Kết nối 2 laptop bằng wireless

Bạn có nghĩ là bạn và đồng nghiệp của mình trong cơ quan có thể cùng nhau chia sẻ dữ liệu, chat hoặc chơi game với nhau một cách dễ dàng? Thật ra với 2 laptop có wireless và hệ điều hành Window XP là bạn có thể thực hiện điều này không cần thông qua một mạng nào cả.

Phần lớn các máy laptop đều có kết nối không dây (wireless), chính vì vậy mà hai máy laptop trong cùng một cơ quan hoàn toàn có thể nối mạng với nhau để phối hợp làm việc mà không cần phải mua sắm thêm một thiết bị nào khác.

Để giải quyết vấn đề, bạn cần tạo ra một kết nối pear to pear giữa 2 máy. Nhưng vì không có access point nên IP không tự động được cấp mà bạn phải tự gán. Vì vậy, bước đầu tiên là tự gán IP và các bước tiếp theo như sau:

1. Tự gán IP cho 2 máy

Ở bước này bạn cần thực hiện trên cả 2 máy để cho chúng cùng lớp IP với nhau. Thực hiện như sau:

– Vào cửa sổ tình trạng kết nối wireless (hình 1) bằng cách bấm đôi vào biểu tượng mạng bên phải màn hình.

– Bấm vào Properties, một cửa sổ kế tiếp sẽ xuất hiện (hình 2).

– Bấm đôi vào dòng Internet Protocol (TCP/IP) và set IP cho cả 2 máy laptop. Bạn có thể gán tùy ý nhưng bắt buộc là cả 2 máy phải cùng lớp và cùng Subnet mask. Ví dụ cụ thể:

Máy 1

IP: 10.0.0.45
Subnet mask: 255.255.255.0

Máy 2

IP: 10.0.0.46
Subnet mask: 255.255.255.0

Các dòng khác cứ để trống.

Vậy là bạn đã thực hiện xong bước 1, bây giờ đến bước kết nối cho 2 máy.

2. Tạo kết nối wireless giữa 2 máy

Trong bước này bạn sẽ làm cho 2 máy phát và nhận sóng của nhau. Thực hiện như sau:

– Bấm phải vào biểu tượng Wireless Network Connection dưới taskbar, chọn View Available Wireless Network. Bấm vào dòng Change the order of preferred networks trong hộp thoại xuất hiện (hình 3).

– Tiếp tục bấm nút Add để tạo một mạng mới (hình 4).

– Đặt tên cho mạng của mình ở dòng Network name.

– Đặt mật khẩu để vào mạng ở dòng Network key. Chú ý bạn phải chọn vào dòng This is a computer to computer. Đến đây, bạn đã hoàn tất bước 2.

3. Vào mạng

– Bấm vào biểu tượng mạng Wireless bên phải màn hình. Chọn nút View wireless network.

– Bấm vào Connect… Máy 1 bây giờ sẽ phát ra tín hiệu và chờ máy 2 kết nối. Nếu máy 2 dò mạng lúc này sẽ thấy mạng của máy 1. Máy 2 bấm Connect thì cả hai máy sẽ kết nối với nhau (hình 5).

4. Ứng dụng

Bây giờ bạn có thể share file để máy máy kia vào nhận, hoặc bạn có thể chat trực tiếp giữa 2 máy, send file trực tiếp bằng tiện ích Net meeting của Windows (hình 6) bằng cách vào Run, nhập lệnh conf để mở được tiện ích này, hoặc bạn có thể chơi game như trong mạng LAN.

Theo blog thuynt


Đấu giá trực tuyến hàng đầu Việt Nam

Nguyên tắc cơ bản của TCP Syn Flood


Kiểu tấn công TCP SYN flood là một kiểu tấn công trực tiếp vào máy chủ bằng cách tạo ra một số lượng lớn các kết nối TCP nhưng không hoàn thành các kết nối này.

