Wireless Security – Các khái niệm cơ bản

Wired Equivalent Privacy (WEP)

Wired Equivalent Privacy (WEP) là một giải thuật mã hóa bảo vệ dữ liệu trong mạng LAN không dây tránh bị nghe trộm. Khi dùng WEP, các mạng LAN không dây sinh và phân phối những key chia sẻ giữa client và các điểm truy cập (access point – AP) sao cho cả hai bên đều cùng biết. WEP dùng các key đó để authenticate, đồng thời để mã hóa dữ liệu. Điều đầu tiên AP cần xác định khi một máy client được cấu hình WEP sẵn truy cập vào mạng không dây, là key của client có phù hợp hay không.

Có hai loại WEP key – 64 bit và 128 bit. Mỗi loại đều dùng một vector khởi tạo dài 24 bit, theo sau đó là một khóa bí mật dài 40 bit hay 104 bit để tương ứng với hai loại độ dài khác nhau.

Có hai cách để phân phối các WEP key:

• Key tĩnh: Các key được thiết lập tĩnh một cách thủ công. Thường thì ta thiết lập các key này thông qua phần mềm điều khiển access point. Ta có thể chọn key ở dạng ASCII (dạng chữ, số) hay dạng HEX (thập lục phân) và chiều dài key là 64 bit hay 128 bit. Mỗi client phải được cấu hình WEP key tĩnh thủ công giống với key ở access point, và không bao giờ được thay đổi cho đến khi key ở trên access point thay đổi. Khi key trên access point thay đổi, toàn bộ các client cũng phải thay đổi theo một cách thủ công. Điều này làm tăng rủi ro bảo mật, tốn thời gian và công sức trong quản lý. Vì vậy WEP key tĩnh chỉ phù hợp cho những mạng LAN không dây nhỏ và đơn giản.
• Cung cấp key tập trung thông qua máy chủ: Các máy chủ sẽ phát hành WEP key đến các máy client và AP theo một cơ chế định trước. Máy chủ phân phối WEP key theo hai cơ chế như sau:
  • Phân phối key theo từng packet – khi mỗi packet được gửi thì yêu cầu key mới cho cả hai đầu kết nối.
  • Phân phối key theo từng session – khi mỗi session mới được thiết lập giữa các bên thì sinh ra một key mới.

Với phương pháp này, WEP key được thay đổi liên tục và chỉ có tác dụng trong một khoảng thời gian nhất định. Việc tạo khóa và phân phối được tập trung và tự động hóa, do đó giảm chi phí quản lý xuống tối thiểu.

So với WEP key tĩnh, cung cấp key tập trung thông qua máy chủ có tính thực tế cao hơn và an toàn hơn trong mạng LAN không dây.

WEP dùng giải thuật RC4 để mã hóa dữ liệu và CRC-32 checksum để kiểm tra sự toàn vẹn dữ liệu trên đường truyền. Tuy nhiên RC4 lại có điểm yếu bảo mật với vector khởi tạo (IV) chỉ dài 24 bit và CRC-32 là giải thuật checksum tuyến tính có thể bị kẻ xấu lợi dụng để thay đổi nội dung gói tin. Những điểm yếu này để ngỏ nhiều lỗ hổng khiến cho WEP dễ bị khai thác tấn công.

802.1x

Chuẩn 802.1x cung cấp phương pháp port-based điều khiển truy cập vào mạng. Nó đưa ra một framework cho việc xác nhận và điều khiển lưu thông của user trong mạng được bảo vệ, cũng như cấp phát động các key mã hóa khác nhau.

Gọi cơ chế điều khiển truy cập của 802.1X là port-based vì khi một client chưa được authenticate kết nối vào AP, AP sẽ phản ứng lại bằng cách kích hoạt 1 port để vận chuyển chỉ các gói tin EAP từ client đến server làm nhiệm vụ xác thực, được kết nối bằng cáp với AP. AP khóa tất cả những traffic khác, như HTTP, DHCP, POP3… cho đến khi client được xác nhận thành công.

