởi một virus hoặc bản thân là một virus giả dạng nên khi bạn chạy nó cũng là lúc bạn đã tự mở cửa cho virus lây vào máy của mình. Quá trình lây lan của virus có thể diễn ra một cách "âm thầm" (bạn không nhận ra điều đó vì sau khi thực hiện xong công việc lây lan, chương trình bị lây nhiễm vẫn chạy bình thường) hay có thể diễn ra một cách "công khai" (virus hiện thông báo trêu đùa bạn) nhưng kết quả cuối cùng là máy tính của bạn đã bị nhiễm virus và cần đến các chương trình diệt virus để trừ khử chúng. Nếu bạn vào các trang web lạ, các trang web này có thể chứa mã lệnh ActiveX hay JAVA applets, VBScript...là những đoạn mã cài đặt Adware, Spyware, Trojan hay thậm chí là cả virus lên máy của bạn. Vì vậy, chúng tôi khuyên bạn trong mọi tình huống bạn nên cẩn thận, không vào những địa chỉ web lạ. Tuy nhiên virus cũng được phát triển theo một trình tự lịch sử tiến hoá từ thấp đến cao. Những virus hiện nay có thể lây vào máy tính của bạn mà bạn không hề hay biết vì bạn không nhận được email virus, không vào web lạ hay chạy bất cứ file chương trình lạ nào. Đơn giản là vì đó là những virus khai thác các lỗi tiềm ẩn của một phần mềm đang chạy trên máy tính của bạn (ví dụ: lỗi tràn bộ đệm) để xâm nhập từ xa, cài đặt và lây nhiễm. Các phần mềm (kể cả hệ điều hành) luôn chứa đựng những lỗi tiềm tàng mà không phải lúc nào cũng có thể dễ dàng phát hiện ra. Các lỗi này khi được phát hiện có thể gây ra những sự cố không lớn, nhưng cũng có thể là những lỗi rất nghiêm trọng và không lâu sau đó thường sẽ có hàng loạt virus mới ra đời khai thác lỗi này để lây lan. Đến đây bạn có thể sẽ tự hỏi: "Vậy làm thế nào để máy tính của tôi không bị nhiễm virus ?". Lời khuyên của chúng tôi dành cho bạn là: Bạn phải chặn virus trên chính những con đường lây lan của chúng. Bạn hãy cận thận với những file gửi kèm trong email, không chạy các chương trình không rõ nguồn gốc khi tải từ Internet về hoặc những chương trình copy từ máy khác, cập nhật các bản sửa lỗi cho các phần mềm chạy trên máy tính của bạn, và điều quan trọng nhất là cập nhật thường xuyên chương trình diệt virus mới nhất. 1.3. Virus máy tính phá hoại những gì ? Đây chắc chắn sẽ là điều băn khoăn của bạn nếu chẳng may máy tính của bạn bị nhiễm virus. Như chúng tôi đã nói, dù ít hay nhiều thì virus cũng được dùng để phục vụ những mục đích không tốt. Các virus thế hệ đầu tiên có thể tàn phá nặng nề dữ liệu, ổ đĩa, hệ thống, đơn giản hơn chỉ là một câu đùa vui hay nghịch ngợm đôi chút với màn hình hay thậm chí chỉ nhân bản thật nhiều để "ghi điểm". Tuy nhiên các virus như vậy hầu như không còn tồn tại nữa. Các virus ngày nay thường phục vụ cho những mục đích kinh tế hoặc phá hoại cụ thể. Chúng có thể chỉ lợi dụng máy tính của bạn để phát tán thư quảng cáo hay thu thập địa chỉ email của bạn. Cũng có thể chúng được sử dụng để ăn cắp tài khoản ngân hàng, tài khoản hòm thư hay các thông tin các nhân quan trọng của bạn. Cũng có thể chúng sử dụng máy bạn như một công cụ để tấn công vào một hệ thống khác hoặc tấn công ngay vào hệ thống mạng bạn đang sử dụng. Đôi khi bạn là nạn nhân thực sự mà virus nhắm vào, đôi khi bạn vô tình trở thành "trợ thủ" cho chúng tấn công vào hệ thống khác. 2. Cách thức lây lan và phòng chống virus Bạn thường không hiểu tại sao virus lại có thể nhiễm vào máy mình mặc dù đã cài đặt các antivirus rất cẩn thận. Vậy chúng đã lây lan qua những con đường nào và phải phòng tránh ra sao? 2.1. Lây lan qua USB Virus thường tạo ra một tệp autorun.inf trong thư mục gốc của USB hay đĩa mềm của bạn. Khi phát hiện có thiết bị lưu trữ mới được cắm vào (USB, CD, Floppy Disk ), Window mặc nhiên sẽ kiểm tra tệp autorun.inf nằm trong đó, nếu có nó sẽ tự động thực hiện các dòng lệnh theo cấu trúc được sắp xếp trước. Tệp autorun.inf thông thường sẽ có nội dung: [autorun] open=virus.exe icon=diskicon.ico Câu lệnh trên sẽ tự động thực thi một tệp có tên là virus.exe (tệp virus) và thiết lập icon của ổ đĩa là diskicon.ico. Những tệp này đều nằm ở thư mục gốc của thiết bị lưu trữ. Giả sử ổ USB của bạn là ổ G thì tệp đó sẽ nẳm ở G:\virus.exe. Khi cắm usb vào, máy tính sẽ mặc nhiên chạy tệp G:\virus.exe nếu chưa được config đúng cách. Cách ngăn chặn: Để disable chế độ tự động autorun, bạn vào Start – Run, gõ regedit và ấn Ok, bên tay trái, bạn truy cập vào khóa: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer Bên tay phải bạn kích đúp vào biến NoDriveTypeAutoRun (nếu chưa có thì bạn hãy tạo thêm) và chỉnh lại thành FF để vô hiệu hóa autorun của tất cả các ổ đĩa. Nhấp OK và restart lại máy để có hiệu lực. Tuy nhiên cũng chỉ hạn chế được tính năng tự động của tệp autorun. Nếu trong