banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Bảo mật với Port Forwarding  XML
  [Question]   Bảo mật với Port Forwarding 10/08/2007 03:00:58 (+0700) | #1 | 78116
leanhquan
Member

[Minus]    0    [Plus]
Joined: 04/08/2007 23:48:29
Messages: 13
Offline
[Profile] [PM]
Hiện tại có rất nhiều chương trình chia sẻ file p2p như bitcomet, utorrent yêu cầu phải port forwarding để tăng tốc độ chia sẻ hoặc nhiều game cũng cần PF thì mới host mạng để chơi được.
nhưng khi PF thì cũng tạo ra 1 lỗ hổng bảo mật để hacker có thể lợi dụng nó đột nhập vào máy được PF. Vậy cho mình hỏi có cách nào để PF mà vẫn đảm bảo an toàn được ko ? Mình tìm trên mạng thì thấy có một vài phần mềm
http://portforward.com/store/default.htm
nhưng ko biết có đảm bảo ? hay còn có cách nào config trực tiếp trên window firewall ko ? mình đang dùng AVG 7.5 ko thấy có mục chỉnh firewall
ai biết chỉ giáo cho mình với
[Up] [Print Copy]
  [Question]   Bảo mật với Port Forwarding 10/08/2007 05:52:20 (+0700) | #2 | 78154
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

leanhquan wrote:
Hiện tại có rất nhiều chương trình chia sẻ file p2p như bitcomet, utorrent yêu cầu phải port forwarding để tăng tốc độ chia sẻ hoặc nhiều game cũng cần PF thì mới host mạng để chơi được.
nhưng khi PF thì cũng tạo ra 1 lỗ hổng bảo mật để hacker có thể lợi dụng nó đột nhập vào máy được PF. Vậy cho mình hỏi có cách nào để PF mà vẫn đảm bảo an toàn được ko ? Mình tìm trên mạng thì thấy có một vài phần mềm
http://portforward.com/store/default.htm
nhưng ko biết có đảm bảo ? hay còn có cách nào config trực tiếp trên window firewall ko ? mình đang dùng AVG 7.5 ko thấy có mục chỉnh firewall
ai biết chỉ giáo cho mình với 


Thông thường các ADSL modem / router hiện nay đều có build sẵn firewall hoặc một bộ phận có khả năng cản lọc tất cả các cổng dịch vụ ngoại trừ được ấn định (hoặc forward). Bởi thế, việc thâm nhập các cổng không mở là việc khó có thể thực hiện được. Riêng với cổng đã được mở / forward thì vấn đề bảo mật nằm ngay trên software được dùng để tương tác với cổng đó (trong trường hợp này là chương trình torrent). Khi kẻ nào bên ngoài muốn tấn công, kẻ ấy chỉ có 1 IP và 1 cổng đã được forward. Nếu chương trình chạy torrent có lỗ hổng --> nguy. Cách khắc phục hữu hiệu nhất là chỉ nên dùng các torrent client đáng tin cậy (tớ dùng Azureus) và cập nhật nó thường xuyên.

Ngoại trừ ADSL modem / router của bồ có chức năng L7 "deep packet inspection", việc mở cổng để share chỉ hoàn toàn phó mặc vào tính bảo mật của client mình dùng.

Thân mến.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Bảo mật với Port Forwarding 10/08/2007 11:26:11 (+0700) | #3 | 78207
leanhquan
Member

[Minus]    0    [Plus]
Joined: 04/08/2007 23:48:29
Messages: 13
Offline
[Profile] [PM]
cám ơn anh commale smilie
em đang dùng Bitcomet của tàu khựa ko biết có được coi là đáng tin cậy hay không ?
( nhưng hình như hash check của Bitcomet gặp vấn đề, có 1 bộ phim dài tập mới down về hash check hơn chục lần liên tiếp mà vẫn chưa xong smilie )

có phải tại 1 thời điểm _chỉ có_1 app duy nhất _có thể lưu thông trên 1 cổng phải ko ạ ?
[Up] [Print Copy]
  [Question]   Bảo mật với Port Forwarding 10/08/2007 18:07:21 (+0700) | #4 | 78234
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

leanhquan wrote:
cám ơn anh commale smilie
em đang dùng Bitcomet của tàu khựa ko biết có được coi là đáng tin cậy hay không ?
( nhưng hình như hash check của Bitcomet gặp vấn đề, có 1 bộ phim dài tập mới down về hash check hơn chục lần liên tiếp mà vẫn chưa xong smilie )
 

Anh không dùng Bitcomet nên không rõ. Anh dùng Azureus và thấy nó ổn.

leanhquan wrote:

có phải tại 1 thời điểm _chỉ có_1 app duy nhất _có thể lưu thông trên 1 cổng phải ko ạ ?  