Phía kẻ tấn công sẽ khởi tạo nhiều TCP, trong mỗi kết nối chỉ để cờ TCP SYN. Máy chủ sẽ gửi lại trả lời vớI TCP SYN và ACK. Nhưng sau đó máy tấn công đơn giản là không trả lời thông điệp thứ ba như mong đợi của server theo tiến trình bắt tay ba chiều. Server lúc này sẽ tốn bộ nhớ và tài nguyên trong khi chờ các phiên TCP timeouts hoặc trước khi các kết nối đang thiết lập dang dở được dọn dẹp. Máy server lúc này có thể từ chối các kết nối TCP khác và các thiết bị cân bằng tải trong các server farm lúc này có thể chia tải không cân bằng. Các firewall có hỗ trợ cơ chế stateful có thể ngăn ngừa kiểu tấn công TCP SYN attack này.

Một cách để ngăn ngừa kiểu tấn công SYN attack là đơn giản loại bỏ các gói TCP header trong đó chỉ có cờ SYN được thiết lập. Nói cách khác, loại bỏ tất cả các gói tin đầu tiên trong một kết nối TCP mới. Trong nhiều trường hợp, một router không nên cho phép các kết nối TCP được thiết lập bởi client. Trong trường hợp này, việc lọc các TCP segment ban đầu giúp ngăn ngừa SYN attack.

Công cụ Cisco IOS ACLs không thể match trực tiếp cờ TCP SYN trong một gói tin. Tuy nhiên một ACL có thể dùng từ khóa establised để tìm ra những tcp segment có cờ ACK được thiết lập. Từ khóa established có thể match tất cả các TCP segment ngoại trừ TCP segment đầu tiên trong một kết nối mới. Cấu hình dưới đây sẽ dùng trên R1 để từ chối những yêu cầu kết nối mới từ Internet đi vào mạng bên trong ASN1.

Dòng ACE đầu tiên sẽ lựa ra các phân đoạn TCP không phảI là segment đầu tiên và cho phép các segment này. Dòng ACE thứ hai sẽ lựa ra tất cả các TCP segment, nhưng vì tất các các segment không phảilà đầu tiên đã dính vớI dòng đầu tiên, dòng thứ hai này sẽ chỉ so trùng vớI các segment đầu tiên.

ip access-list extended prevent-syn
permit tcp any 1.0.0.0 0.255.255.255 established
deny tcp any 1.0.0.0 0.255.255.255
permit (whatever)
!
interface s0/0
ip access-group prevent-syn in

ACL hoạt động tốt khi client nằm bên ngoài mạng không được phép tạo kết nối TCP vào mạng bên trong. Tuy nhiên trong những trường hợp các kết nối TCP vào bên trong là được phép, ACL này không thể được dùng.

Một đặc điểm khác của CiscoIOS được gọi là TCP intercept cho phép các kết nối TCP đi vào mạng nhưng giám sát các kết nối này để chống kiểu tấn công TCP SYN. TCP Intercept hoạt động trong hai chế độ. Trong chế độ watch, nó theo dõi thông tin trạng thái của kết nốI TCP match với một ACL. Nếu kết nối TCP không hoàn bắt tay hai chiều trong một khoảng thời gian, TCP intercepts sẽ gửi một thông điệp TCP reset đến máy server, dọn dẹp kết nối. Nó cũng sẽ đến số kết nối mới trong một khoảng thời gian và nếu có một số lớn kết nối trong một giây (“lớn” có giá trị mặc định là 1100), router sẽ tạm thời lọc các yêu cầu thiết lập TCP mới.

Trong chế độ intercept, router sẽ trả lời đến các yêu cầu thiết lập TCP thay vì chuyển các yêu cầu này về server. Sau đó, nếu quá trình bắt tay 3 lần hoàn thành, router sẽ tạo ra một kết nối giữa nó và server. Ở thời điểm này, router đã nối chặt hai kết nối với nhau. Chế độ này làm tốn nhiều tải nhưng bảo vệ tốt hơn cho server.

