Bảo vệ chống lại các cuộc tấn công mạng. Phân loại các cuộc tấn công mạng và các phương pháp bảo vệ cơ bản chống lại chúng
Sau khi cài đặt Ubuntu làm hệ điều hành chính, bạn nên tìm hiểu cách bảo vệ khỏi tải trọng Rubber Ducky, việc cơ quan thực thi pháp luật thu giữ dữ liệu của bạn và nói chung là giảm số lượng mục tiêu bạn có thể tấn công. Khi bảo vệ khỏi các cuộc tấn công mạng, bạn cần giảm thiểu việc tiết lộ thông tin về phần cứng của mình, ngăn chặn các trình thám thính gói chạy, thắt chặt các quy tắc tường lửa, v.v.
Chúng tôi tiếp tục loạt bài nhỏ về tăng cường bảo vệ hệ điều hành Ubuntu. Trong phần này, bạn sẽ tìm hiểu cách giả mạo địa chỉ MAC để gây nhầm lẫn cho tin tặc thụ động, vô hiệu hóa các dịch vụ mạng không sử dụng như CUPS và Avahi, tạo quy tắc tường lửa cho các cổng cụ thể để chặn các nỗ lực truy cập trái phép và lấy dữ liệu của bạn, bảo vệ khỏi việc đánh hơi mật khẩu và cookie . các tệp trong gói của bạn bằng VPN.
Nếu bạn bỏ lỡ bài viết trước, hãy nhớ xem qua, ngay cả khi bạn đã cài đặt Ubuntu và chỉ muốn tăng cường tính bảo mật của nó. Bạn sẽ tìm ra điều gì đã thúc đẩy chúng tôi viết loạt bài gồm bốn phần này.
Bước 1: Bảo vệ bạn khỏi bị phát hiện phần cứng của bạn
Khi kết nối với mạng Wi-Fi và bộ định tuyến mới, hãy giả mạo địa chỉ MAC của bộ điều hợp Wi-Fi của bạn. Tất nhiên, điều này sẽ không ngăn được một hacker có động cơ biết bạn đang sử dụng hệ điều hành nào, nhưng nó có thể khiến anh ta bối rối và ngăn anh ta thu thập thông tin về phần cứng của bạn.
Ví dụ: một hacker kết nối với mạng Wi-Fi trong quán cà phê có thể tập trung nỗ lực vào việc hack các thiết bị khác ngoài Apple. Nếu bạn xuất hiện trên mạng với , kẻ tấn công sẽ hoàn toàn bỏ qua thiết bị của bạn. Hoặc nó có thể thử một số cuộc tấn công dành riêng cho MacOS trên thiết bị của bạn nhưng không hiệu quả vì bạn không thực sự sử dụng MacBook, bạn chỉ xuất hiện trực tuyến như thể bạn đang sử dụng phần cứng của Apple. Kết hợp với Tác nhân người dùng trình duyệt giả mạo, điều này thực sự có thể gây nhầm lẫn cho đối thủ không quá thông minh.
Để thay đổi địa chỉ MAC trong Ubuntu, hãy mở Trình quản lý mạng và chuyển tới menu "Chỉnh sửa" của kết nối Wi-Fi của bạn. Trên tab Danh tính, nhập địa chỉ MAC bạn muốn sử dụng vào trường Địa chỉ nhân bản.
Bước 2: Bảo vệ chống lại các cuộc tấn công vào dịch vụ nghe
Khi một tiến trình (hoặc dịch vụ) nền ở trạng thái “ ” (đang nghe), điều đó có nghĩa là các dịch vụ và ứng dụng khác trên thiết bị và mạng của bạn có thể tương tác với nó. Các dịch vụ “nghe” này luôn mong đợi một số dữ liệu làm đầu vào, khi nhận được dữ liệu đó, dịch vụ phải đưa ra phản hồi cụ thể. Bất kỳ dịch vụ nào có địa chỉ cục bộ 0.0.0.0, khi ở trạng thái lắng nghe, rất có thể sẽ có sẵn cho tất cả người dùng trên mạng cục bộ đó và có thể cả trên Internet.
Ubuntu mới được cài đặt sẽ chỉ có một vài dịch vụ đang chạy, do đó không cần phải lo lắng về việc nghe cổng đáng sợ theo mặc định. Nhưng hãy luôn ghi nhớ những ứng dụng mà bạn sẽ cài đặt trong tương lai. Họ có thể mở các cổng nghe mà không thông báo cho bạn.
Để theo dõi quá trình nền nào đang nghe, chúng tôi sẽ sử dụng netstat, một công cụ được sử dụng để hiển thị thông tin về kết nối mạng, cổng mở và các dịch vụ đang chạy. Vì chúng tôi sử dụng cài đặt Ubuntu tối thiểu nên bộ tiện ích công cụ mạng mà chúng tôi cần để làm việc với mạng (bao gồm cả netstat) sẽ phải được cài đặt thủ công. Điều này có thể được thực hiện bằng lệnh sudo apt-get install net-tools.
Sudo apt-get install net-tools Đọc danh sách gói... Xong Xây dựng cây phụ thuộc Đọc thông tin trạng thái... Xong Các gói MỚI sau sẽ được cài đặt: net-tools 0 được nâng cấp, 1 mới cài đặt, 0 để xóa và 0 chưa được nâng cấp . Cần có 194 kB kho lưu trữ. Sau thao tác này, 803 kB dung lượng đĩa bổ sung sẽ được sử dụng. Chọn gói công cụ mạng chưa được chọn trước đó. (Đọc cơ sở dữ liệu ... 149085 tệp và thư mục hiện được cài đặt.) Đang chuẩn bị giải nén .../net-tools_1.60+git20161116.90da8a0-1ubuntu1_amd64.deb ... Đang giải nén các công cụ mạng (1.60+git20161116.90da8a0-1ubuntu1) ... Đang xử lý trình kích hoạt cho man-db (2.8.3-2) ... Thiết lập công cụ mạng (1.60+git20161116.90da8a0-1ubuntu1) ...
Sử dụng lệnh netstat sau để xem các dịch vụ ở trạng thái "LISTEN".
Sudo netstat -ntpul Kết nối Internet đang hoạt động (chỉ máy chủ) Proto Recv-Q Send-Q Địa chỉ cục bộ Địa chỉ nước ngoài Trạng thái PID/Tên chương trình tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 651/systemd-resolve tcp 0 0 127.0 .0.1:631 0.0.0.0:* LISTEN 806/cupsd tcp6 0 0::1:631:::* LISTEN 806/cupsd udp 47616 0 127.0.0.53:53 0.0.0.0:* 651/systemd-resolve udp 0 0 0.0.0.0:631 0.0.0.0:* 812/cups-duyệt udp 2304 0 0.0.0.0:5353 0.0.0.0:* 750/avahi-daemon: r udp 0 0 0.0.0.0:38284 0.0.0.0:* 750/ avahi-daemon: r udp6 0 0:::37278:::* 750/avahi-daemon: r udp6 25344 0:::5353:::* 750/avahi-daemon: r
Systemd-resolve được sử dụng để phân giải tên miền và tất nhiên là không nên thay đổi hoặc xóa. Chúng ta sẽ nói về “cupsd” và “avahi-daemon” bên dưới trong các phần sau.
Vô hiệu hóa hoặc xóa CUPS
Năm 2011, lỗ hổng DDoS được phát hiện trong avahi-daemon. Mặc dù CVE này khá cũ và có mức độ nghiêm trọng rất thấp nhưng nó vẫn cho thấy cách hacker trên mạng cục bộ phát hiện ra các lỗ hổng trong giao thức mạng và thao túng các dịch vụ đang chạy trên thiết bị của nạn nhân.
Nếu bạn không định tương tác với các sản phẩm hoặc dịch vụ của Apple trên các thiết bị khác, avahi-daemon có thể bị tắt bằng lệnh sau: sudo systemctl disa avahi-daemon.
Sudo systemctl vô hiệu hóa avahi-daemon Trạng thái đồng bộ hóa của avahi-daemon.service với tập lệnh dịch vụ SysV với /lib/systemd/systemd-sysv-install. Đang thực thi: /lib/systemd/systemd-sysv-install vô hiệu hóa avahi-daemon Đã xóa /etc/systemd/system/dbus-org.freedesktop.Avahi.service. Đã xóa /etc/systemd/system/sockets.target.wants/avahi-daemon.socket.
Avahi cũng có thể được loại bỏ hoàn toàn bằng cách sử dụng sudo apt-get purge avahi-daemon.
Sudo apt-get purge avahi-daemon Đọc danh sách gói... Xong Xây dựng cây phụ thuộc Đọc thông tin trạng thái... Xong Các gói sau sẽ bị XÓA: avahi-daemon* (0.7-3.1ubuntu1) avahi-utils* (0.7-3.1 ubuntu1) libnss-mdns* (0.10-8ubuntu1) 0 đã nâng cấp, 0 mới cài đặt, 3 cần xóa và 0 chưa được nâng cấp. Sau thao tác này, dung lượng đĩa 541 kB sẽ được giải phóng. Bạn có muốn tiếp tục? y
Bước 3: Bảo vệ cổng của bạn
Một hacker nghiệp dư có thể cố gắng trích xuất dữ liệu thông qua hoặc tạo một shell đảo ngược (được liệt kê rõ ràng trên Wikipedia là cổng mặc định cho Metasploit). Tường lửa chỉ cho phép các gói gửi đi trên một số cổng sẽ chặn mọi gói gửi đến.
Để quản lý tính khả dụng của cổng, chúng tôi sẽ sử dụng một chương trình cung cấp giao diện đơn giản để định cấu hình tường lửa. UFW có nghĩa đen là Tường lửa không phức tạp. Nó hoạt động như một giao diện người dùng cho (bộ lọc gói) và không nhằm mục đích cung cấp chức năng tường lửa đầy đủ mà thay vào đó là một phương tiện thuận tiện để thêm hoặc xóa các quy tắc tường lửa.
1. Từ chối tất cả các kết nối đến và đi
Để bật UFW, hãy sử dụng lệnh sudo ufw Enable.
Sudo ufw kích hoạt Tường lửa đang hoạt động và được bật khi khởi động hệ thống
Vô hiệu hóa tất cả các kết nối đến bằng lệnh này:
Sudo ufw mặc định từ chối gửi đến
Sau đó vô hiệu hóa tất cả các chuyển hướng:
Sudo ufw mặc định từ chối chuyển tiếp
Và từ chối tất cả các kết nối đi:
Sudo ufw mặc định từ chối gửi đi
Từ giờ trở đi, bạn sẽ không còn quyền truy cập Internet bằng Firefox hoặc bất kỳ ứng dụng nào khác.
2. Tìm giao diện Wi-Fi của bạn
Để cho phép các kết nối đi, trước tiên bạn cần tìm tên của bộ điều hợp Wi-Fi bằng lệnh ifconfig -a.
Ifconfig -a enp0s8: flags=4163
Với mục đích của bài viết này, chúng tôi đang sử dụng Ubuntu trong VirtualBox, vì vậy tên giao diện của chúng tôi là "enp0s8". Lệnh ifconfig có thể hiển thị giao diện không dây của bạn dưới dạng "wlp3s0", "wlp42s0" hoặc đại loại như thế.
3. Tạo ngoại lệ tường lửa và định cấu hình độ phân giải DNS an toàn
Bạn có thể cho phép lưu lượng DNS, HTTP và HTTPS trên giao diện không dây bằng ba lệnh này.
Sudo ufw cho phép truy cập vào 1.1.1.1 cổng udp proto 53 nhận xét "cho phép bật DNS" sudo ufw cho phép truy cập vào mọi cổng tcp proto 80 nhận xét "cho phép HTTP bật" sudo ufw cho phép bật bất kỳ cổng tcp 443 nào nhận xét "cho phép HTTPS trên "
Địa chỉ "1.1.1.1" trong lệnh DNS là trình phân giải DNS mới. Nhiều người dùng Internet không nhận ra rằng ngay cả khi họ duyệt một trang web bằng kết nối được mã hóa (ổ khóa nhỏ màu xanh lá cây trên thanh URL), ISP vẫn có thể thấy tên của mọi miền được truy cập bằng truy vấn DNS. Sử dụng trình phân giải DNS của CloudFlare sẽ giúp ngăn Nhà cung cấp dịch vụ Internet (ISP) cố gắng rình mò lưu lượng truy cập của bạn.
4. Cập nhật cấu hình DNS trong Network Manger
Sau khi đặt quy tắc UFW trong Trình quản lý mạng, hãy chuyển đến menu Chỉnh sửa kết nối Wi-Fi của bạn và thay đổi trường DNS thành 1.1.1.1. Ngắt kết nối và kết nối lại với mạng Wi-Fi của bạn để các thay đổi DNS có hiệu lực.
Xem các quy tắc mới được tạo bằng lệnh sudo ufw status numbered.
Trạng thái Sudo ufw được đánh số Trạng thái: đang hoạt động Để hành động từ -- ------ ---- [ 1] 1.1.1.1 53/udp ALLOW OUT Anywhere trên enp0s8 (out) # cho phép DNS trên enp0s8 [ 2] 443/tcp ALLOW OUT Anywhere trên enp0s8 (out) # cho phép HTTPS trên enp0s8 [ 3] 80/tcp ALLOW OUT Anywhere trên enp0s8 (out) # cho phép HTTP trên enp0s8
Ubuntu sẽ có thể thực hiện các yêu cầu HTTP/HTTPS tiêu chuẩn trên các cổng 80 và 443 trên giao diện không dây mà bạn chỉ định. Nếu các quy tắc này quá nghiêm ngặt đối với hoạt động hàng ngày của bạn, bạn có thể cho phép tất cả các gói gửi đi bằng lệnh này:
Sudo ufw mặc định cho phép gửi đi
5. Giám sát tường lửa của bạn
Nếu bạn đang cố gắng gỡ lỗi các kết nối đến hoặc đi, bạn có thể sử dụng lệnh tail với đối số -f để theo dõi các thông báo và sự khác biệt trong nhật ký UFW trong thời gian thực. Lệnh này sẽ trông như thế này đầy đủ:
Tail -f /var/log/ufw.log kernel: [ 3900.250931] IN= OUT=enp0s8 SRC=192.168.1.44 DST=104.193.19.59 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=47090 DF PROTO=TCP SPT=35944 DPT=9999 WINDOW=29200 RES=0x00 SYN URGP=0 kernel: [ 3901.280089] IN= OUT=enp0s8 SRC=192.168.1.44 DST=104.193.19.59 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID= 47091 DF PROTO=TCP SPT=35944 DPT=9999 CỬA SỔ=29200 RES=0x00 SYN URGP=0
Trong nhật ký trên, UFW đang chặn các kết nối đi (OUT=) từ địa chỉ IP cục bộ của chúng tôi (192.168.1.44) đến máy chủ Null Byte (104.193.19.59) bằng TCP với cổng đích (DPT) 9999. Vấn đề này có thể được giải quyết bằng cách này lệnh UFW:
Sudo ufw cho phép thoát từ 192.168.1.44 đến 104.193.19.59 proto tcp port 9999
Để biết thêm thông tin về UFW, bạn có thể đọc các trang man (man ufw).
Chắc chắn độc giả quan tâm đến việc tinh chỉnh tường lửa sẽ rất tốt.
Bước 4: Bảo vệ chống lại việc đánh hơi gói và chặn cookie
Các cuộc tấn công thao túng gói có thể được ngăn chặn bằng cách sử dụng mạng riêng ảo (VPN). VPN cung cấp một bộ công nghệ:
- Ngăn chặn tin tặc trên mạng Wi-Fi thao túng các gói và theo dõi hoạt động của bạn.
- Cấm các nhà cung cấp Internet theo dõi hoạt động của bạn và bán dữ liệu của bạn cho bên thứ ba.
- Chúng giúp vượt qua sự ngăn chặn của cơ quan kiểm duyệt (như RKN), khi các nhà cung cấp Internet hoặc tường lửa mạng chặn quyền truy cập vào một số trang web nhất định.
Hầu hết các dịch vụ VPN trả phí đều bắt đầu ở mức 5 USD mỗi tháng. Một số nhà cung cấp VPN đáng chú ý là: ProtonVPN, Mullvad, VyprVPN và .
Bước tiếp theo là tăng cường bảo vệ ứng dụng và tạo hộp cát
Thế là xong để thiết lập sự bảo vệ cho sự hiện diện và hoạt động trực tuyến của bạn. Trong bài viết tiếp theo, chúng tôi sẽ nói về các ứng dụng tạo hộp cát và giữ an toàn cho hệ thống của bạn trong trường hợp có bất kỳ phần mềm độc hại nào đang chạy trên thiết bị của bạn. Sau đó, chúng ta sẽ đi sâu vào kiểm tra phần mềm chống vi-rút và giám sát nhật ký hệ thống.
Từ chối trách nhiệm: Bài viết này được viết chỉ nhằm mục đích giáo dục. Tác giả hoặc nhà xuất bản không xuất bản bài viết này vì mục đích xấu. Nếu độc giả muốn sử dụng thông tin vì lợi ích cá nhân, tác giả và nhà xuất bản không chịu trách nhiệm về bất kỳ tổn hại hoặc thiệt hại nào gây ra.Chương 5. Bảo vệ chống lại các cuộc tấn công mạng
Việc bảo mật thông tin trên mạng máy tính và máy tính cá nhân đạt được bằng cách thực hiện chính sách thống nhất về các biện pháp bảo vệ, cũng như hệ thống các biện pháp pháp lý, tổ chức và kỹ thuật.
Khi phát triển mức độ bảo vệ thông tin cần thiết trên mạng, trách nhiệm chung của nhân sự và quản lý, tôn trọng lợi ích của cá nhân và doanh nghiệp cũng như sự tương tác với các cơ quan thực thi pháp luật đều được tính đến. Đảm bảo an ninh thông tin đạt được thông qua các biện pháp pháp lý, tổ chức, hành chính và kỹ thuật.
Bảo vệ mạng công ty khác với bảo vệ máy tính của người dùng gia đình (mặc dù bảo vệ máy trạm cá nhân là một phần không thể thiếu trong việc bảo vệ mạng). Và trước hết, bởi vì vấn đề này được giải quyết (hay đúng hơn là phải như vậy) bởi các chuyên gia bảo mật máy tính có thẩm quyền. Ngoài ra, cơ sở của hệ thống an ninh mạng doanh nghiệp là đạt được sự thỏa hiệp giữa tính dễ sử dụng của người dùng cuối và yêu cầu của các chuyên gia kỹ thuật.
Một hệ thống máy tính có thể được xem xét từ hai quan điểm: nó chỉ có thể được coi là người dùng trên các máy trạm hoặc nó chỉ có thể được coi là chức năng của một hệ điều hành mạng. Mạng máy tính cũng có thể được coi là tập hợp các gói thông tin truyền qua dây dẫn.