802.1x kết nối một giao thức gọi là EAP (Extensible Authentication Protocol) đến các thiết bị nằm ở phía không dây và có dây của AP, đồng thời hỗ trợ xác nhận với nhiều phương pháp khác nhau, như mật khẩu dùng một lần hay xác nhận khóa công khai.

Quy trình xác nhận (authenticate) và xác thực quyền (authorize) theo chuẩn 802.1x trên mạng LAN không dây được tóm tắt như sau:

1. Client gửi yêu cầu truy cập đến access point
2. Access point yêu cầu một username và password từ client sau đó gửi phản hồi đến authentication server.
3. Server gửi yêu cầu thử thách cho việc truy cập đến AP, sau đó AP lại gửi yêu cầu thử thách đến cho client.
4. Client gửi phản hồi thử thách đến AP, AP lại chuyển phản hồi đến server.
5. Nếu phản hồi là đúng, server trả về một thông điệp thành công và WEP key được mã hóa trong một session key đến cho client thông qua AP.
6. Client và AP bắt đầu giao tiếp thông qua WEP key.

So với WEP, 802.1x có những ưu điểm:

• Quá trình authenticate tốt hơn và có khả năng mã hóa key
• Khả năng tương vận (Interoperability) cao cho nhiều loại thiết bị từ nhiều nhà cung cấp khác nhau.
• WEP key đươc tạo động

Wi-Fi Protected Access (WPA)

Là một chuẩn bảo mật có khả năng tương vận được thiết kế để tăng cường bảo vệ dữ liệu và điều khiển truy cập cho các hệ thống mạng LAN không dây.

WPA được thiết kế để lấp những lỗ hổng bảo mật của WEP, đặc biệt là quá trình mã hóa dữ liệu và authenticate yếu.

WPA cung cấp hai yếu tố cải tiến về bảo mật như sau:

• Cải tiến mã hóa dữ liệu thông qua TKIP. Temporal Key Integrity Protocol, cung cấp sự cải tiến trong mã hóa dữ liệu bằng cách trộn lẫn key đựơc sinh theo từng packet với véc tơ khởi tạo (IV) được mở rộng với những sequence counter để chống replay attack trên WEP, sau đó mới chuyển đến quy trình khởi tạo mã hóa RC4. Ngoài ra, TKIP còn hiện thực chức năng kiểm tra sự toàn vẹn thông điệp (Message Integrity Check – MIC) 64 bit với giải thuật MICHAEL.
• Authenticate người dùng ở mức độ doanh nghiệp thông qua 802.1x và EAP. Framework 802.1x và EAP dùng một máy chủ authenticate tập trung, chẳng hạn như RADIUS, để authenticate mỗi người dùng trong mạng trước khi họ kết nối vào. Nó cũng sử dụng cơ chế “nhận dạng lẫn nhau” để ngăn chặn người dùng truy cập vào một mạng giả mạo có thể đánh cắp nhận dạng của họ.

WPA2, thế hệ thứ hai của WPA, dựa trên bản sửa đổi 802.11i của IEEE dành cho chuẩn 802.11. Điểm khác biệt chính giữa hai thế hệ là WPA2 dùng kỹ thuật mã hóa phức tạp hơn là AES (Advanced Encryption Standard), còn gọi là Rijndael. Đây là một giải thuật mã hóa khối được công nhận như là chuẩn mã hóa cho chính phủ Mỹ.

OSes Market Share 29-Mar-09

Grade	Operating System	Total Market Share
1	Windows XP	63.53%
2	Windows Vista	22.91%
3	Mac OS X 10.5	5.64%
4	Mac OS X 10.4	2.75%
5	Windows 2000	1.32%
6	Mac OS X (no version reported)	0.95%
7	Linux	0.88%
8	iPhone	0.48%
9	Mac OS X Mach-O	0.27%
10	Windows 98	0.21%
11	Windows 7	0.18%
12	Unknown	0.14%
13	Windows ME	0.13%
14	Windows NT	0.11%
15	iPod	0.11%
16	Java ME	0.07%
17	Windows CE	0.05%
18	Symbian	0.04%
19	Android 1.1	0.03%
20	Hiptop	0.03%
21	PLAYSTATION 3	0.03%
22	BlackBerry	0.02%
23	FreeBSD	0.02%
24	PSP	0.02%