Các lệnh dưới đây sẽ bật cơ chế TCP intercept cho những gói tin so trùng với ACL match-tcp-from-internet. Ngoài ra, chế độ được thiết lập là chế độ watch, còn chế độ mặc định là intercept. Cuối cùng, lệnh watch timeout đã được đưa về chế độ mặc định là 30 giây. Nếu kết nối TCP vẫn trong tình trạng không hoàn tất, cơ chế TCP intercept sẽ khởi động kết nối.

ip tcp intercept-list match-tcp-from-internet
ip tcp intercept mode watch
ip tcp intercept watch-timeout 20

ACL sẽ lựa ra tất cả các gói tin gửi đến địa chỉ 1.0.0.0/8 và dùng TCP. ACL này sẽ tham chiếu đến các lệnh ip tcp intercept-list ở trên.

ip access-list extended match-tcp-from-internet
permit tcp any 1.0.0.0 0.255.255.255

Chú ý rằng ACL không được áp dụng vào bất kỳ cổng nào.

interface s0/0

! Note: there is no ACL enabled on the interface!

DNS nguy cơ tiềm ẩn và phương thức bảo mật.

DNS luôn là điểm yếu nhưng nhiều nhà quản trị lại thường không để ý đến nó, cứ nghĩ rằng không có khả năng phá hoại. Bạn thử tưởng tượng nếu thông tin trong DNS bị thay đổi thì sẽ thế nào, kẻ tấn công sẽ toàn quyền quyết định việc dịch từ Tên ví như www.vne.com sang một địa chỉ IP nào đó. Tấn công DNS là một trong những tấn công cực kỳ nguy hiểm và là niềm khao khát của các hacker.
Chúng ta thường nghĩ rằng DNS không phải là mục tiêu của các kẻ tấn công, nhưng các bạn đâu biết rằng DNS là một trong những bước để phân tích cấu tạo logic của một hệ thống mạng, là bước phân tích đầu tiên để đưa ra các phương thức tấn công một cách hợp lý của kẻ phá hoại. Nếu bạn cho rằng DNS khi đã ở trong firewall và các hệ thống bảo mật thì hệ thống tên của bạn hoàn toàn bảo mật, nhưng bạn thử tưởng tượng nhé. Mặc định trên Primary DNS Server cho phép zone tranfer đến tất cả các máy chủ DNS nào có yêu cầu, vậy tôi có thể lấy được thông tin về DNS đó không, đó là hoàn toàn hợp lệ. Vậy nguy cơ là ở chỗ nào, dưới đây tôi sẽ trình bày các nguy cơ tiềm ẩn cũng như những cách bảo vệ hệ thống của bạn.
Tách biệt giữa hai hệ thống tên miền Private DNS và Public DNS.
Khi Microsoft dùng DNS làm phương pháp xác định tên cho windows thay vì sử dụng WINS trước đây thì DNS đã trở thành một bước quan trọng giúp các hệ thống phối hợp hoạt động tốt và dễ sử dụng hơn. Tuy nhiên việc sử dụng cùng một phương pháp xác định tên cho tất cả các hệ thống mạng có sử dụng internet của công ty dẫn tới tình trạng nhầm lấn việc xác định tên nội và ngoại mạng.

Người sử dụng mạng internet truy cập vào trang web: www.companyname.com của công ty bạn. Máy tính của công ty bạn cũng có một tên DNS gần giống như yourcomputer.company.com hoặc một tên khác giống như vậy hoặc ít nhất ở trong cùng một miền. Điều này có thể dẫn tới việc bạn có thể truy cập vào tên của máy tính bên trong và các địa chỉ bên ngoài qua DNS server xác định tên trên internet. Có một kinh nghiệm cho chế độ an toàn là bạn nên tách tên nội bộ và tên trên mạng. Phương pháp này được biết đến như một thiết kế tách tách rời DNS.