Có một số cấp độ đại diện mạng. Bạn có thể tiếp cận vấn đề an ninh mạng theo cùng một cách - ở các cấp độ khác nhau. Theo đó, phương pháp bảo vệ sẽ khác nhau ở mỗi cấp độ. Càng nhiều lớp được bảo vệ thì toàn bộ hệ thống càng được bảo vệ một cách đáng tin cậy.
Cách đầu tiên, rõ ràng nhất và khó khăn nhất trong thực tế là đào tạo nhân sự về cách hành xử khiến việc tấn công mạng trở nên khó khăn. Điều này hoàn toàn không đơn giản như thoạt nhìn. Cần phải đưa ra các hạn chế đối với việc sử dụng Internet và người dùng thường không biết những hạn chế này là do đâu (họ không có trình độ chuyên môn như vậy), vì vậy họ cố gắng bằng mọi cách có thể để vi phạm các lệnh cấm hiện có. Hơn nữa, các lệnh cấm phải được xây dựng rõ ràng. Ví dụ, một người dùng bình thường khó có thể hiểu lời khuyên không nên sử dụng các ứng dụng khách có giao thức không đủ an toàn, nhưng anh ta gần như chắc chắn sẽ hiểu hướng dẫn không chạy ICQ trên máy tính của mình và sẽ phản đối khá dữ dội. Không phải ngẫu nhiên mà người ta nói ICQ là bông hoa trên mộ thời gian làm việc.
Tập hợp các biện pháp bảo mật thông tin phải dựa trên chiến lược bảo vệ thông tin. Nó xác định các mục tiêu, tiêu chí, nguyên tắc và thủ tục cần thiết để xây dựng một hệ thống bảo mật đáng tin cậy. Một chiến lược được phát triển tốt không chỉ phản ánh mức độ bảo vệ, việc tìm kiếm các lỗ hổng, nơi cài đặt tường lửa hoặc máy chủ proxy, v.v. Nó còn phải xác định rõ ràng các quy trình và cách áp dụng chúng để đảm bảo khả năng bảo vệ đáng tin cậy.
Đặc điểm quan trọng nhất của chiến lược bảo mật thông tin tổng thể là nghiên cứu hệ thống bảo mật. Có thể phân biệt hai hướng chính:
- phân tích thiết bị bảo vệ;
– xác định thực tế của sự xâm nhập.
Dựa trên khái niệm bảo mật thông tin, chiến lược bảo mật thông tin và kiến trúc hệ thống bảo mật thông tin được phát triển. Giai đoạn tiếp theo của cách tiếp cận tổng quát nhằm đảm bảo an ninh là xác định chính sách, nội dung của chính sách đó là các phương tiện, nguồn lực, cách tiếp cận và mục tiêu hợp lý nhất của nhiệm vụ đang được xem xét.
Nên phát triển một khái niệm bảo vệ theo ba giai đoạn. Ở giai đoạn đầu tiên, cài đặt bảo vệ mục tiêu phải được xác định rõ ràng, tức là những giá trị thực, quy trình sản xuất, chương trình, tập dữ liệu nào cần được bảo vệ. Ở giai đoạn này, nên phân biệt theo ý nghĩa của từng đối tượng cần bảo vệ.
Ở giai đoạn thứ hai, cần tiến hành phân tích các hành vi tội phạm có khả năng được thực hiện đối với đối tượng được bảo vệ. Điều quan trọng là xác định mức độ nguy hiểm thực sự của các tội phạm phổ biến nhất như gián điệp kinh tế, khủng bố, phá hoại và trộm cắp. Sau đó, bạn cần phân tích các hành động có thể xảy ra nhất của những kẻ tấn công liên quan đến các đối tượng chính cần được bảo vệ.
Nhiệm vụ chính của giai đoạn thứ ba là phân tích tình hình, bao gồm các điều kiện cụ thể của địa phương, quy trình sản xuất và các phương tiện bảo vệ kỹ thuật hiện có.
Khái niệm bảo vệ phải bao gồm danh sách các biện pháp tổ chức, kỹ thuật và các biện pháp khác nhằm đảm bảo mức độ an toàn cao nhất có thể đối với rủi ro tồn dư nhất định và chi phí tối thiểu cho việc thực hiện chúng.
Chính sách bảo mật là một tài liệu chung liệt kê các quy tắc truy cập, xác định cách thực hiện chính sách và mô tả kiến trúc cơ bản của môi trường bảo mật. Bản thân tài liệu này thường bao gồm một số trang văn bản. Nó tạo thành nền tảng của kiến trúc vật lý của mạng và thông tin chứa trong đó quyết định việc lựa chọn các sản phẩm bảo mật. Trong trường hợp này, tài liệu có thể không bao gồm danh sách đầy đủ các giao dịch mua cần thiết, nhưng việc lựa chọn các thành phần cụ thể sau khi chuẩn bị là điều hiển nhiên.
Các chính sách bảo mật vượt xa ý tưởng đơn giản là “ngăn chặn những kẻ xâm nhập”. Đây là một tài liệu rất phức tạp xác định quyền truy cập vào dữ liệu, “bản chất của việc lướt WWW, việc sử dụng mật khẩu hoặc mã hóa, thái độ đối với tệp đính kèm email, việc sử dụng Java và ActiveX, v.v. Nó nêu chi tiết các quy tắc này cho các cá nhân hoặc nhóm. Chúng ta không được quên biện pháp bảo vệ vật lý cơ bản - nếu ai đó có thể đột nhập vào phòng máy chủ và giành quyền truy cập vào máy chủ tệp chính hoặc rời khỏi văn phòng với đĩa mềm và đĩa dự phòng trong túi, thì tất cả các biện pháp khác trở nên hoàn toàn vô nghĩa và ngu ngốc.
Tất nhiên, chính sách này không được cho phép người ngoài xâm nhập vào mạng nhưng nó cũng phải thiết lập quyền kiểm soát đối với những nhân viên có khả năng vô đạo đức và làm việc không hiệu quả trong tổ chức của bạn. Phương châm của bất kỳ quản trị viên hệ thống bảo mật nào là “Đừng tin bất cứ ai!”
Bước đầu tiên trong quá trình xây dựng chính sách là quyết định người dùng nào sẽ có quyền truy cập vào thông tin và dịch vụ nào, khả năng gây hại và những biện pháp bảo vệ nào đã được áp dụng. Ngoài ra, chính sách bảo mật phải quy định một hệ thống phân cấp quyền truy cập, nghĩa là người dùng chỉ được cấp quyền truy cập vào thông tin họ thực sự cần để thực hiện công việc của mình.
Chính sách bảo mật nhất thiết phải phản ánh những điều sau:
– kiểm soát truy cập (cấm người dùng truy cập vào các tài liệu mà anh ta không được phép sử dụng);
– nhận dạng và xác thực (sử dụng mật khẩu hoặc các cơ chế khác để xác minh trạng thái người dùng);
– kế toán (ghi lại mọi hành động của người dùng trên mạng);
– dấu vết kiểm tra (nhật ký cho phép bạn xác định thời điểm và địa điểm xảy ra vi phạm bảo mật);
– độ chính xác (bảo vệ khỏi mọi vi phạm ngẫu nhiên);
– độ tin cậy (ngăn chặn sự độc quyền tài nguyên hệ thống của một người dùng);
– trao đổi dữ liệu (bảo vệ tất cả các thông tin liên lạc).
Quyền truy cập được xác định bởi chính sách tường lửa: quyền truy cập vào tài nguyên hệ thống và dữ liệu mạng có thể được mô tả ở cấp hệ điều hành và, nếu cần, được bổ sung bằng các chương trình bảo mật của bên thứ ba. Mật khẩu có thể là phần có giá trị nhất trong môi trường bảo mật của bạn, nhưng nếu được sử dụng hoặc xử lý sai, chúng có thể trở thành chìa khóa cho mạng của bạn. Chính sách mật khẩu tốt đặc biệt hữu ích khi quản lý ngân sách tạm thời để đảm bảo rằng ai đó không sử dụng mật khẩu hợp lệ sau khi nhân viên hoặc nhà thầu tạm thời đã hoàn thành công việc.
Một số hệ điều hành cũng cung cấp tùy chọn như trình độ chuyên môn, tức là chúng nhập mức độ khó mật khẩu tối thiểu. Trong các hệ thống này, quản trị viên bảo mật có thể chỉ cần đặt quy tắc “Không dễ đoán mật khẩu”. Ví dụ: hệ thống sẽ không chấp nhận mật khẩu chỉ chứa tên và tuổi của người dùng. Người dùng cuối thường, bất chấp mọi cảnh báo, chọn những con đường đơn giản nhất. Nếu phải xử lý quá nhiều mật khẩu, họ sẽ sử dụng cùng một mật khẩu, hoặc đặt mật khẩu dễ nhớ, hoặc tệ hơn là ghi chúng ra một tờ giấy rồi cất trong ngăn kéo, thậm chí dán tờ mật khẩu vào. trên màn hình của họ.
Sự dư thừa của các thiết bị bảo mật, tường lửa, cổng và VPN (mạng riêng ảo), cũng như nhu cầu truy cập dữ liệu công ty ngày càng tăng từ nhân viên, đối tác và khách hàng, tạo ra một môi trường bảo mật phức tạp khó quản lý. Các quy tắc cho nhiều thiết bị được liệt kê thường phải được chỉ định riêng.
Khi các tập đoàn lớn tiếp tục sáp nhập và mua lại các công ty nhỏ hơn, môi trường bảo mật (và toàn bộ mạng) ngày càng trở nên hỗn loạn và nhiều lớp. Khi điều này xảy ra, việc quản lý các quy tắc trở nên vô cùng khó khăn.
Tường lửa (cả phần cứng và phần mềm) cho phép bạn xác định ai có quyền truy cập mạng của bạn từ bên ngoài. Tất cả tường lửa đều thực hiện một số quy tắc; sự khác biệt là mức độ chi tiết và tính dễ sử dụng do giao diện quản lý cung cấp. Lý tưởng nhất là tường lửa giải quyết được ba vấn đề quan trọng:
– đặt quy tắc từ giao diện đồ họa trực quan;
– kiểm soát quyền truy cập ở cấp độ của các tệp và đối tượng riêng lẻ;
– nhóm các tệp và đối tượng để áp dụng chung các quy tắc cho chúng nhằm đơn giản hóa việc quản lý.
Ở cấp độ mạng, bạn có thể quản lý việc bảo vệ bằng các quy tắc theo nhiều cách. Một cách phổ biến là thông qua việc đánh địa chỉ, trong đó người dùng được gán vào một mạng con nội bộ cụ thể để giới hạn mức độ truy cập của họ. Lọc gói cho phép các gói được phép đi qua hoặc bị chặn khi chúng vượt qua các ranh giới nhất định, tùy thuộc vào địa chỉ người gửi hoặc người nhận.
Hệ thống bảo vệ hoạt động ở cấp độ ứng dụng; trong trường hợp này, các hệ thống hoặc ứng dụng chứa các gói tin sẽ nhắc người dùng nhập mật khẩu, xác minh mật khẩu và sau đó cấp quyền truy cập theo các quy tắc được xác định trước.
Vì vậy, như bạn đã hiểu, cơ sở của bất kỳ biện pháp bảo vệ nào là một cách tiếp cận có hệ thống. Để xây dựng một hệ thống phòng thủ thực sự hiệu quả, bạn cần suy nghĩ kỹ lưỡng. Đối với bất kỳ máy tính nào đang “nhìn” vào mạng, có ba điều quan trọng:
- bức tường lửa;
– phần mềm chống vi-rút;
– cập nhật quan trọng cho hệ điều hành của bạn.
Điều này đúng cho cả máy tính ở nhà và máy tính được kết nối với mạng công ty. Chúng ta hãy xem xét kỹ hơn từng điểm này.
5.1. Bức tường lửa
Tường lửa là một phương tiện bảo vệ chống lại sự xâm nhập từ bên ngoài và khỏi một số kiểu hack từ bên trong. Tường lửa là sự kết hợp giữa phần cứng và phần mềm được sử dụng để bảo vệ mạng khỏi sự can thiệp từ bên ngoài. Sử dụng tường lửa, bạn có thể tăng đáng kể tính bảo mật của mạng cục bộ.
Trong tài liệu về tường lửa, bạn thường thấy thuật ngữ máy chủ pháo đài. Cái tên “pháo đài” xuất phát từ một từ thời trung cổ mô tả các bức tường của một lâu đài. Pháo đài là một nơi kiên cố đặc biệt trong các bức tường của lâu đài, được thiết kế để đẩy lùi các cuộc tấn công. Máy tính pháo đài là máy tính được cài đặt đặc biệt để bảo vệ khỏi các cuộc tấn công trên mạng.
Các nhà thiết kế mạng sử dụng máy tính pháo đài làm tuyến phòng thủ đầu tiên. Máy tính pháo đài là một loại "rào cản" đối với mọi liên lạc giữa mạng và Internet. Nói cách khác, không có máy tính nào trên mạng có thể truy cập Internet ngoài thông qua máy tính pháo đài, và mặt khác, không người dùng nào bên ngoài mạng có thể truy cập mạng mà không thông qua máy tính pháo đài.
Bằng cách sử dụng quyền truy cập mạng tập trung thông qua một máy tính, an ninh mạng được đơn giản hóa. Hơn nữa, bằng cách chỉ cung cấp quyền truy cập Internet cho một máy tính trên mạng, nhà phát triển giúp nhà phát triển dễ dàng hơn nhiều trong việc lựa chọn phần mềm thích hợp để bảo vệ mạng. Hầu hết các môi trường Unix, bao gồm cả Linux, đều rất phù hợp để sử dụng máy tính pháo đài. Trong môi trường Unix, bạn có thể cài đặt một máy tính pháo đài bằng máy trạm hoặc máy chủ vì hệ điều hành đã có khả năng hỗ trợ và định cấu hình tường lửa IP. Bằng cách này, bạn có thể tiết kiệm chi phí cài đặt bộ định tuyến tường lửa (tức là không cần phải mua thêm phần cứng mạng có thể khiến bạn tốn hàng nghìn đô la). Ngoài ra, với Unix bạn có thể thoải mái cấu hình và xem lưu lượng mạng.
Hầu hết các công ty đều cung cấp cho nhân viên quyền truy cập Internet. Nếu nhân viên có quyền truy cập Internet, công ty phải đảm bảo rằng kết nối Internet diễn ra thông qua tường lửa. Ở đầu chương này, chúng ta đã nói rằng tường lửa là sự kết hợp giữa phần cứng và phần mềm để bảo vệ kết nối giữa hai hoặc nhiều mạng. Tường lửa cung cấp quyền kiểm soát trung tâm đối với an ninh mạng. Nó thường được xây dựng trên cơ sở cái gọi là máy tính pháo đài.
Ngoài phần cứng và phần mềm tường lửa truyền thống, để bảo mật tốt hơn, bạn có thể sử dụng bộ định tuyến tường lửa, là phần cứng và phần mềm lọc các gói dữ liệu dựa trên tiêu chí do quản trị viên chỉ định. Bạn có thể tạo bộ định tuyến che chắn dựa trên PC hoặc máy tính chạy Unix.
Lớp bảo vệ chống xâm nhập đầu tiên trên các mạng được kết nối với nhau là bộ định tuyến lá chắn, thực hiện lọc gói ở lớp mạng và liên kết dữ liệu, độc lập với lớp ứng dụng. Do đó, bộ định tuyến che chắn cho phép bạn kiểm soát chuyển động của dữ liệu trên mạng mà không cần thay đổi ứng dụng máy khách hoặc máy chủ.
Mặc dù bộ định tuyến này tương đối rẻ tiền và dễ sử dụng nhưng nó có thể không mang lại nhiều bảo mật. Ưu điểm chính của nó là nó hoạt động độc quyền ở lớp mạng và lớp vận chuyển của mô hình ISO/OSI.
Tuy nhiên, đây là con dao hai lưỡi. Để thực sự bảo vệ mạng khỏi sự can thiệp không mong muốn từ bên ngoài, tường lửa phải bảo vệ từng lớp của giao thức TCP/IP. Nhược điểm chính của bộ định tuyến lá chắn là chúng lọc dữ liệu dựa trên dữ liệu không đầy đủ. Các hạn chế được đặt trên các lớp mạng và liên kết chỉ cho phép truy cập vào địa chỉ IP, số cổng và cờ TCP. Do thiếu thông tin ngữ cảnh, các bộ định tuyến có thể gặp vấn đề khi lọc các giao thức như UDP.
Quản trị viên làm việc với bộ định tuyến sàng lọc nên biết rằng hầu hết các thiết bị lọc gói, bao gồm cả bộ định tuyến sàng lọc, không có cơ chế kiểm tra hoặc cảnh báo. Nói cách khác, các bộ định tuyến có thể bị tấn công và đẩy lùi một số lượng lớn chúng mà quản trị viên không hề hay biết. Vì vậy, để bảo vệ mạng, quản trị viên phải sử dụng thêm các công nghệ lọc gói khác kết hợp với việc sử dụng tường lửa.
Bởi vì tường lửa cung cấp khả năng lọc ở các lớp cao hơn của mô hình ISO/OSI, thay vì chỉ ở lớp mạng và liên kết dữ liệu, thông tin đầy đủ của lớp ứng dụng có thể được sử dụng cho tiêu chí lựa chọn. Đồng thời, việc lọc sẽ xảy ra ở cả cấp độ mạng và truyền tải. Ở đây tường lửa kiểm tra tiêu đề IP và TCP của các gói đi qua nó. Do đó, tường lửa sẽ loại bỏ hoặc cho phép các gói đi qua dựa trên các quy tắc lọc được xác định trước.
Như đã đề cập, tường lửa kiểm soát sự truy cập lẫn nhau của các mạng với nhau. Thông thường, tường lửa được cài đặt giữa mạng cục bộ và Internet. Nó ngăn người dùng trên toàn thế giới truy cập vào mạng riêng và kiểm soát quyền truy cập vào dữ liệu được lưu trữ trên đó. Tuy nhiên, điều quan trọng cần nhớ là tường lửa không phải là một phần cứng hoặc phần mềm sẽ làm mọi thứ cho bạn (bất chấp những gì nhà cung cấp có thể yêu cầu). Nó chỉ cung cấp nhiều cơ hội để bảo vệ mạng tối đa khỏi sự can thiệp từ bên ngoài mà không tạo ra bất kỳ sự bất tiện cụ thể nào cho người dùng mạng đã đăng ký. Để tạo tường lửa tốt nhất, bạn chỉ cần ngắt kết nối vật lý mạng của bạn khỏi Internet.
Như bạn đã biết, tất cả các hoạt động liên lạc trên mạng đều yêu cầu kết nối vật lý. Nếu mạng không được kết nối với Internet, người dùng của nó sẽ không bao giờ có thể xâm nhập hoặc tấn công mạng cục bộ. Ví dụ: nếu một công ty chỉ cần một mạng nội bộ cung cấp quyền truy cập vào cơ sở dữ liệu bán hàng và không cần mạng bị xâm nhập từ bên ngoài, thì công ty đó có thể cách ly mạng máy tính với phần còn lại của thế giới về mặt vật lý.