Anh không hiểu câu "_chỉ có_1 app duy nhất _có thể lưu thông trên 1 cổng". Em nói rõ hơn được không?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Bảo mật với Port Forwarding 10/08/2007 19:47:24 (+0700) | #5 | 78240
leanhquan
Member

[Minus]    0    [Plus]
Joined: 04/08/2007 23:48:29
Messages: 13
Offline
[Profile] [PM]
ý em tức là 1 lúc có thể có nhiều tác vụ cùng làm việc trên 1 cổng không ?
ví dụ như :
- em vừa dùng P2P vừa host game War3 trên cùng 1 cổng 6112 được không?
- hoặc là em đang P2P = cổng 'abc' thì hacker bên ngoài có thể kết nối vào máy mình = cổng 'abc' đó được ko ?

mình PF tức là đã mất 1 lớp firewall trên router, nhưng firewall cài trên máy mình thì cũng phải mở chính cổng đó. Như vậy không phải là nếu hacker, bằng 1 cách nào đó biết cổng mình đang mở có thể đâm thẳng vào cổng đó mà ko có 1 lớp bảo vệ nào ? smilie Xin anh hướng dẫn cách cấu hình tường lửa



[Up] [Print Copy]
  [Question]   Bảo mật với Port Forwarding 10/08/2007 20:16:47 (+0700) | #6 | 78242
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

leanhquan wrote:
ý em tức là 1 lúc có thể có nhiều tác vụ cùng làm việc trên 1 cổng không ?
ví dụ như :
- em vừa dùng P2P vừa host game War3 trên cùng 1 cổng 6112 được không?
 

Không. Lý do: socket đã được thiết lập. Không thể có 2 cổng 6112 cùng một lúc ở tình trạng LISTEN được.

leanhquan wrote:

- hoặc là em đang P2P = cổng 'abc' thì hacker bên ngoài có thể kết nối vào máy mình = cổng 'abc' đó được ko ?
 

Có thể. Lý do: P2P client của em đang LISTEN và sẵn sàng trả lời. Nếu hacker nắm rõ giao thức mà P2P client đang dùng và giao thức này có chỗ hở (hoặc chính software P2P có chỗ hở) thì hắn vẫn có thể "kết nối". Tuy nhiên, biên độ "kết nối" thế nào thì tùy.

leanhquan wrote:

mình PF tức là đã mất 1 lớp firewall trên router, nhưng firewall cài trên máy mình thì cũng phải mở chính cổng đó. Như vậy không phải là nếu hacker, bằng 1 cách nào đó biết cổng mình đang mở có thể đâm thẳng vào cổng đó mà ko có 1 lớp bảo vệ nào ? smilie Xin anh hướng dẫn cách cấu hình tường lửa

 

Ừa... "đâm thẳng" là chuyện chắc chắn nếu mình mở cổng đó ra. Tuy nhiên, nếu cơ chế "forward" có phần kiểm soát và chỉ cho phép các truy cập kết nối một cách hợp lệ thì vững hơn là không có gì kiểm soát cả. Ví dụ, để kết nối đến cổng 6112, nó phải đi qua các bước handshakes rõ ràng thay vì gởi một packet không thuộc vào cái gì cả lại ngang nhiên đi đến cổng 6112.

Tường lửa nào?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Bảo mật với Port Forwarding 10/08/2007 22:12:12 (+0700) | #7 | 78254
leanhquan
Member

[Minus]    0    [Plus]
Joined: 04/08/2007 23:48:29
Messages: 13
Offline
[Profile] [PM]
hiện tại em đang dùng firewall của window vừa nhẹ vừa tiện vì chưa tìm được cái firewall nào thích hợp. Anh có thể hướng dẫn em setting firewall của window hoặc là 1 cái nào tương đối nhẹ mà tốt ^^ thôi chứ đừng như cái zone alarm...

commale wrote:
. Ví dụ, để kết nối đến cổng 6112, nó phải đi qua các bước handshakes rõ ràng thay vì gởi một packet không thuộc vào cái gì cả lại ngang nhiên đi đến cổng 6112.  

vậy phải lập bước handshakes như thế nào để chống các truy cập ko hợp lệ vào máy mình ?
[Up] [Print Copy]
  [Question]   Bảo mật với Port Forwarding 10/08/2007 22:17:08 (+0700) | #8 | 78258
leanhquan
Member