USB có tệp autorun mà bạn kích đúp vào ổ thì window vẫn mặc nhiên chạy nó. Vì vậy bạn nên dung các phương thức khác để truy cập vào USB mà không cần kích đúp, cũng như nên sửa thói quen truy cập gây hại này và thay vào đó là chuột phải, chọn Open Nếu phát hiện trong USB có virus (hay tệp autorun), bạn có thể vào cmd và gõ 2 lệnh sau để xóa (phải gõ cả 2 lệnh theo tuần tự): attrib -s -h [ổ đĩa:\]autorun.inf del [ổ đĩa:\]autorun.inf Lệnh đầu dùng để gỡ bỏ thuộc tính ẩn của autorun.inf, lệnh sau có tác dụng xóa autorun.inf. Nếu bạn chỉ dung lệnh del thì cmd sẽ không phát hiện ra autorun.inf và lệnh sẽ không được thực thi. 2.2. Lây lan qua Yahoo!Messenger Những loại virus kiểu này có một thời rất được thịnh hành ở Việt Nam vì khả năng lây lan với tốc độ cao của nó. Thỉnh thoảng bạn gặp một vài tin nhắn rất hấp dẫn của bạn bè gửi cho và sau đó là đường link đến một trang web lạ nào đó. Đại loại như: ... click vào đây đi, hay lắm http://[web link] Và nếu ai không cảnh giác sẽ vô tình click vào, đột nhiên cửa sổ IE của bạn bị đơ cứng lại trong vài giây. Virus đã được tự động down về máy và kích hoạt, chỉ vài giây sau bạn sẽ gửi đi những tin nhắn vô tình gây hại cho người khác giống như bạn bè của bạn. Cách ngăn chặn: Virus dạng này sử dụng một đoạn VBScript gắn trên link web được gửi có tác dụng tự động download file exe về máy và kích hoạt. Hiện nay phần lớn các trình duyệt đều không hỗ trợ VbScript, chỉ có Internet Explorer (trình duyệt mặc định của Window) từ bản 6 trở xuống là vẫn hỗ trợ loại mã này. Nên tốt nhất bạn nên tải bản IE 6 trở lên hoặc sử dụng các trình duyệt khác có tính bảo mật hơn như FireFox, Opera Ngoài ra trước mỗi link lạ, bạn có thể xem qua source của nó để khẳng định nó không có gì nguy hiểm, bạn có thể sử dụng các trang xem trước mã html (www.viewhtml.com) . Nên chú ý các từ khóa đặc biệt như: vbscript, exe Tuy nhiên phương pháp này tỏ ra không hiệu quả vì trong trang web đó có thể embed thêm một số url khác, và sau một loạt các url embed mới đến link của trang web chứa script. 2.3. Lây lan qua trình duyệt truy cập web Giống như cách lây lan qua Yahoo Messenger, khi bạn truy cập vào đường link (một trang web) nào đó, bạn sẽ vô tình vào phải các trang web bị nhiễm mã độc (dạng VBScript). Cách giải quyết giống như trên, sử dụng các trình duyệt có tính bảo mật tốt không hỗ trợ vbscript để truy cập web. 2.4. Lây lan qua Email, Outlook Express Tiện ích email thì chắc không ai còn lạ gì rồi, nhất là nếu bạn hay check mail, công việc khiến bạn phải tiếp xúc với email nhiều. Bạn rất khó phân biệt được email nào có nội dung tốt, xấu hay chỉ là spam. Hacker đã lợi dụng email để “giả dạng” một e mail với môt địa chỉ bất kì nào mà họ muốn, với nội dung là một tấm thiệp, một file attach hay đường link nào đó. Đó đều là những file malware gây nguy hiểm cho máy tính. Vậy làm sao để nhận dạng? Cách ngăn chặn: Phần này chủ yếu dựa trên kinh nghiệm hiểu biết của bạn. Bạn nên cảnh giác với những bức mail có nội dung chung chung. Giả sử như ở phần đầu của bức mail không có phần Gửi/Chào Hoặc không ghi rõ tên: Gửi bạn/Chào bạn những bức mail dạng này mà kèm theo attach file hay đường link nào đó thì bạn đừng nên down về, hoặc bạn nên quét virus cẩn thận trước khi chắc chắn mở nó ra. 2.5. Lây lan vào các tệp tin thực thi Một ngày chủ nhật nào đó, bạn lướt web và tìm kiếm các phần mềm tiện ích để download về. Những trang web bạn truy cập đều là các trang web sạch (không chứa mã độc, không có virus và có thể là các trang web có uy tín). Nhưng dù vậy, bạn vẫn có nguy cơ bị dính virus mà không biết mình đã bị khi nào. Vì một lý do nào đó, chương trình ứng dụng gốc sau khi được chuyển dịch từ server này lên server khác đã bị “đính” thêm một con virus vào (đánh tráo thành một tệp bị nhiễm virus). Bạn không hề biết nó có nguy hiểm hay không mà chỉ mẩy may bật vào, ngay lập tức, virus đã được extra và thực thi trên máy bạn từ file cài đặt của ứng dụng. Cách ngăn chặn: Hacker sau khi download một ứng dụng nguyên bản từ trên mạng về, sẽ sử dụng một phần mềm “exe joiner” nào đó để có thể đính 2 tệp exe vào với nhau. Rồi tiếp tục đem lên các trang web khác phát tán ứng dụng đã được đính virus. Nguyên lý của việc đính exe này có thể hiểu đơn giản như sau: Virus sẽ được quẳng vào cuối file của ứng dụng (hoặc một nơi nào đó không làm ảnh hưởng tới tiến trình). Sau khi chạy ứng dụng, virus sẽ được tự động extra ra thư mục temp (thư mục tạm của window) rồi tự động chạy tệp exe vừa được extra ra. Cách ngăn chặn việc này rất khó, vì hacker có trăm phương nghìn kế để che mắt chúng ta. Ta chỉ có thể “xem qua” tính an toàn của