Nhu cầu về tường lửa nảy sinh khi một công ty muốn kết nối mạng cục bộ của mình với phần còn lại của thế giới bằng Internet.
Để đáp ứng nhu cầu của nhiều người dùng, có ba loại tường lửa: lớp mạng, lớp ứng dụng và lớp lược đồ. Mỗi loại trong số ba loại này có cách tiếp cận khác nhau đối với an ninh mạng. Hãy xem xét từng loại riêng biệt. Quyết định của bạn phải tính đến loại và mức độ bảo vệ cần thiết cho mạng và đây là yếu tố quyết định thiết kế tường lửa cần thiết. Hãy nhớ rằng hầu hết các tường lửa đều hỗ trợ một hoặc nhiều cấp độ mã hóa. Mã hóa là một cách để bảo vệ thông tin được truyền đi khỏi bị chặn. Nhiều tường lửa cung cấp khả năng mã hóa bảo vệ dữ liệu rời khỏi mạng bằng cách tự động mã hóa dữ liệu trước khi gửi lên Internet. Ngoài ra, chúng còn tự động giải mã dữ liệu đến trước khi gửi đến mạng cục bộ. Bằng cách sử dụng các tính năng mã hóa do tường lửa cung cấp, bạn có thể gửi dữ liệu qua Internet tới người dùng từ xa mà không phải lo lắng về việc ai đó vô tình chặn và đọc được dữ liệu đó.
Tường lửa lớp mạng là một bộ định tuyến che chắn hoặc một máy tính đặc biệt kiểm tra địa chỉ gói để xác định xem gói có được phép vào mạng cục bộ hay không. Như đã thảo luận, các gói chứa địa chỉ IP nguồn và đích, cũng như một loạt thông tin khác mà tường lửa sử dụng để kiểm soát quyền truy cập vào gói.
Ví dụ: bạn có thể định cấu hình tường lửa hoặc bộ định tuyến lớp mạng để chặn tất cả các tin nhắn đến từ trang web của một đối thủ cạnh tranh cụ thể và tất cả các tin nhắn được gửi đến máy chủ của đối thủ cạnh tranh từ mạng của bạn. Thông thường, việc định cấu hình bộ định tuyến sàng lọc để chặn một số gói nhất định được thực hiện bằng cách sử dụng tệp chứa địa chỉ IP của các trang web (đích) có gói cần bị chặn. Khi bộ định tuyến sàng lọc gặp một gói chứa địa chỉ được xác định trong tệp này, nó sẽ loại bỏ gói đó và ngăn không cho gói đó vào hoặc rời khỏi mạng cục bộ. Các nhà phát triển mạng thường gọi phương pháp này là “danh sách đen”. Hầu hết các phần mềm bộ định tuyến che chắn đều cho phép bạn đưa vào danh sách đen (chặn) các tin nhắn từ các trang web bên ngoài (nói cách khác là mạng bên ngoài), nhưng không phải từ những người dùng hoặc máy tính cụ thể trên mạng của bạn.
Hãy nhớ rằng gói đến bộ định tuyến che chắn có thể chứa bất kỳ lượng thông tin nào, chẳng hạn như tin nhắn email, yêu cầu đăng nhập Telnet (yêu cầu từ người dùng từ xa để truy cập vào máy tính của bạn). Tùy thuộc vào cách bạn xây dựng tệp bộ định tuyến lá chắn, bộ định tuyến lớp mạng sẽ cung cấp các chức năng khác nhau cho từng loại yêu cầu. Ví dụ: bạn có thể lập trình bộ định tuyến để người dùng Internet có thể xem trang Web của bạn nhưng không thể sử dụng FTP để truyền tệp đến hoặc từ máy chủ của bạn. Hoặc bạn có thể lập trình cho bộ định tuyến của mình để cho phép người dùng Internet tải tệp từ máy chủ của bạn xuống máy chủ của họ, nhưng không cho phép họ tải tệp từ máy chủ của họ về máy chủ của bạn. Thông thường, một bộ định tuyến che chắn được lập trình để nó xem xét các thông tin sau để quyết định có cho gói đi qua hay không:
– địa chỉ nguồn gói;
– địa chỉ đích của gói;
– loại giao thức phiên dữ liệu (ví dụ: TCP, UDP hoặc ICMP);
– cổng nguồn và cổng ứng dụng đích cho dịch vụ được yêu cầu;
– gói tin có phải là yêu cầu kết nối hay không. Nếu bạn đã cài đặt và cấu hình chính xác tường lửa lớp mạng của mình, hoạt động của nó sẽ khá nhanh và gần như vô hình đối với người dùng. Tất nhiên, với những người nằm trong danh sách đen thì điều này sẽ không xảy ra chút nào.
Tường lửa cấp ứng dụng thường là một máy tính cá nhân sử dụng phần mềm máy chủ hòa giải. Vì vậy, nó thường được gọi là máy chủ proxy. Cái tên “máy chủ trung gian” xuất phát từ chữ “proxy” - phó, trung gian.
Máy chủ trung gian cung cấp liên lạc giữa người dùng mạng cục bộ và máy chủ của mạng được kết nối (bên ngoài). Nói cách khác, máy chủ trung gian kiểm soát việc truyền dữ liệu giữa hai mạng. Trong một số trường hợp, nó có thể quản lý tất cả tin nhắn của một số người dùng mạng. Ví dụ: người dùng mạng truy cập Internet thông qua máy chủ proxy sẽ xuất hiện là máy chủ proxy cho các máy tính khác trên Internet (nói cách khác, người dùng đang sử dụng địa chỉ TCP của máy chủ proxy).
Trong mạng, máy chủ trung gian có thể cung cấp quyền truy cập vào một số thông tin bí mật nhất định (ví dụ: cơ sở dữ liệu bí mật) mà không cần truyền (bằng văn bản thuần túy) mật khẩu của khách hàng. Khi bạn sử dụng tường lửa lớp mạng, mạng cục bộ của bạn không được kết nối với Internet. Hơn nữa, luồng dữ liệu di chuyển trên một mạng không bao giờ giao nhau với luồng dữ liệu di chuyển trên mạng khác, vì cáp mạng của các mạng này không được kết nối với nhau. Máy chủ hòa giải truyền một bản sao riêng cho mỗi gói đến từ mạng này sang mạng khác, bất kể gói đó chứa dữ liệu đến hay đi. Tường lửa lớp ứng dụng che giấu một cách hiệu quả nguồn gốc của yêu cầu kết nối và bảo vệ mạng của bạn khỏi những người dùng Internet có thể cố gắng lấy thông tin về mạng riêng của bạn.
Vì Máy chủ hòa giải hiểu các giao thức mạng nên bạn có thể lập trình nó để theo dõi dịch vụ nào bạn yêu cầu. Ví dụ: một máy chủ proxy có thể được cấu hình để cho phép khách hàng tải xuống các tập tin ftp từ máy chủ của bạn, nhưng sẽ không cho phép khách hàng tải các tập tin ftp xuống máy chủ của bạn.
Máy chủ hòa giải cung cấp nhiều chức năng truy cập như HTTP, Telnet, FTP. Không giống như bộ định tuyến, bạn cần cài đặt các máy chủ proxy khác nhau cho các dịch vụ mạng khác nhau. Các máy chủ trung gian phổ biến nhất cho các mạng dựa trên Unix và Linux là Bộ công cụ tường lửa Internet TIS và SOCKS. Để biết thêm thông tin về Máy chủ hòa giải Bộ công cụ tường lửa Internet TIS, hãy truy cập trang Web tại http://www.tis.com/docs/products/fivtk/index.html.
Nếu bạn đang sử dụng máy chủ chạy trên Windows NT thì máy chủ proxy được hỗ trợ bởi cả Microsoft Internet Information Server và Netscape Commerce Server. Sau khi bạn cài đặt Máy chủ hòa giải lớp ứng dụng, người dùng trên mạng của bạn phải sử dụng phần mềm máy khách hỗ trợ Máy chủ hòa giải.
Các nhà thiết kế mạng đã tạo ra nhiều giao thức TCP/IP, bao gồm HTTP, FTP và các giao thức khác hỗ trợ máy chủ trung gian. Hầu hết các trình duyệt Web có thể được người dùng dễ dàng cấu hình để hỗ trợ máy chủ proxy bằng cách sử dụng các tùy chọn phần mềm của trình duyệt. Thật không may, các giao thức Internet khác không có khả năng hỗ trợ các máy chủ trung gian. Trong những trường hợp như vậy, bạn phải chọn một ứng dụng Internet dựa trên việc nó có tương thích với các giao thức trung gian tiêu chuẩn hay không. Ví dụ: các ứng dụng hỗ trợ giao thức proxy SOCKS là một lựa chọn tốt nếu toàn bộ mạng của bạn dựa trên SOCKS.
Khi cài đặt tường lửa cấp ứng dụng, bạn cũng nên đánh giá xem người dùng trên mạng của bạn có sử dụng phần mềm máy khách hỗ trợ dịch vụ môi giới hay không. Tường lửa lớp ứng dụng cung cấp khả năng dễ dàng giám sát các loại và số lượng truyền dữ liệu trên trang web của bạn. Bởi vì tường lửa lớp ứng dụng thiết lập sự tách biệt vật lý xác định giữa mạng cục bộ và Internet nên chúng đáp ứng các yêu cầu bảo mật cao nhất. Tuy nhiên, do chương trình phải phân tích các gói và đưa ra quyết định về cách kiểm soát quyền truy cập vào chúng nên tường lửa cấp ứng dụng chắc chắn sẽ làm giảm hiệu suất mạng. Nói cách khác, chúng chậm hơn đáng kể so với tường lửa cấp mạng.
Nếu bạn quyết định sử dụng tường lửa cấp ứng dụng, bạn nên sử dụng máy tính nhanh hơn làm máy chủ proxy.
Tường lửa lớp giao tiếp tương tự như tường lửa lớp ứng dụng ở chỗ chúng đều là máy chủ proxy. Sự khác biệt là tường lửa lớp giao tiếp không yêu cầu các ứng dụng đặc biệt để giao tiếp giữa Máy chủ hòa giải và máy khách. Như đã đề cập, tường lửa lớp ứng dụng yêu cầu phần mềm máy chủ trung gian đặc biệt cho từng dịch vụ mạng như FTP hoặc HTTP.
Tường lửa lớp giao tiếp tạo kết nối giữa máy khách và máy chủ mà không yêu cầu ứng dụng biết bất kỳ điều gì về dịch vụ được cung cấp. Nói cách khác, máy khách và máy chủ giao tiếp thông qua tường lửa lớp liên kết mà không giao tiếp với chính tường lửa. Tường lửa lớp giao tiếp chỉ bảo vệ giai đoạn đầu của giao dịch và không can thiệp vào tiến trình tiếp theo của nó.
Ưu điểm của tường lửa lớp liên kết là chúng hỗ trợ một số lượng lớn các giao thức. Như bạn đã biết, tường lửa lớp ứng dụng yêu cầu một nhà môi giới lớp ứng dụng riêng cho từng loại dịch vụ được cung cấp bởi tường lửa. Mặt khác, nếu bạn sử dụng tường lửa lớp liên kết cho HTTP, FTP hoặc Telnet, bạn không cần thay đổi các ứng dụng hiện có hoặc thêm máy chủ proxy mới cho mỗi dịch vụ. Tường lửa lớp liên kết cho phép người dùng làm việc với phần mềm hiện có.
Ngoài ra, tường lửa lớp liên kết chỉ sử dụng một máy chủ proxy. Như bạn có thể mong đợi, sử dụng một máy chủ proxy dễ dàng hơn nhiều so với việc cài đặt nhiều máy chủ.
Vì vậy, hãy chuyển từ lý thuyết sang thực hành. Hãy xem xét việc tăng cường bảo vệ cá nhân cho máy tính của bạn bằng cách sử dụng Tường lửa Agnitum Outpost 2.1 nổi tiếng. Đây chắc chắn là người dẫn đầu trong gia đình tường lửa cá nhân, đã nhiều lần khẳng định xuất sắc danh tiếng của mình. Tôi lưu ý rằng chúng ta không nói về tường lửa chuyên nghiệp được cài đặt trên máy chủ mà là về bảo vệ cá nhân. Mặc dù tác giả đã có kinh nghiệm sử dụng chương trình này trên máy chủ nhưng việc bảo vệ máy chủ vẫn là vấn đề đối với các chương trình khác.
Tường lửa Agnitum Outpost (http://www.agnitum.com/products/outpost/) là một trong những đại diện trẻ nhất của loại chương trình này. Tuy nhiên, dù còn non trẻ nhưng nó vẫn là một đối thủ nặng ký ngay cả đối với Zone Alarm. Chương trình ra mắt bản thử nghiệm beta cách đây không lâu đã có mặt trên máy tính của nhiều người dùng Internet và có vẻ như phần lớn sẽ không rời bỏ sản phẩm phần mềm này.
Sự phổ biến rộng rãi của chương trình là điều khá dễ hiểu: tường lửa mạnh mẽ, khả năng kết nối các mô-đun bổ sung và mọi thứ mà người dùng bình thường có thể cần đều đã có ngay từ thời điểm cài đặt và ngoài ra, một trong những thời điểm quyết định khi chọn chương trình. chương trình là giao diện tiếng Nga.
Nó có thể được so sánh với một ổ khóa trên cửa nhà bạn. Bạn có thể tin tưởng hầu hết những người hàng xóm của mình mà không sợ họ sẽ xâm chiếm nhà bạn, phá hoại hay trộm cắp bất cứ thứ gì. Thông thường chỉ có một vài trong số họ là không đáng tin cậy. Tuy nhiên, nếu khu vực của bạn đông dân cư thì số lượng người không đáng tin cậy sẽ tăng lên.
Trên Internet chúng ta thấy tình trạng tương tự, chỉ có số lượng hàng xóm lên tới hàng trăm triệu. Chỉ một tỷ lệ nhỏ trong số những người này có khuynh hướng côn đồ, nhưng con số đó đã là rất nhiều rồi. Tường lửa Outpost không chỉ đóng cửa máy tính của bạn mà còn khiến nó trở nên vô hình trên Internet. Trong điều kiện bình thường, máy tính sẽ gửi địa chỉ của nó qua mạng. Nó giống như biển số nhà hay biển số ô tô của bạn vậy. Địa chỉ này có thể được nhìn thấy bởi những người dùng khác. Outpost khiến nó trở nên vô hình trên Internet, kể cả với tin tặc: đơn giản là chúng sẽ không thể xác định rằng máy tính của bạn có được kết nối với mạng hay không.
Ưu điểm chính của Tường lửa Outpost:
– bảo vệ máy tính ngay sau khi cài đặt;
– có cài đặt mặc định cho người dùng mới;
– sự bảo vệ tối ưu diễn ra tự động trong quá trình cài đặt;
– người dùng có kinh nghiệm có thể định cấu hình tường lửa theo ý muốn;
– làm cho máy tính trở nên vô hình trên Internet;
– bảo vệ các cổng máy tính đang mở khỏi sự xâm nhập;
– người dùng có thể chỉ định danh sách các ứng dụng đáng tin cậy;
– việc sử dụng các plug-in để cải thiện chức năng của tường lửa;
– bảo vệ máy tính khỏi sự điều khiển từ máy chủ từ xa;
– cảnh báo người dùng về nỗ lực của một ứng dụng ẩn nhằm gửi “tín hiệu phản hồi” cho tin tặc;
– hỗ trợ tất cả các phiên bản Windows mới nhất, duy trì các chức năng của nó trong trường hợp cập nhật hệ thống;
– sử dụng ít tài nguyên hệ thống cho công việc của nó và sẽ không ảnh hưởng đáng kể đến hiệu suất hệ thống của bạn;
– Nhật ký sự kiện cho phép bạn xem bất kỳ sự kiện nào xảy ra trong hệ thống;
– vượt qua thành công “các bài kiểm tra tính dễ bị tổn thương” nổi tiếng;
– hỗ trợ đa ngôn ngữ: Tường lửa Outpost có 14 ngôn ngữ, bao gồm cả tiếng Nga.
Vẻ ngoài của chương trình không có gì nổi bật trong số các ứng dụng Windows, mọi thứ đều nghiêm ngặt. Cửa sổ chương trình được chia thành ba phần chính: thanh menu chính ở trên cùng; bên trái là các thành phần chính như kết nối, file nhật ký và plugin; bên phải là bảng thông tin.
Ngay sau khi cài đặt Tường lửa Outpost, bạn nên xem “Cài đặt”. Ở đó, bạn có thể xác định xem có nên khởi chạy chương trình cùng với việc tải hệ điều hành hay không, liệu cài đặt có được bảo vệ bằng mật khẩu hay không, thêm các ứng dụng cơ bản cần có để có thể truy cập Internet, đặt các quy tắc chung cho các ứng dụng “đang hoạt động”, hiểu chính sách chương trình và định cấu hình/tải xuống các mô-đun bổ sung.
Outpost Tường lửa chuyên nghiệp đi kèm với 6 mô-đun bổ sung - Quảng cáo, Nội dung, DNS, Nội dung hoạt động, Bảo vệ tệp, Trình phát hiện tấn công:
- Quảng cáo. Mô-đun này được sử dụng để xóa các trang HTML khỏi các biểu ngữ quảng cáo xâm nhập, nhiệm vụ của nó, theo nhiều người dùng, là thu hút thêm lưu lượng truy cập cho chính họ. Phương pháp xử lý nó khá đơn giản: cắt một dòng được mô tả trước đó khỏi mã html hoặc cắt hình ảnh theo một kích thước nhất định mà bạn có thể tự đặt. Nếu biểu ngữ vẫn tiếp tục gây khó chịu, thì có một giỏ đặc biệt dành cho mục đích này, bạn có thể gửi nó vào đó bằng cách chuyển nó;
– DNS. Mô-đun này lưu tên DNS để sử dụng sau này trong mô-đun Nội dung Hoạt động;
– Nội dung hoạt động. Mô-đun này điều khiển hoạt động của các phần tử sau: ActiveX; Các ứng dụng Java; các chương trình bằng ngôn ngữ Java Script và VB Script; bánh quy; cửa sổ bật lên; liên kết (người giới thiệu), tức là khả năng lấy URL mà từ đó bạn đã truy cập vào một trang Web nhất định. Bạn có quyền quyết định điều gì nên bị cấm hoặc được phép, nhưng tôi thực sự khuyên bạn nên chú ý đến mục “Cửa sổ bật lên”. Nhưng đừng quên rằng bạn càng đặt ra nhiều hạn chế đối với nội dung của một trang web thì bạn càng ít có khả năng nhìn thấy nó ở dạng mà tác giả dự định;
- Bảo vệ tập tin. Mô-đun này được thiết kế để tổ chức kiểm tra các tệp đính kèm đến hộp thư của bạn. Bạn có thể đặt tệp ở chế độ quét vi-rút hoặc nhận cảnh báo từ Tường lửa Outpost.