Nguồn: Marketshare.hitslink.com

Hệ điều hành Amiga

“AmigaOS duy trì vị trí một trong những hệ điều hành lớn trong hai mươi năm qua, tích hợp một kernel nhỏ gọn với khả năng đa nhiệm cực lớn , những đặc tính mới chỉ được phát triển trong OS/2 và Windows NT thời gian gần đây. Điểm khác biệt lớn nhất là AmigaOS có thể hoạt động đầy đủ và đa nhiệm trong không gian nhớ chỉ có 250K. Ngay cả cho đến gần đây, AmigaOS cũng chỉ có kích thước 1MB. Và ngày nay, có rất ít những hệ điều hành phung phí bộ nhớ, với kích thước của những đĩa CD có thể làm được những điều mà Amiga không thể. Mã nguồn chặt chẽ – một ưu điểm độc đáo.”

— John C. Dvorak

Đọc tiếp »

CIDR

Classess Interdomain Routing (CIDR) là một giải pháp khác cho tình trạng thiếu địa chỉ IP public (bên cạnh IPv6). CIDR được giới thiệu từ năm 1993 và triển khai một năm sau đó. Cơ chế đánh địa chỉ này được xem là cấp phát hiệu quả hơn so với cách đánh địa chỉ theo lớp A, B, C, D, E truyền thống, với một cơ chế ít lãng phí và linh hoạt hơn, làm tăng hiệu quả và tính mở rộng cho IPv4.

CIDR cung cấp cơ chế supernetting, một cải tiến cho việc thu thập định tuyến (route). Khi mạng Internet ngày càng phình to, các router đòi hỏi phải có các bảng lưu trữ khổng lồ để chứa tất cả các thông tin định tuyến. Suppernetting rút ngắn và kết hợp nhiều thông tin định tuyến vào một entry duy nhất, bằng cách này sẽ giúp làm giảm kích thước các bảng lưu trữ của router và tăng tốc quá trình tìm kiếm.

Ví dụ cho địa chỉ mạng CIDR:

192.168.54.0/23

Nework address là 192.168.54.0, prefix là /23, do đó 9 bit còn lại có thể được dùng để đánh địa chỉ host. (Lưu ý phần prefix không giống với các Class chuẩn).

IANA cấp phát những block các địa chỉ Ipv4 cho các nhà cung cấp dịch vụ, những nhà cung cấp này sau đó dùng CIDR để cấp phát lại địa chỉ cho khách hàng theo những chính sách riêng của họ. Ví dụ, nếu bạn yêu cầu nhiều hơn 254 địa chỉ host, bạn có thể được gán cho một địa chỉ /23 thay vì phung phí toàn bộ cả địa chỉ lớp B, hỗ trợ đến 65,534 host.

Các mạng CIDR còn được biết như là mạng “slash x” – x đại diện cho số bit trong phần network của địa chỉ IP. Chẳng hạn lớp C là mạng slash 24 – InterNIC là tổ chức quản lý 24 bit đầu tiên (trong 32 bit của địa chỉ Ipv4), và 8 bit còn lại có thể được dùng để cấp phát.

CIDR có thể tổng hợp nhiều mạng phân lớp chuẩn thành một mạng lớn hơn. Bằng cách đó, số lượng entry trong bảng định tuyến của router giảm xuống và tăng số lượng host được cấp phát trong network. Ta đạt được điều này mà không cần phải dùng đến network ID của lớp lớn hơn như theo cách phân lớp thông thường.

Khi dùng CIDR, một tổ chức sẽ không yêu cầu địa chỉ từ một trung tâm có thẩm quyền, mà sẽ yêu cầu từ ISP. ISP sẽ đánh giá yêu cầu của tổ chức và cấp phát vùng địa chỉ từ block địa chỉ CIDR của nó. Những CIDR block này thường được các RIR (Regional Internet Registry – ở châu Á là APNIC, xem thêm ở đây) gán cho các chính phủ, nhà cung cấp dịch vụ, doanh nghiệp, và các tổ chức.