ứng dụng. Nếu bạn đã biết qua cấu trúc của một tệp .exe chắc cũng biết phần MZ ở đầu một tệp .exe, khi nó được đính vào ứng dụng sẽ có một phần dấu hiệu nhận biết nào đó. Thông thường thì trong một tệp exe chỉ có một cụm chữ MZ, nếu có 2 cụm và ở phía trước có một dấu hiệu lạ nào đó thì tệp setup đã bị “dính virus”. Bạn nên xóa tệp đó và báo cho nhà cung cấp hoặc nơi lưu trữ ứng dụng biết để không làm nhiều người khác bị nhiễm. Trên thực tế thì các phần mềm diệt virus hiện nay đều có tính năng nhận dạng những kiểu “đính” virus lộ liễu như thế này. Nhưng vì khả năng phòng thủ và tấn công luôn luôn song hành nên bạn khó lòng có thể tránh khỏi. Bài viết này giúp bạn nắm bắt qua một số nguyên nhân khiến máy nhiễm virus, giúp bạn có chút kiến thức tự phòng tránh & ngăn chặn. 3. Phòng chống Virus lây lan qua USB Flash Drive Hiện nay khi cắm USB Flash Drive (ổ USB) vào máy tính thì có đến 90% bị nhiễm virus (tạm gọi là virus USB), điều này đã gây nên nhiều tổn thất lớn. Thực tế, cách thức tấn công chất phác của các virus này không đáng gây nên những tổn thất như vậy, vấn đề cơ bản là ý thức ngây thơ của người dùng là điều kiện dung túng cho virus phát tán. 3.1. Virus phát tán qua ổ USB như thế nào? Cơ chế thứ nhất - Autorun (tự chạy) Nếu bạn đã từng đẩy một đĩa CD vào khay và chờ 1 chút, 1 chương trình cài đặt hiện lên, mọi thứ bắt đầu. Nếu tinh ý bạn sẽ thấy là có một cơ chế tự động (Autorun) đằng sau đó, và chắc chắn ít nhiều đã có một chương trình nào đó được thực thi. Chuyện gì xảy ra nếu chương trình vừa chạy này là một chương trình xấu, chứa những dòng mã hiểm độc nhằm hủy hoại máy tính của bạn?. Cũng tương tự như ổ CD-ROM của bạn, tất cả các ổ đĩa khác bao gồm đĩa cứng, đĩa mềm và USB Flash Drive, đều có thể ẩn chứa khả năng Autorun này. Cũng không thể nói rằng Autorun là một tính năng xấu, nhưng đây là một lỗ hổng cho những kẻ cơ hội khai thác và cũng là cơ chế lây lan cơ bản của hầu hết các virus USB. Bạn sẽ phải dè chừng nó. Cơ chế thứ hai - Fake Icon (giả biểu tượng) Virus máy tính do con người viết nên và nó có tính chất tự nhân bản, để hoạt động được đòi hỏi phải có môi trường và những điều kiện cụ thể (trong trường hợp trên thì cơ chế Autorun đã thực thi virus). Còn trường hợp phổ biến thứ hai, một “con” virus (dưới dạng một file .exe) giả dạng làm một thư mục hay file quen thuộc của bạn. Virus ngụy trang bằng cách mang trong mình icon của folder/file y hệt như icon thật, điều đó làm bạn dễ nhầm lẫn double click vào icon này. Sau khi bạn click, chẳng có thư mục hay file nào được mở ra cả, tất cả những gì bạn làm là đã thực thi 1 file .exe - vậy là virus đã được kích hoạt, máy của bạn bị nhiễm virus!. 3.2. Cách Phòng Chống virus USB Các động tác cơ bản Trước khi bắt đầu với đám virus USB, chúng ta nên có một số thao tác đón đầu trước để sau đó làm việc dễ dàng hơn: Thay đổi một số thuộc tính cơ bản Vào My Computer, chọn menu Tool > Folder Options Trong cửa sổ Folder Options chọn tab View, cuộn thanh cuộn xuống 1 chút và cấu hình như sau: + Chọn Show hidden files and folders để hiển thị các file ẩn (hidden file), bởi vì lẽ dĩ nhiên các virus tự ẩn mình đi. + Bỏ chọn Hide extensions for known file types để hiển thị đuôi (vd *.exe *.doc *.txt) cho tất cả các file. + Bỏ chọn Hide protected operating system files để hiển thị những file hệ thống quan trọng. Bạn sẽ thấy là mục này được ghi chú là Recommended, tức là khuyến cáo nên để ẩn chứ không nên cho hiện hết ra. Cũng đúng thôi, vì sau khi chọn mục này, bạn sẽ thấy xuất hiện nhiều file và thư mục hệ thống lờ mờ trên khắp các ổ cứng của mình, nếu không may xóa phải các file này thì rất có thể máy của bạn sẽ gặp rắc rối lớn. Tuy nhiên các virus cũng tự ngụy trang mình bằng cách khoác lên mình chiếc “áo” làm file hệ thống, để nhìn thấy chúng bạn phải bỏ chọn mục này. Nếu ổ USB có virus thì thực hiện như hình 4 để xóa các file nguy hiểm. Nhớ: không xóa bất kỳ file nào loại này mà bạn chưa chắc chắn là virus. 