Bạn có thể tạo quy tắc của riêng mình cho từng loại tệp;
- Máy dò tấn công. Mô-đun này cho phép bạn đặt các điều kiện để đưa ra cảnh báo khi máy tính của bạn bị tấn công. Có ba cấp độ chính:
mức báo động hoang tưởng – một cảnh báo được đưa ra nếu phát hiện ngay cả một lần quét cổng;
mức cảnh báo bình thường - cảnh báo được đưa ra nếu một số cổng hoặc cổng có số được xác định trong hệ thống được quét (tức là trong các tình huống mà hệ thống nhận ra là một cuộc tấn công vào máy tính); mức độ báo động thờ ơ – một cảnh báo được đưa ra trong trường hợp có nhiều cuộc tấn công rõ ràng. Để tải xuống các phiên bản mới của các thành phần chương trình từ trang web của nhà phát triển, bạn nên sử dụng hệ thống cập nhật tự động để luôn có phiên bản mới nhất của chương trình.
Vì vậy, nếu bạn cần một tường lửa cá nhân không thể xuyên thủng với các cài đặt nâng cao, các plug-in hữu ích và giao diện tiếng Nga, thì Outpost Tường lửa pro là dành cho bạn.
Tường lửa Outpost hoạt động với tất cả các phiên bản Windows, bao gồm cả Windows XP. Đúng, công ty phát triển yêu cầu 500 rúp cho tất cả niềm vui, nhưng đây không phải là lý do để rơi vào tuyệt vọng. Có một phiên bản miễn phí của chương trình này thiếu một số tính năng bổ sung nhưng vẫn là một tường lửa cá nhân tuyệt vời. Nhân tiện, theo tôi, 500 rúp. một số tiền khá thực tế để mua chương trình này, đặc biệt đối với những người tích cực sử dụng Internet.
Bây giờ chúng ta hãy xem việc thiết lập chương trình này.
Một số cài đặt được thực hiện trực tiếp ở giai đoạn cài đặt sản phẩm: Outpost sẽ tìm kiếm các chương trình trao đổi dữ liệu qua Mạng và tạo quy tắc cho chúng mà nó thấy cần thiết. Người dùng được yêu cầu chấp nhận các điều khoản này bằng cách chọn hộp kiểm. Danh sách các chương trình trực tuyến có sẵn để xem bằng cách nhấp vào nút Chi tiết khác.
Trong trường hợp thể hiện trong hình, danh sách này khá lớn. Ví dụ: hoàn toàn không cần thiết, chẳng hạn như Adobe Acrobat kết nối với máy chủ của nó mà tôi không biết để kiểm tra các bản cập nhật, đó là lý do tại sao lá cờ đối diện với sản phẩm này đã bị xóa: nếu cần, chúng tôi sẽ chuyển nó TRÊN. Tôi rất vui vì ngay cả ở giai đoạn cài đặt, Outpost đã quan tâm đến việc tạo các quy tắc cho tất cả các trình duyệt thư và ứng dụng khách FTP có sẵn trong hệ thống.
Bước tiếp theo yêu cầu bạn chấp nhận các quy tắc kết nối mạng, nếu có. Sự tò mò về vấn đề này được thỏa mãn bằng cách nhấp vào nút “Thêm” quen thuộc.
Sự nghi ngờ có vẻ quá mức đối với Outpost là điều dễ hiểu: nếu một mô-đun phần mềm gián điệp (bạn có nhớ về việc hack “từ bên trong” không?) hoặc một ứng dụng không mong muốn khác đã xâm nhập vào hệ thống, thì việc cấm hoạt động mạng của kẻ thù ngay từ giai đoạn đầu sẽ dễ dàng hơn nhiều.
Bây giờ, hãy định cấu hình cài đặt tường lửa chính bằng cách chọn lệnh “Chung” (F2) trong menu “Tùy chọn” của cửa sổ chính. Theo mặc định, "Chế độ bình thường" để tải chương trình được chọn, trong đó Outpost sẽ bật mỗi khi hệ điều hành khởi động và đặt biểu tượng của nó vào vùng thông báo.
Để tải xuống ở chế độ nền, bạn nên kiểm tra tham số cùng tên trong phần “Tải xuống” và nếu vì lý do nào đó, việc tự động khởi chạy tường lửa là không mong muốn, chỉ cần bật tùy chọn “Không tải xuống”.
Tất cả các cài đặt chương trình có thể được bảo vệ bằng mật khẩu. Tôi không khuyên bạn nên bỏ qua cơ hội này: bảo mật máy tính không chấp nhận sự phù phiếm.
Trong phần “Bảo vệ mật khẩu”, bạn cần chọn tùy chọn “Bật” và sử dụng nút “Đặt” để nhập các ký tự được yêu cầu.
Sau đó, trong cửa sổ cài đặt, hãy chuyển đến tab “Chính sách”, nơi chỉ ra 5 chế độ hoạt động của chương trình. Chế độ “Cho phép” sẽ trao quyền tự do cho tất cả các ứng dụng không bị cấm rõ ràng, tức là không nằm trong danh sách “Ứng dụng bị cấm”; ở chế độ “Chặn”, tất cả các ứng dụng không được cho phép rõ ràng sẽ bị cấm; Chế độ “Từ chối” chắc chắn sẽ chặn quyền truy cập vào mạng đối với tất cả các ứng dụng, còn chế độ “Tắt” sẽ ru ngủ hoàn toàn mọi cảnh giác của Outpost Tường lửa.
Theo mặc định, chế độ đào tạo được chọn: trong trường hợp này, mỗi lần người dùng được yêu cầu chấp nhận quy tắc tạo sẵn cho một ứng dụng (ví dụ: đối với ứng dụng khách email tiêu chuẩn) hoặc tự tạo quy tắc đó, hoặc cấm vô điều kiện một ứng dụng cụ thể khỏi hoạt động mạng. Chế độ này hoàn toàn phù hợp với đại đa số người dùng.
Bây giờ về việc thiết lập ứng dụng và tạo quy tắc. Việc thiết lập ứng dụng được điều khiển bởi tab cùng tên trong cửa sổ thông số (Hình 3). Phần Cấp độ Người dùng liệt kê tất cả các ứng dụng được phép hoạt động mạng. Nhưng những nghi ngờ thường nảy sinh về việc liệu có cần thiết hay không, chẳng hạn như cho phép DWWIN.EXE truy cập Internet. Để tìm ra “tên thật của trinh sát”, bạn nên chọn tên ứng dụng, nhấp vào nút “Chỉnh sửa” và chọn lệnh “Tạo quy tắc” từ menu thả xuống.
Trong cửa sổ mở ra, tôi được thông báo rằng ứng dụng DWWIN.EXE không gì khác hơn là Báo cáo lỗi ứng dụng của Microsoft, kết nối qua TCP với một máy chủ mà mọi người đều biết. Tôi muốn tránh gửi báo cáo lỗi. Vì vậy, tôi đã cấm khởi chạy DWWIN.EXE bằng lệnh “Thay đổi” > “Cấm” khởi chạy ứng dụng này. Đối với nhiều chương trình, Outpost đi kèm với các quy tắc tối ưu ngay từ đầu. Ví dụ: nếu bạn quyết định cài đặt và chạy Outlook Express, tường lửa sẽ ngay lập tức đề nghị cho phép ứng dụng này hoạt động dựa trên quy tắc tạo sẵn dành riêng cho ứng dụng email cụ thể này.
Bây giờ hãy thử tạo quy tắc cho ứng dụng bằng hai ví dụ cụ thể. Khi khởi chạy eMule máy khách P2P nổi tiếng, tường lửa sẽ nhắc người dùng đưa ra lựa chọn về những việc cần làm với ứng dụng này. Trong trường hợp này, “con lừa” tìm cách kết nối với địa chỉ IP 207.44.142.33 qua cổng 4661 (Hình 4.).
Hãy tưởng tượng rằng đây không phải là eMule mà là một chương trình nhất định được phép truy cập Internet, nhưng không phải đến mọi địa chỉ. Sau đó, chọn tùy chọn duy nhất “Khác” và nhấp vào nút “OK”, sau đó cửa sổ tạo quy tắc sẽ mở ra với mô tả chính xác chương trình này đang cố gắng thực hiện điều gì.
Tất nhiên, hoạt động của con la được hiển thị là hoàn toàn bình thường, hơn nữa, nó được chúng tôi hoan nghênh nên chúng tôi sẽ chọn “Cho phép dữ liệu này”, sau đó chúng tôi sẽ có một quy tắc như Quy tắc EMULE số 1, mô tả và cho phép loại dữ liệu cụ thể này hoạt động ứng dụng (Hình 5).
Lần tới, nếu hoạt động thuộc loại khác (địa chỉ từ xa, giao thức hoặc cổng khác), bạn sẽ cần phải lặp lại các thao tác này.
Nếu hoạt động mạng yêu cầu quyền truy cập vào Mạng không được chấp nhận (ví dụ: chúng tôi không hài lòng với địa chỉ từ xa), thì trong hộp thoại chỉnh sửa quy tắc, chúng ta nên chọn “Chặn”. Lần tới (trong ví dụ của chúng tôi, trong trường hợp địa chỉ IP mong muốn khác), chúng tôi có thể tạo quy tắc, ngược lại, cho phép hoạt động đó. Cuối cùng, khi một ứng dụng đã sử dụng hết tất cả các hoạt động điển hình của nó, chúng ta sẽ tạo ra tất cả các quy tắc mô tả ứng dụng đó.
Một ví dụ khác: Outpost cảnh giác đã cảnh báo tôi rằng máy tính đang cố gắng thiết lập kết nối bằng cái gọi là giao thức IGMP với địa chỉ từ xa 224.0.0.22 và yêu cầu tôi xác nhận quyền làm như vậy của nó. Một mặt, tôi không có lý do gì để không tin tưởng Outpost, mặt khác, đã có điều gì đó đáng suy nghĩ ở đây rồi.
Trong trường hợp này, hệ điều hành của tôi gửi một gói được gọi là gói "phát sóng" với mục đích thông báo cho tất cả các máy tính trong mạng gia đình cục bộ của tôi rằng máy tính của tôi đã được bật và không có gì khác. Nếu bạn không có mạng và kết nối của bạn với nhà cung cấp được thực hiện trực tiếp thì gói và tin nhắn này được dành riêng cho nhà cung cấp. Nói cách khác, nó không gì khác hơn là hoạt động của Windows. Nếu bạn có một địa chỉ IP cố định và bạn không muốn mọi người trong mạng của mình biết rằng bạn đang “ở ngoài thế giới” thì tốt hơn hết bạn nên cấm hoạt động đó. Đối với địa chỉ 224.0.0.22, đây là địa chỉ tiêu chuẩn được Windows sử dụng trong trường hợp này: chương trình định tuyến gửi định kỳ các yêu cầu đến nhóm làm việc để yêu cầu tư cách thành viên của một máy cụ thể trên mạng cục bộ nhất định.
Hãy chuyển sang thiết lập các tham số mạng. Tab "Hệ thống". Theo mặc định, Outpost tự động tìm và áp dụng các cài đặt kết nối mạng mới, cho phép tất cả các kết nối NetBIOS. Việc có tin cậy địa chỉ này hay địa chỉ địa phương đó hay không là tùy thuộc vào bạn (phần “Cài đặt mạng”).
Trong phần “ICMP” > “Thông số” có các cài đặt cho các thông báo giao thức ICMP được truyền đi khi xảy ra nhiều tình huống khác nhau, bao gồm cả các tình huống sai sót. Chúng được tạo bởi các chương trình phân tích trạng thái của Mạng, bao gồm ping và traceroute. Để hoạt động bình thường trên Internet, bạn cần có khả năng nhận được ba loại tin nhắn ICMP (“trả lời tiếng vang”, “không thể truy cập người nhận” và “datagram đã hết thời gian chờ”) và gửi hai loại (“không thể truy cập người nhận” và “yêu cầu tiếng vang” ) . Bạn nên tắt tính năng nhận và gửi các tin nhắn khác - khi đó chúng sẽ bị chặn.
Outpost sử dụng các cài đặt này theo mặc định nên bạn sẽ không phải cấu hình lại bất cứ thứ gì. Tuy nhiên, nếu bạn là người dùng có kinh nghiệm và cần cho phép nhận hoặc gửi tin nhắn ICMP bị tường lửa chặn, bạn có thể dễ dàng thực hiện việc này chỉ bằng một cú nhấp chuột trong cửa sổ cài đặt tương ứng (Hình 6).
Chế độ ẩn được bật theo mặc định (phần “Chế độ hoạt động”) và các tham số để chỉnh sửa quy tắc chung đều nằm trong phần cùng tên. Theo ý kiến khiêm tốn của tôi, không cần phải thay đổi các quy tắc chung do các nhà phát triển đặt ra.
Như đã đề cập ở trên, Agnitum Outpost Tường lửa có cấu trúc mô-đun, nghĩa là nó có khả năng kết nối một số mô-đun thực thi. Hãy xem cài đặt của các plugin chính.
Mô-đun Interactive Elements có thể chặn các phần tử ActiveX, ứng dụng Java và cửa sổ bật lên không mong muốn (tất cả đều được cho phép theo mặc định). Để gọi các cài đặt, hãy chọn tên của mô-đun này và chọn lệnh “Thuộc tính” từ menu ngữ cảnh (Hình 7). Ở đó, bạn cũng có thể cấm gọi các URL không mong muốn: tab “Ngoại lệ” > nút “Thêm”.
Plugin Attack Detector được bật theo mặc định và là một trong những công cụ chính và hữu ích nhất của tường lửa này. Trong menu ngữ cảnh, chọn lệnh “Tùy chọn” và mở cửa sổ cài đặt trình phát hiện tấn công. Sử dụng công cụ này, chúng tôi sẽ đặt một trong ba mức cảnh báo mà tại đó chương trình sẽ đưa ra cảnh báo.
Theo mặc định, mức độ phát hiện cuộc tấn công khi quét nhiều cổng được chọn. Bạn nên kiểm tra các tùy chọn “Chặn kẻ tấn công”, “Chặn mạng con của kẻ tấn công” và “Chặn cổng cục bộ nếu phát hiện thấy cuộc tấn công DoS”. Tất cả thông tin về các nỗ lực kết nối với máy tính của bạn sẽ được hiển thị trong bảng thông tin bên phải. Chúng ta hãy xem xét kỹ hơn hai ví dụ thực tế.
Nếu Outpost báo cáo các yêu cầu kết nối nhưng không hiển thị giá trị 0 cho các cuộc tấn công và quét cổng, đừng lo lắng - đây là hoạt động mạng bình thường. Tất nhiên, một máy tính mạng cục bộ có địa chỉ hiển thị trong thông báo có thể bị nhiễm vi-rút. Nhưng đây không phải là một cuộc tấn công.
Nhưng cuộc sống không phải lúc nào cũng quang đãng như vậy: trong hình. 8. (ảnh chụp màn hình từ phiên bản trước của chương trình) hiển thị ví dụ về một cuộc tấn công RST thực sự và Outpost ngay lập tức cung cấp thông tin về IP của kẻ tấn công và URL thực.
Cài đặt mô-đun Quảng cáo cho phép chặn quảng cáo theo cả chuỗi HTML và theo kích thước biểu ngữ (cả hai tham số đều được bật theo mặc định). Công cụ “Thùng rác” dành cho quảng cáo rất tiện lợi khi lướt web: chỉ cần kéo biểu ngữ không mong muốn vào giỏ này để loại bỏ vĩnh viễn quảng cáo cụ thể.
Trên tab “Chung” trong cửa sổ cài đặt, bạn có thể thêm danh sách các trang web đáng tin cậy có biểu ngữ sẽ không bị chặn.
Mô-đun “Nội dung” cho phép bạn “tinh chỉnh” lệnh cấm đối với một số trang Internet nhất định. Trên tab “Chặn theo nội dung”, chỉ cần nhập các từ “tục tĩu” là đủ để trình duyệt không hiển thị trang chứa những dòng này: rất hữu ích cho các bậc cha mẹ yêu trẻ...
Trên tab “Chặn trang web”, quản trị viên hệ thống gia đình có thể nhập một nhóm URL bị cấm mà người dùng gia đình không muốn xem.
Tất nhiên, một chương trình như vậy cần có một cuốn nhật ký để lưu giữ nhật ký công việc. Cửa sổ Outpost Log được sử dụng để xem thông tin hiện tại do tường lửa cung cấp.
Để gọi “Nhật ký”, bạn cần mở menu “Công cụ” của cửa sổ chính và chọn lệnh “Xem nhật ký” hoặc sử dụng nút “Hiển thị nhật ký” trong bảng thông tin.
Hơn nữa, bạn có thể xem tất cả các báo cáo về công việc được thực hiện trong một khoảng thời gian nhất định: ví dụ: những cuộc tấn công nào đã được thực hiện (và liệu có cuộc tấn công nào); những gói hàng đáng ngờ nào được chuyển qua trước con mắt cảnh giác của Outpost, v.v.
Từ cuốn sách Bảo vệ máy tính của bạn tác giả Yaremchuk Serge AkimovichChương 5 Hệ thống phản ánh tấn công Lý do xuất hiện và nguyên tắc hoạt động Bảo vệ máy tính của bạn bằng Kaspersky Internet Security Hệ thống bảo mật công cộng Prevx1 Để bảo vệ hệ thống máy tính, nhiều chương trình hiện đã được phát triển để thực hiện một nhiệm vụ cụ thể.