Các đây một vài năm, tôi có làm một cuộc thử nghiệm về sự xâm nhập vào hệ thống. Thử nghiệm này đã minh chứng độ nguy cơ tiềm ẩn khi hê thống không sử dụng DNS tách rời. Nhiệm vụ của tôi là tìm ra các cách một kẻ xâm nhập có thể phá hỏng một hệ thống nhỏ của công ty. Và tôi đã bắt đầu từ tên miền của công ty.

Bước đầu tiên của tôi là tìm một server DNS có thể truy cập từ bên ngoài cho công ty này và các dữ liệu thuộc miền DNS có sử dụng chức năng zone transfer. Tôi rất ngạc nhiên khi phát hiện rằng dữ liệu miền bao gồm cả địa chỉ IP của tất cả các máy tính trong công ty, thậm chí cả các bộ phận quản lý tên miền, server và máy tính của khách hàng.

Dựa vào các thông tin này, tôi có thể tạo ra một bản đồ hoàn chỉnh cho hệ thống mạng của công ty. Khi hoàn thành, tôi thông báo cho công ty đang sử dụng firewall giữa hệ thống của họ và mạng internet. Tuy nhiên, một trong các server của họ đã có hai địa chỉ IP, và một server là địa chỉ công cộng.Điều này có nghĩa là server này đồng thời kết nối với hệ thống mạng nội bộ và intnernet mà không có bức tường lửa bảo vệ.

Tôi kết nối vào server này để đi qua bức tường lửa và để khám phá nguy cơ bị xâm nhập của server để có thể nắm quyền kiểm soát. Sau đó tôi sử dụng server đó để vào hệ thống mạng. trong vòng 15 phút tôi đã kiểm soát được hoàn toàn Doman Admin.

Với phát hiện này, tôi liên lạc với chủ doanh nghiệp và giảng giải tại sao ông ấy nên có những dự án thật khẩn trương cho việc bảo mật hệ thống của công ty. Tôi đã xâm nhập thành công vào hệ thống là do các sai sót về bảo mật. Tuy nhiên, nếu không có các thông tin ban đầu từ DNS, tôi sẽ không biết phải bắt đầu từ đâu.

Cách tốt nhất để tách các thông tin nội bộ khỏi DNS là loại trừ bất kỳ tình trạng sao lưu thông tin DNS trong mạng nội bộ và hệ thống tên được Public qua Internet. Bố trí hai hệ thống DNS hoàn toàn biệt lập. Một doanh nghiệp chỉ cần một vài máy chủ Public ra ngoài Internet như Web Server, Mail Server, VPN Server, DNS server cho VPN và một vài máy chủ đặc cách của người quản trị. Bạn nên bảo dưỡng theo cách thủ công các đầu vào của DNS cho Web và các mail server. Sau đó, bạn có thể sử dụng các đặc tính tiện lợi và ưu việt của Window hỗ trợ cho tất cả máy tính trong firewall của mình.

Bạn nên làm thêm một bước khi thiết kế DNS nội bộ. Đừng bao giờ sử dụng tên DNS zone đối với các máy tính bên ngoài. Ví dụ, nếu domain name của bạn là internal.redmondmag.com thì hãy dùng một tên khác giống như internal.redmondmag.com cho DNS nội bộ.

Thiết lập đường truyền riêng cho quá trình Zone Transfer

Hệ thống DNS luôn có giải pháp dự phòng khi sự cố sảy ra và giải pháp kết hợp các máy chủ Primary DNS và Secondary DNS là một phương thức rất tiện lợi và hiệu quả. Nhưng trong quá trình truyền thông tin từ Primary DNS và Secondary DNS nếu không đáp ứng được bảo mật nó sẽ là lỗ hổng lớn cho các kẻ tấn công xâm nhập và lấy được các thông tin quan trọng đó. Do vậy bạn nên thiết lập đường cho quá trình truyền dữ liệu “zone tranfer” giữa Primary DNS và Secondary DNS bằng một đường truyền riêng trong hệ thống hoặc từ site to site phải có kênh VPN riêng và đảm bảo thông tin được truyền đi phải được mã hoá. Để tối ưu bảo mật bạn có thể lựa chọn phương thức IPSec để truyền các thông tin giữa các máy chủ DNS với nhau.