3.3. Cách chống virus USB lây sang máy tính 1. Tắt chức năng Autorun của Windows: vào Start->Run->Gõ gpedit.msc-> OK. Ở List bên trái chọn Computer Configuration -> Administrative Template -> System Ở List Setting bên phải tìm đến mục Turn off Autoplay và kích chuột phải chọn Properties Tại table Setting chọn Enable, tại mục Turn off Autoplay on: chọn All Drivers -> OK Làm tương tự với mục User Configuration -> 2. Không cho virus tạo file Autorun.inf trong ổ đĩa (cả ổ cứng và ổ USB): Có thể có nhiều cách chống được loại virus này. Tuy nhiên, cách đơn giản mà không cần công cụ gì giúp ổ cứng của bạn hạn chế bị virus USB tấn công và phát tán là tạo một file Autorun.inf (không có nội dung gì) trong thư mục gốc của ổ đĩa, không phân quyền cho bất kỳ user nào có thể thay đổi file đó để virus không tạo được file Autorun nữa. Cách làm như sau: - Ổ cứng của bạn phải được định dạng theo NTFS (Nếu là FAT32 thì không phân quyền cho file được) Mở Explorer rồi vào menu Tools \ Folder Options \ View, kéo xuống dưới rồi bỏ chọn mục Use simple file sharing --> OK Tạo một file Autorun.inf (không có nội dung), Click chuột phải chọn Properties \ Security \ Advanced, tại bảng Permissions hãy Remove hết tất cả các user có trong danh sách rồi chọn OK --> Yes, trở về mục Security sẽ thấy danh sách các user trống rỗng là được, sau đó chọn OK. Sau khi thao tác như trên, nếu không xóa được file Autorun.inf là bạn đã làm đúng. Với những gì đã làm kết hợp với việc thực hiện "Các bước truy xuất ổ đĩa an toàn" như hình vẽ ở dưới thì bạn không lo bị nhiễm virus USB nữa. Cuối cùng là bạn phải Restart lại máy để bước 1 có hiệu lực, cách này không hẳn là phòng chống được virus USB 100%, nhưng cũng hạn chế tối đa được loại virus lây qua ổ USB này. * Cách Convert ổ đĩa từ FAT sang NTFS: Chọn Start -> Run -> gõ lệnh cmd -> OK. Tại cửa sổ lệnh bạn gõ lệnh để convert theo cú pháp: CONVERT volume /FS:NTFS. Ví dụ muốn convert ổ F, bạn gõ lệnh như sau: Convert f: /FS:NTFS Một số lưu ý: - Dấu hiệu nhận biết khả năng ổ đĩa bị nhiễm virus USB (kích chuột phải vào biểu tượng ổ đĩa) Hình 1. Bình thường Hình 2. Bị nhiễm Hình 3. Bị nhiễm Nếu kích đúp chuột vào biểu tượng ổ đĩa thì: Hình 1, 99% sẽ mở ra thư mục gốc. Hình 2 và 3 (ổ đã bị nhiễm virus USB), 100% sẽ kích hoạt nội dung các câu lệnh trong file Autorun.inf - Cách truy cập ổ đĩa nhằm khống chế sự kích hoạt file Autorun.inf Vào My Computer, nhấn vào biểu tượng Folders sẽ thấy xuất hiện List các Folders bên trái, muốn mở ổ đĩa nào chỉ cần bấm chuột vào biểu tượng ổ đĩa đó. Ở cửa sổ phải sẽ xuất hiện các file và thư mục trong ổ đĩa, lúc này bạn có thể truy cập vào các file và thư mục mà không sợ kích hoạt file Autorun.inf Các bước truy xuất ổ đĩa an toàn 3.4. Cách chống Fake Icon Mỗi chương trình, mỗi loại file mang trên mình một biểu tượng. Lợi dụng điều này mà các loại virus USB mạo danh để hòng lừa gạt người dùng kích hoạt chúng. Vấn đề là nếu một chương trình virus mang icon của một folder/file khác, thật khó phân biệt và người dùng dễ nhầm lẫn double click thực thi chương trình này. Mặc định, Windows giấu đi phần đuôi của những chương trình, file đã biết. Vd: file STARTUP.exe được hiển thị trong My Computer chỉ còn là STARTUP. Nếu file này mang icon của một thư mục, thật khó phân biệt. Chẳng hạn như ở hình dưới, bạn cứ ngỡ STARTUP là một thư mục: Phân biệt cơ chế Fake Icon của virus Nhưng nếu bạn cho hiện hết đuôi các file ra (xem lại Các động tác cơ bản), thì các file này “lòi đuôi” ra ngay là file thực thi. Bạn cũng có thể xem file ở dạng Details (chọn menu Views > Details), lúc này hãy chú ý đến sự khác biệt giữa một thư mục (folder) và ứng dụng (application): Ở cột Type, ứng dụng được gọi là Application còn thư mục là File Folder. Ở cột Size, ứng dụng có size còn thư mục thì không. Cần lưu ý, các virus còn giả danh các file thường dùng, như file text (.txt), file word document (.doc), file ảnh (.jpg) v.v. Như vậy, để kiểm tra xem USB Drive có nhiễm virus loại này không, bạn có thể truy cập vào USB, bật chế độ hiện hết các đuôi file và chú ý đến các đuôi .exe. Hoặc cũng có thể view ở chế độ details và chú ý đến các Application. Nếu gặp các virus loại này? Hãy xóa thẳng tay. Bây giờ bạn thử dạo qua một vòng ổ cứng của mình và một vài thư mục con để kiểm tra xem máy đã bị nhiễm virus loại này chưa. BÀI ĐỌC THÊM 1. Bạn đã bao giờ gặp virus tin học chưa? Là người sử dụng máy tính, đôi khi bạn gặp những hiện tượng kỳ lạ như bàn phím không còn tuân theo sự điều khiển của bạn, cứ thỉnh thoảng lại tuôn ra những dòng chữ vớ vẩn. Hoặc có lúc bạn phải ngạc nhiên mà thốt lên: " Cái quỉ quái gì thế này?" khi nhìn thấy một trái pingpong nhảy múa trên màn hình, hoặc một thông điệp không mong đợi bỗng đường đột xuất hiện, đại loại như: "Hôm nay là sinh nhật của tôi, tại sao bạn phải làm việc?" Đôi khi chúng làm cho bạn hết sức bực bội khi chiếc loa máy tính cứ lải nhải một điệu nhạc cầu hồn nào đấy. Trầm trọng hơn, có trường hợp toàn bộ dữ liệu quí giá của cơ quan chỉ chứa toàn rác rưởi, những gì còn sót lại là các thông báo lạnh lùng và hợm hĩnh: "File đã bị xoá bởi virus X...". Virus tin học là gì, chúng từ đâu đến mà hành tung có vẻ bí hiểm và kỳ lạ như vậy? Tại sao gọi chúng là virus? Có cách nào ngăn chận chúng hay không? Để tránh gặp chúng, cần phải