Từ cuốn sách Làm việc trên máy tính xách tay tác giả Alexey SadovskyChương 20 Bảo vệ khỏi virus Kaspersky Anti-Virus NOD32 Các bác sĩ nói: phòng bệnh là cách chữa trị tốt nhất. Những từ này không chỉ áp dụng cho y học. Cách đây vài chục năm, máy tính cũng bắt đầu bị nhiễm virus. Virus máy tính được tạo ra bởi con người. Để làm gì? Đây không phải là sự thật
Từ cuốn sách Bảo vệ máy tính của bạn 100% khỏi virus và tin tặc tác giả Boytsev Oleg Mikhailovich1.3. Một số kiểu tấn công mạng Tấn công mạng từ lâu đã là nền tảng của không gian mạng hiện đại. Trộm cắp dữ liệu bí mật, trộm mật khẩu truy cập, phá hủy giao diện (hack, dẫn đến việc thay thế trang chính của trang web) của các trang web và
Từ cuốn sách Wi-Fi. Mạng không dây bởi Ross JohnChương 4 Bảo vệ chống phần mềm độc hại? Phân loại ngắn gọn phần mềm độc hại? Lựa chọn phần mềm diệt virus tốt nhất? Bảo vệ máy tính của bạn khỏi ngựa Trojan? Trừ tà thực tế - trục xuất "mã ác" bằng tay không Những phiên bản phần mềm độc hại mới nhất không bị phát hiện
Từ cuốn sách Nguyên tắc cơ bản của khoa học máy tính: Sách giáo khoa cho các trường đại học tác giả Malinina Larisa AlexandrovnaChương 4. Cài đặt và cấu hình giao diện mạng Cài đặt bộ điều hợp mạng không dây dễ hơn cài đặt điểm truy cập vì hầu hết các bộ điều hợp mạng đều là thiết bị cắm và chạy. Bất chấp thể chất
Từ cuốn sách Công cụ mạng Linux bởi Smith Roderick W.Chương 11 Bảo vệ thông tin 11.1. Những nguyên tắc cơ bản của việc bảo vệ thông tin và thông tin cấu thành bí mật nhà nước Khái niệm “thông tin” ngày nay được sử dụng rất rộng rãi và linh hoạt. Rất khó để tìm thấy một lĩnh vực kiến thức mà nó không được sử dụng. Thông tin khổng lồ
Từ cuốn sách HƯỚNG DẪN DÀNH CHO NHÀ PHÁT TRIỂN CƠ SỞ DỮ LIỆU Firebird bởi Borri HelenChương 1 Cấu hình mạng kernel “Mọi con đường đều dẫn đến Rome,” câu tục ngữ nói. Có thể nói điều gì đó tương tự về các công cụ mạng Linux; trong trường hợp này, nhân hệ điều hành đóng vai trò là Rome. Sớm hay muộn, tất cả lưu lượng truy cập mạng sẽ được kernel xử lý. Nhiều
Từ cuốn sách Tạo trò chơi cho điện thoại di động bởi Morrison MichaelChương 2 Cấu hình mạng TCP/IP Mặc dù kernel là thành phần chính của hệ thống Linux và, cùng với các nhiệm vụ khác, kiểm soát quá trình giao tiếp qua mạng, việc thiết lập một hệ thống cho mạng không chỉ dừng lại ở việc cấu hình kernel. Trong này
Từ cuốn sách Tấn công trên Internet tác giả Medvedovsky Ilya DavydovichCHƯƠNG 34. Bảo vệ máy chủ. Quá trình cài đặt máy chủ bao gồm cơ sở dữ liệu nhận dạng người dùng để lưu trữ mô tả về tất cả người dùng có quyền truy cập vào máy chủ Firebird. Mật khẩu phân biệt chữ hoa chữ thường phải được xác định cho mỗi người dùng và phải được
Từ cuốn sách Bảo vệ khỏi tin tặc của mạng doanh nghiệp tác giả tác giả không rõChương 14 Khái niệm cơ bản về trò chơi di động trực tuyến
Từ cuốn sách Bảo mật CNTT: có đáng để tập đoàn mạo hiểm không? bởi Linda McCarthyChương 6 Lý do thành công của các cuộc tấn công từ xa “Những gì được một người phát minh ra có thể được người khác hiểu được,” Holmes nói. A. Conan Doyle. Những người nhảy múa Trong hai chương trước người ta đã chỉ ra rằng các nguyên tắc chung của việc xây dựng các máy tính phân tán giúp có thể phân biệt được toàn bộ
Từ cuốn sách của tác giảChương 8 Làm thế nào để bảo vệ bạn khỏi các cuộc tấn công từ xa trên Internet - ...Hãy thành thật nói cho tôi biết - có cách nào thoát khỏi cơn ác mộng này không? “Luôn luôn có một lối thoát,” Hercule Poirot trả lời. A. Christie. Công việc của Hercules Trước khi nói về các khía cạnh khác nhau của việc cung cấp thông tin
Từ cuốn sách của tác giảChương 9 Quá khứ và hiện tại của Hệ điều hành Mạng Giấc mơ muôn thuở và nham hiểm của virus là thống trị thế giới tuyệt đối, và cho dù những phương pháp mà chúng hiện đang sử dụng có khủng khiếp đến đâu thì chúng cũng không thể phủ nhận sự kiên trì, khéo léo và khả năng
Từ cuốn sách của tác giảChương 3 Các lớp tấn công Chương này thảo luận về các chủ đề sau: Tổng quan về các lớp tấn công Kỹ thuật kiểm tra lỗ hổng Tóm tắt · Ghi chú · Câu hỏi thường gặp
Từ cuốn sách của tác giảChương 12 Các đối tượng mạng giả mạo: Tấn công vào danh tính đáng tin cậy Chương này thảo luận về các chủ đề sau: Định nghĩa giả mạo Cơ sở lý thuyết của giả mạo Sự phát triển của niềm tin Thiết lập danh tính trong mạng máy tính Khả năng nghi ngờ Lừa dối
Từ cuốn sách của tác giảChương 1 Làm chệch hướng các cuộc tấn công Việc phát hiện, cô lập và giải quyết các sự cố cũng giống như vô hiệu hóa các thiết bị nổ—bạn thực hiện càng nhanh và tốt thì sự cố bảo mật sẽ gây ra ít thiệt hại hơn cho hệ thống của bạn. Gene Schultz, Giám đốc
Bị buộc phải chờ tạo tệp vật lý trên máy tính của người dùng, bộ phận bảo vệ mạng bắt đầu phân tích các luồng dữ liệu đến vào máy tính của người dùng thông qua mạng và chặn các mối đe dọa trước khi chúng xâm nhập vào hệ thống.
Các lĩnh vực bảo vệ mạng chính được cung cấp bởi công nghệ Symantec là:
Tải xuống theo từng ổ đĩa, tấn công web;
- Các cuộc tấn công “Kỹ thuật xã hội”: FakeAV (phần mềm diệt virus giả) và codec;
- Tấn công thông qua mạng xã hội như Facebook;
- Phát hiện phần mềm độc hại, rootkit và hệ thống bị nhiễm bot;
- Bảo vệ chống lại các mối đe dọa tiên tiến;
- Các mối đe dọa zero-day;
- Bảo vệ chống lại các lỗ hổng phần mềm chưa được vá;
- Bảo vệ khỏi các tên miền và địa chỉ IP độc hại.
Công nghệ bảo vệ mạng
Cấp độ "Bảo vệ mạng" bao gồm 3 công nghệ khác nhau.
Giải pháp ngăn chặn xâm nhập mạng (Network IPS)
Công nghệ Network IPS hiểu và quét hơn 200 giao thức khác nhau. Nó thâm nhập một cách thông minh và chính xác vào các giao thức mạng và nhị phân, tìm kiếm các dấu hiệu của lưu lượng độc hại trên đường đi. Trí thông minh này cho phép quét mạng chính xác hơn trong khi vẫn cung cấp khả năng bảo vệ mạnh mẽ. “Trái tim” của nó là một công cụ chặn khai thác cung cấp các lỗ hổng mở với khả năng bảo vệ gần như không thể xuyên thủng. Điểm độc đáo của Symantec IPS là thành phần này không yêu cầu bất kỳ cấu hình nào. Tất cả các chức năng của nó đều hoạt động, như người ta nói, “ngoài luồng”. Mọi sản phẩm tiêu dùng của Norton và mọi sản phẩm Symantec Endpoint Protection phiên bản 12.1 trở lên đều được bật công nghệ quan trọng này theo mặc định.
Bảo vệ trình duyệt
Công cụ bảo mật này được đặt bên trong trình duyệt. Nó có khả năng phát hiện các mối đe dọa phức tạp nhất mà cả phần mềm chống vi-rút truyền thống và Network IPS đều không thể phát hiện được. Ngày nay, nhiều cuộc tấn công mạng sử dụng kỹ thuật che giấu để tránh bị phát hiện. Vì Bảo vệ trình duyệt chạy bên trong trình duyệt nên nó có thể tìm hiểu mã chưa bị ẩn (bị làm xáo trộn) trong khi nó đang được thực thi. Điều này cho phép bạn phát hiện và ngăn chặn một cuộc tấn công nếu nó bị bỏ sót ở mức độ bảo vệ chương trình thấp hơn.
Bảo vệ tải xuống trái phép (UXP)
Nằm trong lớp phòng thủ mạng, tuyến phòng thủ cuối cùng giúp che chắn và giảm thiểu tác động của các lỗ hổng chưa xác định và chưa được vá mà không cần sử dụng chữ ký. Điều này cung cấp một lớp bảo vệ bổ sung chống lại các cuộc tấn công Zero Day.
Tập trung vào các vấn đề
Làm việc cùng nhau, các công nghệ an ninh mạng sẽ giải quyết được các vấn đề sau.
Tải xuống theo từng ổ đĩa và bộ công cụ tấn công web
Sử dụng công nghệ Network IPS, Browser Protection và UXP, các công nghệ bảo vệ mạng của Symantec chặn tải xuống Drive-by và về cơ bản ngăn phần mềm độc hại tiếp cận hệ thống của người dùng. Nhiều phương pháp phòng ngừa khác nhau được thực hiện bao gồm việc sử dụng các công nghệ tương tự, bao gồm công nghệ Chặn khai thác chung và các công cụ phát hiện tấn công web. Một công cụ phát hiện tấn công web chung sẽ phân tích các đặc điểm của một cuộc tấn công web phổ biến, bất kể lỗ hổng cụ thể mà cuộc tấn công nhắm tới. Điều này cho phép bạn cung cấp sự bảo vệ bổ sung cho các lỗ hổng mới và chưa xác định. Điều tốt nhất về loại bảo vệ này là nếu một tệp độc hại “âm thầm” lây nhiễm vào hệ thống, nó vẫn sẽ chủ động bị dừng và xóa khỏi hệ thống: đây chính xác là hành vi mà các sản phẩm chống vi-rút truyền thống thường bỏ qua. Nhưng Symantec vẫn tiếp tục chặn hàng chục triệu biến thể của phần mềm độc hại mà các phương tiện khác thường không thể phát hiện được.
Tấn công kỹ thuật xã hội
Vì công nghệ của Symantec giám sát lưu lượng truy cập mạng và trình duyệt khi nó di chuyển nên nó phát hiện các cuộc tấn công "Kỹ thuật xã hội" như FakeAV hoặc codec giả. Công nghệ được thiết kế để chặn các cuộc tấn công như vậy trước khi chúng xuất hiện trên màn hình của người dùng. Hầu hết các giải pháp cạnh tranh khác không bao gồm khả năng mạnh mẽ này.
Symantec chặn hàng trăm triệu cuộc tấn công kiểu này bằng công nghệ bảo vệ mối đe dọa trực tuyến.
Tấn công nhắm vào các ứng dụng truyền thông xã hội
Các ứng dụng truyền thông xã hội gần đây đã trở nên phổ biến rộng rãi vì chúng cho phép bạn chia sẻ ngay lập tức nhiều tin nhắn, video và thông tin thú vị với hàng nghìn bạn bè và người dùng. Sự phân bố rộng rãi và tiềm năng của những chương trình như vậy khiến chúng trở thành mục tiêu số 1 của tin tặc. Một số thủ thuật phổ biến của hacker bao gồm tạo tài khoản giả và gửi thư rác.
Công nghệ Symantec IPS có thể bảo vệ chống lại các loại phương pháp lừa đảo này, thường ngăn chặn chúng trước khi người dùng nhấp vào chúng. Symantec ngăn chặn các URL, ứng dụng gian lận và giả mạo cũng như các kỹ thuật lừa đảo khác bằng công nghệ chống mối đe dọa trực tuyến.
Phát hiện phần mềm độc hại, rootkit và hệ thống bị nhiễm bot
Sẽ thật tuyệt nếu biết chính xác vị trí của máy tính bị nhiễm độc trên mạng phải không? Các giải pháp IPS của Symantec cung cấp khả năng này, bao gồm cả việc phát hiện và phục hồi các mối đe dọa có thể trốn tránh các lớp bảo vệ khác. Các giải pháp của Symantec phát hiện phần mềm độc hại và bot cố gắng tạo trình quay số tự động hoặc tải xuống “bản cập nhật” để tăng hoạt động của chúng trên hệ thống. Điều này cho phép các nhà quản lý CNTT, những người có danh sách rõ ràng về các hệ thống cần xem xét, có thể đảm bảo rằng doanh nghiệp của họ được an toàn. Các mối đe dọa tàng hình đa hình và phức tạp sử dụng các kỹ thuật rootkit như Tidserv, ZeroAccess, Koobface và Zbot có thể bị ngăn chặn và loại bỏ bằng phương pháp này.
Bảo vệ chống lại các mối đe dọa bị xáo trộn
Các cuộc tấn công web ngày nay sử dụng các kỹ thuật phức tạp để tăng độ phức tạp của các cuộc tấn công. Tính năng Bảo vệ Trình duyệt của Symantec nằm bên trong trình duyệt và có thể phát hiện các mối đe dọa rất phức tạp mà các phương pháp truyền thống thường không thể phát hiện được.
Các mối đe dọa zero-day và các lỗ hổng chưa được vá
Một trong những bổ sung bảo mật trước đây mà công ty đã bổ sung là một lớp bảo vệ bổ sung chống lại các mối đe dọa chưa từng có và các lỗ hổng chưa được vá. Bằng cách sử dụng tính năng bảo vệ không có chữ ký, chương trình chặn các lệnh gọi API hệ thống và bảo vệ khỏi việc tải xuống phần mềm độc hại. Công nghệ này được gọi là Bảo vệ tải xuống trái phép (UXP). Đây là tuyến hỗ trợ cuối cùng trong hệ sinh thái bảo vệ mối đe dọa mạng. Điều này cho phép sản phẩm “che đậy” các lỗ hổng chưa xác định và chưa được vá mà không cần sử dụng chữ ký. Công nghệ này được bật theo mặc định và được tìm thấy trong mọi sản phẩm được phát hành kể từ khi Norton 2010 ra mắt.
Bảo vệ chống lại các lỗ hổng phần mềm chưa được vá
Các chương trình độc hại thường được cài đặt mà người dùng không hề hay biết, lợi dụng lỗ hổng trong phần mềm. Bảo mật mạng Symantec cung cấp một lớp bảo vệ bổ sung được gọi là Chặn khai thác chung (GEB). Bất kể các bản cập nhật mới nhất có được cài đặt hay không, GEB "chủ yếu" bảo vệ các lỗ hổng cơ bản khỏi bị khai thác. Các lỗ hổng trong Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, ActiveX control hoặc QuickTime hiện phổ biến khắp nơi. Bảo vệ chống khai thác chung được tạo ra bằng "kỹ thuật đảo ngược" bằng cách tìm ra cách khai thác lỗ hổng trong mạng, đồng thời cung cấp một bản vá đặc biệt ở cấp độ mạng. Một GEB, hay chữ ký lỗ hổng, có thể cung cấp khả năng bảo vệ chống lại hàng nghìn biến thể phần mềm độc hại, mới và chưa biết.
IP độc hại và chặn tên miền
Khả năng bảo vệ mạng của Symantec cũng bao gồm khả năng chặn các tên miền và địa chỉ IP độc hại đồng thời ngăn chặn phần mềm độc hại và lưu lượng truy cập từ các trang web độc hại đã biết. Thông qua phân tích và cập nhật trang web nghiêm ngặt của STAR, Symantec cung cấp khả năng bảo vệ theo thời gian thực trước các mối đe dọa luôn thay đổi.
Cải thiện khả năng chống né tránh
Hỗ trợ mã hóa bổ sung đã được thêm vào để cải thiện hiệu quả phát hiện tấn công bằng các kỹ thuật mã hóa như base64 và gzip.
Phát hiện kiểm tra mạng để thực thi các chính sách sử dụng và xác định rò rỉ dữ liệu
Network IPS có thể được sử dụng để xác định các ứng dụng và công cụ có thể vi phạm chính sách sử dụng của công ty hoặc để ngăn chặn rò rỉ dữ liệu trên mạng. Có thể phát hiện, cảnh báo hoặc ngăn chặn lưu lượng truy cập như IM, P2P, mạng xã hội hoặc các loại lưu lượng truy cập "thú vị" khác.
Giao thức truyền thông thông minh STAR
Công nghệ an ninh mạng không tự hoạt động được. Công cụ này giao tiếp với các dịch vụ bảo mật khác bằng giao thức STAR Intelligence Communications (STAR ICB). Công cụ Network IPS kết nối với công cụ Symantec Sonar và sau đó với công cụ Insight Reputation. Điều này cho phép bạn cung cấp sự bảo vệ nhiều thông tin và chính xác hơn.
Trong bài viết tiếp theo, chúng ta sẽ xem xét cấp độ Trình phân tích hành vi.
Dựa trên tài liệu từ Symantec
Tìm thấy một lỗi đánh máy? Đánh dấu và nhấn Ctrl + Enter
Bài tập. Cài đặt và cấu hình tường lửa.
Văn bản dưới đây được lấy từ một trong các trang web, giữ nguyên phong cách của tác giả.
Ban đầu, tường lửa (tường lửa) dùng để hạn chế quyền truy cập vào mạng cục bộ từ bên ngoài. Các giải pháp tích hợp hiện đang phổ biến. Nếu chúng ta đang nói về một ứng dụng “chuyên nghiệp”, thì đây là một thiết bị riêng biệt không chỉ có thể lọc các gói mà còn có thể phát hiện nỗ lực tấn công mạng. Đối với chúng tôi, những người dùng thông thường, chỉ cần có tường lửa phần mềm là đủ. Ngay cả một tường lửa “đơn giản” cũng không bị giới hạn trong việc giám sát lưu lượng truy cập Internet; nó cảnh báo về bất kỳ hoạt động ứng dụng đáng ngờ nào, hỏi người dùng những gì nên cho phép ứng dụng làm và những gì không nên làm. Đây cũng là một “bất lợi”. Lần đầu tiên bạn sẽ phải trả lời các câu hỏi và trả lời đúng. Tôi đã thấy những tình huống trong đó người dùng vô tình chặn quyền truy cập Internet vào trình duyệt Internet của họ. Kết quả là, kết nối với nhà cung cấp được thiết lập, nhưng không một trang nào mở ra.
Chúng tôi sẽ sớm quay lại tường lửa vì đã đến lúc chuyển sang bảo mật mạng thuần túy.
Trước khi đề cập đến các cuộc tấn công mạng, bạn nên tự làm quen với cách thức hoạt động của mạng. Kiến thức này cũng có thể hữu ích cho việc khắc phục sự cố của riêng bạn. Tôi giới thiệu những người muốn nghiên cứu vấn đề một cách nghiêm túc đến những tài liệu nghiêm túc. Một người bình thường không cần phải đọc tất cả các loại RTFS. Mục tiêu của tôi là giúp người dùng đưa ra lựa chọn sáng suốt về mức độ bảo vệ. Ở đây chúng ta phải được hướng dẫn bởi sự đầy đủ cần thiết, và định nghĩa về sự “đủ” này là của mỗi cá nhân.
