1 *Các máy tính bị khống chế để phục vụ công DDos gọi botnet Câu 1: Ý tưởng dùng để thiết lập đường hầm(tunnel) mạng VPN? a Chứng thực chiều đường truyền b Phân quyền chi tiết cho người dùng cụ thể c Nén liệu d Bao gói liệu gốc bên gói liệu mã hóa.x Câu 2: Một hệ thống mạng dùng thuật toán băm MD5 để kiểm tra tính đắn đường truyền Một hôm, người quản trị mạng phát liệu nhận liệu gốc gửi dù thuật toán băm kiểm tra có kết xác Như hệ thống bị công dạng khắc phục cách nào? a Hệ thống bị công dạng kẻ đứng giữa_ khắc phục cách sử dụng HMAC-M x b Hệ thống bị công dạng nghe lén- khắc phục cách mã hóa liệu … c Hệ thống bị công dạng giả mạo- khắc phục cách sử dụng SHA-1 d Hệ thống bị công mật khẩu- khắc phục cách đổi mật Câu 3: Đặc điểm mạng WLAN? a Được thể logo WIFI.x b Hoạt động theo nguyên tắc CSMA/CD c Các chuẩn A, B, G, Draft-N d Chuẩn hóa IEEE 802.11 Câu 4: Firewall lọc lưu thông mạng dựa theo địa IP? a Tường lửa tầng ứng dụng (proxy firewall) b Tường lửa lọc gói(packet filtering firewall)x c Tường lửa đầy đủ trang thái(stateful firewall) d Tường lửa duyệt sâu gói tin(deep packet layer firewall) Câu 5: Người dùng di động kết nối VPN đến mạng đặt trụ sở của… Câu 6: Một … Không bao gồm thuật toán nào? a Thuật toán …x b Thuật toán mã hóa đối xứng c Thuật toán mã hóa bất đối xứng d Thuật toán băm Câu 7: Giới hạn Firewall là: a Không ngăn công không qua Firewall( chẳng hạn đường đi….) b Không ngăn chặn công từ bên c Không bảo vệ hệ thống trước công virus vào liệu hay phần mềm d Tất đặc điểm trên.x Câu 8: Một công ty có hệ thống mạng kết nối với Internet, nhiên, hệ thống…nhưng máy chủ phục vụ Internet Công ty muốn thiết lập …(chính sách) mạng, sách bên KHÔNG CẦN THIẾT? a Chính sách an ninh cho vùng DMZ( DMZ Security policy)x b Chính sách phòng chống virus (Anti-virus policy) c Chính sách quản lý mật (Password management policy) d Chính sách an ninh cho máy chủ(Server security policy) Câu 9: Là người dùng tổ chức, phát hệ thống máy tính có người xâm nhập liệu quan trọng có dấu hiệu bị chỉnh sửa, người dùng có hành động xác định ĐÚNG? a Cô lập máy tính, ngắt đường truyền mạng, thông báo báo cho quan …ứng nhanh đến xử lý.x b Tắt máy tính, quiets virus chương trình nhất, xóa bỏ file, chương trình lạ hệ thống c Backup lại liệu quan trọng, format lại ổ cứng, cài đặt hệ điều hành firewall mạnh d Cài đặt hệ thống phát xâm nhập vào máy tính, thay đổi mật an toàn Câu 10: Ông A người quản trị hệ thống mạng Một ngày nọ, ông A phát Server phục vụ hệ thống mạng điện tử công ty bị xâm nhập Ông A KHÔNG nên làm tiếp theo? a Thay hệ thống dự phòng vào để phục vụ cho việc thương mại tiếp tục (nếu có) b Shutdown Server, khôi phục liệu, kiểm tra lỗ hỏng, cài đặt lỗi cho Server.x c Cô lập Server để giữ nguyên trạng để phục vụ điều tra d Không cho nhân viên khác can thiệp vào hệ thống, thu thập bảo quản log file Câu 11: Để chế an ninh mạng cài đặt phát huy tác dụng tốt nhất, tổ chức phải: a Tổ chức đội phản ứng nhanh để xử lý cố mạng.x b Sao lưu file cấu hình thiết bị, liệu Server c Xây dựng sách an ninh cho hệ thống mạng d Thuê đường truyền Internet an toàn cho tổ chức Câu 12: Giao thức không dùng để thiết lập VPN? a PPTP b L2TP c PGP d IPScc Câu 13: Phát biểu SAI hạ tầng công khai(PKI)? a PKI chế bên thứ 3(Certificate Authority-CA) cung cấp chứng thực định danh bên tham gia vào trình trao đổi thông tin b CA cung cấp xá nhận chứng số(digital cẻtificate) c Chứng số tạo theo chuẩn X 509 version d PKI sử dụng khóa công khai để mã hóa chữ ký điện tử giải mã khóa bí mật.x Câu 14: Một hệ thông mạng dùng mã hóa DES Tuy nhiên, người quản trị mạng nhân thấy DES không đủ an toàn độ dài khóa ngắn Thuật toán mã hóa đối xứng lựa chọn? a MD5 (Message- Digest 5) b AES (Advanced Encryption Standard) c 3DES(Triple Data Encryption Standard) d DSA(Digital Signature Algorithm) Câu 15: Người dùng A sử dụng laptop dò tìm mạng WLAN dạng Open tiến hành thiết lập Tuy nhiên, A phát Laptop đăng nhập thất bại Lý là: a Mạng WLAN cấu hình ẩn định danh mạng(SSID) b Mạng WLAN cấu hình lọc địa MAC máy tính gia nhập mạng c Mạng WLAN cấu hình chứng thực dạng tập trung d Mạng WLAN cấu hình chứng thực theo WPA-PSK Câu 16: Trong an toàn mạng, phát biểu SAI giải thuật băm? a Giải thuật băm MD5 có đầu số 128 bits b Giải thuật SHA-1 có tính bảo mật cao MD5 c Giải thuật băm không dùng để mã hóa liệu mà dùng để mã hóa khóa bí mật d Kết giải thuật băm số (digest) có độ dài cố định gửi kèm Câu 17: Đặc điểm dịch vụ LDAP đúng? a LDAP tạo theo chuẩn X.509 b LDAP dịch vụ an toàn nên không cần bổ sung them giải pháp khác c LDAP giao thức dùng riêng Microsoft d LDAP thường dùng để cung cấp chứng thực cho dịch vụ khác như: Web, Mail, x Câu 18: Bảng phân giải địa chỉ(….-Network Address Transtation) tạo an toàn cho mạng vì: a NAT lọc lưu thông mạng không hợp lệ bên bên mạng b Cung cấp tính phát xâm nhập từ bên mạng vào mạng nội c Các máy tính bên mạng nội kết nối trực tiếp với máy tính Internet máy tính bên Internet không “thấy”được máy tính bên mạng cục x d Cung cấp tính phát ngăn virus công vào mạng Câu 19: Phát biểu SAI quản lý khóa chứng số: a Khóa chứng số tạm dừng khôi phục lại sau b Khóa lưu trử Escrow c Khi phát khóa bí mật bị lộ, chứng hủy bỏ cách đưa vào danh sách …(CRL) Danh sách không công bố bên x d Trước chứng số hết hạn, người dùng gia hạn Câu 20: Để tạo an toàn cho đường kết nối phục vụ hệ thống RÁ, ta dùng giao thức: a PPP với chứng thực CHAP b PPP với chứng thực PAP c PPP không chưngs thực d HDLC Câu 21: Trong an toàn mạng, phát biểu SAI giải thuật mã hóa bất đối xứng? a Mã hóa bất đối xứng dùng khóa: khóa để mã hóa khóa thứ để giải mã b Mã hóa bất đối xứng an toàn so với mã hóa đối xứng c Mã hóa bất đối xứng có tốc độ thực thi nhanh mã hóa đối xứng x d Mã hóa bất đối xứng có độ dài khóa lớn so với mã hóa đối xứng Câu 22: Sắp xếp chuẩn chứng thực mạng