|
|
Bạn có thể gửi cho mình cái màn hình bạn chụp ghi là bytes được không
Theo mình được biết thì việc quan sát theo Packets là đơn vị đo của Local Area Network.
Bạn muốn biết chính sác bao nhiêu byte vào hay ra bạn có thể vào Network monitor trong windows để quan sát.
|
|
|
Máy tính của bạn có 5 card mạng phải không
Microsoft gọi kiểu máy tính này là Multihome computer
Việc tạo mỗi zone khác nhau trên cùng một máy chủ DNS sẽ cho phép bạn thiết lập ns khác nhau.
Bạn có thể nói rõ câu hỏi được không. Muốn máy chủ ns1.domain.com host web site http://www.domain.com
Vào domain.com bạn nhấp phải chuột chọn new CNAME recod sau đó gõ tên là www, FQDN gõ ns1.domain.com là ok
|
|
|
Dùng phiên bản cao cấp hơn (dùng chính bộ cài của Deep Freeze) để uninstalled là ok
Khi nhấn vào bộ cài của Deep Freeze sẽ cho bạn lựa chọn mục Uninstalled, và đòi hỏi password đã được thiết lập từ trước.
|
|
|
Vấn đề này gặp phải khi bạn up một Windows Server 2003 lên AD
- Chỉnh trong Local Group Policy
Cụ thể là Password Policy của Local Group Policy
|
|
|
Việc không đáp ứng được yêu cầu bảo mật cho người dùng cũng là một vấn đề đối với các nhà phát triển Web. Hy vọng trong tương lai sẽ có những tiêu chuẩn để đánh giá, và có thể tiến hành những bước kiểm tra bảo mật cho những sản phẩm Web. Trong bài viết này tôi giới thiệu chuẩn hoá trong việc kiểm tra giám sát tình trạng bảo mật của bạn, bao gồm các vấn đề như:
User Privacy
Session Authentication
User Security
Cuối cùng là Cookies
User Privacy
Làm thế nào để hệ thống tin tưởng vào quá trình truyền các gói tin quan trọng.
Khi có một người dùng log-in vào hệ thống, thiết lập các thông tin về họ, các câu hỏi bí mật, và luôn luôn sử dụng cơ chế bảo mật để truyền dữ liệu qua SSL. Tuy nhiên phải đảm bảo rằng toàn bộ các trang SSL đều không thể lấy lại được thông tin bởi một cách giải mã nào đó.
Rất nhiều trang web như Hotmail và Yahoo! Cung cấp trang web bảo mật dành cho việc log-in của người dùng, như nó không phải là một lựa chọn mặc định; người dùng phải truy cập vào một đường link khác để thực hiện việc bảo mật log-in.
Mật khẩu của bạn có được mã hoá với một thuật toán hash nào đó không?
Bạn cần phải biết rằng không bao giờ lưu mật khẩu của người dùng là các văn bản không được mã hoá. Để đảm bảo tối thiểu rủi ro có khả năng xảy ra bạn phải mã hoá các dữ liệu chứa mật khẩu của người dùng. Một cách tốt nhất là bạn không nên chỉ dùng mỗi tính năng mã hoá dữ liệu, mà trước khi mã hoá dữ liệu bạn nên thực hiện việc làm đảo lộn các ký tự băng một thuật toán hash nào đó. Sau khi sử dụng thuật toán dữ liệu sẽ hiển thị không phải là những mật khẩu cũ nữa, sau đó bạn thực hiện việc mã hoá sẽ bảo mật hơn rất nhiều.
Trong hầu hết các trường hợp, một Web site sẽ không cần phải biết một mật khẩu của người dùng; mà họ chỉ cần biết được một điều là - người dùng biết mật khẩu đó. Còn dữ liệu của mật khẩu đó sẽ được Hashing rồi lưu lại dạng mã hoá.
Session Authentication
Một người có thể vượt qua bước xác thực khi truy cập trực tiếp vào một module không?
Để hạn chế backdoors, bạn phải chắc chắn một điều rằng tất cả mọi tài nguyên của bạn cần phải được cung cấp với đối tượng khi đã được xác thực. Đảm bảo không một đường dẫn đến một tài nguyên nào mà người dùng có thể lấy tài nguyên đó trực tiếp mà không cần phải xác thực.
Does the system allow authentication to the Web server's operating system or network?
Rất nhiều hệ thống xác thực sử dụng trực tiếp các tài khoản trong hệ điều hành. Trong khi điều đó mang lại cho bạn sự thuận lợi và tính dễ dàng cho việc triển khai, nhưng bạn phải thực sự quan tâm đến quá trình làm việc với nó, ví dụ một kẻ tấn công có thể sử dụng hệ thống xác thực của bạn để đoán mật khẩu của user: administrator hay các tài khoản có đặc quyền khác. Họ sẽ có khả năng khai thác được các thông tin quan trọng trong hệ thống tài khoản của bạn.
Nếu bạn làm việc đó sử dụng hệ thống tài khoản trong hệ điều hành, bạn hãy hạn chế một số đặc quyền, và có kế hoạch tạo ra các user, groups một cách cụ thể, hay sử dụng các domains khác nhau.
Làm cách nào để một người dùng log-out hoàn toàn ra khỏi phiên làm việc.
Luôn luôn cung cấp một đường link cho việc ngắt một phiên làm việc, đảm bảo rằng phiên làm việc của người dùng được ngắt hoàn toàn, bằng một cú kick chuột vào đường dẫn log-out.
Làm cách nào để tránh việc quên không log-out của người dùng?
Tôi nhìn vào một hệ thống có thể xoá những phiên đang làm việc với những user đã đuợc xác thực. Nhưng bạn cũng có khả năng để xoá phiên làm việc đó. Trong một tình huống tốt hơn, bạn thêm giá trị thời gian vào một phiên làm việc, thiết lập một khoảng thời gian sau khi người dùng không làm gì đó với các ứng dụng hệ thống sẽ tự động log-out tài khoản của người dùng. Việc này nhằm đảm bảo khi người dùng để quên, không log-out khỏi hệ thống, tránh trường hợp bị kẻ xấu lợi dụng.
Tránh trường hợp cùng 1 user có nhiều phiên làm việc.
Bình thường một chương trình sẽ yêu cầu user log-in lại khi mở một cửa sổ mới. Việc thiết lập một tín hiệu là tài khoản người dùng đó đã được xác thực, khi đó bạn mở một cửa sổ khác hệ thống sẽ thực hiện việc tự động đăng nhập. Bạn muốn thực hiện việc chuyển từ user này sang user khác bằng cách mở nhiều cửa sổ hay sử dụng cookies.
Bạn cần phải thiết lập hệ thống cho phép nhiều user log-in từ một máy tính bằng cách bật nhiều cửa sổ, và hạn chế việc chuyển quá trình log-in từ cửa sổ này sang cửa sổ khác mà user vẫn được log-in.
User Security
Có thể sử dụng một ứng thứ ba cho việc xác thực người dùng?
Ví dụ như các trang web lớn như eBay, Hotmail, và PayPal có một vấn đề lớn với người dùng là bị mất quyền truy cập tới trang web. Bởi các thông tin của họ đã bị đánh cắp, là một lỗi lớn trong các trình duỵêt, và cách cấu hình ẩu trên các máy client đã vô tình khiến các thông tin nhạy cảm của người dùng bị thất lạc ra ngoài.
Trên trình duyệt sẽ không xuất hiện ra những đường link chính xác đã được truy cập, bởi điều đó rất dễ dàng cho kẻ tấn công lợi dụng, từ đó lấy cắp mất tài khoản của người dùng.
Bạn đã đào tạo cho người dùng biết cách tự bảo vệ các thông tin của họ?
Mọi trang Web đều nên có một trang dành riêng cho việc chỉ dẫn người dùng tự bảo vệ các thông tin cá nhân và hiểu được các chính sách bảo mật. Ví dụ, trang hướng dẫn về bảo mật sẽ nói với người dùng là trang web chính thức sẽ không bao giờ hỏi người dùng email và mật khẩu của họ, bất kỳ câu hỏi nào được đưa ra đó là những hình thức lừa đảo. Và từ đó có tạo ra khả năng người dùng sẽ ít bị lừa đảo hơn.
Cho phép người dùng xem quá trình log-in, log-out theo thời gian
Một cách rất tốt là cho phép người dùng nhìn lại log quá trình log-in, log-out tài khoản của họ. Với tính năng này người dùng sẽ biết được có người sử dụng tài khoản của mình hay không bằng cách so sánh thời gian log-in thực tế với quá trình log của hệ thống
Người dùng có thể dễ dàng phản ánh lại tình hình bảo mật?
Người dùng thường chú ý tới các sự việc sảy ra với tài khoản của họ, nhưng họ lại không hiểu cái gì về nó. Tất cả các trang web đều không chú trọng đến việc ghi lại các phản ánh của người dùng về các vấn đề bảo mật. Việc phát triển Web cho phép phản ánh lại các sự kiện xảy ra đối với tài khoản người dùng là cần thiết.
Người dùng có thể có những lựa chọn bảo mật?
Nếu bạn không thể cân bằng giữa việc bảo mật cho các tài khoản và sự thân thiện cho người dùng, vậy sao bạn không dành việc lựa chọn đó cho người dùng. Ví dụ, người dùng có thể tự thiết lập “session timeouts, IP Restriction, failed logins allowance. Yahoo là có một tuỳ chọn cho người dùng sự lựa chọn “session timeouts”, với những tuỳ chọn sẽ mang đến khả năng bảo mật tốt hơn với người dùng hiểu biết, và những người mới bắt đầu thì tính dễ sử dụng cần phải đặt lên hàng đầu.
Người dùng có thể lấy lại hay xoá bỏ accounts?
Nếu bạn cho phép người dùng tạo ra accounts, bạn cũng phải cho phép họ dễ dàng xoá bỏ accounts đó.
Cookies
Will a hijacked cookie allow a user logon?