Nếu bạn là người dùng Internet, máy tính của bạn liên tục gửi và nhận dữ liệu. Yêu cầu thông tin được gửi đi, chính thông tin đó (ví dụ: thư). Các phản hồi dịch vụ được nhận (sự sẵn sàng của máy chủ, dữ liệu về kích thước của tệp đã tải xuống, v.v.) và chính dữ liệu đó.
Hãy tưởng tượng công việc của hai sở chỉ huy quân đội thiện chiến trong cuộc tập trận chung. Tướng Nga yêu cầu Trung Quốc hỗ trợ cuộc tấn công bằng hỏa lực từ biển. Thông tin được trao đổi như thế nào? Một bức thư được biên soạn, truyền đến người điều hành mật mã và đã được mã hóa - tới người điều hành vô tuyến. Cái sau gõ chữ cái lên không trung bằng mã Morse. Người điều hành đài Trung Quốc nhận được mã Morse, nhà mật mã giải mã nó, ngạc nhiên khi phát hiện ra tin nhắn bằng tiếng Nga và đưa cho người dịch. Chỉ bây giờ chúng ta mới có thể cho rằng bức thư đã đến tay người nhận. Lưu ý rằng các tướng lĩnh của chúng ta theo cấp bậc không được phép nghĩ đến mã Morse, các phương pháp mã hóa và máy phát sóng vô tuyến. Ngoài ra, người dùng không bắt buộc phải biết bất cứ điều gì về bảy cấp độ tương tác của mạng. Điều thú vị nhất đối với chúng tôi là Giao thức Internet. Giao thức này phải được hiểu bởi bất kỳ máy tính nào trên Internet, giống như tất cả các nhà khai thác vô tuyến đều có thể sử dụng mã Morse. Được biết, đường dây cáp thường được sử dụng khi tổ chức thông tin liên lạc. Nếu có chướng ngại vật trên đường đi, ví dụ như sông, thì hai bộ thu phát (bộ lặp, điều này có lợi hơn là kéo cáp dọc phía dưới) tại điểm dừng dọc theo bờ; sau đó là các kênh vệ tinh và lại là đường cáp. có thể được sử dụng. Hai “nhà khai thác vô tuyến” sử dụng mã Morse và có thể không biết gì về các phương thức truyền tín hiệu qua các kênh cáp hoặc vô tuyến bằng thiết bị nén của họ. Các mạng dữ liệu dựa trên Internet cũng phức tạp nhưng các thiết bị đầu cuối như máy tính của bạn hiểu IP, bất kể hệ điều hành được cài đặt.
Theo khái niệm IP, dữ liệu được chuyển đổi thành các “gói” riêng biệt, có thể (nhưng không bắt buộc) chứa, ngoài một phần dữ liệu và thông tin về điểm khởi hành và điểm đến, thông tin về một phần của những gì chính xác có trong gói tin, làm thế nào để kết nối nó với các phần còn lại. Rõ ràng là không có kênh lý tưởng nào để truyền dữ liệu, điều đó có nghĩa là một số gói sẽ có lỗi, các gói đến được mục tiêu theo trình tự “sai” hoặc hoàn toàn không đến được mục tiêu. Đôi khi điều này không quan trọng. Vì chỉ một phần nhỏ các gói bị mất nên việc truyền có thể được lặp lại nhiều lần (một cách tiếp cận hợp lý nếu thông báo nhỏ). Nhà mạng sẽ thấy ở đây giao thức datagram (UDP), dựa trên giao thức IP và không đảm bảo việc gửi tin nhắn. Giao thức TCP/IP cung cấp phương tiện phân phối đáng tin cậy bằng cách thiết lập kết nối ảo. Trong quá trình kết nối như vậy, hai chương trình người dùng đã liên lạc với nhau. Bên “nhận” được thông báo về số lượng gói đã gửi và phương thức nối chúng, nếu gói nào không đến thì sẽ yêu cầu gửi lại. Ở đây chúng ta có thể rút ra hai kết luận thực tế. Thứ nhất: nếu tín hiệu bị biến dạng nặng hoặc có nhiều nhiễu, thì một phần đáng kể các gói được truyền bị lỗi, dẫn đến gửi nhiều lần, tức là tốc độ truyền dữ liệu thực tế sẽ giảm. Đây là nơi nảy sinh khái niệm về độ rộng kênh (công suất). Kết luận thứ hai: nếu nó gửi tất cả các gói đã khai báo ngoại trừ một gói, bên nhận sẽ không đóng kết nối ảo, chờ gói đến muộn. Nếu bạn tạo nhiều kết nối như vậy thì máy tính nhận sẽ gặp khó khăn vì một phần bộ nhớ được dành riêng cho mỗi kết nối và bộ nhớ không phải là cao su. Các cuộc tấn công mạng dựa trên nguyên tắc này, “treo” máy tính của nạn nhân.
Để hiểu quá trình thiết lập kết nối, cần xem xét hệ thống nhận dạng các máy tính trên mạng. Nếu chúng ta đang nói về Internet, thì mỗi máy tính có một tên duy nhất gọi là địa chỉ IP. nó có thể trông giống như thế này: 213.180.204.11 Hơi khó nhớ nên họ đã nghĩ ra các tên miền bao gồm các ký tự “bình thường”, ví dụ như www.yandex.ru. Nếu bạn gõ http://213.180.204.11 vào dòng lệnh của trình duyệt Internet, nó sẽ tương đương với http://www.yandex.ru. Mỗi tên miền tương ứng với một địa chỉ IP cụ thể. Làm cách nào tôi tìm ra IP của công cụ tìm kiếm nổi tiếng? Bạn có thể sử dụng một chương trình đặc biệt hoặc bạn có thể thực hiện lệnh “ping”. Nếu bạn có Windows, hãy nhấp vào nút "Bắt đầu", nhấp vào "Chạy". Chúng tôi được đề nghị thực thi một số lệnh trên máy tính, chúng tôi sẽ ra lệnh cmd (nhập cmd vào trường “mở”) và một cửa sổ trình thông dịch lệnh sẽ mở ra. Bây giờ chúng ta có thể thấy các lệnh đã nhập và kết quả thực hiện chúng. Vì vậy, chúng tôi ra lệnh ping yandex.ru, nhấn “Enter” và nhận kết quả. Kết quả sẽ khả quan nếu máy tính của bạn được kết nối với Internet. Trong trường hợp này, bạn sẽ được hiển thị thời gian vận chuyển của các gói thử nghiệm đến máy chủ Yandex, đồng thời là địa chỉ IP. Vai trò của “người dịch” được thực hiện bởi máy chủ DNS, một máy tính đặc biệt lưu trữ các bảng tương ứng giữa tên miền và địa chỉ IP và có thể có nhiều máy tính như vậy. Internet ban đầu được hình thành như một mạng có khả năng chịu lỗi (dành cho quân đội Hoa Kỳ) và độ tin cậy phải được đảm bảo khi không có một trung tâm duy nhất. Một nhóm các gói được gửi qua một kết nối có thể đi theo các đường dẫn khác nhau (đó là lý do tại sao đó là World Wide Web); quá trình này được kiểm soát bởi các bộ định tuyến lưu trữ các đường dẫn khác nhau đến các mạng con khác nhau. Bây giờ đã rõ tại sao thứ tự các gói đến người nhận có thể khác với thứ tự ban đầu. Cũng rõ ràng rằng nếu kẻ xấu thay thế một mục trong bảng địa chỉ, thì thay vì trang mong muốn, khách hàng có thể đến một trang trùng lặp, nơi anh ta sẽ nhập mật khẩu và dữ liệu khác của mình. Điều an ủi là việc giả mạo các bảng DNS công cộng là một việc rất khó khăn. Tuy nhiên, bạn nên nhớ rằng trước tiên trình duyệt sẽ xem bảng cục bộ, được lưu trữ trong một tệp đặc biệt trên máy tính của bạn. Nếu vi-rút tìm cách xâm nhập vào đó, thì bằng cách nhập www.yandex.ru, bạn có thể dễ dàng truy cập vào một trang web hoàn toàn khác, có thể có hình thức tương tự. Nếu tường lửa của bạn báo cáo rằng một số chương trình đang cố gắng thay đổi tệp bảng địa chỉ, bạn nên kiểm tra máy tính của mình xem có bị lây nhiễm nguy hiểm hay không.
Để thiết lập kết nối, việc biết địa chỉ máy tính là chưa đủ. Các thuộc tính thiết yếu của yêu cầu kết nối là giao thức (ngôn ngữ được quyết định giao tiếp) và số cổng mà chúng tôi đang kết nối. Chúng tôi chỉ ra giao thức mỗi lần trong thanh địa chỉ của trình duyệt (cùng một http, mặc dù bạn có thể nhập ftp và liên hệ với máy chủ ftp, nếu có trên máy chủ). Số cổng thường không được chỉ định rõ ràng; trong trường hợp này, http có nghĩa là cổng 80, trên đó máy chủ Internet “treo” (không phải theo nghĩa “một máy tính mạnh” mà theo nghĩa “một chương trình phục vụ các ứng dụng khách”. ." Một máy tính có thể chạy nhiều dịch vụ (cùng một ftp), mỗi dịch vụ nghe cổng "riêng". Nếu trình duyệt Internet chủ yếu cung cấp kết nối qua http và xem trang web, thì để kết nối với các dịch vụ khác, sẽ có các chương trình đặc biệt, cả tiêu chuẩn và “hacker” Nếu cài đặt chương trình ICQ, nó sẽ mở cổng và “lắng nghe” những ai muốn kết nối và liên lạc. Càng có nhiều dịch vụ mạng chạy trên máy thì khả năng có một lỗ hổng trong số đó càng lớn. một, bởi vì mỗi cổng mở là một cánh cửa vào hệ thống và khóa có an toàn không? - đó là một câu hỏi khác. Có cả một lớp chương trình - máy quét cổng, thăm dò một phạm vi cổng nhất định, sắp xếp qua các con số và tạo ra một kết quả danh sách những cái đang mở Nhìn về phía trước, tôi sẽ nói rằng có những "máy quét bảo mật" không chỉ quét các cổng mà còn tự động kiểm tra chúng trên máy chủ mục tiêu để tìm tất cả các lỗ hổng đã biết.
Vì vậy, các cuộc tấn công mạng. Các ngân hàng sẽ đối phó với tin tặc ngay cả khi không có sự giúp đỡ của tôi; các vấn đề của người dùng bình thường gần gũi hơn với tôi. Hãy nói về điều này.
Việc hack máy tính từ xa không còn đơn giản nữa. Nếu bạn quan tâm đến việc ai đã làm điều này và làm như thế nào cách đây 5 năm, thì đây là đường liên kết đến phán quyết chống lại những kẻ có khả năng trở thành tin tặc, trong đó mô tả toàn bộ công nghệ hack (ở phần đầu và phần cuối của tài liệu). Vào thời Windows 98, bất kỳ học sinh nào cũng có thể làm được những việc như vậy. Những thủ thuật này không hoạt động với Windows XP và chỉ những người chuyên nghiệp mới biết cách hack Linux và họ kiếm được nhiều tiền từ ngân hàng của chính mình. Để xâm nhập vào máy tính của người khác, bây giờ bạn cần phải có trình độ chuyên môn tốt và không phải ai cũng nhận được sự quan tâm cá nhân của một nhân vật phản diện thông minh. Máy tính của tôi chắc chắn sẽ không được ai quan tâm. Một điều nữa là nhiều người vẫn đam mê việc quét cổng. Tôi không biết họ đang tìm kiếm gì ở đó, nhưng nó rất khó chịu. Tôi trả tiền cho giao thông! Tôi lưu ý rằng địa chỉ mà quá trình quét được thực hiện thường thuộc về một người dùng đáng kính và không nghi ngờ. Rất có thể, một con sâu đã định cư ở phần sau và đang tìm kiếm nạn nhân tiếp theo của nó.
Nếu ai đó quan tâm đến máy tính của bạn thì đó là những người thân thiết với bạn. Tôi đang nói về các đối tác kinh doanh, các ông chủ và những người vợ/chồng hay ghen tị. Bạn có thể tìm thấy rất nhiều phần mềm gián điệp, chẳng hạn như keylogger, trên Internet. Nếu một chương trình như vậy được cài đặt trên máy tính, thì mọi thứ gõ trên bàn phím, bao gồm cả mật khẩu email, sẽ được ghi vào một tệp đặc biệt và có thể được gửi bí mật qua email đến “chủ sở hữu”.
Ngay cả khi bạn không có gì để che giấu, các Trojan sống trên máy tính của bạn có thể tải đường truyền mạnh mẽ, tăng lưu lượng truy cập và cản trở việc truyền thông tin hữu ích. Ngoài ra, các chương trình được viết không rõ chữ thường lấy đi tài nguyên hệ thống của máy tính, thậm chí vi phạm tính toàn vẹn của hệ điều hành. Kết quả đáng tiếc là phải cài đặt lại và mất thời gian và tiền bạc liên quan.
Bây giờ chúng ta hãy xem những cách phổ biến nhất để lây nhiễm Trojan vào máy tính của bạn (cách tránh điều này sẽ được trình bày ở chương tiếp theo).
Phương pháp đầu tiên là lây nhiễm một loại virus nhỏ gọn vào máy tính của bạn, chức năng duy nhất của nó là tải xuống từ Internet và cài đặt một con ngựa Trojan chính thức
Phương pháp thứ hai là truy cập vào trang web “nhầm”. Và việc buộc ai đó mở một trang chứa nội dung nguy hiểm là vấn đề của công nghệ và tâm lý học.
Phương pháp thứ ba là để kẻ tấn công ngồi trước máy tính của bạn. Cũng có trường hợp khách truy cập vào một tổ chức chỉ cần lặng lẽ cắm một “ổ đĩa flash” được chuẩn bị đặc biệt vào cổng USB là được.
Một thực tế khó chịu khác của cuộc sống trực tuyến là đánh hơi. Nói một cách đơn giản là chặn giao thông. Từ chương trước (sử dụng cách hiểu thông thường), rõ ràng là các gói gửi đi sẽ “được truyền đi” theo một nghĩa nào đó. Ít nhất trong một mạng con, chúng có sẵn cho tất cả mọi người và con số này không quá ít. Một điều nữa là một máy tính “tử tế” chỉ nhận biết thông tin được gửi đến nó. Nếu kẻ xấu cài đặt chương trình đánh hơi, hắn có thể đọc được dữ liệu được truyền đi. Khôi phục toàn bộ luồng là một nhiệm vụ bất khả thi, vì kết nối với nguồn không được thiết lập và sẽ không thể yêu cầu gửi lại các gói bị mất (sẽ là kiêu ngạo nếu nghe lén hàng xóm đằng sau bức tường và thậm chí hỏi lại khi họ không làm vậy). không nghe thấy). Đánh hơi được sử dụng để chặn mật khẩu được truyền ở dạng rõ ràng (không được mã hóa).
Biết được mức độ nguy hiểm thực sự, bạn có thể áp dụng cách tiếp cận hợp lý để bảo vệ máy tính của mình khỏi các cuộc tấn công khác nhau. Cách tiếp cận ở đây rất đơn giản: chi phí của chiếc két sắt không được vượt quá chi phí của những vật có giá trị được cất giữ trong đó. Bạn có thể tự mình làm được rất nhiều việc, hãy bắt đầu với điều này.
1. Cài đặt hệ điều hành bình thường. Chúng tôi phải cho rằng hầu hết người dùng đều phù hợp với hệ điều hành của Microsoft. Trong trường hợp này, không có tùy chọn nào - Windows XP với SP2 (ít nhất). SP2 là gói cập nhật thứ hai giúp vá nhiều lỗ hổng bảo mật. Windows 2000 lẽ ra đã hoạt động nhưng họ đã ngừng hỗ trợ nó và ngày càng có nhiều lỗ hổng được tìm thấy.
2. Thiết lập bảo vệ tối thiểu: bật tường lửa (nếu SP2 được cài đặt, nó được bật theo mặc định) cho tất cả các kết nối. Việc này được thực hiện như sau: Bắt đầu>Bảng điều khiển>Kết nối mạng, một cửa sổ có biểu tượng cho các kết nối đã định cấu hình sẽ mở ra. Nhấp chuột phải vào biểu tượng kết nối, chọn “thuộc tính”, nhấp vào tab “nâng cao”, sau đó trong khu vực “Tường lửa Windows”, nhấp vào nút “cài đặt”. Nếu giá trị được đặt thành “tắt”, hãy đổi nó thành “bật” và xác nhận bằng nút OK.
3. Cài đặt phần mềm diệt virus. Dù họ có chỉ trích Kaspersky Anti-Virus đến mức nào (nó làm chậm máy tính), tôi không thấy giải pháp thay thế hợp lý nào. Chúng tôi cập nhật cơ sở dữ liệu chống vi-rút qua Internet lên trạng thái mới nhất. Bây giờ bạn có thể đi sâu vào cài đặt (có vẻ khác nhau ở các phiên bản khác nhau, vì vậy tôi sẽ không mô tả chi tiết). Sẽ rất hợp lý khi tắt tính năng quét toàn bộ máy tính hàng ngày. Tôi thường tắt cập nhật tự động vì hầu hết các máy tính không phải lúc nào cũng được kết nối với Internet.
4. Trong “Bảng điều khiển”, chúng tôi tìm thấy phần “quản trị”, trong đó “dịch vụ” và vô hiệu hóa mọi thứ không cần thiết. Trước hết là dịch vụ nhắn tin. Tôi sẽ giải thích tại sao. Có lẽ bạn đã gặp phải tình huống khi đang làm việc trên Internet, một thông báo định kỳ bật lên trong đó bạn sợ gặp phải nhiều lỗi khác nhau trong hệ thống và các loại vi-rút khác, yêu cầu bạn truy cập trang web đó, nơi họ sẽ giúp bạn nhận được thoát khỏi vấn đề của bạn. Trên thực tế, khi truy cập một trang web như vậy, những vấn đề này có thể phát sinh. Dịch vụ nhắn tin được thiết kế chủ yếu để hoạt động trên mạng cục bộ; với sự trợ giúp của dịch vụ này, quản trị viên mạng có thể thông báo cho người dùng về bất kỳ điều gì. Những kẻ phản diện sử dụng nó để dụ mọi người vào các trang web bẫy. Bạn cũng có thể vô hiệu hóa “Telnet”, “Remote Register” và “Server” một cách an toàn nếu bạn không định sử dụng máy tính của mình làm máy chủ. Càng chạy ít dịch vụ thì máy tính chạy càng nhanh. Vẫn còn nhiều thứ có thể bị vô hiệu hóa, nhưng bạn nên thận trọng. Nếu bạn không chắc chắn, tốt hơn là mời một chuyên gia.
5. Nếu bạn chưa thực hiện việc này trước đây, hãy đặt mật khẩu cho tất cả người dùng. Điều thứ hai có nghĩa là mật khẩu tốt phải dài và bao gồm số, chữ cái trong các trường hợp khác nhau và ký tự đặc biệt.
