Tìm hiểu về công nghệ thông tin: Tường lửa là gì (firewall)

I)T­êng löa lµ g×.(firewall) T­êng löa lµ hÖ thèng ng¨n chÆn viÖc tr¸i phÐp tõ bªn ngoµi vµo mang. T­êng löa thùc hiÖn viÖc läc bá nh÷ng ®Þa chØ kh«ng hîp lÖ dùa theo quy t¾c hay chØ tiªu ®Þnh tr­íc. 1) CÊu tróc cña mét firewall: Firewall bao gåm: Mét hoÆc nhiÒu hÖ thèng m¸y chñ kÕt nèi víi c¸c bé ®Þnh tuyÕn (router) hoÆc chøc n¨ng router. C¸c phÇn mÒm qu¶n lÝ an ninh ch¹y trªn hÖ thèng m¸y chñ. Th«ng th­êng lµ c¸c hÖ qu¶n trÞ x¸c thùc (Authentication), cÊp quyÒn (Authorization) vµ kÕ to¸n (Accounting) 2) C¸c thµnh phÇn cña Firewall Mét firewall bao gåm mét hay nhiÒu thµnh phÇn sau: + Bé loc packet (packet-filtering router) + Cæng øng dông (Application-level gateway hay proxy server) II) Ph©n lo¹i t­êng löa Cã ba lo¹i t­êng löa c¬ b¶n: TruyÒn th«ng ®­îc thùc hiÖn giöa mét nót ®¬n vµ m¹ng, hay gi÷a mét sè m¹ng. TruyÒn th«ng ®­îc chÆn t¹i tÇng m¹ng, hay tÇng øng dông. T­êng löa cã theo dâi tr¹ng th¸i cña truyÒn th«ng hay kh«ng. 1) Ph©n lo¹i theo ph¹m vi cña c¸c truyÒn tr«ng ®­îc loc. T­êng löa c¸ nh©n, mét øng dông phÇn mÒn víi chøc n¨ng th«ng th­êng lµ läc d÷ liÖu ra vµo mét m¸y tÝnh ®¬n. T­êng löa m¹ng, th­êng ch¹y trªn mét thiÕt bÞ m¹ng hay m¸y tÝnh chuyªn dông ®Æt t¹i ranh giíi cña hai hay nhiÒu m¹ng hoÆc c¸c khu phi qu©n sù (m¹ng con trung gian n»m gi÷a m¹ng néi bé vµ m¹ng bªn ngoµi). Mét t­êng löa thuéc lo¹i nµy läc tÊt c¶ giao th«ng d÷ liÖu vµo hoÆc ra c¸c m¹ng ®­îc kÕt nèi qua ®ã. 2) Khi ph©n lo¹i theo c¸c tÇng giao thøc n¬i giao th«ng d÷ liªu cã thÓ bÞ chÆn, cã ba lo¹i t­êng löa chÝnh: T­êng löa tÇng m¹ng. VÝ dô: Iptables T­êng löa tÇng øng dông. VÝ dô: TCP Wrappers T­êng löa øng dông. VÝ dô: h¹n chÕ c¸c dÞch vô FPT b»ng viÖc ®Þnh cÊu h×nh t¹i tÖp /etc/ftpaccess Cã lo¹i t­êng löa tÇng m¹ng vµ t­êng löa tÇng øng dông th­êng trïm lªn nhau, mÆc dï t­êng löa c¸ nh©n kh«ng phôc vô m¹ng, nh­ng mét sè hÖ thèng ®¬n ®· cµi ®Æt chung c¶ hai. 3) Ph©n lo¹i theo tiªu chÝ r»ng t­êng löa theo dâi tr¹ng th¸i cña c¸c kÕt nèi m¹ng hay chØ quan t©m ®Õn tõng gãi tin mét c¸ch riªng rÏ, cã hai lo¹i t­êng löa: T­êng löa cã tr¹ng th¸i T­êng löa phi tr¹ng th¸i III) Kh¶ n¨ng vµ h¹n chÕ cña t­êng löa hiÖn nay. 1) Kh¶ n¨ng cña mét firewall C¸c chøc n¨ng c¬ b¶n cña mét Firewall lµ : Cho phÐp hoÆc cÊm c¸c dÞch vô truy nhËp ra ngoai ( tõ intranet ra internet) . Cho phÐp hoÆc cÊm c¸c dÞch vô truy nhËp vµo trong ( tõ internet vµo intranet ) . Theo dâi luång d÷ liÖu trao ®æi giòa m¹ng bªn trong ( intranet ) vµ m¹ng internet. KiÓm so¸t ®Þa chØ truy nhËp , cÊm ®Þa chØ truy nhËp .X¸c ®Þnh ®Þa chØ truy nhËp gi¶ m¹o KiÓm so¸t ng­ßi sö dông vµ viÖc truy nhËp cña ng­êi sö dông . 2) H¹n chÕ cña mét firewall Firewall kh«ng ®ñ th«ng minh nh­ con ng­êi ®Ó cã thÓ ®äc hiÓu tõng lo¹i th«ng tin vµ ph©n tÝch néi dung tèt hay xÊu cña nã. Firewall chØ cã thÓ ng¨n chÆn sù x©m nhËp cña nh÷ng nguån th«ng tin kh«ng mong muèn nh­ng ph¶i x¸c ®Þnh râ c¸c th«ng sè ®Þa chØ. Firewall kh«ng thÓ ng¨n chÆn mét cuéc tÊn c«ng nÕu cuéc tÊn c«ng nµy kh«ng "®i qua" nã. Mét c¸ch cô thÓ, firewall kh«ng thÓ chèng l¹i mét cuéc tÊn c«ng tõ mét ®­êng dial-up, hoÆc sù dß rØ th«ng tin do d÷ liÖu bÞ sao chÐp bÊt hîp ph¸p lªn ®Üa mÒm. Firewall còng kh«ng thÓ chèng l¹i c¸c cuéc tÊn c«ng b»ng d÷ liÖu (data-driven attack). Khi cã mét sè ch­¬ng tr×nh ®­îc chuyÓn theo th­ ®iÖn tö, v­ît qua firewall vµo trong m¹ng ®­îc b¶o vÖ vµ b¾t ®Çu ho¹t ®éng ë ®©y. Mét vÝ dô lµ c¸c virus m¸y tÝnh. Firewall kh«ng thÓ lµm nhiÖm vô rµ quÐt virus trªn c¸c d÷ liÖu ®­îc chuyÓn qua nã, do tèc ®é lµm viÖc, sù xuÊt