Ghi lại toàn bộ cookie trên một hệ thống của một user có thể được thực hiện, nhưng điều đó cũng mang đến nhiều nguy cơ bảo mật. Nếu một kẻ tấn công có khả năng truy cập trái phép vào hệ thống và đánh cắp các thông tin trong cookie, tài khoản của người dùng đó có nguy cơ bị mất là rất cao. Một dạng khác, bạn có thể quan tâm là cần phải xác thực các thông tin, hay xác thực địa chỉ IP thì mới có khả năng truy cập vào các thông tin trên.
Sử dụng cookie để cho việc tự động đăng nhập vào hệ thống tiềm tàng rất nhiều vấn đề về bảo mật.
Rất nhiều thông tin nhạy cảm được lưu lại trong cookies?
Việc sử dụng cho người dùng log-in vào một hệ thống nào đó không phải là nguy cơ bảo mật duy nhất của cookies. Rất nhiều trang chứa các thông tin của người dùng trong cookies. Một điều lưu ý là đừng bao giờ lưu các thông tin thật của mình trong cookies.
Are cookies marked as secure?
Vấn đề bảo mật cookies được miêu tả trong RFC 2109, chống lại quá trình truyền tải thông tin tới một trang web không hỗ trợ SSL. Nhưng rất nhiều trang web đã thực hiện quá trình bảo mật này.
General Principles
Với nội dung của bài viết bao gồm hai phần bạn đã từng bước hiểu được các nguy cơ tiềm ẩn trong việc xác thực trên các trang Web và đối với các nhà phát triển Web việc có một khung sườn cho vấn đề bảo mật là cần thiết. Nếu bạn là người quản trị web site hãy có những chính sách bảo mật cụ thể, và yêu cầu người phát triển web có đáp ứng được toàn bộ các yêu cầu trên hay không.
Hoàng Tuấn Đạt Theo SecurityFocus.
|
|
|
Các bạn truy cập vào địa chỉ sau nhé khá chi tiết về việc điều chỉnh Registry bằng command line:
http://www.vnexperts.net/index.php?option=com_joomlaboard&Itemid=31&func=view&id=5504&catid=130
|
|
|
Bạn có thể thực hiện việc AUDIT việc log-in log-out và việc AUDIT việc truy cập vào folder mà bạn share.
- Bạn có thể thiết lập thời gian tối đa cho mỗi session là có thể ok
Diệt virus hoặc bạn thiết lập firewall trong Windows Server 2003 chỉ mở port File Sharing thôi bởi khi bạn mở nhiều port sẽ rất dễ bị tất công
|
|
|
Sử dụng cách tấn công ARP.
Giả mạo địa chỉ MAC của gateway áp dụng cho các máy nào (có thể xem được sau khi bạn thực hiện bước scan).
Trong phần mềm ARP Spoofing bạn có thể có ba cơ chế đó là:
1. Forward có nghĩa các gói tin đến nó sẽ forward đến gateway thật (cái này để hack - password của người dùng trong mạng LAN - sử dụng một tool sniffer mạnh)
2. Non forward - tất cả các gói tin đến nó sẽ bị drop
3. Một tính năng nữa mình chưa nghịch ()
Vậy trong trường hợp của bạn chỉ cần một máy PC bình thường cài đặt chương trình ARP Spoofing là OK mọi thông tin liên hệ:
tocbatdat@yahoo.com (cung cấp phần mềm - ARP)
|
|
|
Kiểm tra xác thực trên Web Site - Phần 1
Một trường hợp cần được quan tâm là: Bạn xây dựng một trang Web cho phép nhiều dạng (hệ thống user được phân cấp) người dùng log-in. Bạn cho phép người dùng tạo username và password, khi họ đăng nhập vào trang web phải cung cấp đúng thông tin về Username và Password. Nhưng bạn có đảm bảo rằng việc xác thực đó của bạn luôn được bảo mật? Mọi thời gian tôi có thể đăng ký tại trang web này, tôi lấy làm ngạc nhiên - đôi khi các trường hợp bảo mật còn xảy ra đối với những trang web rất lớn trên thế giới. Web là đã trở thành một phần của cuộc sống, và nguy cơ bị ăn cắp các thông tin cá nhân ngày càng lớn.
Thiếu việc bảo mật các user là một vấn đề lớn của các nhà phát triển Web. Có thể nó là một sự thiếu sót, nhưng có thể sự thiếu sót ấy có thể được kiểm tra. Trong bài viết này tôi giới thiệu với các bạn một tiêu chuẩn để kiểm tra các quá trình bảo mật của bạn. Từ đó bạn có thể đưa ra những chính sách hợp lý cho trang web của bạn.
Hai vấn đề cần được quan tâm là:
- Username và Passwords
- Password Management
1. Các vấn đề liên quan tới Usernames and Passwords
Hệ thống có cần thiết cả Username và Password?
Đó là một cách thông minh để bảo mật, nhưng đôi khi tôi vào một số trang web chỉ cần một password mà không cần đến username. Vấn đề này xảy ra khi khi một username sử dụng một password nhưng một user khác cũng sử dụng username khác như password lại trùng. Bạn sẽ có một thông báo là tài khoản cần thiết phải nhập lại mật khẩu, bởi hệ thống vẫn tưởng user của bạn đã được log-in vào hệ thống rồi, khi đó bạn chỉ cần gõ mật khẩu và lúc đó hệ thống sẽ cho bạn đăng nhập. Do đó việc kết hợp cả username và mật khẩu là một ý tưởng rất thông minh.
Tại sao hệ thống lại cho phép, khuyến cáo, hoặc bắt buộc bạn phải sử dụng một password khó?
Nếu hệ thống bảo mật của bạn phụ thuộc vào passwords, khi đó bạn chỉ có thể tăng tính bảo mật nếu bạn có chính sách yêu cầu cần phải có mật khẩu khó. Có thể áp dụng chính sách như: tối thiểu chiều dài của password cho phép và không cho password tương tự như username. Bằng cách sử dụng ký tự là số hay các ký tự đặc biệt sẽ tạo ra một password khó, nhưng bạn có thể cũng khuyến cáo người dùng sử dụng một password dài. Bạn cũng có thể tạo ra những password bằng những câu thành ngữ dài và thêm các kí tự đặc biệt ở đầu và cuối. Hơn nữa hiện nay tất cả các chính sách mật khẩu đều cho phép bạn sử dụng tất cả các ký tự trên bàn phím, không giới hạn các ký tự cũng như các số được sử dụng. Nhưng bạn muốn hệ thống hoạt động nhanh hơn việc xác thực nhanh hơn khi có hàng nghìn người đăng nhập cùng một lúc bạn cần có chính sách hạn chế chiều dài của mật khẩu: tiêu chuẩn là 128 ký tự.
Như AOL - bao gồm AIM, và Netcape Network and Compuserve - cho phép bạn sử dụng mật khẩu ngắn nhất là 3 ký tự nhưng dài nhất là 16 ký tự.
Làm cách nào để hệ thống không cho việc sử dụng lại các mật khẩu đã được đổi?
Hotmail được ra đời vào 4 - 6 năm 1996 - đã hơn 10 năm. Bây giờ bạn thử hỏi, còn bao nhiêu người trong số hàng triệu người sử dụng Hotmail trong 10 năm qua vẫn luôn giữ một mật khẩu từ đó đến nay? Nếu bạn không muốn áp dụng việc tái sử dụng lại mật khẩu cũ cho người dùng, bạn phải có cơ chế lưu lại mật khẩu cũ của họ để từ đó áp dụng chính sách không cho người dùng sử dụng mật khẩu đã được thay đổi.
Việc sử dụng tài khoản dễ đoán, hay tài khoản mặc định.
Bạn có thể hạn chế tính năng này, việc dễ đoán biết, hay các sử dụng các username tuần tự (123456). Việc hạn chế này sẽ giới hạn các cuộc tấn công vào các tài khoản người dùng cụ thể, bạn không bao giờ gán một username và password mặc định cho hệ thống, hay việc áp dụng chính sách với password và username là không được tuần tự, hay quá dễ đoán biết, cũng là một tính năng tăng cường bảo mật.
Có thể lấy được usernames từ các ứng dụng?
Một vài ứng dụng cho phép bạn đoán, hay lấy được usernames từ các ứng dụng web của bạn. Nếu một kẻ tấn công có thể tổng hợp được danh sách của usernames, anh ta có thể sử dụng tấn công brute-force để tìm kiếm mật khẩu. Việc dễ dàng bị phát hiện ra usernames cũng là một vấn đề. Ví dụ, một forums tại trang web msn.com mà có thể sử dụng một phần mềm lấy được toàn bộ các username của nó. Có nghĩa khi đó người dùng sẽ phải gánh chịu những bức thư quảng cáo, các bức thư chứa virus...Với số user được quản lý lên tới hàng triệu, việc khai thác được số user này cũng là mục tiêu của các kẻ tấn công.
Một thông báo lỗi được hiện lên với quá nhiều thông tin về username hay password.
Khi tôi loging vào một trang web của ngân hàng, nhưng tôi lại gõ sai mật khẩu. Tôi nhận được một thông báo là, mật khẩu của tôi không đúng. Nhưng nó cũng thông báo rằng mật khẩu của tôi bao gồm 4 ký tự, và là các ký tự số, tôi không thể gõ các ký tự thường được. Trong khi các thông đó hiện ra với tôi như vậy, nó sẽ giúp tôi dễ dàng nhớ ra được mật khẩu của mình và thực hiện loging vào hệ thống. Nhưng điều đó cũng dễ dàng cho các kẻ tấn công khoanh vùng mật khẩu sử dụng, từ đó dùng các phần mềm tấn công thử liên tục các mật khẩu bao gồm 4 số (tổ hợp 4 của 10 ký tự) quá dễ dàng cho một kẻ tấn công có kinh nghiệm.
Làm cách nào để bạn phát hiện và chống việc tấn công brute-force và đoán tài khoản hay mật khẩu?
Để chống việc tấn công brute-force đoán biết mật khẩu, bạn phải có cơ chế phát hiện ra các cuộc tấn công đó. Để giảm thiểu vấn đề này bạn chỉ cho phép một user log-on sai mấy lần, nếu người dùng log-in sai hơn số cho phép tài khoản sẽ bị khoá trong bao lâu đó. Hoặc từ một địa chỉ IP bạn không thể đăng nhập quá nhiều username và password được.
Đôi khi mã nguồn của trang web lại có những thông tin về Username và Password?
Nếu có đoạn mã này, bạn cần phải xoá chúng khỏi mã nguồn của trang web, đây là một kiểu tấn công khá cơ bản.
Làm cách nào để hệ thống không cho sử dụng các tài khoản ám muội?
Tôi thấy một hệ thống có trang web cho thương mại cho phép người dùng truy cập vào các file nếu họ đã biết được đường dẫn URL của files đó. Để cho việc này không thể xảy ra bạn cần phải thêm những đoạn mã vào phía sau, để chỉ có những người đã log-in vào mới có quyền truy cập vào nội dung của file đó mà thôi.
Người dùng có thể thay đổi username?
Một vấn đề đặt ra là người dùng muốn thay đổi username cho một việc gì đó mà không cần phải tạo một tài khoản mới. Một vài hệ thống, tuy nhiên hầu hết đều không cho phép bạn thực hiện việc này bởi username là một dữ liệu chính được tạo ra. eBay cho phép người dùng thay đổi username tại đó bởi họ nghĩ như vậy sẽ có thể khó khăn hơn trong việc tấn công vào các tài khoản của họ. Một vấn đề khác bạn cũng cần phải thận trọng trong việc cho phép người dung thay đổi username. Bởi khi kẻ tấn công biết được username và password và thay đổi thì người dùng sẽ mãi mãi mất tài khoản.
Tại sao bạn lại cần địa e-mail cho usernames?
Microsoft Passport yêu cầu bạn thiết lập cho một username một địa chỉ e-mail. Usernames có địa chỉ e-mail nhưng nó lại cho phép các kẻ spammers khai thác địa chỉ email và tạo sự khó khăn trong việc hay đổi một username. Nó cũng thông báo cho người dùng khi có những yêu cầu từ địa chỉ e-mail, ví như người dùng quên mật khẩu và yêu cầu mật khẩu khi đó hệ thống sẽ gửi mật khẩu vào email của người dùng, đó cũng là một cách khai thác khi biết địa chỉ email của đối tượng, việc dữ mật khẩu, hay các chính sách bảo mật trên máy tính là một điều vô cùng quan trọng, bởi khi địa chỉ e-mail của bạn bị khai thác thì sẽ có rất nhiều thông tin khác trên mạng của bạn cũng dễ dàng bị khai thác.
Làm cách nào để người dùng nhận được một tài khoản online mà người dùng không sử dụng đến chúng?
Rất nhiều ngân hàng tự động cung cấp các tài khoản online cho những người đăng ký sử dụng dịch vụ của họ, kể cả trường hợp người dùng không bao giờ sử dụng đến các tài khoản online đó. Có người không bao giờ sử dụng Internet, và cũng không muốn học cách sử dụng nó, hay không tin tưởng vào sự bảo mật của ngân hàng. Và điều đó cũng có khả năng tạo ra những mối nguy hiểm, khi có những tài khoản được tạo ra, và có thể bị khai thác bởi các kẻ tấn công.
2. Các vấn đề liên quan tới Password Management
Người dùng có thể dễ dàng thay đổi được passwords?
Nếu bạn không tạo ra khả năng dễ dàng cho họ thay đổi passwords, họ sẽ không thích làm việc này. Thay đổi passwords có thể là một tính năng của tất cả các hệ thống thực hiện chức năng xác thực người dùng. Một tab ứng dụng cho phép người dùng truy cập trực tiếp vào việc thay đổi mật khẩu của họ là cần thiết.
Người dùng có cần thiết phải xác thực lại trước khi thay đổi password?
Khi bạn cho phép người dùng thay đổi mật khẩu, sẽ có ba mục cần phải thực hiện đó là: Old password, new password và xác nhận lại new password. Điều này chống lại việc chiếm đoạt mật khẩu khi người dùng quên không log-out khỏi hệ thống khi đã thực hiện xong các tác vụ. Hoặc khi người dùng đã đóng trình duyệt web nhưng hệ thống vô tính lại lưu lại mật khẩu và tài khoản của họ, khi người dùng khác truy cập vào trang web đó thì mật khẩu và username đã được cung cấp khi đó nếu không cần xác thực lại mật khẩu cũ thì người kia hoàn toàn có thể chiếm đoạt được tài khoản của người dùng.
Sau khi người dùng thiết lập một password và bạn có thể tạo ra những phiên làm việc và thiết lập thời gian có hiệu lực cho password này, nếu password hết hiệu lực hệ thống sẽ gửi thư, gửi đường link vào email cho người dùng và yêu cầu họ phải đổi mật khẩu. Điều này giúp người dùng dễ dàng thay đổi mật khẩu hơn, và cũng đem lại cho người dùng chính sách bắt buộc phải thay đổi mật khẩu sau một khoảng thời gian nhất định
Cuối cùng, khi người dùng thay đổi mật khẩu, thường một email xác nhận mật khẩu đã được thay đổi sẽ gửi đến người dùng bao gồm địa chỉ IP khi thực hiện thay đổi.
Làm cách nào để hệ thống cho phép lấy lại password?
Một cách thay đổi khác là cho phép người dùng lấy lại mật khẩu, bạn có thể reset lại mật khẩu của họ. Cho phép người dùng lấy lại mật khẩu có nghĩa mật khẩu cũ đã được sử dụng phải được lưu vào cơ sở dữ liệu và được mã hoá.
Ví dụ: một hacker có thể chiếm quyền điều khiển toàn bộ một máy PC của nạn nhân. Hacker có thể nhìn thấy các tài khoản trong ngân hàng, và họ kick vào Forgot My Password và đợi sau một thời gian sẽ nhận được một e-mail. Nội dung của bức thư sẽ chứa mật khẩu, hay có thể cho phép người dùng reset lại mật khẩu, từ đó họ có thể truy cập vào tài khoản trong ngân hàng một cách đễ dàng, sau đó kẻ tấn công cẩn thận xoá sạch dấu vết truy cập trên hệ thống.
Một biện pháp tốt đó là khi nhận được một email thì nội dung của email đó sẽ không chứa thông tin về mật khẩu của người dùng đang sử dụng, mặt khác buộc phải thay đổi mật khẩu khi xác thực địa đường link đó, khi người dùng không thể đăng nhập vào tài khoản của mình họ sẽ phát hiện ra tài khoản của họ đã bị mất và từ đó có biện pháp tăng cường bảo mật hơn.
Làm thế nào để hệ thống cần phải kiểm tra trước khi cho phép người dùng reset lại password của họ?
Một biện pháp khác cần phải yêu cầu một vài thông tin trước khi gửi e-mail yêu cầu reset lại mật khẩu - ví như câu hỏi "bạn yêu quý ai nhất" khi có cung cấp đúng, và địa chỉ email đúng hệ thống sẽ gửi yêu cầu reset mật khẩu, điều đó mang lại tính bảo mật cao hơn.
Hệ thống sẽ gửi các thông tin nhạy cảm qua e-mail?
Một cách sử dụng với việc lấy lại mật khẩu là làm thế nào để bạn cung cấp mật khẩu cũ lại cho người dùng. Ví dụ, khi tôi nhìn thấy password là E*Trade's, tôi sẽ biết đó là mật khẩu đang được sử dụng. Nhưng một biện pháp là bạn sẽ cung cấp cho người dùng không bao giờ lấy lại mật khẩu bởi nó đã một lần bị thay đổi và không đảm bảo tính bảo mật, người dùng chỉ có thể thiết lập một mật khẩu mới mà thôi. Thông tin lấy lại mật khẩu sẽ ở trên một trang web được mã hoá SSL, khi truyền tải thông tin, bởi nó sẽ không cho người khác tóm gói tin mật khẩu mới được cung cấp, phân tích và giải mã gói tin đó.
Một dạng khác nữa là khi người dùng nhận được email bao gồm username và password họ sẽ dữ lại để cho việc nhỡ quên trong tương lai và có thể đem ra tái sử dụng. Điều đó không chỉ mang đến những nguy cơ tiềm tàng vì lưu thông tin ở dạng "clear text" là một điều vô cùng nguy hiểm.
Hệ thống sẽ cung cấp một mật khẩu tạm tời.
Nếu bạn cung cấp mật khẩu cũ cho người dùng đổi mật khẩu, điều đó sẽ không bảo mật và an toàn. Bạn cần tạo ra một mật khẩu tạm thời cung cấp cho người dùng để log-in vào hệ thống sau đó người dùng sẽ buộc phải thay đổi mật khẩu đó.
Hệ thống trợ giúp bạn nhớ mật khẩu.
Khi bạn chót quên mật khẩu, bạn cần phải nhớ câu hỏi bí mật mà hệ thống cung cấp khi bạn đăng ký tài khoản như "con vật bạn yêu quý nhất là? " chẳng hạn bạn buộc phải nhớ nó, hay khi bạn quên mật khẩu thì bạn định nghĩa một sự trợ giúp từ hệ thống như, tôi không nhớ đã chọn câu hỏi bí mật nào nhưng hệ thống có thể sẽ cung cấp câu hỏi bí mật cho bạn và bạn chỉ cần trả lời, hoặc sau khi trả lời đúng hệ thống sẽ hiện câu hỏi bí mật ra cho bạn...
Kết luận
Trong phần 2 của bài viết này tôi sẽ giới thiệu với các bạn một số vấn đề liên quan tới:
User Privacy
Session Authentication
User Security
Cookies
General Principles
Theo SecurityFocus - của Mark Burnett (05-05-2003)
Người viết: Hoàng Tuấn Đat - Vnexperts
|
|
|
Một vấn đề khác là tại việt nam còn có những sản phẩm ghi là:
Switch Hub (3com, sản phẩm của Tàu...)
