Những cổng giao tiếp cần nhớ

Với dân quản trị mạng chuyên nghiệp, mở hay đóng cổng giao tiếp (port) là việc làm thường xuyên để thiết lập hay ngăn cấm một dịch vụ mới nào đó. Bên cạnh đó, việc quan sát, theo dõi hoạt động của hệ thống thông qua các port cũng là công việc khá quan trọng nhằm bảo vệ sự an toàn cho toàn bộ hạ tầng mạng. Tuy nhiên, với người dùng gia đình - nhất là những người mới làm quen với môi trường mạng - việc kiểm soát các port gần như “thả cửa”, hay nói cụ thể là mặc định trên router như thế nào thì người dùng để nguyên thế đó (dù hầu hết router thường đóng hoặc ẩn tất cả port, nhưng cũng có vài router mở các port thông dụng như 21 dùng cho tính năng ftp, 23 cho telnet). Có thể khẳng định, điều này tiềm ẩn nhiều nguy cơ, như bị người ngoài xâm nhập hệ thống bất hợp pháp để khai thác thông tin, phá hoại... Vậy làm thế nào để biết được router/máy chủ của bạn đang mở, đóng hay ẩn port giao tiếp nào, cũng như làm thế nào để mở đúng port cần thiết khi muốn triển khai ứng dụng mới?

Khái niệm ứng dụng port

Hãy tưởng tượng, máy tính giống như ngôi nhà của bạn và port sẽ đóng vai trò cửa ra vào. Bạn muốn mời một người nào đó vào nhà thì bạn phải chỉ cho họ biết cần đi vào từ lối nào (địa chỉ nhà), rồi phải mở sẵn cửa đón khách. Do đó, với máy tính, bạn phải cho biết máy chủ (server) của mình đang “đợi khách” (lắng nghe) ở port nào, từ đó máy khách biết và gửi yêu cầu đến đúng port tương ứng. Router trong mô hình như hình minh họa bên dưới sẽ giữ vai trò như người gác cổng, có nhiệm vụ mở các port dịch vụ trong mạng.

Hình 1: Mô hình ứng dụng port

Quan sát

Hình 2: Trạng thái của tất cả các port

Để quan sát router/server đang mở/đóng hay ẩn port nào, bạn có thể chọn một trong các cách kiểm tra sau. Lưu ý, khi kiểm tra, bạn phải tắt tính năng/dịch vụ Firewall trên HĐH Windows.
Dễ nhất, bạn vào trang web www.grc.com, nhấn vào ShieldsUP!, tiếp tục chọn ShieldsUP!> Process> All Service Ports (chọn quét tất cả các port). Đợi khoảng vài giây (nhanh chậm tùy thuộc vào tốc độ Internet), ShieldUP sẽ hiện ra bảng thông báo trạng thái của 1056 port đầu tiên (Hình 2).

Theo hình trên, bạn sẽ xác định được trạng thái của các port thông qua màu sắc: đỏ là port đang mở (Open), xanh dương là đóng (Closed) và xanh lá cây là ẩn (Stealth). Để biết số của port đang mở port , bạn có thể đếm theo hàng ngang (từ trái qua phải, từ trên xuống dưới), nhưng dễ nhất là rê chuột vào ô đó, chẳng hạn tại ô màu đỏ hàng số 2 (hình 3) bạn sẽ biết được hệ thống đang mở cổng 53 cho dịch vụ tên miền (DNS)

Hay để xem nhanh kết quả, bạn nhấn vào Text Summary. Bảng này sẽ tổng kết có bao nhiêu port đang mở/đóng/ẩn và số hiệu của port đó...

Hình 3: Xác định vị trí cổng đang mở

Đơn giản hơn, bạn vào http://www.canyouseeme.org và gõ số port cần kiểm tra, đợi giây lát để xem thông báo.

Để liệt kê tất cả port vào/ra trên máy tính sử dụng HĐH Windows, bạn nhấn Start.Run và gõ vào lệnh netstat -an (liệt kê tất cả port mà máy đang kết nối hay lắng nghe, địa chỉ ở dạng IP) để biết máy tính của bạn đang sử dụng và lắng nghe những port nào.

Hình 4: Kết quả kiểm tra cho thấy port 21 đang mở

Hình 5: Kết quả sau khi gõ lệnh netstat –an trên cmd

Ngoài ra, bạn còn có thể cài đặt phần mềm Atelier Web Security Port Scanner, Active Ports, CurrPorts, Free Port Scanner v2.0... để thực hiện việc kiểm tra trạng thái của các port trên hệ thống.

Mở port

Thực tế, router cho mở tất cả port (cho phép LAN kết nối ra WAN theo bất kỳ port nào, và ngược lại). Tuy nhiên việc này khá nguy hiểm vì virus dạng trojan trong LAN có thể tạo và mở cửa hậu (backdoor), từ đó làm bàn đạp tấn công và chiếm quyền điều khiển máy tính và toàn bộ hệ thống mạng của bạn. Nếu mở dịch vụ (mở một số port nào đó) cho bên ngoài (Internet) truy cập vào thì hệ thống của bạn phải có cơ chế bảo mật hợp lý để bảo đảm an toàn cho hệ thống.

Hình 6: Mở port 8080 cho dịch vụ web trên máy có địa chỉ 192.168.1.10

Để mở port cho router, đầu tiên phải biết địa chỉ IP mặc định của thiết bị (thường là 192.168.1.1 hay 192.168.0.1), sau đó, bạn gõ địa chỉ (chẳng hạn 192.168.1.1) vào thanh Address trong trình duyệt, đăng nhập vào router (tài khoản đăng nhập cũng xem trong tài liệu hướng dẫn). Để mở cổng (Open port), bạn vào mục NAT.Open ports (Hình 6).

Song Minh