hiÖn liªn tôc cña c¸c virus míi vµ do cã rÊt nhiÒu c¸ch ®Ó m· hãa d÷ liÖu, tho¸t khái kh¶ n¨ng kiÓm so¸t cña firewall. IV) C¸c ph­¬ng thøc tÊn c«ng t­êng löa cña hacker vµ biÖn ph¸p phßng chèng. Trªn lÝ thuyÕt, Firewall lµ ph­¬ng ph¸p b¶o mËt an toµn nhÊt cho hÖ thèng cña b¹n khi cã kÕt nèi internet. Tuy nhiªn vÉn tån t¹i nh÷ng vÊn ®Ò xung quanh m«i tr­êng b¶o mËt nµy. NÕu Firewall ®­îc cÊu h×nh qu¸ chÆt chÏ th× sÏ lµm gi¶m tiÕn tr×nh lµm viÖc cña m¹ng, ®Æc biÖt lµ trong m«i truêng ng­êi dïng phô thuéc hoµn toµn vµo c¸c øng dông ph©n t¸n. Do vËy, viÖc lùa chän cÊu h×nh Firewall sao cho võa ®¶m b¶o tiÕn tr×nh ho¹t ®éng cña m¹ng vïa cã ®ùoc møc ®é b¶o mËt cao qu¶ lµ mét vÊn ®Ò nan gi¶i ®èi víi ng­êi qu¶n trÞ m¹ng . Khai th¸c triÖt ®Ó vÊn ®Ò nµy, c¸c hacker ®· nghiªn cøu rÊt nhiÒu ph­ong ph¸p ®Ó v­ît qua Firewall. Nh­ng c¬ b¶n th× ®Òu g«m hai giai ®o¹n sau : T×m ra d¹ng t­êng lña mµ m¹ng ®ang sö dông vµ c¸c dÞch vô ho¹t ®éng phÝa sau nã . Khai th¸c c¸c tuyÕn quan hÖ (trusted relationship) vµ c¸c nót b¶o mËt kÕt nèi láng lÎo nhÊt ®Ó cè g¾ng ®i vßng qua Firewall . Một trong những việc phải làm của c¸c hacker là t¸ch c¸c thành phần thực ra khỏi c¸c thành phần giả mạo. Nhiều tường lửa sử dụng trạm (sacrificial hosts) - là hệ thống được thiết kế như c¸c server Web (cã thể sẵn sàng bỏ đi) hay bẫy (decoys), dïng để bắt c¸c hành vi th©m nhập của hacker. Bẫy cã thể cần dïng tới những thiết bị ngụy trang phức tạp nhằm che dấu tÝnh chất thật của nã, vÝ dô : đưa ra c©u trả lời tương tự hệ thống tập tin hay c¸c ứng dụng thực. V× vậy, c«ng việc đầu tiªn của hacker là phải x¸c định đ©y lµ c¸c ®èi t­îng tån t¹i thËt . Để cã được th«ng tin về hệ thống, hacker cần dïng tới thiết bị cã khả năng phục vụ mail và c¸c dịch vụ kh¸c. Hacker sẽ t×m c¸ch để nhận được một th«ng điệp đến từ bªn hÖ thèng . Khi ®ã, ®­êng ®I ®­îc kiÓm tra vµ cã thÓ t×m ra nh÷ng manh mèi vÒ cÊu tróc hÖ thèng. D­íi ®©y lµ mét sè ph­¬ng thøc th«ng dông mµ hacker sö dông ®Ó ®Þnh danh Firewall vµ x¸c ®Þnh cÊu tróc cña m¹ng néi bé : 1) §Þnh danh firewall Hầu hết mọi Firewall đều mang một "mïi h­¬ng"điện tử duy nhất. Nghĩa là, với một tiến tr×nh quÐt cổng, lập cầu lửa, và nắm giữ biểu ngữ đơn giản, bọn tấn c«ng cã thể hiệu quả x¸c định kiểu, phiªn bản, và c¸c quy tắc của hầu hết mọi Firewall trªn mạng. Tại sao việc định danh này lại quan trọng? Bởi vì một khi đã ¸nh xạ được c¸c Firewall, chóng cã thể bắt đầu t×m hiểu c¸c điểm yếu và gắng khai th¸c chóng. a) QuÐt trùc tiÕp C¸ch dễ nhất để t×m kiếm c¸c Firewall đã là quÐt c¸c cổng ngầm định cụ thể. Một số Firewall trªn thị trường sẽ tự định danh duy nhất bằng c¸c đợt quÐt cổng đơn giản bạn chỉ cần biết nội dung t×m kiếm. VÝ dụ, Firewall-1 của Check point lắng chờ trªn c¸c cổng TCP 256, 257, 258, và Proxy Server của Microsoft thường lắng chờ trªn c¸c cổng TCP 1080 và 1745. Với sự hiểu biết này, qu¸ tr×nh t×m kiếm c¸c kiểu Firewall này chẳng cã g× khã với một bộ quÐt cổng như nmap : nmap -n -vv -P0 -p256,1080,1745 192.168.50.1 - 60.254 Dïng khãa chuyển -PO để v« hiệu hãa tÝnh năng ping ICMP trước khi quÐt. §iều này quan trọng bởi hầu hết Firewall kh«ng đ¸p ứng c¸c yªu cầu dội ICMP. Cả bọn tấn c«ng nhót nh¸t lẫn hung bạo đều tiến hành quÐt rộng r·i mạng theo c¸ch này, t×m kiếm c¸c Firewall này và t×m kiếm mọi khe hở trong kÐt sắt vành đai. Nh­ng bọn tấn c«ng nguy hiểm hơn sẽ lïng sục vành đai càng lÐn lót càng tốt. Cã nhiều kỹ thuật mà bọn tấn c«ng cã thể sử dụng để hạ sập radar, bao gồm ngẫu nhiªn hãa c¸c ping, c¸c cổng đÝch, c¸c địa chỉ đÝch, và c¸c cổng nguồn;dïng c¸c hệ chủ cß mồi; và