Vậy theo các bạn nó là sản phẩm như thế nào
)
|
|
|
Hình như là bạn bỏ bộ cài của Webcam đi thì phải, nếu vậy bạn có thể cài lại webcam.
Hoặc bạn thử khởi động lại bằng "last know configuration"
(khi máy tính khởi động nhấn f8)
|
|
|
Liên hệ với nick name:
Tocbatdat@yahoo.com (online 8giờ sáng - 6 giờ tối) sách của Gegistry của Microsoft viết
|
|
|
Mình định dịch xong phần II rồi ghi là dịch từ đâu luôn (lưu ý khi mình dịch lấy cả các kiến thức cũng như các từ ngữ dễ hiểu để thể hiện - Không phải nguyên bản 100%) và trước khi dịch mình cũng không biết là đã có bài viết về vấn đề này ở trang web trước (quantrimang.com) mình dịch part đầu tiên vào hôm 12/1/2007. lấy nguồn từ SecurityFocus.com trang web chuyên về bảo mật của Symantec.
Nếu các bạn nghĩ là sao chép các bạn có thể kiểm tra cách hành văn cũng như một số kiến thức khác.
Lần sau mình sẽ chú ý để tên bản quyền tác giả, còn những bài mình post lên đây hoàn toàn do kiến thức của mình, hoặc mình tự dịch và ko bao giờ post lại trang web của việt nam đã đăng.
Có lẽ part II mọi người có thể tự tham khảo từ trang securityfocus hay từ đường link trên đến trang quantrimang.com
|
|
|
AutoComplete trong IE, Firefox (Bài viết 1)
Đã rất nhiều người sử dụng tính năng nhớ mật khẩu khi đăng nhập vào các trang web: vào hòm thư… Nhưng cơ chế lưu trữ của chúng ra sao, hệ thống sẽ mã hoá dữ liệu đó như thế nào, cũng như việc hệ thống sử dụng cách nào để truy cập vào các dữ liệu đó. Không một tính năng nào đảm bảo là không có kẽ hở và tôi sẽ trình bày các cách tấn công vào dữ liệu được lưu trữ từ đó tìm ra những cách bảo mật chúng hạn chế các rủi do có thể xảy ra. Bài viết được chia làm hai bài
Bài1: Vì sao phải sử dụng tính năng này, cũng như phương thức lưu trữ thuật toán mã hoá của chúng ra sao.
Bài 2: Tấn công khai thác các thông tin từ dữ liệu được lưu trong hệ thống, tìm ra cách hạn chế tấn công.
1. Giới thiệu.
Bài viết này sẽ đưa ra cho bạn một phân tích về cơ chế bảo mật, những nguy cơ tiềm ẩn, việc tấn công và việc phòng chống từ hai cách quản lý mật khẩu trong hệ thống cho các web browers cho IE và Firefox. Bài viết này cụ thể nói về phiên bản IE 6, 7 và Firefox 1.5 và 2.0. Bài viết bao gồm các vấn đề sau:
- Các cơ chế lưu giữ mật khẩu (Password storage mechanisms): Nó có nghĩa là việc bảo vệ tài khoản người dùng và mật khẩu trong file hệ thống đã được mã hoá.
- Tấn công vào trình quản lý mật khẩu: phương pháp tấn công lấy cắp mật khẩu đã được bảo vệ
- Phân tích các rủi do bảo mật: Người dùng đôi khi không nhận ra được hết các vấn đề rủi do có thể xảy ra.
- Sử dụng: Tính năng này tăng sự tiện dụng cũng như hạn chế các vấn đề bảo mật có thể xảy đến.
- Các biện pháp đối phó: Hành động có thể được thực hiện bởi người dùng và tổ chức để hạn chế rủi do.
Internet Explorer và Firefox hiện chiếm đến 95% trong tổng số các trình duyệt đang được sử dụng. Tự động nhớ mật khẩu và quản lý mật khẩu là những tính năng được lưu trữ từ web dạng usernames và password, tính năng này bắt đầu được tích hợp để mang lại sự tiện dụng từ phiên bản IE 4 và Firefox 0.7.
Mỗi trình duyệt web đều mang đến tính năng để đem lại sự tiện dụng bằng việc nhớ các mật khẩu khó để cho việc xác thực những trang web cụ thể. Ví như bạn có thể đặt mật khẩu rất khó cho gmail của bạn và mỗi khi truy cập vào trang web: http://mail.google.com bạn sẽ không cần phải nhập tài khoản cũng như mật khẩu nữa. Cả hai trình duyệt IE và Firefox khi người dùng đăng nhập vào một trang web thì đều được hỏi là bạn có lưu lại tài khoản và mật khẩu không, nếu người dùng đồng ý nó sẽ lưu lại tài khoản và mật khẩu. Khi người dùng vào lại trang web đó thì tài khoản và mật khẩu được tự động cung cấp.
Mặc dù tính năng này đem lại sự tiện dụng cho người dùng, nhưng họ cũng cần phải được cảnh báo những mối quan tâm đến việc quản lý mật khẩu này.
2. Một trường hợp quản lý mật khẩu.
Cần thiết để quản lý mật khẩu trực tiếp là rất khó để nhớ rất nhiều mật khẩu và tài khoản cho những trang web cụ thể, khi mà bạn có rất nhiều tài khoản khác nhau cũng như mật khẩu khác nhau cho mỗi trang web. Nhưng việc bạn ghi tài khoản và mật khẩu ra một chỗ nào đó thì hoàn toàn không an toàn vì người khác có thể hai thác thông tin đó một cách dể dàng. Một người dùng có thể tạo ra những tài khoản khác nhau để tạo ra khả năng khó khăn cho việc tấn công cũng như tăng cường tính bảo mật.
Cân bằng hay một giải pháp tổng thể với user là tin tưởng một ứng dụng chuyên cung cấp tính năng này (lưu trữ được bảo mật, quá trình thực hiện nhanh chóng, và đem lại sự tin tưởng chính xác cho quá trình xác thực từng trang web cụ thể). Nhưng tính năng quản lý mật khẩu không phải sử dụng cho tất cả tình huống, tuy nhiên nó là một công nghệ tạo ra đòn bẩy, và là một lĩnh vực mới để các kẻ tấn công lợi dụng các lỗ hổng bảo mật trong các tính năng này, để đảm bảo vấn đề này yêu cầu người sử dụng máy tính cần phải được xác thực trước khi đăng nhập vào hệ thống.
Người dùng cần phải biết rằng hệ thống quản lý này bao khi được sử dụng, cần phải có sự hiểu biết những nguy cơ có thể xảy ra để phòng chống. Trong bài viết này với nội dung cách thiết kế cơ bản để bảo mật mật khẩu và tài khoản người dùng trước những tấn công, cũng như những cảnh báo các khả năng tấn công trong tương lai.
3. Trước đây
Việc sử dụng cùng tài khoản và mật khẩu cho nhiều trang web được sử dụng nhiều nhất, nhưng một vấn đề rất có khả năng xảy ra là khi kẻ tấn công khai thác được một mật khẩu và tài khoản của một trang web kém bảo mật thì toàn bộ các trang web khác cũng đồng thời bị kẻ tấn công lợi dụng. Sử dụng mật khẩu, các kỹ năng để có một mật khẩu dễ dùng nhưng khó tấn công đối với kẻ khai thác, những tiềm ẩn việc sử dụng password toàn bộ đã được nghiên cứu một cách kỹ lưỡng. Thêm vào đó Firefox có những nghiên cứu để hạn chế các khai thác có thể xảy ra đối với việc quản lý tài khoản và mật khẩu.
4. Phương thức lưu mật khẩu.
Quá trình ghi nhớ tài khoản và mật khẩu được miêu tả dưới đây. Thông tin này đã từng được sử dụng để nghiên cứu các cuộc tấn công của các hãng sản xuất và được miêu tả cụ thể dưới đây.
4.1. Lưu trữ tại local
4.1.1 Với phiên bản Internet Explorer 6 & 7
Trên Internet Explorer (phiên bản 4 đến 6) AutoComplete các thông tin từ Web được lưu trữ trong Registry và cụ thể tại:
Mã hoá usernames and passwords:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\SPW
Địa chỉ trang Web
HKEY_LOCAL_MACHINE\Software\MicrosoftProtected Storage System Provider\
Mã hoá bằng symmetric keys:
HKEY_CURRENT_USER\Software\Microsoft\ Protected Storage System Provider\Data\\
Trên Internet Explorer 7, AutoComplete các thông tin từ Web như tài khoản người dùng mật khẩu hay địa chỉ của trang web đó cũng được lưu trữ trong Registry nhưng chúng được đặt tại những vị trí khac nhau.
Mã hoá Usernames and Passwords:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2
Toàn bộ trong Registry chỉ được tạo ra khi người dùng save các thông tin login như tài khoản và mật khẩu từ trang web. Và chúng được cấu tạo bằng nhóm từ SavePassWords
4.1.2 Với phiên bản Firefox 1.5 and 2.0
Trên Firefox, Uniform Resource Locators (URLs) bao gồm usernames, và passwords được lưu trên file signons.txt:
Mã hoá usernames và password trong Windows Systems tại:
%userprofile%\Application Data\Mozilla\Firefox Profiles\xxxxxxxx.default\signons.txt
Tại %userprofile% là môi trường tuỳ biến trong windows và đó là home directory của mỗi tài khoản người dùng.