thực hiện những biện pháp gì? Nếu lỡ dây vào, làm sao để gở chúng ra? Vô số những câu hỏi tương tự được đặt ra xung quanh các "con virus đáng ghét" đó. Chúng tôi hy vọng rằng phần trình bày dưới đây sẽ giúp bạnh tìm được lời giải đáp cho mình. 2. Virus tin học là gì? Tên gọi virus tin học (hay còn gọi virus máy tính) dùng để chỉ các chương trình máy tính do con người tạo ra. Các chương trình này có khả năng bám vào các chương trình khác như một vật thể ký sinh. Chúng cũng tự nhân bản để tồn tại và lây lan. Do cách thức hoạt động của chúng giống virus sinh học nên người ta không ngần ngại đặt cho chúng cái tên "virus" đầy ấn tượng này. Virus tin học bắt đầu lịch sử lây nhiễm của nó trên máy tính lớn vào năm 1970. Sau đó chúng xuất hiện trên máy PC vào năm 1986 và "liên tục phát triển" thành một lực lượng hùng hậu cùng với sự phát triển của họ máy tính cá nhân. Người ta thường thấy chúng thường xuất hiện ở các trường đại học, nơi tập trung các sinh viên giỏi và hiếu động. Dựa vào các phương tiện giao tiếp máy tính (mạng, đĩa...), chúng lan truyền và có mặt khắp nơi trên thế giới với số lượng đông không kể xiết. Có thể nói rằng nơi nào có máy tính, nơi đó có virus tin học. Như vậy đủ thấy tầm hoạt động của virus tin học là phổ biến vô cùng. Nói như các nhà quảng cáo thuốc Fugacar: "Ai cũng có thể bị nhiễm...", thì "Máy tính nào cũng có thể bị nhiễm virus." Bạn hãy nhớ nhé! Mô hình hoạt động của virus là : ‘Nhiễm - Được kích hoạt - Thường trú - Tìm đối tượng để lây - Nhiễm’ Người ta chia virus thành 2 loại chính là B-virus, loại lây vào các mẫu tin khởi động (Boot record) và F-virus lây vào các tập tin thực thi (Executive file). Cách phân loại này chỉ mang tính tương đối, bởi vì trên thực tế có những loại virus lưỡng tính vừa lây trên boot record, vừa trên file thi hành. Ngoài ra, phiền một nỗi là ta còn phải kể đến họ virus macro nữa. Chúng ta hãy cùng tìm hiểu từng "đứa" một. + B-virus: Nếu boot máy từ một đĩa mềm nhiễm B-virus, bộ nhớ của máy sẽ bị khống chế, kế tiếp là boot record của đĩa cứng bị lây nhiễm. Kể từ giờ phút này, tất cả các đĩa mềm không được chống ghi sẽ bị nhiễm B-virus dù chỉ qua một tác vụ đọc (như DIR A: chẳng hạn). B-virus có ưu điểm là lây lan nhanh và có thể khống chế bất cứ hệ điều hành nào. Chúng có nhược điểm là chỉ được kích hoạt khi hệ thống được khởi động từ đĩa nhiễm. + F-virus: Nguyên tắc của F-virus là gắn lén vào file thi hành (dạng .COM và .EXE) một đoạn mã để mỗi lần file thực hiện, đoạn mã này sẽ được kích hoạt, thường trúirus lả gẬnnhớ, khống chế các tác vụ truy xuất file, dò tìm các file thực thi sạch khác để tự gắn chúng vào. Ưu điểm của F-virus là dễ dàng được kích hoạt (do tần xuất chạy chương trình COM, EXE của hệ thống rất cao). Nhược điểm của chúng là chỉ lây trên một hệ điều hành xác định. + Macro virus: Dù mới xuất hiện, macro virus vẫn xứng đáng được nể mặt "hậu sinh khả úy" vì tính "cơ hội" của chúng. Lợi dụng nhu cầu trao đổi văn bản, thư từ, công văn, hợp đồng... trong thời đại bùng nổ thông tin, kẻ thiết kế nên virus Concept (thủy tổ của họ virus macro) chọn ngôn ngữ macro của Microsoft Word làm phương tiện lây lan trên môi trường Winword khi tư liệu DOC nhiễm được Open. Từ văn bản nhiễm, macro virus sẽ được đưa vào NORMAL.DOT, rồi từ đây chúng tự chèn vào các văn bản sạch khác. Dạng thứ hai của virus macro là lây vào bảng tính của Microsoft Exel, ít phổ biến hơn dạng thứ nhất. Virus macro "độc" ở chỗ là nó làm cho mọi người nghi ngờ lẫn nhau. Hãy tưởng tượng bạn nhận được file TOTINH.DOC từ người mà mình thầm thương trộm nhớ, bạn sẽ làm gì đầu tiên? "Vớ vẩn! Dùng Winword để xem ngay chứ làm gì!" Hẳn bạn sẽ tự nhủ như vậy. Nhưng dù có sốt ruột cách mấy, bạn cũng nên cẩn thận dùng các chương trình diệt virus xem bức thư tình nồng cháy kia có tiềm ẩn một chú macro virus nào không rồi hãy quyết định xem nội dung của tập tin này! Đọc đến đây chắc bạn sẽ càu nhàu: "Làm gì có vẻ hình sự quá dzậy, không lẽ tình yêu trong thời đại vi tính không còn tính lãng mạn nữa hay sao?" Mặc dù người gửi thư không cố tình hại bạn (tất nhiên), nhưng sự cẩn thận của bạn trong trường hợp này là rất cần thiết, vì biết đâu bộ đếm nội của con virus trong bức thư đã đạt đến ngưỡng, chỉ cần bạn mở file một lần nữa thôi, đúng cái lúc mà bạn hồi hộp chờ Word in ra màn hình nội dung bức thư thì toàn bộ đĩa cứng của bạn đã bị xoá trắng! Đó chính là "độc chiêu" của macro virus NTTHNTA: xoá đĩa cứng khi số lần mở các file nhiễm là 20 ! 