thực hiện c¸c đợt quÐt nguồn cã ph©n phối. C¸c BiÖn Ph¸p Phßng Chèng : §ể ngăn cản c¸c đợt quÐt cổng bức tường lửa từ Internet, cần phong tỏa c¸c cổng này trªn c¸c bộ định tuyến đứng trước c¸c Firewall . Nếu c¸c thiết bị này do ISP quản lý, cần liªn hệ với họ để tiến hành phong tỏa. b) Ra tuyÕn ®­êng Một c¸ch thinh lặng và tinh tế hơn để t×m c¸c Firewall trªn một mạng đã là dïng traceroute . C¸c hacker sö dông traceroute của UNIX hoặc tracert.exe của NT để t×m từng chặng dọc trªn đường truyền đến ®Ých và tiến hành suy diễn. Traceroute của Linux cã tïy chọn -I, thực hiện rà đường bằng c¸ch gửi c¸c gãi tin ICMP, tr¸i với kỹ thuật gói tin UDP ngầm định. BiÖn Ph¸p Phßng Chèng : §ể ngăn cản c¸c traceroute chạy trªn biªn, cã thể cấu h×nh c¸c bộ định tuyến kh«ng đ¸p ứng c¸c th«ng điệp TTL EXPI#800000 khi nã nhận một gãi tin cã TTL là 0 hoặc 1. Hoặc nªn phong tỏa toàn bộ luồng l­u th«ng UDP kh«ng cần thiết tại øac bộ định tuyến biªn. c) N¾m gi÷ biÓu ng÷ Kỹ thuật quÐt t×m c¸c cổng Firewall là hữu Ých trong việc định vị c¸c Firewall , nh­ng hầu hết c¸c Firewall kh«ng lắng chờ trªn c¸c cổng ngầm định nh­ Check point và Microsoft, do ®ã việc ph¸t hiện phải ®­îc suy diễn. Nhiều Firewall phổ dụng sẽ c«ng bố sự hiện diện của chóng bằng c¸ch đơn giản nối với chóng. VÝ dụ , nhiều Firewall gi¸m quản sẽ c«ng bố chức năng cña chóng với t­ c¸ch một Firewall , và một số sẽ quảng c¸o kiểu và phiªn bản của chóng. VÝ dụ, khi ta nối với một m¸y được tin là một bức tường lửa bằng netcat trªn cổng 21 (FTP ), ta sẽ thấy một số th«ng tin thó vị : : C:\TEMP>nc -v -n 192.168.51.129 2 l [UNKNOWN] [ 192.168.5l.129 ] 2 l ( ? ) open 220 Secure Gateway FTP server ready . Biểu ngữ "Secure Gateway server FTP ready" là một dấu hiệu lộ tẩy của một hộp Eagle Raptor cũ. Việc nối thªm với cổng 23 (telnet) sẽ x¸c nhận tªn bức tường lửa là "Eagle." C:\TEMP>nc -v -n 192.168.51.129 23 [UNKNOWN] [ 192.168.5l.129 ] 23 ( ? ) open Eagle Secure Gateway . Hostname : Và cuối cïng. nếu vẫn chưa bị thuyết phục hệ chủ là một bức tường lửa, cã thể netcat với cổng 25 ( SMTP ), và nã sÏ b¶o cho biết nã là g×: C:\TEMP>nc -v -n 192.168.51.129 25 [UNKNOWN] [ 192.168.5l.129 ] 25 ( ? ) open 421 fw3.acme.com Sorry, the firewall does not provide mail service to you. Như đã thấy trong c¸c vÝ dụ trªn đ©y, th«ng tin biều ngữ cã thể cung cấp c¸c th«ng tin quý gi¸ cho bọn tấn c«ng trong khi định danh c¸c bức tường lửa. Dïng th«ng tin này, chóng cã thể khai th¸c c¸c chỗ yếu phổ biến hoặc c¸c cấu h×nh sai chung. BiÖn Ph¸p Phßng Chèng : §ể chỉnh sửa chỗ yếu rß rỉ th«ng tin này, chóng ta giới hạn th«ng tin biểu ngữ quảng c¸o. Một biểu ngữ tốt cã thể kÌm theo một mục cảnh gi¸c mang tÝnh ph¸p lý và tất cả mọi nỗ lực giao kết sẽ đợc ghi sổ. HoÆc cã thÓ thay ®æi th«ng tin vÒ Firewall tõ c¸c biÓu ng÷ qu¶ng c¸o . 2) QuÐt qua c¸c t­êng löa a) KÜ thuËt hping Hping làm việc bằng c¸ch gửi c¸c gãi tin TCP đến một cổng đÝch và b¸o c¸o c¸c gãi tin mà nã nhận trở lại. hping trả về nhiều đ¸p ứng kh¸c nhau tïy theo số điều kiện. Mỗi gãi tin từng phần và toàn thể cã thể cung cấp một bức tranh kh¸ râ về c¸c kiểu kiểm so¸t truy cập của Firewall. VÝ dụ, khi dïng hping ta cã thể ph¸t hlện c¸c gãi tin mở, bị phong tỏa, thả, và loại bỏ. Trong vÝ dụ sau đ©y, hping b¸o c¸o cổng 80 đang mở và sẵn sàng nhận một tuyến nối. Ta biết điều này bởi nã đãn nhận một gãi tin với cờ SA đợc ấn định (một gãi tin SYN/ACK). [ root@bldg_043 / opt ] # hping www.yourcompany.com -c2 - S -p80 -n HPING www.yourcomapany.com ( eth0 172.30.1.2 0 ) : S set, 40 data bytes 60 bytes from 172.30.1.20 : flags=SA