Mã hoá user name và password trong hệ thống Linux tại:
~/.mozilla/firefox/ xxxxxxxx.default/signons.txt
Xxxxxx là ngẫu nhiên được lựa chọn khi Firefox được cài đặt. File signons.txt được tạo ra vào thời điểm lần đầu tiên bạn save các thông tin đăng nhập từ một trang web. Từ lần sau khi quá trình đăng nhập yêu cầu Firefox sẽ tìm kiếm thông tin trên file này. Nó không liên quan tới việc file này được sử dụng cho quá trình đăng nhập cho các trang web HTTP hay HTTPs. URLs không được mã hoá bởi nó được sử dụng để kiểm tra trong quá trình đăng nhập. Khi một quá trình tự đăng nhập được thực hiện, các trang URL được so sánh với các thông tin trong file signons.txt, nếu URL đã được ghi lại thì quá trình tự động đăng nhập được thực hiện
4.2 Phương thức lưu trữ và truy cập
4.2.1 Trong Internet Explorer 6 & 7
Storage Construct: Registry
Format: Binary, stored as a pair of hex values in a REG_BINARY data type.
Encryption: TripleDES
Access: Protected Storage API (for IE 4-6); Data Protection API (for IE 7)
Requirements for Access: User logged in
Transient Storage: Symmetric keys zeroed from memory after use. [ref 9]
Trong phiên bản Internet Explorer từ 4 – 6 sử dụng Protected Storage System Provider (Pstore) để save lại các thông tin liên quan đến quá trình đăng nhập của người dùng bao gồm username và mật khẩu. Pstore được định nghĩa bởi MSDN là một chương trình ứng dụng được sử dụng để lưu lại các thông tin và đảm bảo an toàn với các thông tin đó.
Dưới đây là định nghĩa đầy đủ về nó:
"...the Protected Storage service, which is no longer considered a secure method of storing secrets. The most significant Windows application that still uses the P-store is Microsoft Internet Explorer, which stores Auto-Complete information, including names and passwords used for forms-based
authentication."
Dữ liệu được lưu trữ với PStore được mã hoá với TripleDES và lưu trữ dưới dạng số nhị phân. Một người không thể giải mã dữ liệu này khi họ truy cập trực tiếp vào registry. Tuy nhiên dữ liệu được bảo mật và có thể được truy cập một cách bình thường khi người dùng đó đăng nhập vào Windows với một tài khoản cho phép. Khi người dùng log in vào hệ thống một chương trình sẽ được hoạt động và có thể truy cập vào các nội dung và giải mã các dữ liệu lưu trữ trong PStore bằng cách sử dụng API call. Tuy nhiên một tài khoản người dùng cùng trên hệ thống Windows cũng sẽ không thể truy cập được vào dữ liệu được lưu trữ. Nhìn chung nếu bạn có user đăng nhập vào Windows thì bạn có thể khai thác được thông tin lưu trữ từ nó.
PStore không phải là một sản phẩm chỉ được sử dụng trong Internet Explorer, nó cũng là một phương pháp thường được sử dụng trong các sản phẩm của Microsoft như Outlook và MSN Explorer. Đây là một chương trình dễ bị ảnh hưởng bởi các lỗi trong thiết kế bảo mật. Rất nhiều chương trình Spyware đã phá hoại được bảo mật của PStore và dễ dàng với chương trình API để truy cập và các dữ liệu được lưu trữ trong PStore.
Internet Explorer 7 sử dụng Data Protection Application Programming Interface (DPAPI) tuy nhiên nó đáng tin cậy với các quá trình sử dụng các phần mềm tấn công bình thường thông qua API calls.
Mã hoá cho AutoComplete trong IE7 được hiển thị dưới đây.
EK - Encryption Key
RK - Record Key
CRC - Cyclical Redundancy Check
Hash - Secure Hash Algorithm (SHA)
Storing credentials:
EK: URL
RK: Hash(EncryptionKey)
C: CRC(Record Key)
V: {data}EK
Store (C, V) is indexed by RK in the Registry, destroy EK
Retrieving credentials:
EK: URL
RK: Hash(EK)
Lookup RK in Registry, if match is found corresponding V contains encrypted data;
data: {data}EK
Tuy nhiên URL cần được mã hoá một cách không cẩn thận hơn, nó được nén với Encryption Key (EK)
4.2.1.1 Internet Explorer access concerns
IE AutoComplete làm việc dưới những tài khoản người dùng cụ thể trong Windows (dựa trên các useraccount) là một biện pháp logical để có thể truy cập vào dữ liệu được mã hoá. Tuy nhiên nếu một tài khoản người dùng không được xác thực truy cập vào máy tính và có đặc quyền chỉnh sửa lại password sau đó dùng tài khoản kia để đăng nhập vào máy tính, khi đó kẻ tấn công hoàn toàn có thể truy cập vào các dữ liệu đã được mã hoá một cách bình thường. Bằng việc sử dụng các chương trình Remote từ xa như VNC…
Thêm vào đó, nhiều người sử dụng máy tính với một tài khoản đăng nhập là điều không được khuyến cáo và làm mất đi tính bảo mật được sử dụng. Với vấn đề này bạn tốt nhất không nên dùng các chương trình quản lý mật khẩu vì các thông tin của bạn hoàn toàn được truy cập vào một cách hợp pháp. Ngoài ra bạn cần có cách bảo vệ máy tính ở tầng vật lý một cách hiệu quả đó là máy tính của bạn đảm bảo không bị mất cắp, nếu bị mất cắp việc hack password trong windows là hoàn toàn có khả năng thực hiện và khi đó toàn bộ các dữ liệu của bạn trên các trang web có thể bị khai thác.
4.2.2 Trong Firefox 0.7-1.5 và 2.0
Storage Construct: Text File (signons.txt)
Format: ASCII, using Base64 encoding (except URL and fields)
Sau đây là một đoạn trong file signons.txt
URL (clear text, i.e. www.gmail.com)
Field name (in cleartext, e.g. username, email, userid, etc.)
Encrypted and Base64 encoded value of above information
Field name (i.e. password, pass, etc.)
Encrypted and Base64 encoded value of above information
...etc... (Could have many entries for one URL)
.
(Với mỗi địa chỉ trang web URL sẽ được kết thúc bằng một dấu “.”)
Encryption: TripleDES (CBC mode)
Access: Network Security Services (NSS) API
Requirements for Access: User logged in and the Master Password
Relevant files: Certificates (Signed Public Keys) stored as certN.db, Private Key Database stored as keyN.db, and Security Modules stored as secmod.db
Firefox sử dụng Network Security Service API để thực hiện mã hoá. Quản lý mật khẩu trong Firefox sử dụng Public Key Cryptography Standard (PKCS) #11 được định nghĩa là một API là một phần mềm được thiết kế cho các hãng sản xuất phần mềm hay phần cứng khác, nó cũng sử dụng PKCS#5 cho mã hoá mật khẩu. Firefox cũng có một lửa chọn sử dụng một module quản lý mật khẩu chuyên dụng khác là Federal Information Processing Standard (FIPS) 140-1. Quản lý mật khẩu được thực hiện với file keyN.db, dùng để thực hiện giải mã username và password.
NSS API, cũng không phải là vấn đề dễ xử lý, có một vài thành phần trong Firefox hay các chương trình khác có thể dễ dang truy cập vào dữ liệu chứa mật khẩu và tài khoản người dùng. Thiết lập mật khẩu bởi PK11_SetPasswordFunc, decoding base64 data (NSSBase64_DecodeBuffer) và decrypting (PK11SDR_Decrypt) cho phép chương trình truy cập vào dữ liệu chứa tài khoàn người dùng và mật khẩu.
Module bảo mật FIPS 140-1 có thể được enable trong Firefox:
Firefox 1.5 on Windows:
Tools | Options | Advanced | Security Devices | NSS Internal FIPS PKCS #11
Firefox 2.0 on Windows:
Tools | Options | Advanced | Encryption | Security Devices | NSS Internal FIPS PKCS #11
Trong bài viết tới tôi sẽ đề cập đến cách tấn công username và password được lưu trữ trong hệ thống sử dụng AutoComplete, sử dụng trong IE và Firefox
Hoàng Tuấn Đạt viết ngày 12/1/2007 (lấy thông tin tham khảo từ trang web SecurityFocus.com).
NOTE: Trên trang quantrimang.com đã có hai bài viết về vấn đề này bạn có thể tham khảo bài viết ở dưới.
|
|
|
Hacker phông phải chỉ biết phá hoại các trang web hay... gây ảnh hưởng đến cá nhân hay tổ chức.
Vấn đề là học bảo mật để bảo vệ hệ thống của bạn mới khó, còn việc sử dụng tool bạn chỉ cần hiểu biết bình thường, kỹ năng tìm kiếm, + tool là có thể thực hiện.
Việc xây dựng một hệ thống bảo mật khó hơn nhiều lần việc hack hệ thống đó
Hiện tại trung tâm Vnexperts có các khóa học về Security như Security+, CISSP với nội dung được đảm bảo trên toàn thế giới cung cấp sự hiểu biết về bảo mật cũng như các thiết bị bảo mật, các kỹ thuật tấn công.... Đều được đề cập đến trong các khóa học tại Vnexperts.
Địa chỉ Web tham khao: Http://www.vnexperts.net
|
|
|
Các bạn học CCNA, hay MCSA.
Một địa chỉ tin cậy, môi trường học tập chuyên nghiệp, thiết bị hiện đại, giảng viên là những người làm có kinh nghiệm thực tế, kỹ năng truyền đạt tốt.
Đặc biệt trung tâm Vnexperts đang có những chính sách đặc biệt cho các bạn sinh viên học ban ngày hai khóa CCNA và MCSA.
Trong thời gian tới các lớp học ban ngày ưu tiên các bạn sinh viên lên đến 40% học phí khóa học
CCNA phòng lab Cisco đầy đủ thiết bị thực tế
MCSA với hệ thống máy chủ mạnh đáp ứng các yêu cầu thực hành của toàn bộ khóa học MCSE
Các thông tin bạn có thể liên hệ:
Http://www.vnexperts.net
|
|
|
Học tại học viện mạng bách khoa nếu so sánh với các trung tâm khác thì mình không biết.
Nhưng bên Vnexperts đào tạo một khóa học CCNA đặc biệt là ban ngày cho các bạn sinh viên thấp hơn 200USD.