Các Primary Server có thể truyền thông tin DNS cho các Secondary. Để làm được điều này bạn phải cấu hình các máy chủ DNS phải được đồng bộ dữ liệu với nhau. Một điều quan trọng nữa đó là trong cấu hình mặc định của Primary Server thì cho phép zone transfer tới tất cả các máy yêu cầu lấy dữ liệu DNS. Điều này có nghĩa tôi cũng có thể lấy dữ liệu đó, bạn cần phải cấu hình lại để đảm bảo một điều rằng chỉ các máy chủ Secondary Server mới có trong danh sách những máy chủ có khả năng được lấy dữ liệu DNS từ Primary Server.

Có một số các công cụ giúp lấy dữ liệu truyền từ DNS server, bao gồm công cụ nslookup có trong windows. Tôi đã sử dụng zone transfers một số lần và đã nhận ra rằng các thông tin đó rất hữu ích cho việc tìm ra các điểm yếu của hệ thống mạng của công ty. Trong ví dụ trên đây, tôi đã có thể vẽ hệ thống đầu vào của mạng công ty nhờ sử dụng thông tin do nslookup cung cấp.

Một lần khác, tôi áp dụng zone transfer để xác định tên và địa chỉ IP cho hàng trăm máy tính của một công ty lớn. Nghiên cứu kỹ các tên được mô tả giúp tôi xác định được một số server cuối của hệ thống nội bộ có thể truy cập trực tiếp từ mạng internet. Rõ ràng đây là một lỗ hổng trong chế độ bảo mật của công ty đó.

DNS zone không được hạn chế không thể khiến một hacker xâm nhập vào hệ thông, nhưng quá trình này có thể tạo điều kiện cho hắn tìm ra những điểm yếu trong hàng rào bảo vệ của bạn. May mắn là đối với phần lớn DNS server, bạn có thể hạn chế việc truyền dữ liệu, chỉ cho truyền tới các máy phụ phù hợp. Để kiểm tra xem DNS của bạn có được sắp xếp tốt hay không, hãy sử dụng công cụ nslookup hỗ trợ trong Windows của một máy tính, nhập địa chỉ server (địa chỉ IP hoặc tên của DNS server), tiếp đó là miền Is-d (miền của DNS) để nhận tất cả các dữ liệu.

Nếu server được cấu hình đúng thì nslookup sẽ thông báo rằng nghi vấn đã không đúng. Nếu thông báo hiển thị nội dung của vùng DNS thì bạn nên ngay lập tức thiết lập lại vùng truyền trên DNS server.

Đó là những nguy cơ cơ bản và phổ thông khác, mà thường các nguy cơ này hầu hết các nhà quản trị mạng đều biết, do vậy việc không ngừng nâng cao kiến thức bảo mật sẽ giúp bạn tạo ra một hệ thống an toàn hơn.

Nguồn từ Zensoft.vn

Tạo Web Server với đường truyền ADSL

Nhiều bạn đọc quan tâm đến việc tạo một web server riêng cho mình hoặc cho công ty vì điều này không mấy tốn kém với đường truyền ADSL, có chi phí thuê bao cố định và không phải trả cước điện thoại. Sau khi đã giải quyết vấn đề quan trọng là có được địa chỉ IP tĩnh (LBVMVT số 91) thì bước tiếp theo sẽ là thực hiện các thiết lập để hoàn chỉnh web server.
Trong LBVMVT số 91 có bài viết hướng dẫn cách tạo một IP tĩnh cho một máy kết nối Internet bằng đường truyền ADSL. Bài này nói về bước tiếp theo là từ IP tĩnh đó, thiết lập cấu hình hoàn chỉnh để máy của mình có thể đóng vai trò của một web server.