seq=0 ttl=242 id= 65121 win= 64240 time=144.4 ms Giờ đ©y ta biết cã một cống mở th«ng đến đÝch, nh­ng ch­a biết nơi của Firewall. Trong vÝ dụ kế tiếp, hping b¸o c¸o nhận một ICMP unreachable type 13 từ 192.168.70.2. Một ICMP type 13 là một gãi tin lọc bị ICMP admin ngăn cấm, th­êng ®­îc gửi từ một bộ định tuyến lọc gãi tin. [root@bldg_043 /opt ] # hping www.yourcompany.com -c2 -S -p23 -n HPING www.yourcompany.com ( eth0 172.30.1.20 ) : S set, 40 data bytes ICMP Unreachable type 13 f rom 192.168.70.2 Giờ đ©y nã ®· x¸c nhận, 192.168.70.2 ắt hẳn là bức tường lửa, và ta biết nã đang râ rệt phong tỏa cổng 23 đến đÝch của chóng ta. b) Firewalk Firewalk là một công cụ nhỏ tiện dụng, nh­ một bộ quÐt cổng, ®­îc dïng để ph¸t hiện c¸c cổng mở đ»ng sau một Firewall. §­ợc viết bởi Mike Schiffnlan, tr×nh tiện Ých này sẽ quÐt một hệ chủ sö dông Firewall và b¸o c¸o trở lại c¸c quy tắc ®­îc phÐp đến hệ chủ đã mà kh«ng phải thực tế chạm đến hệ đÝch. Firewalk làm việc bằng c¸ch kiến tạo c¸c gãi tin với một IP TTL ®­îc tÝnh to¸n để kết thóc một chÆng v­ît qóa bức tường lửa. Về lý thuyết, nếu gãi tin ®­îc Firewall cho phÐp, nã sẽ ®­îc phÐp đi qua và sẽ kết thóc nh­ dự kiến, suy ra một th«ng điệp "ICMP TTL expired in transit." Mặt kuasc, nếu ¸oi tin bị ACL của Firewall phong tỏa, nã sẽ bị thả, và hoặc kh«ng cã d¸p ứng nào sẽ ®­îc gửi, hoặc một gãi tin lọc bị ICMP type 13 admin ngăn cấm sẽ đợc gửi. BiÖn Ph¸p Phßng Chèng : Bạn cã thể phong tỏa c¸c gãi tin ICMP TTL EXPI#800000 tại cấp giao diện bªn ngoài, nhưng điều này cã thể t¸c động tiªu eực đến khả năng vận hành của nã, v× c¸c hệ kh¸ch hợp ph¸p đang nối sẽ kh«ng bao giờ biết điều g× đã xảy ra với tuyến nối của chóng. V) §Þa chØ IP 1) §Þa chØ IP lµ g× ? Mçi m¸y tÝnh khi kÕt nèi vµo internet ®Òu cã mét ®Þa chØ duy nhÊt, ®ã lµ ®Þa chØ IP. §Þa chØ nµy dïng ®Ó ph©n biÖt m¸y tÝnh ®ã víi c¸c m¸y tÝnh cßn l¹i trªn m¹ng internet . §Þa chØ ip lµ mét sè 32 bit = 4 byte nªn cã thÓ coi ®Þa chØ ip ®­îc t¹o thµnh tõ 4 sè cã kÝch th­íc 1 byte, mçi sè cã gi¸ trÞ tõ o-255 .Mçi ®Þa chØ ip ®Òu g«m 2 phÇn lµ ®Þa chØ m¹ng ( network ) vµ ®Þa chØ m¸y (host).VÝ dô : 192.168.10.56;255.144.10.51 … 2) C¸c líp cña ®Þa chØ IP Toµn bé ®Þa chØ IP ®­îc chia vµo 6 líp kh¸c nhau : A,B,C,D,E vµ loopback . Mçi líp cã c¸ch x¸c ®Þnh ®Þa chØ network vµ ®Þa chØ host kh¸c nhau . BiÓu ®å cÊu tróc c¸c líp cña ®Þa chØ IP : Líp CÊu tróc ®Þa chØ IP Format Sè bÝt m¹ng/sè bit host Tæng sè m¹ng/líp Tæng sè host/m¹ng Vïng ®Þa chØ IP 0 32 A 0 Netid Hostid N.H.H.H 7/24 126 17.7777.214 1.0.0.1-126.0.0.0 B 1 0 Netid Hostid N.N.H.H 14/16 16.382 65.643 128.1.0.0-191.254.0.0 C 1 1 0 netid Hostid N.N.N.H 22/8 4194.302 245 195.0.1.0-233.255.254.0 D 1 1 1 0 ®Þa chØ multicast - - - - 224.0.0.0-239.255.255.255 E 1 1 1 1 Dµnh riªng - - - - 240.0.0.0-254.255.255.255 Loopback - - - - - 127.x.x.x ghi chó : N=network ; H = host . Gi¶i thÝch : Líp A : bit ®Çu tiªn lµ 0, 7 bit tiÕp theo dµnh cho ®Þa chØ network nªn cã tèi ®a 2^7-2 = 126 ®Þa chØ m¹ng trªn líp A, 24 ®Þa chØ tiÕp theo dµnh cho ®Þa chØ host nªn mçi m¹ng thuéc líp A sÏ cã tèi ®a lµ 2^24-2=17.777.214 m¸y.Nguyªn nh©n ph¶I trõ ®i 2 t¹i v× cã 2 ®Þa chØ ®­îc dµnh riªng lµ ®Þa chØ m¹ng ( x.x.x.0) vµ ®Þa chØ broadcast ( x.x.x.255).Líp A chØ dµnh riªng cho c¸c tæ chøc lín trªn thÕ giíi , vïng ®Þa chØ ip cña líp A lµ 1.0.0.1-126.0.0.0. Líp B cã 2 bit ®Çu tiªn lµ 10, 14 bit tiÕp theo dµnh cho ®Þa chØ nework , 16 bit cßn l¹i dïng cho ®Þa chØ host, sè m¹ng tèi ®a trªn líp B lµ 16.382 vµ sè m¸y tèi ®a trªn mçi m¹ng lµ 65.643 m¸y. Líp B ®­îc dµnh cho c¸c tæ chøc