Khi tôi cài đặt máy tính của khách hàng, tôi thường dừng lại ở đó. Đối với hầu hết, đây là mức độ bảo vệ hoàn toàn đủ. Những người thực sự quan tâm đến sự an toàn nên thực hiện một số biện pháp phòng ngừa khác.
6. Chỉ cấp cho tất cả người dùng những quyền cần thiết tối thiểu. Ví dụ: cấm mọi người ngoại trừ “Quản trị viên” cài đặt chương trình. Ngay cả khi bạn là người dùng duy nhất, hãy tạo tài khoản thứ hai với các quyền hạn chế và chỉ đăng nhập với tư cách Quản trị viên khi cần thiết. Thực tế là một số lỗ hổng cho phép kẻ tấn công thực thi các lệnh trên máy tính thay mặt cho người dùng hiện tại. Và nếu người đó có các quyền tối thiểu thì sẽ không thể khai thác được lỗ hổng.
7. Đôi khi khi nhập mật khẩu, chẳng hạn như để truy cập hộp thư, hệ thống sẽ nhắc bạn lưu mật khẩu. Tôi luôn từ chối, đó là điều tôi khuyên bạn nên làm. Đây là một thói quen tốt.
8. Cài đặt tường lửa đầy đủ. Tường lửa Windows tích hợp đơn giản là không theo dõi nhiều hành động của chương trình.
20/06/05 37KInternet thay đổi hoàn toàn cách sống của chúng ta: làm việc, học tập, giải trí. Những thay đổi này sẽ xảy ra cả trong những lĩnh vực chúng ta đã biết (thương mại điện tử, truy cập thông tin thời gian thực, tăng cường khả năng giao tiếp, v.v.) và trong những lĩnh vực mà chúng ta chưa có ý tưởng.
Sẽ đến lúc một công ty thực hiện tất cả các cuộc gọi điện thoại qua Internet, hoàn toàn miễn phí. Trong cuộc sống riêng tư, các trang web đặc biệt có thể xuất hiện, với sự trợ giúp của chúng, cha mẹ có thể tìm hiểu tình hình con cái họ bất cứ lúc nào. Xã hội của chúng ta mới bắt đầu nhận ra khả năng vô hạn của Internet.
Giới thiệu
Đồng thời với sự phát triển vượt bậc về mức độ phổ biến của Internet, mối nguy hiểm chưa từng có về việc tiết lộ dữ liệu cá nhân, các nguồn lực quan trọng của công ty, bí mật nhà nước, v.v.
Hàng ngày, tin tặc đe dọa các tài nguyên này bằng cách cố gắng giành quyền truy cập vào chúng bằng các cuộc tấn công đặc biệt, một mặt đang dần trở nên tinh vi hơn và mặt khác dễ thực hiện hơn. Hai yếu tố chính góp phần vào việc này.
Thứ nhất, đây là sự thâm nhập rộng rãi của Internet. Hiện nay có hàng triệu thiết bị được kết nối với Internet và nhiều triệu thiết bị sẽ được kết nối với Internet trong tương lai gần, khiến cho tin tặc ngày càng có nhiều khả năng giành được quyền truy cập vào các thiết bị dễ bị tấn công.
Ngoài ra, việc sử dụng rộng rãi Internet cho phép tin tặc trao đổi thông tin trên quy mô toàn cầu. Một tìm kiếm đơn giản với các từ khóa như “hacker”, “hacking”, “hack”, “crack” hoặc “phreak” sẽ trả về cho bạn hàng nghìn trang web, nhiều trang trong số đó chứa mã độc và cách sử dụng mã độc đó.
Thứ hai, đây là sự phân phối rộng rãi nhất của các hệ điều hành và môi trường phát triển dễ sử dụng. Yếu tố này làm giảm đáng kể trình độ kiến thức và kỹ năng mà hacker yêu cầu. Trước đây, để tạo và phân phối các ứng dụng dễ sử dụng, hacker phải có kỹ năng lập trình tốt.
Giờ đây, để có quyền truy cập vào công cụ của hacker, bạn chỉ cần biết địa chỉ IP của trang web mong muốn và để thực hiện một cuộc tấn công, chỉ cần một cú click chuột.
Phân loại tấn công mạng
Các cuộc tấn công mạng cũng đa dạng như các hệ thống mà chúng nhắm tới. Một số cuộc tấn công rất phức tạp, trong khi những cuộc tấn công khác nằm trong khả năng của một nhà điều hành bình thường, người thậm chí không tưởng tượng được hậu quả của các hoạt động của mình. Để đánh giá các kiểu tấn công, bạn cần biết một số hạn chế cố hữu của giao thức TPC/IP. Mạng lưới
Internet được tạo ra để liên lạc giữa các cơ quan chính phủ và các trường đại học nhằm hỗ trợ quá trình giáo dục và nghiên cứu khoa học. Những người tạo ra mạng này không biết nó sẽ trở nên phổ biến đến mức nào. Kết quả là các thông số kỹ thuật của các phiên bản đầu tiên của Giao thức Internet (IP) thiếu các yêu cầu về bảo mật. Đây là lý do tại sao nhiều triển khai IP vốn dễ bị tổn thương.
Sau nhiều năm, sau nhiều lần khiếu nại (Request for Comments, RFC), các biện pháp bảo mật cho IP cuối cùng cũng bắt đầu được triển khai. Tuy nhiên, do các biện pháp bảo mật cho giao thức IP ban đầu không được phát triển nên tất cả các triển khai của nó bắt đầu được bổ sung bằng nhiều quy trình, dịch vụ và sản phẩm mạng nhằm giảm thiểu rủi ro vốn có trong giao thức này. Tiếp theo, chúng ta sẽ xem xét ngắn gọn các loại tấn công thường được sử dụng chống lại mạng IP và liệt kê các cách để chống lại chúng.
Lính bắn tỉa
Trình nghe lén gói là một chương trình ứng dụng sử dụng card mạng hoạt động ở chế độ hỗn tạp (ở chế độ này, bộ điều hợp mạng sẽ gửi tất cả các gói nhận được qua các kênh vật lý đến ứng dụng để xử lý).
Trong trường hợp này, sniffer chặn tất cả các gói mạng được truyền qua một miền cụ thể. Hiện tại, những kẻ đánh hơi hoạt động trên mạng hoàn toàn có cơ sở hợp pháp. Chúng được sử dụng để chẩn đoán lỗi và phân tích lưu lượng. Tuy nhiên, do thực tế là một số ứng dụng mạng truyền dữ liệu ở định dạng văn bản ( Telnet, FTP, SMTP, POP3, v.v..), Bằng cách sử dụng trình thám thính, bạn có thể tìm ra thông tin hữu ích và đôi khi là thông tin bí mật (ví dụ: tên người dùng và mật khẩu).
Việc chặn đăng nhập và mật khẩu gây ra mối đe dọa lớn vì người dùng thường sử dụng cùng một thông tin đăng nhập và mật khẩu cho nhiều ứng dụng và hệ thống. Nhiều người dùng thường có một mật khẩu duy nhất để truy cập tất cả các tài nguyên và ứng dụng.
Nếu ứng dụng chạy ở chế độ máy khách-máy chủ và dữ liệu xác thực được truyền qua mạng ở định dạng văn bản có thể đọc được thì thông tin này rất có thể được sử dụng để truy cập các tài nguyên bên ngoài hoặc công ty khác. Tin tặc biết và khai thác quá tốt điểm yếu của con người (phương thức tấn công thường dựa trên phương pháp kỹ thuật xã hội).
Họ biết rõ rằng chúng tôi sử dụng cùng một mật khẩu để truy cập nhiều tài nguyên và do đó họ thường tìm cách truy cập vào thông tin quan trọng bằng cách tìm hiểu mật khẩu của chúng tôi. Trong trường hợp xấu nhất, tin tặc có quyền truy cập cấp hệ thống vào tài nguyên người dùng và sử dụng tài nguyên đó để tạo một người dùng mới, người dùng này có thể được sử dụng bất kỳ lúc nào để truy cập Mạng và tài nguyên của nó.
Bạn có thể giảm nguy cơ đánh cắp gói bằng cách sử dụng các công cụ sau:
:Xác thực. Xác thực mạnh mẽ là biện pháp bảo vệ quan trọng nhất chống lại việc đánh cắp gói tin. Khi nói “mạnh”, chúng tôi muốn nói đến các phương pháp xác thực khó bỏ qua. Một ví dụ về xác thực như vậy là Mật khẩu một lần (OTP).
OTP là công nghệ xác thực hai yếu tố kết hợp những gì bạn có với những gì bạn biết. Một ví dụ điển hình về xác thực hai yếu tố là hoạt động của máy ATM thông thường, trước tiên nhận dạng bạn bằng thẻ nhựa và thứ hai là bằng mã PIN bạn nhập. Mã PIN và thẻ cá nhân của bạn cũng được yêu cầu để xác thực trong hệ thống OTP.
Khi nói “thẻ” (mã thông báo), chúng tôi muốn nói đến một công cụ phần cứng hoặc phần mềm tạo ra (theo nguyên tắc ngẫu nhiên) mật khẩu dùng một lần, duy nhất. Nếu tin tặc phát hiện ra mật khẩu này bằng cách sử dụng trình thám thính, thì thông tin này sẽ vô ích vì tại thời điểm đó, mật khẩu đã được sử dụng và hủy bỏ.
Lưu ý rằng phương pháp chống đánh hơi này chỉ có hiệu quả trong trường hợp chặn mật khẩu. Các trình thu thập thông tin chặn các thông tin khác (chẳng hạn như email) vẫn có hiệu lực.
Cơ sở hạ tầng chuyển đổi
. Một cách khác để chống lại việc đánh hơi gói tin trong môi trường mạng của bạn là tạo cơ sở hạ tầng chuyển mạch. Ví dụ: nếu toàn bộ tổ chức sử dụng Ethernet quay số, tin tặc chỉ có thể truy cập lưu lượng truy cập vào cổng mà chúng được kết nối. Cơ sở hạ tầng chuyển mạch không loại bỏ được mối đe dọa đánh hơi, nhưng nó làm giảm đáng kể mức độ nghiêm trọng của nó.Thuốc chống hít. Cách thứ ba để chống lại hoạt động đánh hơi là cài đặt phần cứng hoặc phần mềm có khả năng nhận dạng các thiết bị đánh hơi đang chạy trên mạng của bạn. Những công cụ này không thể loại bỏ hoàn toàn mối đe dọa, nhưng cũng giống như nhiều công cụ bảo mật mạng khác, chúng được đưa vào hệ thống bảo vệ tổng thể. Antisniffers đo thời gian phản hồi của máy chủ và xác định xem máy chủ có phải xử lý lưu lượng truy cập không cần thiết hay không. Một sản phẩm như vậy có sẵn tại LOpht Heavy Industries, được gọi là AntiSniff.
Mật mã học. Đây là cách hiệu quả nhất để chống lại việc đánh hơi gói tin, mặc dù nó không ngăn chặn việc chặn và không nhận ra công việc của những kẻ đánh hơi, nhưng lại khiến công việc này trở nên vô dụng. Nếu kênh liên lạc được bảo mật bằng mật mã thì tin tặc sẽ không chặn tin nhắn mà chặn văn bản mã hóa (nghĩa là một chuỗi bit không thể hiểu được). Mật mã lớp mạng của Cisco dựa trên IPSec, đây là một phương pháp tiêu chuẩn để liên lạc an toàn giữa các thiết bị sử dụng giao thức IP. Các giao thức quản lý mạng mật mã khác bao gồm các giao thức SSH (Secure Shell) và SSL (Lớp cổng bảo mật).
giả mạo IP
Giả mạo IP xảy ra khi một hacker, trong hoặc ngoài một công ty, mạo danh người dùng được ủy quyền. Điều này có thể được thực hiện theo hai cách: hacker có thể sử dụng địa chỉ IP nằm trong phạm vi địa chỉ IP được ủy quyền hoặc địa chỉ bên ngoài được ủy quyền được phép truy cập vào một số tài nguyên mạng nhất định.
Các cuộc tấn công giả mạo IP thường là điểm khởi đầu cho các cuộc tấn công khác. Một ví dụ điển hình là cuộc tấn công DoS, bắt đầu từ địa chỉ của người khác, che giấu danh tính thực sự của hacker.
Thông thường, việc giả mạo IP được giới hạn ở việc chèn thông tin sai lệch hoặc các lệnh độc hại vào luồng dữ liệu thông thường được truyền giữa ứng dụng khách và máy chủ hoặc qua kênh liên lạc giữa các thiết bị ngang hàng.
Để liên lạc hai chiều, hacker phải thay đổi tất cả các bảng định tuyến để hướng lưu lượng truy cập đến địa chỉ IP sai. Tuy nhiên, một số tin tặc thậm chí không cố gắng nhận phản hồi từ ứng dụng - nếu mục tiêu chính là lấy một tệp quan trọng từ hệ thống thì phản hồi của ứng dụng không thành vấn đề.
Nếu một hacker quản lý để thay đổi bảng định tuyến và hướng lưu lượng truy cập đến một địa chỉ IP sai, anh ta sẽ nhận được tất cả các gói và có thể phản hồi chúng như thể anh ta là người dùng được ủy quyền.
Mối đe dọa giả mạo có thể được giảm thiểu (nhưng không loại bỏ) bằng các biện pháp sau:
- Kiểm soát truy cập. Cách dễ nhất để ngăn chặn việc giả mạo IP là cấu hình các biện pháp kiểm soát truy cập đúng cách. Để giảm tính hiệu quả của việc giả mạo IP, hãy định cấu hình kiểm soát truy cập để từ chối mọi lưu lượng truy cập đến từ mạng bên ngoài có địa chỉ nguồn phải nằm bên trong mạng của bạn.
Đúng, điều này giúp chống giả mạo IP khi chỉ các địa chỉ nội bộ mới được cấp phép; nếu một số địa chỉ mạng bên ngoài cũng được cấp phép thì phương pháp này sẽ không hiệu quả;
- Lọc RFC 2827. Bạn có thể ngăn người dùng trên mạng của mình giả mạo mạng của người khác (và trở thành một công dân trực tuyến tốt). Để thực hiện việc này, bạn phải từ chối mọi lưu lượng truy cập gửi đi có địa chỉ nguồn không phải là một trong các địa chỉ IP của tổ chức bạn.
Kiểu lọc này, được gọi là RFC 2827, cũng có thể được thực hiện bởi Nhà cung cấp dịch vụ Internet (ISP) của bạn. Kết quả là tất cả lưu lượng truy cập không có địa chỉ nguồn dự kiến trên một giao diện cụ thể đều bị từ chối. Ví dụ: nếu ISP cung cấp kết nối đến địa chỉ IP 15.1.1.0/24, nó có thể định cấu hình bộ lọc để chỉ cho phép lưu lượng truy cập bắt nguồn từ 15.1.1.0/24 từ giao diện đó đến bộ định tuyến của ISP.
Lưu ý rằng cho đến khi tất cả các nhà cung cấp triển khai kiểu lọc này, hiệu quả của nó sẽ thấp hơn nhiều so với mức có thể. Ngoài ra, bạn càng ở xa các thiết bị được lọc thì càng khó thực hiện quá trình lọc chính xác. Ví dụ: lọc RFC 2827 ở cấp bộ định tuyến truy cập yêu cầu chuyển tất cả lưu lượng truy cập từ địa chỉ mạng chính (10.0.0.0/8), trong khi ở cấp phân phối (trong một kiến trúc nhất định) có thể hạn chế lưu lượng truy cập chính xác hơn (địa chỉ - 10.1.5.0/24).
Phương pháp hiệu quả nhất để chống giả mạo IP cũng giống như trong trường hợp đánh hơi gói: bạn cần làm cho cuộc tấn công hoàn toàn không hiệu quả. Việc giả mạo IP chỉ có thể hoạt động nếu xác thực dựa trên địa chỉ IP.
Do đó, việc đưa ra các phương thức xác thực bổ sung khiến các cuộc tấn công như vậy trở nên vô ích. Loại xác thực bổ sung tốt nhất là mật mã. Nếu điều này là không thể, xác thực hai yếu tố bằng mật khẩu một lần có thể mang lại kết quả tốt.
Từ chối dịch vụ
Từ chối dịch vụ (DoS) chắc chắn là hình thức tấn công hack nổi tiếng nhất. Ngoài ra, những kiểu tấn công này khó tạo ra sự bảo vệ 100% nhất. Trong số các tin tặc, các cuộc tấn công DoS được coi là trò trẻ con và việc sử dụng chúng gây ra những nụ cười khinh thường, vì việc tổ chức DoS đòi hỏi kiến thức và kỹ năng tối thiểu.
Tuy nhiên, chính sự dễ dàng thực hiện và quy mô tác hại to lớn đã khiến DoS thu hút sự chú ý chặt chẽ của các quản trị viên chịu trách nhiệm về an ninh mạng. Nếu muốn tìm hiểu thêm về các cuộc tấn công DoS, bạn nên xem xét các loại nổi tiếng nhất, đó là:
- Lũ lụt SYN TCP;
- Ping tử thần;
- Mạng lưới Lũ lụt Bộ lạc (TFN) và Mạng lưới Lũ lụt Bộ lạc 2000 (TFN2K);
- Trinco;
- Stacheldracht;
- Ba ngôi.
Một nguồn thông tin bảo mật tuyệt vời là Nhóm ứng phó khẩn cấp máy tính (CERT), đã xuất bản công trình xuất sắc về chống lại các cuộc tấn công DoS.
Các cuộc tấn công DoS khác với các loại tấn công khác. Chúng không nhằm mục đích giành quyền truy cập vào mạng của bạn hay lấy bất kỳ thông tin nào từ mạng đó, nhưng một cuộc tấn công DoS khiến mạng của bạn không thể sử dụng bình thường bằng cách vượt quá giới hạn chấp nhận được của mạng, hệ điều hành hoặc ứng dụng.
Trong trường hợp một số ứng dụng máy chủ (chẳng hạn như máy chủ Web hoặc máy chủ FTP), các cuộc tấn công DoS có thể liên quan đến việc chiếm đoạt tất cả các kết nối có sẵn cho các ứng dụng đó và khiến chúng bị chiếm dụng, ngăn cản việc phục vụ người dùng thông thường. Các cuộc tấn công DoS có thể sử dụng các giao thức Internet phổ biến như TCP và ICMP ( Giao thức Thông báo Kiểm soát Internet).
Hầu hết các cuộc tấn công DoS không nhắm vào lỗi phần mềm hoặc lỗ hổng bảo mật mà là những điểm yếu chung trong kiến trúc hệ thống. Một số cuộc tấn công làm tê liệt hiệu suất mạng bằng cách làm tràn ngập các gói không mong muốn và không cần thiết hoặc thông tin sai lệch về trạng thái hiện tại của tài nguyên mạng.