Ví dụ, một ISP có block địa chỉ 192.168.0.0/16. Công ty A mua một block địa chỉ nhỏ hơn là 192.168.0.0/23 từ ISP. Như vậy nó có thể dùng 9 bit cho địa chỉ host, trừ đi địa chỉ network và địa chỉ broadcast thì A có thể đánh địa chỉ cho 2^9-2 = 510 máy.

Với hệ thống không phân lớp này, ISP chịu trách nhiệm quản lý không gian địa chỉ. Các router trên Internet lưu giữ một supernet route (còn gọi là summary route) đến mạng của nhà cung cấp. ISP sẽ lưu giữ các route chi tiết hơn đến các mạng khách hàng của chính ISP đó. Phương pháp này giúp giảm kích thước bảng định tuyến trên Internet rất hiệu quả.

Kick remote desktop users

Thông báo lỗi khi remote access vào server Windows:

Solution: Dùng các lệnh sau:

C:\>qwinsta
SESSIONNAME USERNAME ID STATE TYPE DEVICE
console 0 Conn wdcon
rdp-tcp 65536 Listen rdpwd
administrator 1 Disc rdpwd
>rdp-tcp#3 Administrator 2 Active rdpwd

C:\> logoff 1

Open source fonts

Bài viết này giới thiệu một số kiểu font nguồn mở, tự do để tăng sự lựa chọn khi bạn đã thấy chán các kiểu font thương mại hiện tại. Bạn có thể bắt gặp chúng trong các sản phẩm nguồn mở như bộ OpenOfice.Org, các hệ điều hành Ubuntu, Fedora, …

Bộ font Liberation fonts ra đời để thay thế cho những kiểu font thương mại phổ biến như Times New Roman, Arial, Arial, Helvetica, Courier New, … Bộ font này gồm có ba nhóm: Sans (không chân – thay thế cho Arial, Albany, và Helvetica), Serif (có chân – thay thế cho Times New Roman) và Mono (đơn thể – thay cho Courier, Cumberland, và Courier).

Tổ chức SIL đưa ra một bộ font ấn tượng, được phát hành theo giấy phép Open Font License. Ở đây bạn có thể tìm được những kiểu font được thiết kế cho những mục đích riêng (như Antika giành riêng cho việc giảng dạy) và những ngôn ngữ riêng (ví dụ các font Arabic Script Unicode) cũng như những font chất lượng cao như Gentium và Charis.

Nếu bạn cần một font có chân (serif) giống y chang như Times New Roman, hãy thử bộ font Linux Libertine. Trong đó có các kiểu bình thường, in đậm, in nghiêng, vừa đậm vừa nghiêng, mũ nhỏ (small caps).

Ngoài ra còn có “bộ sưu tập” MgOpen cho ta bốn loại font: MgOpenCanonica (giống như Times Roman), MgOpenCosmetica (giống như Optima), MgOpenModata, và MgOpenModerna (giống như Helvetica). Mỗi loại font lại có bốn kiểu: thường, đậm, nghiêng, đậm nghiêng.

Arev là một kiểu font sans serif đẹp và tiện dụng khi bạn làm việc với những ngôn ngữ không xây dựng trên bảng chữ cái Latin. Vì những font này có hỗ trợ mở rộng cho những kí tự bỏ dấu nên nó cũng phù hợp với những ngôn ngữ nhiều dấu như tiếng Việt.

Họ font Droid được nhà thiết kế Ascender dành riêng cho nền tảng Google Android gồm có Droid Sans, Droid Sans Mono và Droid Serif. Mỗi font hỗ trợ cho các ngôn ngữ Western European, Eastern/Central European, Baltic, Cyrillic, Greek, và Turkish. Mặc dù các font Droid được phát hành với giấy phép Apache, nhưng cả Google và Ascender đều không cung cấp phiên bản download nào của bộ font này. Tuy nhiên, bạn có thể tách nó ra từ những sản phẩm chính. Bạn có thể tải gói system.tar.gz về, giải nén và sẽ thấy font Droid nằm trong thư mục fonts.