h¹ng trung trªn thÕ giíi. Vïng ®Þa chØ dµnh cho lípB lµ 128.1.0.0*192.254.0.0. Líp C cã 3 bit ®Çu tiªn lµ 110 , 22 bit tiÕp theo dµnh cho ®Þa chØ network ,8 bit cßn l¹i dµnh cho host . Sè m¹ng tèi ®a trªn líp C lµ 4194302 m¹ng vµ mçi m¹ng chøa tèi ®a 245 m¸y. Líp C ®­îc dµnh cho c¸c tæ chøc nhá vµ c¸c m¸y tÝnh c¸ nh©n .vïng ®Þa chØ cña líp C lµ 192.0.1.0-223.255.254.0. Líp D Bèn bit ®Çu tiªn lu«n lµ 1110, ®­îc dµnh cho c¸c nhãm multicast, cã vïng ®Þa chØ tõ 224.0.0.0-239.255.255.255. Líp E víi 4 bit ®Çu lµ 1111 , líp nµy ®­îc dïng cho c¸c môc ®Ých nghiªn cøu. Vïng ®Þa chØ tõ 240.0.0.0-254.255.255.255 Loopback lµ ®Þa chØ quay trë l¹i, 127.x.x.x. B¹n th­êng b¾t gÆp ®Þa chØ 127.0.0.1 ®©y chÝnh lµ ®Þa chØ IP quay trë l¹i m¸ytÝnh mµ b¹n ®ang nèi internet. VÝ dô : 128.7.15.1 Bin 10000000 00000111 00001111 00000001 Dec 128 7 15 1 Hai bit ®Çu tiªn lµ 10 vËy ®©y lµ ®Þa chØ thuéc líp B (N.N.H.H) tõ ®ã cã thÓ suy ra ®Þa chØ m¹ng lµ 127.7 cßn ®Þa chØ m¸y lµ 15.1 Ta còng cã thÓ x¸c ®Þnh dùa vµo byte ®Çu tiªn cña ®Þa chØ IP : Líp Byte ®Çu tiªn cña ®Þa chØ IP A 1-126 B 128-191 C 192-223 D 224-239 E 240-254 Loopback 127 3) T×m hiÓu vÒ subnet §Ó cÊp ph¸t ®Þa chØ IP cho c¸c m¹ng kh¸c nhau mét c¸ch hiÖu qña vµ dÔ qu¶n lý, ng­êi ta dïng mét kÜ thuËt gäi lµ subnet. Subnet sÏ vay m­în mét sè bit cña host id ®Ó lµ subnet mask (mÆt n¹ m¹ng) . Subnet mask cã tÊt c¶ c¸c bit network va subnet ®Òu b»ng 1 cßn c¸c bit host ®Òu b»ng 0 TÊt c¶ c¸c m¸y trªn cïng mét m¹ng ph¶I cã cïng mét subnet mask . §Ó ph©n biÖt ®­îc c¸c m¹ng con (subnet) kh¸c nhau , bé ®Þnh tuyÕn dïng phÐp logic AND. VI) TÊn c«ng tõ chèi dÞch vô (DOS - Denial of sevices) 1) DOS attack lµ g×? DoS attack là kiểu tấn c«ng rất lợi hại, với loại tấn c«ng nào, chỉ cần một m¸y tÝnh kết nối Internet là đ· cã thể thực hiện việc tấn c«ng được m¸y tÝnh của đối phương. Thực chất của DoS attack là hacker sẽ chiếm dụng một lượng lớn tài nguyªn trªn server (tài nguyªn đã cã thể là băng th«ng, bộ nhớ, cpu, đĩa cứng, ...) làm cho server kh«ng thể nào đ¸p ứng c¸c yªu cầu từ c¸c m¸y của nguời kh¸c (m¸y của những người dïng b×nh thường) và server có thể nhanh chãng bị ngừng hoạt động, crash hoặc reboot. 2) C¸c lo¹i DOS attack . a) Winnuke DOS attack loại này chỉ cã thể ¸p dụng cho c¸c m¸y tÝnh đang chạy Windows9x. Hacker sẽ göi c¸c gãi tin với dữ liệu ``Out of Band`` đến cổng 139 của m¸y tÝnh đÝch.( Cổng 139 chÝnh là cổng NetBIOS, cổng này chỉ chấp nhận c¸c gãi tin cã cờ Out of Band được bật ). Khi m¸y tÝnh của victim nhận được gãi tin này, một màn h×nh xanh b¸o lỗi sẽ được hiển thị lªn với nạn nh©n do chương tr×nh của Windows nhận được c¸c gãi tin này nhưng nã lại kh«ng biết phản ứng với c¸c dữ liệu Out Of Band như thế nào dẫn đến hệ thống sẽ bị crash b) Ping of Death Trong kiÓu DoS attack nµy, hacker sÏ göi mét gãi d÷ liÖu cã kÝch th­íc lín th«ng qua lÖnh ping ®Õn m¸y ®Ých th× hÖ thèng cña hä sÏ bÞ treo . VÝ dô : ping –i 65000. c) TearDrop Tất cả c¸c dữ liệu chuyển đi trªn mạng từ hệ thống nguồn đến hệ thống đÝch đều phải trải qua 2 qu¸ tr×nh: dữ liệu sẽ được chia ra thành c¸c mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải cã một gi¸ trị offset nhất định để x¸c định vị trÝ của mảnh đã trong gãi dữ liệu được chuyển đi. Khi c¸c mảnh này đến hệ thống đÝch, hệ thống đÝch sẽ dựa vào gi¸ trị offset để sắp xếp c¸c mảnh lại với nhau theo thứ tự đóng như ban đầu. Lợi dụng sơ hở đã, Hacker chỉ cần göi đến hệ thống đÝch một loạt gãi packets với gi¸ trị offset chồng chÐo lªn nhau. Hệ thống đÝch sẽ kh«ng thể nào sắp xếp lại c¸c packets này, nã kh«ng điều khiển được