Kiến thức đầy đủ
Phòng lab với các thiết bị mới nhất của Cisco
Giảng viên là những người làm việc lâu năm trên thiết bị Cisco với kỹ năng truyền đạt tốt
Đặc biệt hỗ trợ thời gian các bạn ôn thi và việc các bạn cần Lab trong quá trình học có thể lên thực hành hoàn toàn miễn phí.
Mọi thông tin bạn có thể qua địa chỉ: Phòng 402 A, 347 Đội Cấn, Ba Đình, Hà Nội.
Ngoài ra trung tâm còn có các khóa học về Linux, Unix, Security, MCSA/MCSE
Http://www.vnexperts.net
|
|
|
Mình nghĩ điều này vô cùng đơn giản kể cả việc bạn biết nhà cung cấp ISP được cung cấp dải địa chỉ nào cũng được chứ không nói là việc chỉ biết địa điểm của địa chỉ IP:
Vào trang web:
http://whois.domaintools.com/210.245.0.10
Phần cuối là địa chỉ IP bạn cần biết thông tin đây là máy chủ DNS của nhà cung cấp FPT sau khi bạn enter sẽ được bảng thông tin sau:
inetnum: 210.245.0.0 - 210.245.127.255
netname: FPT-VNNIC-VN
country: VN
descr: The Corporation for Financing and Promoting Technology
descr: Internet exchange and service provider(IXP/ISP)
descr: 75 Tran Hung Dao st., Hanoi
admin-c: TDA1-AP
tech-c: TPV1-AP
remarks: For spamming matters, mail to
status: ALLOCATED PORTABLE
remarks: ---------------------------------------------------
remarks: This object can only be modified by APNIC hostmaster
remarks: If you wish to modify this object details please
remarks: send email to with your organisation
remarks: account name in the subject line.
remarks: ----------------------------------------------------
mnt-by: MAINT-VN-VNNIC
mnt-lower: MAINT-VN-FPT
mnt-routes: MAINT-VN-FPT
changed: 20040831
source: APNIC
person: Truong Dinh Anh
address: Corporation for Financing and Promoting Technology
address: 75 Tran Hung Dao street
address: Hoan Kiem District, Hanoi capital, Vietnam
country: VN
phone: +84-4-8223100
fax-no: +84-4-8223111
e-mail:
nic-hdl: TDA1-AP
remarks: mail to
mnt-by: VNPT
changed: 20020716
source: APNIC
person: Thang Pham Vinh
address: Corporation for Financing and Promoting Technology
address: 75 Tran Hung Dao street, Hoan Kiem district
address: Hanoi capital, Vietnam
country: VN
phone: +84-4-8223100
fax-no: +84-4-8223111
e-mail:
nic-hdl: TPV1-AP
remarks: Contact:
mnt-by: VNPT
changed: 20020604
source: APNIC
|
|
|
Tổng quan về security, các lĩnh vực trong security, các công cụ cơ bản và sử dụng thành thạo các công cụ tấn công cũng như những cách bảo vệ hệ thống.
Các thiết bị bảo mật, cấu hình, chi tiết...
Security+ tại Vnexperts như một khóa học cơ bản nhất một bức tranh chung nhất về bảo mật. Qua đó bạn sẽ biết mình lên tìm hiểu sâu, những kiến thức bảo mật trên nền tảng nào.
Cisco, Windows, Nix, Linux, hay các sản phẩm của Checkpoint
Tại vnexperts liên tục mở các khóa học Security+ với học phí 300 USD
|
|
|
Nếu bạn đang muốn trở thành một nhà quản trị mạng, bạn đang băn khoăn, mình có hợp với nó không, yêu cầu của công việc quản trị là những gì, khả năng đáp ứng của bạn ra sao cũng như trong tương lai vị trí của một nhà quản trị mạng sẽ ra sao?
1. Yêu cầu đối với một nhà quản trị mạng
- Công nghệ ngày càng phát triển, việc lắm bắt công nghệ hiện tại để đáp ứng được các ứng dụng trong doanh nghiệp là cần thiết với một người quản trị mạng. Do đó yêu cầu đầu tiên của một nhà quản trị mạng là luôn luôn học tập và nghiên cứu các công nghệ nhằm lắm bắt và ứng dụng trong những môi trường cụ thể.
- Đã là nhà quản trị bạn phải có khả năng tổng hợp tốt những vấn đề, bạn phải có cái nhìn tổng thể cho cả hệ thống điều này không những giúp bạn đơn giản hoá khâu quản l các thiết bị ứng dụng mà là một yêu cầu cơ bản để bạn quản lý tốt những ứng dụng, những lỗi có thể xảy ra với hệ thống, cách khắc phục những sự cố ra sao. Việc lưu hồ sơ quản lý hồ sơ, cũng như quản lý hệ thống cần một tầm nhìn toàn diện.
- Làm việc theo nhóm là một yêu cầu vô cùng cần thiết với nhà quản trị bởi kiến thức là mênh mông còn con người thì có hạn trong mọi mặt, và trong một vấn đề sẽ có người sâu về mảng này, ta sâu về mảng khác. Để có thể tạo được một bộ máy hoạt động trơn tru buộc bạn phải biết cách làm việc theo nhóm, mỗi người làm một vấn đề, kết hợp với nhau để tạo ra một bộ máy làm việc không chồng chéo, hạn chế mặt yếu của mọi người, phát huy mặt mạnh của mọi người để đáp ứng công việc tốt hơn.
- Tiếng Anh là một thứ không thể không nhắc tới với nhà quản trị mạng, khi tại Việt Nam chúng ta hầu hết các ứng dụng là tiếng anh, hầu hết các tài liệu nghiên cứu của chúng ta là tiếng Anh, việc trau dồi tiếng anh sẽ giúp bạn ở một vị trí thoả đáng trong công việc quản trị mạng hiện nay.
- Khả năng giao tiếp cũng khá cần thiết điều này giúp bạn được lòng nhiều người trong công ty và sẽ giúp bạn khai thác được những lỗi của người dùng tốt hơn, phân tích những yêu cầu của khách hàng tốt hơn.
2. Công việc của nhà quản trị mạng.
- Triển khai hệ thống mới buộc bạn phải năm bắt được các yêu cầu của khách hàng hay công ty lên kế hoạch để đáp ứng các ứng dụng đó. Những thiết kế hệ thống sao cho có một hệ thống đáp ứng được các yêu cầu ứng dụng của công ty trong thời điểm hiện tại và trong một tương lai gần, việc thiết kế hệ thống trước khi triển khai cần một người quản trị có kinh nghiệm từ hạ tầng mạng cho tới các máy chủ phục vụ cho các ứng dụng.
- Quản trị hay nâng cấp một hệ thống đang chạy đây là công việc nhiều nhất của nhà quản trị, bạn phải biết cách nắm bắt toàn bộ hệ thống một cách chi tiết, điều này giúp bạn có khả năng phán đoán những lỗi xảy ra cho hệ thống. Ngoài ra việc quản trị của bạn cần được ghi chép cẩn thận để sau này đó sẽ là tài liệu để nghiên cứu khắc phục nhanh những sự cố đã từng xảy ra. Phân tích hệ thống, tổng hợp hệ thống rồi đưa ra những chính sách hợp lý nhất thông minh nhất đáp ứng các ứng dụng là điều quan trọng nhất.
- Khi bạn nắm rõ từng chi tiết của hệ thống, từ đó phân tích từ hạ tầng mạng cho đến lớp ứng dụng, tổng hợp lại hệ thống dựa trên mô hình mạng, mô hình các ứng dụng. Những chính sách bảo mật, cần được thiết lập một cách chặt chẽ.
- Đảm bảo các ứng dụng luôn luôn chạy trơn tru là một yêu cầu thiết yếu đối với quản trị mạng. Và khắc phục những sự cố khi xảy ra. Bạn phải lên những chính sách dự phòng từ nguồn điện, cho tới hệ thống mạng và các ứng dụng cũng như an toàn dữ liệu đều phải có chính sách khắc phục và giảm tối thiểu những thiệt hại khi xảy ra sự cố với hệ thống, trong những vấn đề bạn quan tâm cũng cần phải nhớ một điều là dữ liệu là quan trọng nhất, đảm bảo không mất dữ liệu, không bị truy cập trái phép... Tất cả mọi công việc của nhà quản trị cũng chỉ xoay quanh dữ liệu.
3. Khả năng.
- Nếu nói về hệ thống mạng bạn có thể chỉ cần sâu về một lĩnh vực bởi khi nói toàn bộ hệ thống thì đơn giản, nhưng nếu sâu vào một vấn đề cũng cần bạn nghiên cứu nó một thời gian rất lâu, ví như hạ tầng mạng, ban đầu bạn thiết lập mạng LAN, nhưng nếu có nhiều LAN phải kết nối VPN, khi đã có VPN lại vấn đề bảo mật cần đặt ra. Rồi trong tương lai các thiết bị mạng sẽ tích hợp những giải pháp cao cấp như VoIP, truyền hình hội nghị...
- Việc biết sâu về một công nghệ sẽ giúp bạn có chỗ đứng hơn là việc biết hời hợt toàn bộ các công nghệ mà lại không lắm rõ được nó.
- Bạn có thể theo hướng về nền tảng mạng hay bạn có thể theo hướng quản trị các ứng dụng trên nền tảng Windows hay trên Unix, Linux.
- Ngoài ra có một hướng đi khác là quản trị dữ liệu chuyên nghiệp trên nền Oracle.
- Lắm rõ một công nghệ ví như trên nền Windows bạn phải biết từ cài đặt triển khai các ứng dụng, chính sách rõ ràng, bảo mật hệ thống, và có cơ chế backup hợp lý, đảm bảo hệ thống chạy trơn tru, khắc phục sự cố một cách nhanh nhất.
- Unix hay Linux cũng vậy bạn phải biết triển khai và quản lý các ứng dụng như Web server, Mail server, File Server...
- Nếu hướng đi của bạn là về Networking thì việc biết thiết kế, triển khai một hệ thống mạng LAN, WAN, VPN... là cần thiết. Các thiết lập bảo mật cho hệ thống như các sản phẩm firewall.