Cuối cùng, nếu bạn muốn một chút phá cách trong tài liệu của mình với những kiểu chữ viết tay, biết đâu bộ Rufscript lại hợp ý bạn.

Tham khảo Linutop mag

Phòng chống virus và bảo mật đa tầng

Không có mạng máy tính nào là an toàn 100% trước những nguy cơ từ Internet và những kẻ ác ý. Nhưng với một chính sách bảo mật thông minh và sử dụng phương pháp tiếp cận theo tầng, bạn có thể giảm thiểu nguy cơ bị tấn công cho hệ thống của mình.

Ngày nay, virus ngày càng đa dạng, dễ phát tán và gây thiệt hại ngày càng lớn. Virus có thể tấn công network ngay cả ở mức thấp nhất, vượt qua sự kiểm soát của các phần mềm chống virus desktop và server. Phần mềm chống virus đơn lẻ không còn là sự bảo vệ hoàn hảo như trước đây được nữa.

Vậy thì cách phòng chống virus vào bảo vệ hệ thống theo nhiều tầng là gì? Nói một cách đơn giản là giống như đặt một chướng ngại vật phòng thủ ở mỗi điểm đi vào của hệ thống. Một giải pháp antivirus phân tầng kinh điển sẽ gồm có server AV, desktop AV, gateway AV, email AV, kết hợp với một số dịch vụ thăm dò/ ngăn chặn xâm nhập (IDS, IPS).

Kiểu tiếp cận này không chỉ bảo vệ trước những nguy cơ xuất phát từ trong máy tính và hệ thống file, mà còn bảo vệ hệ thống mạng khỏi các tấn công từ chối dịch vụ (DoS) cũng như nhiều kiểu tấn công khác.

Cách tiếp cận theo phân tầng còn giúp tăng hiệu suất và cân bằng tải cho hệ thống mạng. Nếu phát hiện ra mail server đang bị “nhồi” hàng loạt email giả mạo và chứa virus mỗi ngày, thì việc triển khai một gateway antivirus sẽ giúp giảm tải đáng kể mail server bằng cách ngăn những email đó đến được mail server.

Việc sử dụng gateway antivirus cũng tăng cường hiệu quả an toàn cho các desktop. Nếu một user cố gắng tải một virus vào máy của họ, thay vì để cho phần mềm AV trên AV xử lý, gateway AV sẽ kiểm tra trước, cắt đứt những kết nối có dấu hiệu của virus đến desktop.

Bảo vệ mạng theo cách phân tầng ngày nay không chỉ là một thiết kế bảo mật cho các hệ thống của doanh nghiệp lớn mà còn là bắt buộc cho hệ thống của tất cả các tổ chức.

Nguồn:Security and Multi-layer Antivirus

Đằng sau những distro phổ biến …

Ubuntu:

Mark Richard Shuttleworth (sinh ngày 18 tháng 9 năm 1973) là một doanh nhân người Nam Phi, là người thứ hai trên thế giới bỏ tiền ra du hành vũ trụ, và là người châu Phi đầu tiên bay vào không gian. Shuttleworth thành lập Canonical Ltd., sản sinh ra hệ điều hành desktop phổ biến nhất hiện nay, Ubuntu.

Debian

Ian Murdock (sinh ngày 28 tháng 4 1973, ở Konstanz, Germany) người sáng lập ra distro Debian và is Progeny Linux Systems, một công ty kinh doanh về Linux.

Slackware

Patrick Volkerding (sinh năm 1966) là người sáng lập và duy trì hệ điều hành Slackware operating system. Volkerding tốt nghiệp cử nhân khoa học máy tính từ trường Minnesota State University Moorhead năm 1993.

MEMPIS

Warren Woodford là một chuyên gia kì cựu trong ngành công nghiệp máy tính, nổi danh là nhà phát triển chính cho MEPIS Linux. Từ năm 2002 đến 2007, Warren tập trung vào phát triển MEPIS và xây dựng các ứng dụng cross-platform có liên quan đến MEMPIS cho Linux, Mac OS, và ngay cả Microsoft Windows.