và cã thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng gãi packets với gi¸ trị offset chồng chÐo lªn nhau qu¸ lớn. d) SYN attack Trong Smurf Attack, cần cã ba thành phần: hacker (người ra lệnh tấn c«ng), mạng khuếch đại (sẽ nghe lệnh của hacker) và hệ thống của nạn nh©n. Hacker sẽ gởi c¸c gãi tin ICMP đến địa chỉ broadcast của mạng khuếch đại. Điều đặc biệt là c¸c gãi tin ICMP packets này cã địa chỉ ip nguồn chÝnh là địa chỉ ip của nạn nh©n . Khi c¸c packets đã đến được địa chỉ broadcast của mạng khuếch đại, c¸c m¸y tÝnh trong mạng khuếch đại sẽ tưởng rằng m¸y tÝnh nạn nh©n đã gởi gãi tin ICMP packets đến và chóng sẽ đồng loạt gởi trả lại hệ thống nạn nh©n c¸c gãi tin phản hồi ICMP packets. Hệ thống m¸y nạn nh©n sẽ kh«ng chịu nổi một khối lượng khổng lồ c¸c gãi tin này và nhanh chãng bị ngừng hoạt động, crash hoặc reboot. Như vậy, chỉ cần gởi một lượng nhỏ c¸c gãi tin ICMP packets đi th× hệ thống mạng khuếch đại sẽ khuÕch đại lượng gãi tin ICMP packets này lªn gấp bội. Tỉ lệ khuếch đại phụ thuộc vào số mạng tÝnh cã trong mạng khuếch đại. Nhiệm vụ của c¸c hacker là cố chiếm được càng nhiều hệ thống mạng hoặc routers cho phÐp chuyển trực tiếp c¸c gãi tin đến địa chỉ broadcast kh«ng qua chỗ lọc địa chỉ nguồn ở c¸c đầu ra của gãi tin . Cã được c¸c hệ thống này, hacker sẽ dễ dàng tiến hành Smurf Attack trªn c¸c hệ thống cần tấn c«ng . e) UDP Flooding C¸ch tấn c«ng UDP đßi hỏi phải cã 2 hệ thống m¸y cïng tham gia. Hackers sẽ làm cho hệ thống của m×nh đi vào một vßng lặp trao đổi c¸c dữ liệu qua giao thức UDP. Và giả mạo địa chỉ ip của c¸c gãi tin là địa chỉ loopback ( 127.0.0.1 ), rồi gởi gãi tin này đến hệ thống của nạn nh©n trªn cổng UDP echo ( 7 ). Hệ thống của nạn nh©n sẽ trả lời lại c¸c messages do 127.0.0.1( chÝnh nã ) gởi đến, kết quả là nã sẽ đi vßng một vßng lặp v« tận. Tuy nhiªn, cã nhiều hệ thống kh«ng cho dïng địa chỉ loopback nªn hacker sẽ giả mạo một địa chỉ ip của một m¸y tÝnh nào đã trªn mạng nạn nh©n và tiến hành ngập lụt UDP trªn hệ thống của nạn nh©n . f) TÊn c«ng DSN Hacker cã thể đổi một lối vào trªn Domain Name Server của hệ thống nạn nh©n rồi cho chỉ đến một website nào đã của hacker. Khi m¸y kh¸ch yªu cầu DNS ph©n tÝch địa chỉ bị x©m nhập thành địa chỉ ip, lập tức DNS ( đã bị hacker thay đổi cache tạm thời ) sẽ đổi thành địa chỉ ip mà hacker đ· cho chỉ đến đã . Kết quả là thay v× phải vào trang Web muốn vào th× c¸c nạn nh©n sẽ vào trang Web do chÝnh hacker tạo ra . Một c¸ch tấn c«ng từ chối dịch vụ thật hữu hiệu !. g) Distributed DOS Attack. DDoS yªu cầu phải cã Ýt nhất vài hackers cïng tham gia. Đầu tiªn c¸c hackers sẽ cố th©m nhập vào c¸c mạng m¸y tÝnh được bảo mật kÐm, sau đã cài lªn c¸c hệ thống này chương tr×nh DDoS server. Bëi giờ c¸c hackers sẽ hẹn nhau đến thời gian đ· định sẽ dïng DDoS client kết nối đến c¸c DDoS servers, sau đã đồng loạt ra lệnh cho c¸c DDoS servers này tiến hành tấn c«ng DDoS đến hệ thống nạn nh©n . h) The Distributed Reflection Denial of Service Attack Đ©y cã lẽ là kiểu tấn c«ng lợi hại nhất và làm boot m¸y tÝnh của đối phương nhanh gọn nhất. C¸ch làm th× cũng tương tự như DDos nhưng thay v× tấn c«ng bằng nhiều m¸y tÝnh th× người tấn c«ng chỉ cần dïng một m¸y tấn c«ng th«ng qua c¸c server lớn trªn thế giới . Vẫn với phương ph¸p giả mạo địa chỉ IP của victim, kẻ tấn c«ng sẽ gởi c¸c gãi tin đến c¸c server mạnh nhất, nhanh nhất và cã đường truyền rộng nhất như Yahoo v.v., c¸c server này sẽ phản hồi c¸c gãi tin đã đến địa chỉ của victim. Việc cïng một lóc nhận được nhiều gãi tin th«ng qua c¸c server lớn này sẽ nhanh chóng làm nghẽn đường truyền của m¸y tÝnh nạn nh©n và làm crash, reboot m¸y tÝnh đã. C¸ch tấn c«ng này lợi hại ở chỗ chỉ cần một m¸y cã kết nối Internet đơn giản với đường truyền b×nh thường cũng cã thể ®¸nh bật được hệ thống cã đường truyền tốt nhất thế giới nếu như ta kh«ng kịp ngăn chặn . 