4. Trong tương lai nghề quản trị mạng sẽ ra sao.
- Khi kinh tế càng phát triển, công nghệ càng phát triển dần những ứng dụng phổ thông sẽ được sử dụng một cách dễ dàng, nhưng để quá trình sử dụng với người dùng dễ dàng thì họ lại càng hiểu ít về hệ thống và công việc của chúng ta là trong tương lai sẽ ngày một phát triển. Khi Việt Nam vào WTO sẽ rất cần những nhà quản trị mạng chuyên nghiệp.
Chúc các bạn luôn vững vàng trên con đường đã chọn, chúc các bạn thành công!
|
|
|
Internet Information Service (IIS) cung cấp một vài phương pháp xác thực để điều khiển quá trình truy cập vào Web và FTP. Quá trình xác thực là một bước yêu cầu người dùng phải sử dụng tài khoản và mật khẩu của mình trước khi truy cập vào các tài nguyên của Web hay FTP. Người quản trị có thể cấu hình một vài mức độ xác thực khác nhau, như directory level, Web hoặc FTP level, NTFS. Nếu bạn là người quản trị trang Web, một điều rất quan trọng để nâng cao bảo mật là hiểu được các phương thức bảo mật, cũng như tính chất và cách thực hiện với nó, sự ảnh hưởng với người dùng… Kết hợp các phương pháp bảo mật đó với nhau.
Việc tìm hiểu các phương thức xác thực cũng như mức độ bảo mật cụ thể của nó để từ đó lựa chọn một phương pháp phù hợp và bảo mật nhất cho môi trường của bạn, và làm thể nào để có thể tích hợp được nhiều phương thức bảo mật khác nhau với người dùng.
Cấu hình các phương thức xác thực trong: Chuột phải vào Web site chọn Properties chọn tab Directory Security.
Có hai phương thức xác thực khác trong IIS 6.0, như cho FTP và cho Universal Naming Convention (UNC). Tuy nhiên trong bài viết này tôi trọng tâm vào phương thức xác thực cho Web.
Anonymous
Phương thức xác thực này không yêu cầu người dùng phải đăng nhập tài khoản cũng như mật khẩu và bình thường đây là các nội dung của trang Web được public một cách hoàn toàn. Phương thức xác thực Anonymous không hoàn toàn được coi là một phương thức xác thực bởi người dùng không được yêu cầu xác thực trong quá trình truy cập. Nó mang đến một khả năng đơn giản hoá quá trình truy cập cho phép mọ người đều có thể truy cập được vào trang Web. Nó là lựa chọn đơn giản nhất giúp bạn public tài nguyên cho toàn bộ mọi người.
Mặc định IIS sử dụng tài khoản Internet cho việc truy cập lạc danh (anonymous) là tài khoản IUSER_computername, trong computername chính là tên của máy tính đang chạy IIS. Tài khoản này được thêm vào trong nhóm Guests trên máy tính cài đặt IIS. Nếu bạn sử làm việc với nhiều bản IIS khác nhau bạn phải cấu hình cho phép tài khoản này có đặc quyền trong User right là “Allow Log on Locally”. IIS 6.0 không cần thiết phải có sự cho phép của tài khoản này. Anonymous được truy cập và hỗ trợ trên toàn bộ các phiên bản trình duyệt khác nhau.
Basic
Phương thức xác thực này yêu cầu người dùng phải có tài khoản (account name) và mật khẩu (password) để truy cập vào tài nguyên trên Web site. Nhưng mặc dù mật khẩu của người dùng được lưu trữ mã hoá trên máy chủ, nhưng những thông tin đó được truyền đi trên mạng hoàn toàn không bị mã hoá (truyền dạng clear text) và hoàn toàn có khả năng bị capture. Tuy nhiên khi bạn sử dụng phương thức xác thực này kết hợp với SSL (secure socket layer), bạn có thể bảo mật thông tin được truyền trên mạng. Sử dụng phương thức xác thực Basic với SSL là một phương pháp phổ biến nhất cung cấp khả năng xác thực người dùng và tính bảo mật cao. Và đây là một phương thức hỗ trợ hầu hết trong các trình duyệt Web hiện nay.
Với phương thức xác thực Basic, một người dùng luôn có được sự xác thực tin cậy, trường hợp nếu người dùng sử dụng tài khoản để truy cập vào một domain cùng với tài khoản và mật khẩu để truy cập vào trang Web. Khi bạn đóng trình duyệt web và vào lại trang web cũ, bạn sẽ vẫn có được sự xác thực, và việc bạn lựa chọn “remember password”, nhưng điều đó không được khuyến cáo.
Digest
Phương thức xác thực này chỉ làm việc với các tài khoản người dùng trong Active Directory, và nó không hỗ trợ tất cả các trình duyệt web khác nhau, nó là lựa chọn không được sử dụng khi bạn public một trang Web ra Internet. Nó là trường hợp cụ thể trong việc triển khai trang Web cho mạng Intranet. Nó làm việc như phương thức xác thực Basic, ngoại trừ việc thông tin người dùng khi truyền trên mạng với MD5, hay messsage digest. Bởi vì với phương pháp “hash” cho quá trình truyền tải mật khẩu, phương thức Digest rất bảo mật bởi nó có khả năng chống việc gói tin bị đánh cắp và phân tích nhưng cũng sẽ không tìm ra được mật khẩu.
Advanced Digest
Đây là một phương thức xác thực rất bảo mật bởi các thông tin người dùng được lưu trữ trong Domain Controller như dạng MD5. hay message digest, tạo ra khả năng khó khăn trong việc phân tích gói tin về tài khoản người dùng và mật khẩu.
Phương thức xác thực Advanced Digest dựa trên giao thức HTTP 1.1. Nó không có trong:
Nếu bạn cần có một chuẩn mực như trên bảng trên, truy cập theo Anonymous sẽ được sử dụng đầu tiên, trong trường hợp nếu muốn sử dụng nhiều phương pháp xác thực khác nhau, bởi vì tất cả các trình duyệt đều mặc định sử dụng Anonymous đầu tiên. Tất cả các phương pháp khác được tích hợp để tăng tính bảo mật lựa chọn đầu tiên đó là Digest và sau đó là Basic. Nếu bạn sử dụng Basic, Digest và Windows Integrated thì Windows Integrated sẽ đươợcsử dụng đầu tiên tiếp theo là Digest và tiếp đến là Basic.
Và bây giờ bạn đã hiểu được các cơ chế và cách tích hợp chúng trong việc xác thực và nâng cao tính bảo mật cho Web site.
|
|
|
Đôi khi những việc rất đơn giản lại mang đến những kết quả không ngờ, và đôi khi những điều ta bỏ qua tuy rất nhỏ nhưng nó lại có thể ảnh hưởng tới cả hệ thống. Học bảo mật bạn cần phải biết cách quan tâm từ những vấn đề nhỏ nhất, và cần có cái nhìn tổng quan của cả hệ thống
Bài viết này hướng dẫn các bạn khi đã có máy chủ ISA Server 2004 được cài đặt trên nền Windows 2003, và đã cập nhật tất cả các bản và lỗi cho cả ISA Server và Windows 2003, các service pack và các thành phần khác cho ISA Server đã được cập nhật bao gồm Microsoft SQL Server 2000 Desktop Engine và Office Web Components 2002.
1: Get Physical
Khi bạn quan tâm đến bảo mật một vấn đề phải quan tâm và rất quan trọng đầu tiên là tầng vật lý. Khi bất kỳ một máy chủ nào cần được quan tâm đến vấn đề bảo mật nói chung và máy chủ ISA Server 2004 nói riêng đều cần có những chính sách để bảo vệ tầng vật lý của máy chủ như cung cấp các bộ lưu điện UPS các giải pháp chống ẩm, chống cháy. Đặc biệt phải quan tâm đến những thiết bị dễ hỏng như ổ cứng phải có giải pháp chống xảy ra sự cố hỏng hóc như sử dụng RAID và giải pháp backup.
2: Domain vs. Workgroup
Khi bạn cài đặt ISA Server 2004, một vấn đề khác bạn cần phải quan tâm đó là máy chủ sau khi cài đặt sẽ nằm trong Workgroup hay là member của một domain. Theo kinh nghiệm của tôi thì cài đặt ISA Server 2004 vào trong một Workgoup. Tuy nhiên hoàn cảnh có thể buộc ISA Server 2004 là một member của một domain. Ví dụ, nếu bạn thiết lập một chính sách phụ thuộc vào quá trình xác thực trong domain, thì khi đó máy chủ ISA Server sẽ phải là một thành viên trong domain đó. Như một thành viên trong domain bạn sẽ có thể khoá máy chủ đó bằng việc sử dụng Group Policy. Nếu bạn buộc phải cài đặt ISA Server trong một domain thì giải pháp tốt nhất của bạn là nên đặt nó sau một firewall cứng nào đó, như giải pháp sử dụng PIX firewall của Cisco.
Nhưng theo kinh nghiệm của riêng tôi thì bạn vẫn nên cài đặt ISA Server 2004 trong Workgroup, nó hoạt động riêng biết với hệ thống mạng của bạn, nếu bạn cần ISA Server 2004 là một member của domain, hãy quan tâm đến việc cài đặt nó sang một forest khác. Ví dụ bạn chạy máy chủ ISA Server 2004 trong vùng DMZ, bạn tạo ra một forest khác và tạo one-way trust giữa các forest trong cùng hệt hống của bạn, và riêng ISA Server 2004 nằm trong một forest riêng biệt.
3: Adjust Connection Limits
Giới hạn số lượng kết nối tới máy chủ ISA Server 2004 để chống lại các cuộc tấn công phá huỷ các tài nguyên quan trọng trong máy chủ ISA Server. Bằng việc giới hạn các kết nối đến máy chủ, bạn có thể giảm nhẹ các cuộc tấn công từ các máy tính nguy hiểm.