Kiểu tấn công này khó ngăn chặn vì cần có sự phối hợp với nhà cung cấp. Nếu bạn không dừng lưu lượng nhằm mục đích áp đảo mạng của bạn tại nhà cung cấp, thì bạn sẽ không thể thực hiện việc này ở lối vào mạng nữa vì tất cả băng thông sẽ bị chiếm dụng. Khi kiểu tấn công này được thực hiện đồng thời trên nhiều thiết bị, chúng ta nói đến tấn công DoS phân tán (DoS phân tán, DDoS).
Mối đe dọa của các cuộc tấn công DoS có thể được giảm thiểu theo ba cách:
- Tính năng chống giả mạo. Việc định cấu hình đúng các tính năng chống giả mạo trên bộ định tuyến và tường lửa của bạn sẽ giúp giảm nguy cơ DoS. Ở mức tối thiểu, các tính năng này phải bao gồm tính năng lọc RFC 2827. Nếu tin tặc không thể che giấu danh tính thực sự của mình thì hắn khó có thể thực hiện một cuộc tấn công.
- Chức năng chống DoS. Cấu hình thích hợp các tính năng chống DoS trên bộ định tuyến và tường lửa có thể hạn chế hiệu quả của các cuộc tấn công. Những tính năng này thường giới hạn số lượng kênh nửa mở tại bất kỳ thời điểm nào.
- Giới hạn tốc độ giao thông. Một tổ chức có thể yêu cầu Nhà cung cấp dịch vụ Internet (ISP) của mình giới hạn lưu lượng truy cập. Kiểu lọc này cho phép bạn giới hạn lượng lưu lượng truy cập không quan trọng đi qua mạng của mình. Một ví dụ điển hình là giới hạn lưu lượng ICMP, lưu lượng này chỉ được sử dụng cho mục đích chẩn đoán. (D) Các cuộc tấn công DoS thường sử dụng ICMP.
Tấn công mật khẩu
Tin tặc có thể thực hiện các cuộc tấn công mật khẩu bằng một số phương pháp, chẳng hạn như tấn công vũ phu, ngựa Trojan, giả mạo IP và đánh hơi gói tin. Mặc dù thông tin đăng nhập và mật khẩu thường có thể lấy được thông qua việc giả mạo IP và đánh hơi gói tin, nhưng tin tặc thường cố gắng đoán mật khẩu và đăng nhập thông qua nhiều lần truy cập. Cách tiếp cận này được gọi là tìm kiếm đơn giản (tấn công vũ phu).
Thông thường, một cuộc tấn công như vậy sử dụng một chương trình đặc biệt nhằm cố gắng giành quyền truy cập vào tài nguyên công cộng (ví dụ: máy chủ). Do đó, nếu hacker được cấp quyền truy cập vào tài nguyên thì anh ta sẽ nhận được nó với quyền của một người dùng thông thường có mật khẩu đã được chọn.
Nếu người dùng này có các đặc quyền truy cập quan trọng, tin tặc có thể tạo một "thẻ" để truy cập trong tương lai và thẻ này vẫn có hiệu lực ngay cả khi người dùng thay đổi mật khẩu và thông tin đăng nhập.
Một vấn đề khác nảy sinh khi người dùng sử dụng cùng một mật khẩu (thậm chí rất tốt) để truy cập vào nhiều hệ thống: hệ thống công ty, cá nhân và Internet. Vì độ mạnh của mật khẩu bằng độ mạnh của máy chủ yếu nhất nên tin tặc học được mật khẩu thông qua máy chủ đó sẽ có quyền truy cập vào tất cả các hệ thống khác sử dụng cùng một mật khẩu.
Có thể tránh được các cuộc tấn công mật khẩu bằng cách không sử dụng mật khẩu văn bản đơn giản. Mật khẩu một lần và/hoặc xác thực bằng mật mã hầu như có thể loại bỏ mối đe dọa từ các cuộc tấn công như vậy. Thật không may, không phải tất cả các ứng dụng, máy chủ và thiết bị đều hỗ trợ các phương thức xác thực trên.
Khi sử dụng mật khẩu thông thường, hãy cố gắng tìm một mật khẩu khó đoán. Độ dài mật khẩu tối thiểu phải có ít nhất tám ký tự. Mật khẩu phải bao gồm các ký tự viết hoa, số và ký tự đặc biệt (#, %, $, v.v.).
Những mật khẩu tốt nhất thường khó đoán và khó nhớ, buộc người dùng phải viết ra giấy. Để tránh điều này, người dùng và quản trị viên có thể sử dụng một số tiến bộ công nghệ gần đây.
Ví dụ: có những chương trình ứng dụng mã hóa danh sách mật khẩu có thể được lưu trữ trong máy tính bỏ túi. Do đó, người dùng chỉ cần nhớ một mật khẩu phức tạp, trong khi tất cả những mật khẩu khác sẽ được ứng dụng bảo vệ một cách đáng tin cậy.
Có một số phương pháp để quản trị viên chống lại việc đoán mật khẩu. Một trong số đó là sử dụng công cụ L0phtCrack, công cụ thường được hacker sử dụng để đoán mật khẩu trong môi trường Windows NT. Công cụ này sẽ nhanh chóng cho bạn biết liệu mật khẩu người dùng đã chọn có dễ đoán hay không. Để biết thêm thông tin, hãy truy cập http://www.l0phtcrack.com/.
Các cuộc tấn công trung gian
Đối với cuộc tấn công Man-in-the-Middle, hacker cần quyền truy cập vào các gói được truyền qua mạng. Ví dụ: quyền truy cập vào tất cả các gói được truyền từ nhà cung cấp đến bất kỳ mạng nào khác có thể được lấy bởi nhân viên của nhà cung cấp này. Trình đánh hơi gói, giao thức truyền tải và giao thức định tuyến thường được sử dụng cho kiểu tấn công này.
Các cuộc tấn công được thực hiện với mục đích đánh cắp thông tin, chặn phiên hiện tại và giành quyền truy cập vào tài nguyên mạng riêng, để phân tích lưu lượng truy cập và lấy thông tin về mạng và người dùng, để thực hiện các cuộc tấn công DoS, làm biến dạng dữ liệu được truyền và nhập thông tin trái phép vào các phiên mạng.
Các cuộc tấn công trung gian chỉ có thể được chống lại một cách hiệu quả bằng cách sử dụng mật mã. Nếu một hacker chặn dữ liệu từ một phiên được mã hóa, những gì sẽ xuất hiện trên màn hình của anh ta không phải là tin nhắn bị chặn mà là một tập hợp ký tự vô nghĩa. Lưu ý rằng nếu tin tặc lấy được thông tin về phiên mật mã (ví dụ: khóa phiên), điều này có thể khiến cuộc tấn công Người trung gian có thể xảy ra ngay cả trong môi trường được mã hóa.
Tấn công cấp ứng dụng
Các cuộc tấn công cấp ứng dụng có thể được thực hiện theo nhiều cách. Phổ biến nhất trong số đó là việc sử dụng các điểm yếu nổi tiếng trong phần mềm máy chủ (sendmail, HTTP, FTP). Bằng cách khai thác những điểm yếu này, tin tặc có thể truy cập vào máy tính với tư cách là người dùng đang chạy ứng dụng (thường không phải là người dùng thông thường mà là quản trị viên đặc quyền có quyền truy cập hệ thống).
Thông tin về các cuộc tấn công cấp ứng dụng được công bố rộng rãi nhằm mang đến cho quản trị viên cơ hội khắc phục sự cố bằng cách sử dụng các mô-đun khắc phục (bản vá). Thật không may, nhiều tin tặc cũng có quyền truy cập vào thông tin này, điều này cho phép chúng cải thiện.
Vấn đề chính với các cuộc tấn công cấp ứng dụng là tin tặc thường sử dụng các cổng được phép đi qua tường lửa. Ví dụ: một hacker khai thác điểm yếu đã biết trong máy chủ Web sẽ thường sử dụng cổng 80 trong một cuộc tấn công TCP.Vì máy chủ Web cung cấp các trang Web cho người dùng nên tường lửa phải cung cấp quyền truy cập vào cổng này. Theo quan điểm của tường lửa, cuộc tấn công được coi là lưu lượng truy cập tiêu chuẩn trên cổng 80.
Các cuộc tấn công cấp ứng dụng không thể được loại bỏ hoàn toàn. Tin tặc liên tục phát hiện và công bố những lỗ hổng mới trong các chương trình ứng dụng trên Internet. Điều quan trọng nhất ở đây là quản trị hệ thống tốt. Dưới đây là một số biện pháp bạn có thể thực hiện để giảm khả năng bị tổn thương trước kiểu tấn công này:
- đọc các tệp nhật ký mạng và hệ điều hành và/hoặc phân tích chúng bằng các ứng dụng phân tích đặc biệt;
- Đăng ký dịch vụ báo cáo lỗ hổng ứng dụng: Bugtrad (http://www.securityfocus.com).
Mạng thông minh
Trí tuệ mạng đề cập đến việc thu thập thông tin mạng bằng cách sử dụng dữ liệu và ứng dụng có sẵn công khai. Khi chuẩn bị tấn công mạng, tin tặc thường cố gắng lấy càng nhiều thông tin về mạng đó càng tốt. Việc trinh sát mạng được thực hiện dưới dạng truy vấn DNS, ping và quét cổng.
Truy vấn DNS giúp bạn biết ai sở hữu một miền cụ thể và địa chỉ nào được gán cho miền đó. Địa chỉ ping được DNS tiết lộ cho phép bạn xem máy chủ nào đang thực sự chạy trong một môi trường nhất định. Sau khi nhận được danh sách các máy chủ, hacker sử dụng các công cụ quét cổng để biên soạn danh sách đầy đủ các dịch vụ được các máy chủ đó hỗ trợ. Cuối cùng, hacker phân tích đặc điểm của các ứng dụng đang chạy trên máy chủ. Kết quả là anh ta có được thông tin có thể được sử dụng để hack.
Không thể loại bỏ hoàn toàn trí thông minh mạng. Ví dụ: nếu bạn tắt tính năng phản hồi tiếng vang và tiếng vang ICMP trên các bộ định tuyến biên, bạn sẽ thoát khỏi kiểm tra ping nhưng sẽ mất dữ liệu cần thiết để chẩn đoán lỗi mạng.
Ngoài ra, bạn có thể quét các cổng mà không cần kiểm tra ping sơ bộ - việc này sẽ chỉ mất nhiều thời gian hơn vì bạn sẽ phải quét các địa chỉ IP không tồn tại. Các hệ thống IDS cấp độ mạng và máy chủ thường thực hiện tốt công việc cảnh báo cho quản trị viên về việc trinh sát mạng đang diễn ra, cho phép họ chuẩn bị tốt hơn cho một cuộc tấn công sắp tới và cảnh báo cho Nhà cung cấp dịch vụ Internet (ISP) về mạng mà hệ thống đang quá tò mò:
- sử dụng các phiên bản mới nhất của hệ điều hành và ứng dụng cũng như các mô-đun sửa lỗi (bản vá lỗi) mới nhất;
- Ngoài quản trị hệ thống, hãy sử dụng hệ thống phát hiện tấn công (IDS) - hai công nghệ ID bổ sung cho nhau:
- Hệ thống IDS mạng (NIDS) giám sát tất cả các gói đi qua một miền cụ thể. Khi hệ thống NIDS nhìn thấy một gói hoặc một loạt gói phù hợp với dấu hiệu của một cuộc tấn công đã biết hoặc có thể xảy ra, nó sẽ tạo ra cảnh báo và/hoặc chấm dứt phiên;
- Hệ thống IDS (HIDS) bảo vệ máy chủ bằng các tác nhân phần mềm. Hệ thống này chỉ chống lại các cuộc tấn công chống lại một máy chủ duy nhất.
Trong công việc của mình, hệ thống IDS sử dụng các dấu hiệu tấn công, là hồ sơ của các cuộc tấn công hoặc loại tấn công cụ thể. Chữ ký xác định các điều kiện theo đó lưu lượng truy cập được coi là tin tặc. Sự tương tự của IDS trong thế giới vật lý có thể được coi là hệ thống cảnh báo hoặc camera giám sát.
Nhược điểm lớn nhất của IDS là khả năng tạo cảnh báo. Để giảm thiểu số lượng cảnh báo sai và đảm bảo hệ thống IDS hoạt động chính xác trên mạng, việc cấu hình hệ thống cẩn thận là cần thiết.
Vi phạm lòng tin
Nói đúng ra, loại hành động này không phải là một cuộc tấn công hay hành hung theo đúng nghĩa đầy đủ của từ này. Nó đại diện cho việc khai thác độc hại các mối quan hệ tin cậy tồn tại trong mạng. Một ví dụ kinh điển về sự lạm dụng như vậy là tình huống ở phần ngoại vi của mạng công ty.
Phân khúc này thường chứa các máy chủ DNS, SMTP và HTTP. Vì tất cả chúng đều thuộc cùng một phân khúc nên việc hack bất kỳ máy chủ nào trong số chúng sẽ dẫn đến việc hack tất cả các máy chủ khác vì các máy chủ này tin cậy các hệ thống khác trên mạng của chúng.
Một ví dụ khác là một hệ thống được cài đặt bên ngoài tường lửa có mối quan hệ tin cậy với hệ thống được cài đặt bên trong tường lửa. Nếu hệ thống bên ngoài bị xâm phạm, hacker có thể sử dụng mối quan hệ tin cậy để xâm nhập vào hệ thống được bảo vệ bởi tường lửa.
Nguy cơ vi phạm lòng tin có thể giảm bớt bằng cách kiểm soát chặt chẽ hơn mức độ tin cậy trong mạng của bạn. Các hệ thống nằm bên ngoài tường lửa không bao giờ được tin cậy tuyệt đối từ các hệ thống được bảo vệ bởi tường lửa.
Mối quan hệ tin cậy nên được giới hạn ở các giao thức cụ thể và, nếu có thể, được xác thực bằng các tham số khác ngoài địa chỉ IP.
Cổng chuyển tiếp
Chuyển tiếp cổng là một hình thức lạm dụng lòng tin, trong đó máy chủ bị xâm nhập được sử dụng để chuyển lưu lượng truy cập qua tường lửa mà lẽ ra sẽ bị từ chối. Hãy tưởng tượng một tường lửa có ba giao diện, mỗi giao diện được kết nối với một máy chủ cụ thể.
Máy chủ bên ngoài có thể kết nối với máy chủ dùng chung (DMZ), nhưng không thể kết nối với máy chủ được cài đặt bên trong tường lửa. Máy chủ chia sẻ có thể kết nối với cả máy chủ bên trong và bên ngoài. Nếu tin tặc chiếm lấy một máy chủ dùng chung, anh ta có thể cài đặt phần mềm trên đó để chuyển hướng lưu lượng truy cập từ máy chủ bên ngoài trực tiếp sang máy chủ nội bộ.
Mặc dù điều này không vi phạm bất kỳ quy tắc nào trên màn hình, nhưng máy chủ bên ngoài có quyền truy cập trực tiếp vào máy chủ được bảo vệ do chuyển hướng. Một ví dụ về ứng dụng có thể cung cấp quyền truy cập như vậy là netcat. Thông tin thêm có thể được tìm thấy tại http://www.avian.org.
Cách chính để chống lại việc chuyển tiếp cổng là sử dụng các mô hình tin cậy mạnh mẽ (xem phần trước). Ngoài ra, hệ thống IDS máy chủ (HIDS) có thể ngăn chặn tin tặc cài đặt phần mềm của mình trên máy chủ.
Truy cập trái phép
Truy cập trái phép không thể được xác định là một loại tấn công riêng biệt, vì hầu hết các cuộc tấn công mạng được thực hiện chính xác để đạt được quyền truy cập trái phép. Để đoán thông tin đăng nhập Telnet, trước tiên hacker phải nhận được gợi ý Telnet trên hệ thống của mình. Sau khi kết nối với cổng Telnet, thông báo “cần có quyền để sử dụng tài nguyên này” xuất hiện trên màn hình (“ Cần có sự cho phép để sử dụng tài nguyên này.»).
Nếu tin tặc tiếp tục cố gắng truy cập sau đó, chúng sẽ bị coi là trái phép. Nguồn của các cuộc tấn công như vậy có thể ở bên trong mạng hoặc bên ngoài.
Các phương pháp chống truy cập trái phép khá đơn giản. Điều chính ở đây là giảm thiểu hoặc loại bỏ hoàn toàn khả năng hacker truy cập vào hệ thống bằng giao thức trái phép.
Ví dụ: hãy xem xét việc ngăn chặn tin tặc truy cập vào cổng Telnet trên máy chủ cung cấp dịch vụ Web cho người dùng bên ngoài. Nếu không có quyền truy cập vào cổng này, hacker sẽ không thể tấn công nó. Đối với tường lửa, nhiệm vụ chính của nó là ngăn chặn những nỗ lực truy cập trái phép đơn giản nhất.
Ứng dụng virus và ngựa Trojan
Máy trạm của người dùng cuối rất dễ bị nhiễm vi-rút và ngựa Trojan. Virus là các chương trình độc hại được chèn vào các chương trình khác để thực hiện một chức năng không mong muốn cụ thể trên máy trạm của người dùng cuối. Một ví dụ là một loại vi-rút được ghi trong tệp command.com (trình thông dịch chính của hệ thống Windows) và xóa các tệp khác, đồng thời lây nhiễm sang tất cả các phiên bản command.com khác mà nó tìm thấy.
Trojan horse không phải là một phần mềm chèn vào mà là một chương trình thực sự, thoạt nhìn có vẻ là một ứng dụng hữu ích nhưng thực tế lại đóng vai trò có hại. Một ví dụ về ngựa Trojan điển hình là một chương trình trông giống như một trò chơi đơn giản dành cho máy trạm của người dùng.
Tuy nhiên, trong khi người dùng đang chơi trò chơi, chương trình sẽ gửi một bản sao của chính nó qua email tới mọi người đăng ký trong sổ địa chỉ của người dùng đó. Tất cả người đăng ký đều nhận được trò chơi qua thư, khiến trò chơi được phân phối nhiều hơn.
Cuộc chiến chống lại vi-rút và ngựa Trojan được thực hiện với sự trợ giúp của phần mềm chống vi-rút hiệu quả hoạt động ở cấp độ người dùng và có thể ở cấp độ mạng. Các sản phẩm chống vi-rút phát hiện hầu hết vi-rút và ngựa Trojan và ngăn chặn sự lây lan của chúng.
Nhận được thông tin mới nhất về virus sẽ giúp bạn chống lại chúng hiệu quả hơn. Khi các loại virus và ngựa Trojan mới xuất hiện, các doanh nghiệp phải cài đặt các phiên bản mới của các công cụ và ứng dụng chống vi-rút.
Khi viết bài này, các tài liệu do Cisco Systems cung cấp đã được sử dụng.
Tốt xấu