3) Nh÷ng wed bÞ tÊn c«ng wedsite cña bé gi¸o duc bi tÊn c«ng. th«ng qua lç hæng SQL cña phÇn mÒm vµ truy cËp bÊt hîp ph¸p vµo c¬ së d÷ liÖu trong may chñ cña Trung t©m tin häc – Bé GD-§T lµm thay ®æi d÷ liÖu, huû ho¹i d÷ liÖu vµ g©y rèi lo¹i cña trang. www.vnn.vn website ®­îc xem lµ bé m¨t cña internet ViÖt Nam bÞ ®¸nh sËp. www.vietcombank.com.vn , cña ng©n hµng ngo¹i th­¬ng ViÖt Nam (Vietcombank) bÞ tÊn c«ng vµ th«ng tin thÎ tÝn dông cña h¬n 30 kh¸ch hµng ®· bÞ ®¸nh c¾p. www.mobilefone.com.vn, trang chñ cña c«ng ty viÔn th«ng di ®éng Mobilefone ®· bÞ hacker x©m nhËp vµo c¬ së d÷ liÖu vµ th«ng tin vÓ tµi kho¶n cña mét sè kh¸ch hµng ®· bÞ rß rØ. VII) Router 1)Vµi trß cña router Router võa ®­îc sö dông ®Ó ph©n ®o¹n m¹ng LAN võa lµ thiÕt bÞ chÝnh trong m¹ng WAN. Do ®ã, trªn router cã c¶ cæng giao tiÕp LAN va WAN. Thùc chÊt c¸c kü thuËt WAN ®­îc sö dông ®Ó kÕt nèi c¸c router, router nµy giao tiÕp víi router kh¸c qua ®­êng liªn kÕt WAN. Router lµ thiÕt bÞ x­¬ng sèng cña m¹ng Intranet lín vµ m¹ng Internet. Router ho¹t ®äng ë líp 3 (session) vµ thùc hiÖn chuyÓn gãi d÷ liÖu dùa trªn ®Þa chØ m¹ng. Router cã hai chøc n¨ng chÝnh lµ: chän ®­êng ®i ng¾n nhÊt vµ chuyÓn m¹nh gãi d÷ liÖu. §Ó thùc hiÖn hai chøc n¨ng nµy, mçi router ph¶i x©y dùng mét b¶ng ®Þnh tuyÕn vµ thùc hiÖn trao ®æi th«ng tin ®Þnh tuyÕn víi nhau. Vµi trß cña Router trong m¹ng WAN Mét trong nh÷ng nhiÖm vô cña router trong m¹ng WAN lµ ®Þnh tuyÕn gãi d÷ liÖu ë líp 3, ®©y còng lµ nhiÖm vô cña router trong m¹ng LAN. Tuy nhiªn, ®Þnh tuyÕn kh«ng ph¶i lµ nhiÖm vô chÝnh yÕu cña router trong m¹ng WAN. Khi router sö dông c¸c chuÈn vµ giao thøc cña líp vËt lý vµ líp liªn kÕt d÷ liÖu ®Ó kÕt nèi m¹ng WAN th× lóc nµy nhiÖm vô chÝnh yÕu cña router trong m¹ng WAN kh«ng ph¶i lµ ®Þnh tuyÕn n÷a mµ lµ cung cÊp kÕt nèi gi÷a c¸c m¹ng WAN víi c¸c chuÈn vËt lý vµ liªn kÕt d÷ liÖu kh¸c nhau. Router ph¶i cã kh¶ n¨ng chuyÓn ®æi luång bÝt tõ lo¹i dÞch vô nµy sang lo¹i dÞch vô kh¸c. 2) CÊu h×nh cho router a) §Æt tªn cho router. C«ng viÖc ®Çu tiªn khi cÊu h×nh router lµ ®Æt tªn cho router. Trong chÕ ®é cÊu h×nh toµn côc, ta dïng lÖnh sau: Router(config)#hostname Tokyo Tokyo(config)# Ngay sau khi nhÊn phÝm Enter ®Ó thùc thi c©u lÖnh sÏ thÊy dÊu nh¾c ®æi tªn mÆc ®Þnh (Router) sang tªn mµ võa míi ®Æt (Tokyo) b) §Æt mËt m¨ cho router MËt m· ®­îc sö dông ®Ó h¹n chÕ viÖc truy cËp vµo router. Ngoµi ra mËt m· cßn ®­îc sö dông ®Ó kiÓm so¸t sù truy cËp vµo chÕ ®é EXEC ®Æc quyÒn trªn router. Khi ®ã, chØ nh÷ng ng­êi nµo ®­îc phÐp míi cã thÓ thùc hiÖn viÖc thay ®æi tËp tin cÊu h×nh trªn router. Chóng ta còng cÇn ®Æt mËt m· cho mét hoÆc nhiÒu ®­êng vty ®Ó kiÓm so¸t c¸c user truy cËp tõ xa vµo router b»ng Telnet. Chóng ta th­êng sö dông mét mËt m· cho tÊt c¶ c¸c ®­êng vty, nh­ng ®«i khi nªn ®Æt mËt m· riªng cho mét ®­êng ®Ó dù phßng khi c¸c ®­êng cßn l¹i ®Òu ®¹ng sö dông. Sau ®©y lµ c¸c lÖnh cÇn sö dông ®Ó ®Æt mËt m· cho ®­êng vty: Router (config) # line vty 0 4 Router (config-line) # password Router (config-line) # login MËt m· enable vµ enable secret ®­îc sö dông ®Ó h¹n chÕ viÖc truy cËp vµo chÕ ®é EXEC ®Æc quyÒn. MËt m· enable chØ ®­îc sö dông khi chóng ta kh«ng cµi ®Æt mËt m· enable chØ ®­îc sö dông khi chóng ta kh«ng cµi ®Æt m¹t m· enable secret. Chóng ta nªn sö dông mËt m· enable secret