[Minus]    0    [Plus]
Joined: 04/08/2007 23:48:29
Messages: 13
Offline
[Profile] [PM]
đại khái là window firewall có 2 loại: add program và add port

theo em hiểu thì add program là cho phép 1 app chạy bất kì cổng nào
còn add port là cho bất kì app nào chạy trên 1 cổng
hiện tại em đang dùng kiểu thứ 2 nhưng vẫn thấy lo vì hình như chưa được chặt chẽ cho lắm
[Up] [Print Copy]
  [Question]   Bảo mật với Port Forwarding 10/08/2007 22:27:10 (+0700) | #9 | 78261
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

leanhquan wrote:
hiện tại em đang dùng firewall của window vừa nhẹ vừa tiện vì chưa tìm được cái firewall nào thích hợp. Anh có thể hướng dẫn em setting firewall của window hoặc là 1 cái nào tương đối nhẹ mà tốt ^^ thôi chứ đừng như cái zone alarm...
 

Thử cái /hvaonline/posts/list/9861.html#58108 xem smilie).

Firewall của Windows chỉ là 1 firewall nhỏ và đơn giản, em không có quá nhiều lựa chọn để mà set đâu.

leanhquan wrote:

commale wrote:
. Ví dụ, để kết nối đến cổng 6112, nó phải đi qua các bước handshakes rõ ràng thay vì gởi một packet không thuộc vào cái gì cả lại ngang nhiên đi đến cổng 6112.  

vậy phải lập bước handshakes như thế nào để chống các truy cập ko hợp lệ vào máy mình ? 

Em không phải lập bước handshake gì cả, hệ điều hành của em lo việc này và firewall (nếu có thể thực hiện được) lo việc kiểm soát tính hợp lệ nếu hệ điều hành không lo đủ smilie).

Em nên tham khảo thêm về giao thức mạng để nắm những vấn đề này.

Nên nhớ điều này: một khi đã gắn máy vào một network nào đó, tính bảo mật không còn nữa. Firewall hay bất cứ thiết bị, tiện ích nào thêm vào là để phòng chống những hiểm họa đã được biết, không thể chống những hiểm họa chưa được biết. Dẫu có gắn 100 cái firewall và bộ lọc vào nhưng mình vẫn thiếu cẩn thận, vẫn sơ ý, vẫn tải và dùng những thứ không đáng tin trên mạng thì vẫn vô ích.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Bảo mật với Port Forwarding 11/08/2007 06:24:48 (+0700) | #10 | 78358
quantumphyser
Member

[Minus]    0    [Plus]
Joined: 12/03/2007 11:17:48
Messages: 43
Offline
[Profile] [PM]

conma wrote:
Thử cái này xem 

Ối giời ơi dùng cái này khó lắm, ló kh.. chậc . Mấy tháng nay cháu chỉ cậy đúng cái này, chưa ra đâu vào đâu smilie(

conma wrote:

Không. Lý do: socket đã được thiết lập. Không thể có 2 cổng 6112 cùng một lúc ở tình trạng LISTEN được.
 

Đương nhiên là không có 2 cổng 6112, cháu không hiểu socket là cái gì. Nhưng đoán một cách tuyến tính, có thể có 2 chương trình cùng sử dụng port 6112 được không? ( nhiều máy cùng dùng một dây ADSL, nhiều người cùng dùng một máy, nhiều nước cùng dùng..., nhiều đàn ông cùng .... )
Cháu nhớ có đọc thấy

some one wrote:
Các hacker chủ yếu không tấn công vào window mà tấn công dựa trên các dịch vụ của nó . 
viết lại theo ý hiểu là thế.
Thế thì nếu mở cái port 6112 mà không có dịch vụ nào chạy để nghe ( mà chính xác là chỉ có warcraftIII ) thì bên ngoài có gửi linh tinh gì qua đó chắc không được gì ( làm gì có ai nghe ).
Port forward thực ra là chức năng Virtual Server . Mở cổng ở modem cho máy ngoài kết nối vào lấy thông tin ( theo ý hiểu là n vậy ) . Còn trên window làm gì có cái gì là forward port . Nếu cái chương trình nghe trên port đó nó có chức năng can thiệp sâu vào hệ thống thì mới lo bị hack . Chứ còn war chỉ quản lí được mấy file trong MÁP chắc có hack cũng chỉ cho mình thua .
Về phần đầu cháu thì có tưng đó thứ, đầu không cứng, rất dễ tiếp thu ( đúng hơn là dễ ghè ) , mong chú conmale châm thoải mái.
[Up] [Print Copy]
  [Question]   Bảo mật với Port Forwarding 11/08/2007 22:48:03 (+0700) | #11 | 78428
Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline
[Profile] [PM]

quantumphyser wrote:
cháu không hiểu socket là cái gì. 