3. Làm cách nào ngăn chặn sự xâm nhập của virus? Virus tin học tuy ranh ma và bí hiểm, nhưng "vỏ quít dày có móng tay nhọn." Chúng cũng có thể bị ngăn chận và loại trừ một cách dễ dàng. Sau đây là một số biện pháp: + Anti-virus: Để phát hiện và diệt virus, người ta viết ra những chương trình chống virus, gọi là anti-virus. Nếu nghi ngờ máy tính của mình bị virus, hoặc giống như "lâu lâu đến bác sĩ khám xem có bệnh gì không", bạn có thể dùng các chương trình này quét sơ qua ổ đĩa của máy xem có chú virus nào đang rình rập trong máy tính hay không. Thông thường các anti-virus sẽ tự động diệt virus nếu chúng được chương trình phát hiện. Với một số chương trình chỉ phát hiện mà không diệt được, bạn phải để ý đọc các thông báo của nó. Để sử dụng anti-virus hiệu quả, bạn nên trang bị cho mình một vài chương trình để sử dụng kèm, cái này sẽ bổ khuyết cho cái kia thì kết quả sẽ tốt hơn. Một điều cần lưu ý là nên chạy anti-virus trong tình trạng bộ nhớ tốt (khởi động máy từ đĩa mềm sạch) thì việc quét virus mới hiệu quả và an toàn, không gây lan tràn virus trên đĩa cứng. Có hai loại anti-virus, ngoại nhập và nội địa. Các anti-virus ngoại đang được sử dụng phổ biến là SCAN của McAfee, Norton Anti-virus của Symantec, Toolkit, Dr. Solomon... Các anti-virus này đều là những thương phẩm, có nghĩa là bạn phải bỏ tiền ra mua chứ không "xài chùa" được. Ưu điểm của chúng là số lượng virus được cập nhật rất lớn, tìm-diệt hiệu quả, có đầy đủ các công cụ hỗ trợ tận tình (thậm chí tỉ mỉ đến sốt ruột). Nhược điểm của chúng là cồng kềnh, đặc biệt chúng không nhận biết các virus "made in Vietnam". Để diệt bọn này, bạn phải dùng hàng nội địa thôi. Các anti-virus nội thông dụng là D2 và BKAV. Đây là các phần mềm miễn phí (sau này họ có bán không thì chưa biết). Bạn có thể xài thoải mái mà không sợ bị kiện cáo lôi thôi (tất nhiên bạn đừng làm điều gì xâm phạm luật tác quyền, ví dụ như cố tình sửa tên tác giả trong chương trình chẳng hạn). Ngoài ưu điểm miễn phí, các anti-virus nội địa chạy rất nhanh do chúng nhỏ gọn, tìm-diệt khá hiệu quả và "rất nhạy cảm" với các virus nội địa. Nhược điểm của chúng là khả năng nhận biết các virus ngoại kém, ít được trang bị công cụ hỗ trợ và chế độ giao tiếp với user chưa được kỹ lưỡng lắm! "Chùa" cơ mà! Để khắc phục nhược điểm này, các anti-virus nội cố gắng cập nhật virus thường xuyên và phát hành nhanh chóng đến tay người dùng. Tuy nhiên bạn cũng đừng quá tin tưởng vào các anti-virus. Sao kỳ vậy? Bởi vì anti-virus chỉ tìm-diệt được các virus mà nó đã cập nhật. Với các virus mới chưa được cập nhật vào thư viện chương trình thì anti-virus hoàn toàn mù tịt! Đây chính là nhược điểm lớn nhất của các anti-virus, là bài toán hóc búa tồn tại từ nhiều thập kỷ nay. Xu hướng của các anti-virus hiện nay là cố gắng nhận dạng virus mà không cần cập nhật. Symantec đang triển khai hệ chống virus theo cơ chế miễn dịch của IBM, sẽ phát hành trong tương lai. Phần mềm D2 nội địa cũng có những cố gắng nhất định trong việc nhận dạng virus lạ. Các phiên bản D2-Plus version 2xx cũng được trang bị các môđun nhận dạng New macro virus và New-Bvirus, sử dụng cơ chế chẩn đoán thông minh dựa trên cơ sở tri thức của lý thuyết hệ chuyên gia. Đây là các phiên bản thử nghiệm hướng tới hệ chương trình chống virus thông minh của chương trình này. Lúc đó phần mềm sẽ dự báo cho bạn sự xuất hiện của các loại virus mới. Nhưng dù sao bạn cũng nên tự trang bị thêm một số biện pháp phòng chống virus hữu hiệu như được đề cập sau đây. + Đề phòng B-virus: Đơn giản lắm, bạn hãy nhớ là đừng bao giờ khởi động máy từ đĩa mềm nếu có đĩa cứng, ngoại trừ những trường hợp tối cần thiết như khi đĩa cứng bị trục trặc chẳng hạn. Nếu buộc phải khởi động từ đĩa mềm, bạn hãy chắc rằng đĩa mềm này phải hoàn toàn sạch. Đôi khi việc khởi động từ đĩa mềm lại xảy ra một cách ngẫu nhiên, ví dụ như bạn để quên đĩa mềm trong ổ đĩa A ở phiên làm việc trước. Nếu như trong Boot record của đĩa mềm này có B-virus, và nếu như ở phiên làm việc sau, bạn quên không rút đĩa ra khỏi ổ thì B-virus sẽ "nhảy phóc" vào đĩa cứng của bạn ngay sau khi bạn bật nút Power ! Điều này nghe có vẻ hoang mang quá, bởi vì đâu có ai chắc chắn rằng lúc nào mình cũng nhớ kiểm tra đĩa mềm trong ổ A trước khi khởi động máy tính? Tuy nhiên bạn đừng quá lo lắng, D2-Plus đã dự trù trước các trường hợp này bằng chức năng chẩn đoán thông minh các Newg mãyrus trên các đĩa mềm. Chỉ cần chạy D2 thường xuyên, chương trình sẽ phân tích Boot record của các đĩa mềm có trên bàn làm việc của bạn và sẽ dự báo sự có mặt của chúng dưới tên gọi PROBABLE B-Virus, bạn chỉ cần nhấn ‘Y’ để D2 diệt chúng, thế là xong. + Đề phòng F-virus: Nguyên tắc chung là không được chạy các chương trình không rõ nguồn gốc. Điều này hơi khó thực hiện nếu bạn có một chút "máu mê" săn