v× mËt m· nµy ®­îc m· ho¸ cßn mËt m· enable th× kh«ng. Router (config) # enable password Router (config) # enable secret c) KiÓm tra b»ng c¸c lÖnh show Cã rÊt nhiÒu lªnh show ®­îc dïng ®Ó kiÓm tra néi dung c¸c tËp tin trªn router vµ ®Ó tim ra sù cè. - Show interfaces – hiÓn thÞ tr¹ng th¸i cña tÊt c¶ c¸c th«ng tin chuyÓn biÖt vÒ phÇn cøng cña c¸c lo¹i cæng serial. VÝ dô: Router#show interfaces serial 0/1 - Show controllers serial – hiÓn thÞ c¸c th«ng tin chuyªn biÖt vÒ phÇn cøng cña c¸c cæng serial. - Show clock – hiÓn thÞ ®ång hå ®­îc cµi ®Æt trªn router. - Show hosts – hiÓn thÞ tÊt c¶ c¸c user ®ang kÕt nèi vµo router. - Show history – hiÓn thÞ danh s¸ch c¸c c©u lÖnh võa míi ®­îc sö dông. - Show flash – hiÓn thÞ th«ng tin vÒ bé nhí flash . - Show version – hiÓn thÞ th«ng tin router ®ang ch¹y trªn RAM. - Show ARP – hiÓn thÞ b¶ng ARP trªn router. - Show protocol – hiÓn thÞ tr¹ng th¸i toµn côc vµ tr¹ng th¸i cña c¸c cæng giao tiÕp ®· ®­îc cÊu h×nh giao thøc ë líp 3. - Show startup-configuration – hiÓn thÞ tËp tin cÊu h×nh ®ang l­u trong NVRAM. - Show running-configuration – hiÓn thÞ tËp tin cÊu h×nh ®ang ch¹y trªn RAM. d) CÊu h×nh cæng serial C¸c b­íc thùc hiÖn khi cÊu h×nh cæng serial. Vµo chÕ ®é cÊu h×nh toµn côc. Vµo chÕ ®é cÊu h×nh cæng serial. Khai b¸o ®Þa chØ vµ subnet mask. §Æt tèc ®é clock nÕu ®Çu c¾m vµo cæng serial lad DCE. Nõu ®Çu c¸p lµ DTE th× chóng ta cã thÓ bá qua b­íc nµy. Khëi ®éng cæng serial. Mçi mét cæng serial ®Òu ph¶i cã mét ®Þa chØ IP vµ subnet mask ®Ó chóng cã thÓ ®Þnh tuyÕt c¸c gãi IP. §Ó cÊu h×nh ®Þa chØ IP chóng ta dïng lÖnh sau: Router (config) #interface serial 0/0 Router (config-if) #if address Cæng serial cÇn ph¶i cã tÝn hiÖu clock ®Ó ®iÒu khiÓn thêi gian thùc hiÖn th«ng tin liªn l¹c. Trong m«i tr­êng lµm lab th× c¸c ®­êng liªn kÕt serial ®­îc kÕt nèi trùc tiÕp víi nhau. Do ®ã ph¶i cã mét ®µu lµ DCE ®Ó cÊp tÝn hiÖu clock. Dïng lÖnh clockrate ®Ó cµi ®Æt tèc ®é clock. VD: Router (config) #interface serial 0/0 Router (config-if) #clock rate 56000 Router (config-if) #no shutdown LÖnh no shutdown ®Ó më hay khëi ®éng c¸c cæng giao tiÕp trªn router. ®) Thùc hiÖn viÖc thªm bít, dÞch chuyÓn vµ thay ®æi tËp tin cÊu h×nh NÕu cÇn chØnh söa tËp tin cÊu h×nh th× ph¶i di chuyÓn vµo ®óng chÕ ®é cÊu h×nh vµ thùc hiÖn c¸c lÖnh cÇn thiÕt. VÝ dô: nÕu cÇn më mét cæng nµo ®ã trªn router th× tr­íc hÕt ph¶i vµo chÕ ®é cÊu h×nh toµn côc, sau ®ã vµo chÕ ®é cÊu h×nh cña cæng ®ã råi dïng lÖnh no shutdown. §Ó kiÓm tra nh÷ng g× mµ võa thay ®æi, dïng lªnh show running-config. LÖnh nµy sÏ hiÓn thÞ néi dung tËp tin cÊu h×nh hiÖn t¹i. NÕu kÕt qu¶ hiÓn thÞ cã nh÷ng chi tiªt kh«ng ®óng th× cã thÓ chØnh söa l¹i b»ng mét hoÆc nhiÒu c¸ch sau: Dïng d¹ng no cña c¸c lÖnh cÊu h×nh. Khëi ®éng l¹i router víi tËp tin cÊu h×nh nguyªn thuû trong NVRAM ChÐp tËp tin cÊu h×nh dù phßng tõ TFTP sever Xo¸ tËp tin cÊu h×nh khëi ®éng b»ng lÖnh erase startup-config, sau ®ã khëi ®éng l¹i router vµ vµo chÕ ®é cµi ®Æt. e) CÊu h×nh cæng Ethernet Mçi cæng Ethernet còng cÇn ph¶i cã mét ®Þa chØ IP vµ subnet mask ®Ó cã thÓ thùc hiÖn ®Þnh tuyÕn c¸c gãi IP qua cæng ®ã Sau ®©y lµ c¸c b­íc thùc hiÖn cÊu h×nh cæng Ethernet: Vµo chÕ ®é cÊu h×nh toµn côc. Vµo chÕ ®é cÊu h×nh cæng Ethernet. Khai b¸o ®Þa chØ IP vµ subnet mask Khëi ®éng cæng Ethernet NÕu c¸c cæng trªn router ®Òu ®ãng dïng lÖnh no shutdown ®Ó më hay khëi ®éng cæng. NÕu cÇn ®ãng cæng l¹i ®Ó b¶o tr× hay xö lý sù cè th× dïng lÖn shutdown. VD: Router (config) #interface e0 Router (config-if) #ip address 183.8.126 255.255.255.128 Router (config-if) #no shutdown