Ví dụ theo hướng dẫn của bài báo trước, bạn đã đăng ký được một account của no-ip.com là camtu.no-ip.com. Các bước kế tiếp cần làm như sau:

1. Kiểm tra và cài đặt Internet Information Services (IIS):

Để kiểm tra xem máy bạn đã cài IIS chưa, vào Control Panel > Add/Remove Programs. Trong phần Windows Components Wizard xem phần Internet Information Services (IIS) có được đánh dấu không. Nếu chưa thì đánh dấu vào đó. Nhấn Next > Finish > Close để cài IIS (phải có đĩa cài đặt Windows). Sau đó mở IE lên, gõ vào http://localhost/ xem có chạy không. Nếu hiện ra màn hình của IIS thì đã thành công.

Lưu ý: các trang web sau này bạn sẽ lưu trong C:/Inetpub/wwwroot, đây sẽ là thư mục gốc của web.

2. Lập cấu hình cho router

Đây là bước quan trọng trong việc cấu hình server. Bạn phải lập cấu hình router của bạn sao cho khi khách hàng gõ vào địa chỉ http://camtu.no-ip.org (địa chỉ đã đăng ký ở no-ip) thì nó sẽ chạy trang web tương ứng của bạn đang lưu trong C:/Inetpub/wwwroot. Cách làm như sau (hướng dẫn dựa trên router SpeedTouch 530, đối với các router khác thì cũng gần giống vậy):

Mở Internet Explorer lên và gõ địa chỉ router của bạn. Muốn biết địa chỉ này thì vào Start > Run, gõ lệnh ipconfig /all hoăc winipcfg (đối với win 9x) > OK. Địa chỉ chính là phần Default Gateway. Lấy ví dụ địa chỉ router là: http://192.168.1.100.

Sau khi vào địa chỉ trên, một trang web sẽ hiện ra. Đây chính là trang web router của bạn (bạn phải gõ username và password của router mình).

Các bạn nhấn vào mục NAPT và chọn New, trang sau sẽ xuất hiện, ở mục Inside IP, các bạn gõ địa chỉ IP của mình vô (đây là địa chỉ IP của máy muốn làm web server, địa chỉ IP này các bạn cũng có thể thấy khi gõ ipconfig /all). Lấy ví dụ địa chỉ này là 192.168.1.130. Ở mục Inside Port các bạn gõ vào đó số 80, ô Outside IP các bạn không sửa gì hết, còn ô Outside Port các bạn cũng gõ số 80, sau đó chọn Apply và Save All. Sau đó reboot lại router là xong phần cấu hình cho router.

Bây giờ muốn xuất bản một trang web nào thì chỉ cần copy nó vô trong thư mục C:/Inetpub/wwwroot. Bạn thử truy cập bằng cách mở Internet Explorer lên và gõ http://camtu.no-ip.org (địa chỉ đã đăng ký trên no-ip).

Lưu ý là lúc này chương trình client no-ip phải đang chạy.

Theo Khoa học phổ thông

Tập thiết kế hệ thống mạng Cisco ảo với Packet Tracer 4.1

Packet Tracer 4.1 là một phần mềm của Cisco giúp chúng ta thiết kế một hệ thống mạng ảo với mọi tình huống giống như thật. Packet Tracer được dùng rất nhiều trong hầu hết các chương trình giảng dạy và huấn luyện tại các trường hay các trung tâm.Các hãng xưởng cũng dùng Packet Tracer để vẽ và thiết kế hệ thống mạng của mình.

Với Packet Tracer bạn có thể tự tạo một mạng ảo với đầy đủ các thiết bị, truyền thông (traffic) và máy chủ. Bạn có thể cấu hình các routers, switches, wireless access points, servers, và các thiết bị đầu cuối (end devices).

Tải Packet Tracer 4.1 tại đây.

Theo blogthuthuat