lùng các chương trình trò chơi chuyền tay nhau. Hầu hết các chương trình hợp pháp được phát hành từ nhà sản xuất đều được đảm bảo. Vì vậy, khả năng tiềm tàng F-virus trong file COM,EXE chỉ còn lẩn quẩn xung quanh các chương trình trôi nổi (chuyền tay, lấy từ mạng,...) mà thôi. Nhớ nhé! + Đề phòng Macro virus: Như trên đã nói, họ virus này lây trên văn bản và bảng tính của Microsoft. Vì vậy, khi nhận một file DOC hay XL? nào, bạn hãy nhớ kiểm tra chúng trước khi mở ra. Điều phiền toái này có thể giải quyết bằng D2-Plus giống như trường hợp của New B-virus, các New macro virus sẽ được nhận dạng dưới tên PROBABLE Macro. Hơn nữa nếu sử dụng WinWord và Exel của Microsoft Office 97 thì bạn không phải lo lắng gì cả. Chức năng AutoDectect Macro virus của bộ Office này sẽ kích hoạt Warning Box nếu văn bản hoặc bảng tính cần mở có chứa macro. Bạn chỉ cần Disable chúng là có thể yên chí lớn rồi đó. Nếu “dính” virus làm sao gỡ chúng ra? Vấn đề sẽ trở nên đơn giản khi bạn gặp phải một virus cũ. Nếu là B/F-virus, bạn hãy khởi động từ đĩa mềm hệ thống sạch. (Còn với virus macro thì không cần). Sau đó chạy anti-virus từ đĩa sạch. Nhớ kiểm tra tất cả các đĩa mềm của bạn, vì nếu còn sót thì chúng sẽ lây đi lây lại rất phiền. Nếu New B-virus nằm trên boot record đĩa mềm, dùng D2-Plus để diệt. Trường hợp New B-virus lây vào đĩa cứng, khởi động máy bằng đĩa mềm, chạy D2-Plus, chọn Config/Mend Boot=On, chọn Drive. Nếu có New F-virus thường trú, thì các anti-virus thường "la làng" bằng thông báo "New F-virus found in memory". Bạn hãy ngưng ngay các ứng dụng và tìm cách chép các file bị lây nhiễm gửi đến các địa chỉ anti-virus tin cậy để nhờ can thiệp. Muốn “bắt virus” gửi cho “bác sĩ tin học” trừng trị phải làm thế nào? Ngoại trừ các virus cũ đã được các anti-virus làm sạch, đôi khi bạn cần phải "bắt" các con mới gửi cho các anti-virus để các chuyên gia virus diệt nó dùm bạn. Việc làm này rất cần thiết, vì đây là chiếc cầu nối giữa bạn với anti-virus mà bạn ưa thích. Nếu làm được việc này, bạn sẽ thấy an tâm giống như có "bác sĩ nhà" vậy, chẳng còn sợ bệnh tật phiền nhiễu nữa. + Với new macro virus, bạn chỉ cần chép nguyên xi file DOC, XL? cho các nhà phát triển anti-virus là xong. + Với new B-virus, bạn hãy gửi đĩa đến anti-virus nếu con này nằm trên boot record đĩa mềm. Nếu nó đã vào bộ nhớ, chỉ cần đọc đĩa (bằng lệnh DIR A: chẳng hạn) rồi gửi đĩa qua đường bưu điện. + Với new F-virus thì khó "bắt" hơn vì chúng che chắn rất kỹ. Thông thường khi F-virus lây vào file, kích thước của tập tin COM, EXE sẽ tăng lên. Như vậy việc tăng kích thước chính là dấu hiệu cho biết sự có mặt của F-virus trên file. Bạn chỉ cần chép các file này gửi đi. Tuy nhiên một số F-virus lại che dấu kích thước vật lý thực của file khi virus đang thường trú. Vì vậy bạn cần khởi động máy tính bằng đĩa mềm sạch mới có thể đối chiếu kích thước file hiện tại với kích thước cũ được. Như vậy bạn cần phải nhớ kích thước cũ của file thực thi. Để đơn giản bạn hãy chạy thử các phần mềm thông dụng như NCMAIN.EXE, DOSKEY.COM trong môi trường nhiễm New F-virus, rồi gửi các file này. Chúng tôi mong rằng bạn sẽ quan tâm đến những vấn đề mà tư liệu này đề cập. Nó sẽ giúp ích cho bạn trong việc bảo vệ dữ liệu của mình. Hãy cùng chúng tôi ngăn chận bàn tay tội lỗi của virus tin học, vì một thế giới vi tính an toàn và tươi đẹp. Xin chúc bạn vui, khỏe và thành đạt trong công việc. Sưu tần trên Internet 4. Phòng chống Virus Một mô hình phòng thủ hiệu quả và chắc chắn là thiết lập nhiều tuyến phòng vệ, nào là phòng vệ bên ngoài với tường lửa cứng (tích hợp trong router), tường lửa mềm (phần mềm trong máy tính), phần mềm chống virus, phần mềm chống spyware... rồi phải cập nhật bản sửa lỗi những lỗ hổng bảo mật của hệ điều hành và của những phần mềm cài đặt trên máy tính. Tuy nhiên, nhiều người dùng gia đình không đủ khả năng (tài chính, kiến thức) để thực hiện điều này. Vậy tuyến phòng vệ nào là cần thiết và phù hợp? 1. Tường lửa (firewall) kiểm soát dữ liệu ra vào máy tính của bạn và cảnh báo những hành vi đáng ngờ; là công cụ bảo vệ máy tính chống lại sự xâm nhập bất hợp pháp bằng cách quản lý toàn bộ các cổng của máy tính khi kết nối với môi trường bên ngoài (mạng Lan, Internet...). Tường lửa có sẵn trong Windows XP chỉ giám sát được dòng dữ liệu vào máy tính chứ không kiểm soát được dòng dữ liệu ra khỏi máy tính. Người dùng gia đình thường ít có kinh nghiệm về bảo mật và virus, tường lửa sẽ không phát huy tác dụng vì người dùng không thể xử lý các cảnh báo. Hơn nữa, việc cài đặt tường lửa sẽ làm cho máy tính hoạt động chậm đi. 2. Phần mềm chống virus. Rất nhiều bài viết