Chào quantumphyser. Một socket nói cho đơn giản được xác định bởi source IP, source port, destination IP và destination port. Chỉ cần một trong 4 yếu tố trên thay đổi là bạn có một socket mới.

quantumphyser wrote:
có thể có 2 chương trình cùng sử dụng port 6112 được không? 

Không thể có nhiều hơn 1 chương trình sử dụng một port được (tất nhiên chỉ tính trên 1 đầu của socket). Mục đích của port là để kernel có thể xác định một packet được gửi đến là dành cho chương trình nào. Nếu có nhiều hơn một chương trình sử dụng một port thì kernel biết gửi gói tin vừa nhận cho ai?

quantumphyser wrote:
Thế thì nếu mở cái port 6112 mà không có dịch vụ nào chạy để nghe ( mà chính xác là chỉ có warcraftIII ) thì bên ngoài có gửi linh tinh gì qua đó chắc không được gì ( làm gì có ai nghe ).  

Không có dịch vụ nào để nghe sao lại có warcraftIII? Có warcraft là đã có một chương trình sử dụng port đó rồi, cho dù chương trình đó cung cấp service, hay sử dụng service.

Không có ai sử dụng một port thì bạn có thể yên tâm là port đó sẽ không bị tấn công (trừ khi chính cái network stack của kernel có vấn đề)

quantumphyser wrote:
Port forward thực ra là chức năng Virtual Server . Mở cổng ở modem cho máy ngoài kết nối vào lấy thông tin ( theo ý hiểu là n vậy ) . Còn trên window làm gì có cái gì là forward port  

Khoai không hiểu đoạn Port forward là chức năng Virtual Server nghĩa là sao smilie Đơn giản mà nói Port Forward làm việc như sau:

1. Khi modem/router nhận được một gói tin ở layer 3, modem/router sẽ kiểm tra destination port xem port đó có cần forward sang một máy nào không. Nếu không cần, tùy modem/router, nó có thể drop gói tin đó, hoặc gửi lại reset, hoặc icmp.

2. Nếu có, modem/router kiểm tra xem với port đó, nó phải forward gói tin đó đến IP nào.

3. Thay đổi MAC source address, MAC destination address, ttl, vân vân rồi send gói tin đó vào trong internal network.

Nếu bạn xây dựng một windows router hoặc gateway thì bạn vẫn có thể sử dụng port forward trên windows.

quantumphyser wrote:
Nếu cái chương trình nghe trên port đó nó có chức năng can thiệp sâu vào hệ thống thì mới lo bị hack . Chứ còn war chỉ quản lí được mấy file trong MÁP chắc có hack cũng chỉ cho mình thua .  

Hm, làm sao mình biết war chỉ quản lý mấy file trong MAPS? Cho dù là vậy, biết đâu bản update tiếp theo thì war sẽ bắt đầu can thiệp sâu vào hệ thống thì sao ? Mình dựa vào một app mà mình không nắm rõ, hoặc không có quyền kiểm soát hoàn toàn để xét xem máy của mình có bảo mật hay không thì...thua chắc.

khoai
[Up] [Print Copy]
  [Question]   Re: Bảo mật với Port Forwarding 12/08/2007 00:09:30 (+0700) | #12 | 78446
quantumphyser
Member

[Minus]    0    [Plus]
Joined: 12/03/2007 11:17:48
Messages: 43
Offline
[Profile] [PM]
Thanks khoai

khoai wrote:
quần túm wrote:

Thế thì nếu mở cái port 6112 mà không có dịch vụ nào chạy để nghe ( mà chính xác là chỉ có warcraftIII ) thì bên ngoài có gửi linh tinh gì qua đó chắc không được gì ( làm gì có ai nghe ).


Không có dịch vụ nào để nghe sao lại có warcraftIII? Có warcraft là đã có một chương trình sử dụng port đó rồi, cho dù chương trình đó cung cấp service, hay sử dụng service. 

À hem , gây hiểu nhầm . Ý mình là khi không chạy war thì không có dịch vụ nào để nghe 6112 . Còn nếu có cái nào nghe 6112 thì đó chỉ có thể là war .

khoai wrote:
quantumphyser wrote:

Port forward thực ra là chức năng Virtual Server . Mở cổng ở modem cho máy ngoài kết nối vào lấy thông tin ( theo ý hiểu là n vậy ) . Còn trên window làm gì có cái gì là forward port


Khoai không hiểu đoạn Port forward là chức năng Virtual Server nghĩa là sao 

Thì mình hiểu một cách chân quê là như thế , còn hiểu sai là chuyện bình thường smilie smilie .

khoai wrote:
Nếu bạn xây dựng một windows router hoặc gateway thì bạn vẫn có thể sử dụng port forward trên windows. 