Mặc định, giới hạn kết nối cho các kết nối không phải TCP được thiết lập là 1000 kết nối trên mỗi giây và trên mỗi rule, và cho 160 kết nối cho client cả các kết nối TCP và không phải kết nối TCP, thể hiện ở hình 1 dưới. Microsoft khuyến cáo bạn không nên thay đổi giới hạn mặc định này. Tuy nhiên nếu bạn cảm thấy cần phải điều chỉnh số lượng kết nối thì bạn có thể chỉnh sửa sao cho hợp lý nhất với hệ thống của bạn. Nhưng nếu bạn giới hạn số lượng kết nối ít, một số người trong hệ thống có thể sẽ bị ảnh hưởng quá trình truy cập của họ ra bên ngoài.
4: Configure DNS Properly
Khi bạn cấu hình ISA Server, bạn phải chắc chắn một điều là bạn đã cấu hình DNS một cách chuẩn xác. Bao gồm tất cả các local domain trong hệ thống mạng của bạn. Mặt khác ISA Server có thể gửi một yêu cầu tới các máy chủ DNS ở bên ngoài. Điều đó có thể tạo ra những lỗi tiềm tàng cho hệ thống mạng của bạn, các local domain sẽ có thể bị phát hiện bởi các kẻ tấn công.
Để chống lại việc phân tích DNS được lưu trữ tạm thời trên máy chủ ISA Server, bạn chỉ gán DNS cho máy chủ ISA với một máy chủ DNS ở trong nội bộ của hệ thống. Chắc chắn một điều rằng máy chủ DNS được cấu hình để chống lại quá trình tấn công qua bộ lưu tạm thời.
Chú ý các bước thực hiện trên máy chủ ISA có hai card mạng. Một Public và một Private, và sau đây là các bước cụ thể cấu hình DNS trên máy chủ ISA.
1. Đặt địa chỉ DNS cho card private là địa chỉ của máy chủ DNS bên trong hệ thống. Không đặt gateway và bất kỳ các DNS nào khác.
2. Cấu hình default gateway trên card mạng nối ra internet vào địa chỉ của Router nối với hệ thống mạng của bạn, lưu ý DNS ở card mạng này để chống.
3. Cấu hình máy chủ DNS chuyển các yêu cầu tới địa chỉ máy chủ DNS của nhà cung cấp dịch vụ.
4. Cấu hình một access rule chỉ cho phép máy chủ DNS truy cập vào Internet. Nó sẽ cho phép tất cả các clients trong hệ thống được resolve tên từ máy chủ DNS bên trong hệ thống.
Trong tab General của card mạng public, bạn disable toàn bộ ngoại trừ giao thức TCP/IP, bạn cần phải disable “Client for Microsoft Networking, File and Printer Sharing for Microsoft Network, etc. Thêm vào đó bạn cần phải Disable NetBIOS trên TCP/IP và bỏ dấu trong checkbox LMHOSTS lookuup, hình 2 thể hiện các cấu hình dưới đây. Cần chú ý là bạn không disable NetBIOS trên TCP/IP tại card mạng nối vào private network.
5: Disable Error Reporting
Mặc định, Microsoft cho phép lưu lại các lỗi trong máy chủ Windows Server 2003 và khi cài đặt ISA Server 2004 bạn có thể disable quá trình này trên cả hệ điều hành và trên ISA Server 2004 (trong System Policy). Theo như các nhà bảo mật của Microsoft, quá trình ghi lại các lỗi xảy ra trong hệ thống buộc phải được thực hiện nhưng ngoại trừ máy chủ ISA Server. Phản ánh lại các lỗi giúp Microsoft dựa vào các thông tin bạn phản hồi đó nhà sản xuất sẽ phân tích các lỗi tiềm tàng của hệ thống. Tuy nhiên các thông khi bạn gửi lỗi tới Microsoft thì không được mã hoá. Và một vài người có thể tóm được gói tin của bạn, có thể điều đó làm hạn chế, hay bị thay thế các gói tin được truyền đến Microsoft. Để thực hiện việc Disable error reporting:
1. Bật ISA Server Management Console lựa chọn Firewall Policy.
2. Chuột phải Firewall Policy và chọn Edit System Policy.
1. Trong System Policy Editor, trong cây Configuration Groups, chọn Diagnostic Services.
2. Chọn Microsoft Error Reporting dưới Diagnostic Services.
3. Bên tay phải bạn bỏ dấu Enable box, Được thể hiện dưới hình 3.
6: Reconfigure System Policy Allowed Sites
Mặc định, Allow sites được cấu hình là enabled, cho phép ISA Server truy cập vào các trang web cụ thể và phụ thuộc trong System Policy Allows Sites. Mặc định trong system policy cho phép HTTP và HTTPS từ máy chủ ISA tới trang web Microsoft.com. Để cho việc phản ánh lại các lỗi xảy ra. Bạn có thể chỉ cho phép trang web *.windowsupdate.com còn remove tất cả các trang web còn lại. Đảm bảo không một trang web nào khác không bảo mật hay chứa những đoạn mã nguy hiểm mà máy chủ ISA lại vào.
7: Delegate Administration
Trong một môi trường làm việc lớn, nơi c nhiều người cùng quản trị các máy chủ ISA Server, điều quan tâm đầu tiên là phải thiết lập trong ISA Server Administration Delegation Wizard. Bạn có thể khởi động wizard bằng cách vào ISA Server Management Console chuột phải vào máy chủ ISA Server. Trong thiết lập này cho phép bạn gán những users và group khác nhau có thể quản trị những vấn đề khác nhau. Trong ISA server có các role sau.
· ISA Server Array Administrator
· ISA Server Array Auditor
· ISA Server Array Monitoring Auditor
Bạn có thể tìm được các thông tin này qua help của ISA server. Những thông tin rất chi tiết
8: Disallow Older Firewall Clients
Firewall client của máy chủ ISA Server sử dụng một giao thức được mã hoá dữ liệu khi truyền giữa các Firewall client và ISA Server. Không cho phép sử dụng các phiên bản Firewall client cũ vì nó không thể mã hoá dữ liệu trong quá trình truyền. Chắc chắn rằng box “allow non-encrypted Firewall client connections” không được lựa chọn, được thể hiện với hình 4 dưới đây.
9: Don't Enable Guest Account
Một điều không may là Guest Account còn có cho đến tận phiên bản Windows Server 2003, cho phép Guest account có thể ảnh hwongr tới cả hệ thống là một lỗi tiềm tàng cho phép bất kỳ người nào cũng có thể sử dụng user này để đăng nhập vào hệ thống, nhưng việc cho phép Guest account còn đặc biệt nguy hiểm với máy chủ ISA Server, bạn phải chắc chắn rằng nó đã bị cấm. ISA Server sẽ thừa nhận guest account như một user đã được xác thực trong nhóm All Authenticated Users.
10: Avoid Running Browsers on ISA Server
Không chạy một web brower cho quá trình truy cập Internet trên ISA Server. Bằng việc truy cập vào Internet đồng nghĩa với việc sẽ tiềm ẩn rất nhiều nguy cơ như các phần mềm gián điệm, các keylogger, và các đoạn mã nguyên hiểm có thể vào máy bạn bất kỳ lúc nào. Nếu bạn có những trang web tin tưởng bạn có thể dùng các trình duyệt như IE 7 hay Firefox 2.0. Tuy nhiên tốt nhất bạn vẫn không sử dụng truy cập web từ máy chủ ISA mà bạn chỉ cho phép truy cập đến trang web để cập nhật các bản update.
Thêm vào đó bạn có thể thực hiện các bước sau để bảo mật máy chủ ISA Server
Nếu máy chủ ISA Server đã bị virus hay các spyware thì tốt nhất bạn nên cài đặt lại, nhiều người cố gắng diệt virus nhưng không biết rằng sau khi virus vào hệ thống đã làm một số thiết lập trên máy tính của bạn bị thay đổi và giải pháp tốt nhất với máy chủ ISA Server 2004 là cài lại hệ thống.
Nếu trong hệ thống của bạn có hiều máy chủ ISA Server 2004 việc cần thiết của bạn là tạo ra một thiết lập chuẩn sau đó lưu lại và khi cần thiết sẽ áp dụng cho toàn bộ các máy chủ ISA Server trong hệ thống của bạn.
Khi bạn cấu hình firewall, cần sử dụng IP Security (IPSec) để bảo mật các quá trình truyền gói tin giữa máy chủ ISA và các máy khác trong hệ thống
Cần phải disable các dịch vụ không cần thiết cho máy chủ ISA Server để hạn chế các tấn công dựa trên các dịch vụ này.
Khi bạn tạo backup, phải chắc chắn một điều bản backup của bạn phải được mã hoá và bảo vệ bằng mật khẩu khó.
Thêm vào đó còn rất nhiều thiết lập bạn có thể bảo mật máy chủ ISA Server 2004 bạn có thể tìm hiểu trong trang web này:
http://www.microsoft.com/technet/isa/2004/plan/securityhardeningguide.mspx
Ngoài ra bạn cần biết rằng ISA Server 2004 chạy trên nền hệ điều hành Windows Server 2003 thì việc bảo mật hệ điều hành là vô cùng cần thiết.
|
|
|
Có lẽ bạn nên chọn một trung tâm đào tạo uy tín, chất lượng.
Bạn có thể tham gia khóa học CCNA, và MCSE tại Vnexperts cụ thể tại trang web:
Http://www.vnexperts.net
|
|
|
Tạo file *.bat với nội dung: shutdown /s /t 300
Ngoài ra lỗi đó có thể do virus ăn mất file hệ thống bạn vào:
Chuột phải My computer -->> Properties --->> advanced -->> chọn Startup and Recovery nhấn settings bỏ dấu tích: Automatically restart
Ví như một con virus ăn mất file winlogon.exe <<<=== lỗi này nếu có dấu tích : Automatically Restart máy tính bật lên dc một lúc sẽ bị khởi động lại ngay
Hiện tại có một con virus lây qua USB gây ra lỗi này
|
|
|
|
|
|
|