của chúng tôi đã giới thiệu với bạn đọc những phần mềm chống virus tốt nhất, từ những bộ phần mềm "tất cả trong một" đến những phần mềm độc lập và miễn phí. Chúng đều có những điểm mạnh yếu riêng nhưng đáng buồn là không phần mềm nào có thể bảo vệ máy tính của bạn một cách toàn diện. Một số bạn đọc không cài đặt phần mềm chống virus vì thấy hệ thống trở nên chậm chạp. Họ chấp nhận mạo hiểm (hoặc không biết) những rủi ro khi đánh đổi sự an toàn của máy tính để lấy tốc độ. Một vài bạn đọc lại cho rằng máy tính sẽ an toàn hơn, được bảo vệ tốt hơn nếu cài đặt nhiều phần mềm chống virus. Điều này cũng không tốt vì sẽ xảy ra tranh chấp giữa các phần mềm khi chúng tranh giành quyền kiểm soát hệ thống. Ghi chú: Thường xuyên cập nhật danh sách nhận dạng virus (virus definitions) sẽ giúp phần mềm làm việc hiệu quả hơn. "Thủ” sẵn địa chỉ, nơi có thể tải về phần mềm BKVA trong trường hợp những phần mềm phòng chống virus của nước ngoài không phát hiện được virus có xuất xứ từ Việt Nam. 3. Cập nhật bản sửa lỗi. Lỗ hổng bảo mật của phần mềm là "điểm yếu" virus lợi dụng để xâm nhập vào máy tính của bạn. Thật không may là những điểm yếu này lại khá nhiều và người dùng cũng không quan tâm đến việc này. Hãy giữ cho hệ điều hành, trình duyệt web và phần mềm chống virus luôn được cập nhật bằng tính năng tự động cập nhật (auto update); nếu tính năng này không hoạt động (do sử dụng bản quyền bất hợp pháp), hãy cố gắng tải về từ website của nhà sản xuất bằng cách thủ công. Bạn sẽ tăng cường tính năng phòng thủ hiệu quả cho hệ thống và tránh tình trạng virus "tái nhiễm" sau khi diệt. 4. Trình duyệt an toàn hơn. Nếu so sánh, bạn dễ dàng nhận thấy Internet Explorer là trình duyệt web có nhiều lỗ hổng bảo mật nhất dù Microsoft liên tục đưa ra những bản sửa lỗi. Sử dụng những trình duyệt thay thế như Mozilla Firefox, Opera... hoặc cài đặt thêm một trong những trình duyệt này để tận dụng những ưu điểm của mỗi phần mềm và tăng tính bảo mật khi lướt web. 5. Suy nghĩ kỹ trước khi cài đặt. Nhiều bạn đọc thích táy máy, tải về và cài đặt nhiều phần mềm khác nhau để thử nghiệm. Điều này dẫn đến việc chúng ta không kiểm soát được những phần mềm sẽ làm gì trên máy tính. Thực tế cho thấy cài đặt quá nhiều phần mềm sẽ "bổ sung" thêm những lỗ hổng bảo mật mới, tạo điều kiện cho tin tặc dễ dàng xâm nhập vào máy tính của bạn, góp phần làm đổ vỡ hệ thống phòng thủ mà bạn dày công tạo dựng. 6. Sử dụng máy tính với quyền user. Với Windows NT/2000/XP, việc đăng nhập và sử dụng máy tính với tài khoản mặc định thuộc nhóm Administrators là một hành động mạo hiểm vì virus sẽ được "thừa hưởng" quyền hạn của tài khoản này khi xâm nhập vào hệ thống, máy tính của bạn có thể trở thành zombie và tấn công máy tính khác. Tài khoản thuộc nhóm Users sẽ không được phép thay đổi các thiết lập liên quan đến hệ thống, bạn sẽ tránh được nhiều nguy cơ bị phá hoại và những phiền toái, cả khi virus xâm nhập vào máy tính. Sử dụng máy tính với quyền User sẽ khiến người dùng gặp nhiều khó khăn trong quá trình cài đặt ứng dụng và thực hiện một số tác vụ liên quan đến hệ thống nhưng chúng tôi vẫn khuyến khích bạn đọc tự giới hạn quyền sử dụng trên máy tính của mình. Hơn nữa, bạn không cần cài thêm phần mềm phòng chống spyware. Tài nguyên hệ thống không bị chiếm dụng, máy tính hoạt động nhanh hơn. 7. Sao lưu hệ thống. Bạn có thể bỏ qua bước này nếu tin rằng máy tính của mình luôn chạy tốt. Hãy thực hiện việc sao lưu vào thời điểm máy tính hoạt động ổn định, đã cài đặt những phần mềm cần thiết. Bạn có thể đưa hệ thống trở lại trạng thái đã sao lưu chỉ với vài thao tác đơn giản khi cần thiết. Để tạo tập tin ảnh của phân vùng đĩa cứng, bạn có thể sử dụng một trong những phần mềm như Drive Image của PowerQuest, Norton Ghost của Symantec, DriveWorks của V Communications, Acronis True Image của Acronis... Việc sao lưu sẽ rất hữu ích với những bạn đọc thích táy máy, thử nghiệm tính năng phần mềm, thường xuyên truy cập vào những website "đen". Bạn sẽ tiết kiệm rất nhiều thời gian thay vì phải đi xử lý những sự cố do virus gây ra hoặc phải cài lại HĐH và những phần mềm cần thiết. Lời kết Ý thức người dùng là yếu tố quan trọng nhất để mô hình phòng thủ có hiệu quả chứ không phải từ việc sử dụng những phần mềm phòng chống mạnh nhất, tốt nhất. Không phần mềm nào đủ khả năng ngăn chặn virus nếu người dùng vẫn "vô tư” truy cập vào những những website "đen", website cung cấp serial, keygen (dùng để "bẻ khoá” phần mềm). Trên thực tế, máy tính cá nhân của chúng tôi chỉ cài đặt phần mềm phòng chống virus và sử dụng tài khoản thuộc nhóm Users (cả trong văn phòng) mà vẫn đảm bảo an toàn khi lướt web.