??
Tóm lại là trong đầu mình còn rất nhiều ngô nguyên hạt . smilie
[Up] [Print Copy]
  [Question]   Re: Bảo mật với Port Forwarding 12/08/2007 03:28:16 (+0700) | #13 | 78470
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

quantumphyser wrote:

Đương nhiên là không có 2 cổng 6112, cháu không hiểu socket là cái gì. Nhưng đoán một cách tuyến tính, có thể có 2 chương trình cùng sử dụng port 6112 được không? ( nhiều máy cùng dùng một dây ADSL, nhiều người cùng dùng một máy, nhiều nước cùng dùng..., nhiều đàn ông cùng .... )
 

Không thể so sánh socket connection với "nhiều người dùng chung một máy" được. Muốn hiểu nó cho ngọn ngành thì kiếm sách giáo khoa cụ thể về TCP mà đọc. Nếu muốn hiểu, nên phân tích nó trên 2 khía cạnh rõ ràng:

1) nếu máy của mình cung cấp dịch vụ (có cổng 1234 nào đó đang ở tình trạng LISTEN) và cổng này không bị chặn, được forward, được reverse NAT, được route..... thì tất cả các clients được viết cụ thể để tương tác với dịch vụ trên, kể các các công cụ có thể dùng để connect ở dạng RAW (như telnet, netcat...) đều có thể connect đến cổng này.

Việc gì xảy ra sau khi connect là việc hoàn toàn khác.

2) nếu máy của mình không cung cấp dịch vụ, bởi thế không có cổng nào mở ra cả. Cho dù có được forward, được NAT, được route... thì không có cái gì có thể connect được chẳng có cái cổng nào cả.

Đối với trường hợp 6112 cho Bittorrent, nó là một P2P client nên nó tiếp nhận connection từ các "peers" cũng dùng Bittorrent và cả những công cụ như telnet, netcat... và có thể có 100 peers, 1000 netcat connections đến cổng 6112 trên máy của bồ vẫn được như thường. Tuy nhiên, nếu có một dịch vụ nào khác muốn mở socket trên cổng 6112 mà cổng này đã được dùng bởi Bittorrent thì dịch vụ khi sẽ không cách nào khởi tạo thành công vì cổng này đã và đang được dùng.

Nên tải cuốn TCP/IP Illustrated để xem thật kỹ. Đừng hiểu kiểu lờ mờ vô ích.

quantumphyser wrote:

Cháu nhớ có đọc thấy

some one wrote:
Các hacker chủ yếu không tấn công vào window mà tấn công dựa trên các dịch vụ của nó ô kê 
viết lại theo ý hiểu là thế.
Thế thì nếu mở cái port 6112 mà không có dịch vụ nào chạy để nghe ( mà chính xác là chỉ có warcraftIII ) thì bên ngoài có gửi linh tinh gì qua đó chắc không được gì ( làm gì có ai nghe ).
 

Thế nào là "ô kê"?

Port 6112 được "mở" bằng cách gì? Và tùy cách nó được "mở" để mà xét.

quantumphyser wrote:

Port forward thực ra là chức năng Virtual Server . Mở cổng ở modem cho máy ngoài kết nối vào lấy thông tin ( theo ý hiểu là n vậy ) .
 

Port forward không liên quan gì đến virtual server cả. Nên tìm hiểu cho kỹ trước khi nhận định.

quantumphyser wrote:

Còn trên window làm gì có cái gì là forward port . Nếu cái chương trình nghe trên port đó nó có chức năng can thiệp sâu vào hệ thống thì mới lo bị hack . Chứ còn war chỉ quản lí được mấy file trong MÁP chắc có hack cũng chỉ cho mình thua .
 

Ai nói gì về chuyện window có cái gì là forward port hồi nào?

Chương trình nào nghe có chức năng can thiệp sâu vào hệ thống? sâu là sâu thế nào?

quantumphyser wrote:

Về phần đầu cháu thì có tưng đó thứ, đầu không cứng, rất dễ tiếp thu ( đúng hơn là dễ ghè ) , mong chú conmale châm thoải mái.
 

Muốn châm? Trước tiên nên tìm hiểu cho kỹ những gì mình còn thắc mắc trước khi tham gia. Nếu tham gia với tư cách là muốn hỏi thì nên giữ tư cách này cho rạch ròi. Đó, châm rồi đó.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|