Nguồn: yabblog.com

Disable Help Agent trong OpenOffice

Chỉ là một điều nhỏ, nhưng lắm lúc lại gây bực mình cho người sử dụng OpenOffice, đó là biểu tượng popup ‘help agent’. Cái này cũng giống như Office Assistant của MS Office, thường xuyên nhảy ra làm rộn ràng, chỉ để nhắc tôi là “nó” có thể giúp tôi những thứ hữu ích đấy, ngay những lúc tôi đang tập trung vào nội dung mình gõ.

Để biểu tượng này không làm phiền mình nữa, chỉ cần vào thiết lập như trong hình sau:

Bỏ dấu check Help Agent đi và bạn sẽ được yên tĩnh.

New Vietnamese Scim table

Hôm rồi, cái SCIM giở chứng, không chuyển kiểu gõ được (theo như phản hồi thì lỗi này khá phổ biến). Nhân dịp đó tôi thử cài bảng scim table mới của tác giả myquartz trên Google Code.

Giới thiệu của tác giả:

Gói này sử dụng một phương pháp khác với các phần mềm gõ tiếng Việt hiện thời, đó là việc định nghĩa một loạt các cụm từ/ngữ hoặc vần có trong tiếng Việt tương ứng với mỗi cụm chữ gõ vào theo quy tắc Telex/VNI, nhừ là 1 từ điển, thay vì lập trình bằng một ngôn ngũ nào đó để tạo vần và bỏ dấu. Do không phải phần mềm độc lập, Scim-tables-Vietnamese-Ext này đòi hỏi phải có Scim và Scim-tables mới hoạt động được. Gói này hoạt động trên mọi nền tảng mà Scim/Scim-tables hoạt động được (Linux, AIX hay Solaris).

~*~

Cách cài đặt bằng source code:

1. Tải gói source về: scim-tables-vietnamese-ext-0.5.6-16.tar.gz

2. Giải nén và cài đặt

tar -zxf scim-tables-vietnamese-ext*.tar.gz
cd scim-tables-vietnamese-ext/
sudo make install

Hiện tại tôi đang gõ trên bảng mới này, nhận xét chung là thấy cũng khá ổn. Một vài ý kiến như sau:

Ưu điểm:

• Lỗi không chuyển bộ gõ được (left-click không hiện lên menu) có vẻ như đã biến mất (great!!!)
• Bỏ dấu cuối từ, vd: huynhf -> huỳnh
• Cải tiến trong định nghĩa các cụm từ có nghĩa của tiếng Việt

Hạn chế:

• Không dùng phím tắt chuyển kiểu gõ được (bất tiện nhất!)
• Trường hợp không nằm trong cụm từ có nghĩa thì từ đó bị dừng lại luôn, phải xoá đi mới gõ tiếp được, chẳng hạn gõ eetf (theo tác giả thì đây là ưu điểm trong Cải tiến các cụm từ có nghĩa của tiếng Việt nhưng cá nhân tôi thấy hơi bất tiện).

Các bạn hãy dùng thử và góp ý để chúng ta có những bộ gõ tiếng Việt tốt hơn nhé.

Bổ sung:

Về hạn chế “Không dùng phím tắt chuyển kiểu gõ được“, cách khắc phục như sau:

1. Vào SCIM Setup > Global Setup
2. Tab hotkeys, dòng Trigger, click vào dấu “…”. Chỉ để lại tổ hợp phím Control+Space, còn lại remove hết. Trong IMEngine > Global Setup nhớ chọn kiểu gõ TELEX hoặc VNI.
3. Ok và Exit SCIM.
4. Bấm Alt-F2 để mở ô Run dialog, sau đó gõ scim để khởi động lại SCIM.

Bây giờ bạn có thể dùng tổ hợp phím Control+Space (hoặc tổ hợp khác tùy bạn thiết lập trong Trigger) để tắt/mở chế độ gõ tiếng Việt.

Đọc thêm:

• Gõ tiếng Việt với SCIM
• Gõ tiếng Việt trong Ubuntu Hardy