WLAN theo thứ tự độ bảo mật tăng dần a Open, WEP, WPA-PSK, WPA2 x b Open, WPA-PSK, WPA2,WEP c Open, WPA, WEP, WPA2 d WEP, WPA-PSK, WPA-RADIUS, Open Câu 23: Để tạo an toàn cho dịch vụ đăng nhập làm việc từ xa, ta sẽ: a sử dụng Telnet thông qua cổng 22 b Thiết lập firewall chặn cổng 23 c Không sử dụng Telnet mà chuyển sang dùng SSH x d Sử dụng telnet với chứng thực dựa hạ tầng khóa công khai(PKI) Câu 24: Chọn thứ tự hoạt động mạng WLAN: a Beacon (báo hiệu), Probing (thăm dò), Authentication (chứng thực), Association (kết hợp) x b Probing (thăm dò), Beacon (báo hiệu), Association (kết hợp), Authentication(chứng thực) c Beacon (báo hiệu), Authentication (chứng thực), Probing (thăm dò),Association (kết hợp) d Authentication (chứng thực), Beacon (báo hiệu), Association (kết hợp), Probing (thăm dò) Câu 25: Việc thiết lập VLAN có số lợi ích, đặc điểm bên KHÔNG lien quan đến lợi ích việc tạo VLAN? a Tăng tốc độ truy xuất x b Ngăn broadcast, từ làm tăng hiệu mạng c Tiết kiệm thiết bị nâng cao tính bảo mật mạng d Tạo mềm dẻo thiết kế quản lý Câu 26: Lý để sử dụng mạng VPN? a Tăng độ an toàn cho đường truyền Internet b Giảm chi phí cần thiết lập đường kết nối an toàn vị trí cách xa x c Tăng tốc độ cho đường truyền Internet d Đường thuê bao Ieased-line kết nối trực tiếp vị trí xa không an toàn Câu 27: Sự khác biệt chế độ truyền mạng IPSec VPN là: a Tunnel mode mã hóa phần liệu, Transport mode mã hóa liệu header b Tunnel mode mã hóa phần liệu, Transport mode mã hóa phần header c Tunnel mode mã hóa phần header, Transport mode mã hóa phần liệu d Tunnel mode mã hóa liệu header, Transport mode mã hóa phần liệu x Câu 28: Trong an toàn mạng, phát biểu SAI giải thuật mã hóa đối xứng? a Mã hóa đối xứng dùng khóa để mã hóa giải mã b Mã hóa đối xứng gọi mã hóa với khóa bí mật hay mã hóa với khóa chia c Mã hóa đối xứng có điểm yếu bị công dạng kẻ dứng (Man-in-the-midd).x d Một số giải thuật mã hóa đối xứng thông dụng là: DES, 3DES, AES Câu 29: Giao thức dùng để tạo đường hầm (tunnel) IPSec VPN mà mã hóa (payload) không mã hóa header? a b c d ESP (Encapsulating Security Payload)x AH(Authentication Header) SSL( Secure Sockets Layer) TLS(Transport Layer Security) Câu 30: Đặc điểm KHÔNG phải SSL? a b c d Độc lập với giao thức tằng ứng dụng Cung cấp chế bảo mật cho dịch vụ web, FTP, Telnet, LDAP,IMAP Chứng thực qua mã hóa đối xứng hoạc bất đối xứng x Hoạt động tầng mạng (tầng IP) *Các máy tính vùng DMZ gọi Bastion host thuật toán thuật toán mã hóa đối xứng là: triple-DES,RC4,RC5, Blowfish chế bảo mật SSL hoạt động tầng network, transport Giao thức SSL TSL hoạt độn tầng transport mô hình OSI Các giao thức để bảo mật thư điện tử GPG,S/MINE keberos dịch vụ ủy thác xác thực server Các giao thức bảo mật internet SSL, TLS, SSH hoạt động tầng tranport trở lên đến tầng PGP giao thức để xác thực bảo mật cho thư điện tử 10 công cụ/ chế bảo mật cho mạng ko dây là: WEP 11 kỹ thuật công phổ biến Web là: từ chối dịch vụ(DoS) 12 thuê giải pháp VPN loại công cần phải xét đến là: DoS attacks, internet viruses 13 chữ ký điện tử sử dụng thuật toán: MD5, SHA, RSA 14 Lý tốt để thực sách bảo mật tăng an ninh mạng 15 Giao thức bảo mật IPSec hoạt động tầng Network Layer mô hình OSI 16 Bảo mật thư điện tử nhằm đảm bảo Tính cẩn thận, tính xác nhận, toàn vẹn thông điệp, thối thác ban đầu 17 FPT sử dụng cổng 21 18 Giao thức SSL dùng để cung cấp bảo mật cho liệu lưu thông dịch vụ HTTP 19 HTTPS sử dụng cổng 443 20 sách bảo mật phương thức xác định hành vi”phù hợp” đối tượng tương tác với hệ thống 21 thực triển khai HIDS khó khăn gặp là: chi phí lắp đặt cao, khó bảo quản trì 22 Mật mã nghệ thuật làm biến đổi liệu gốc sau khôi phục lại để sử dụng tương lai 23 Mật mã sử dụng giải thuật: - Băm(hashing) - Mã hóa đối xứng(symmetric) - Mã hóa bất đối xứng(Asymmetric) 24 Băm công dụng mã hóa Dùng để tạo ” dấu vân tay”(MAC) 25 Các giải thuật băm: - Message_digest (MD5) - Secure Hash Algorithm (SHA-1) 26 MD5 mô tả RFC-1321 27 Đầu MD5 digest có giá trị 128 bits hay 32 ký tự Hex Ko thể “dịch ngược “ lại liệu gốc từ digest MD5 28 SHA-1 tạo phủ Mỹ(NIST&NSA) - Đầu SHA-1 digest có giá trị 160 bits Bảo mật MD5 - SHA-1 thông thường sử dụng việc cài đặt IPSec 29 HMACs đưa vào thêm khóa bí mật(MAC) trước dung giải thuật băm: Data+key=>Digest 30 Các giải thuật băm có điểm yếu gặp dạng công kẻ đứng giả mạo liệu digest gửi kèm - Khóa bí mật biết người gửi người nhận 31 HMAC với giải thuật băm 32 HMAC + MD5=HMAC-MD5 sử dụng khóa 128 bits 33 HMAC + SHA-1=HMAC-SHA-1 sử dụng khóa 160 bits 34 Mã hóa sử dụng giải thuật để biến đổi liệu gốc sang dạng liệu ko thể hiểu đượccác giải thuật mã hóa dung khóa để mã hóa giải mã Khóa dài=>bảo mật cao 35 Giải thuât mã hóa đối xứng gọi “mã hóa với bí mật” hay “mã hóa với khóa chia sẻ” 36 Có thể bị công “ vét cạn” để tìm khóa, có tốc độ nhanh cài đặt đơn giản so với mã hóa bất đối xứng 37 SSL sử dụng mã hóa đối xứng 38 Một số giải thuật mã hóa đối xứng: - DES =>Mã hóa khối liệu 64 bits(56 bit cho khó bits cho kiem tra) Giải thuật sử dụng rông rãi tốc độ mã hóa nhanh xem ko an toàn độ dài khó ngắn(56bits) =>chuyển qua dung 3DES - 3DES thay dần cho DES an toàn Dùng lần lien tiếp DES sử dụng khóa 3*56=168 bits Gần ko thể dò tìm phương pháp vét cạn phiên khát 2TDES có khóa 112bit sử dụng khóa k1=k3 Tốc độ thực thi chậm nên thay dần thuật toán AES - AES lấy tên thuật toán Rijndael tạm dịch là” tiêu chuẩn mã hóa tiên tiến” sử dụng thuật toán thay hoán vị, khố liệu 128 bits, khóa 128, 192 256 bits Số chu trình thực 10, 12, 14 tùy theo độ dài khóa Được sử dụng phổ biến dễ thực hiện, tốc độ cao tốn nhớ Được Mỹ áp dụng làm tiêu chuần mã hóa vào tháng năm 2002 - IDEA - CAST 39 Giải thuật mã hóa bất đối xứng gọi “mã hóa với khóa công khai”.giải thuật thực thi chậm số giải thuật mã hóa bất đối xứng: - RSA =>mã hóa liệu dùng khóa dung chung để mã hóa khóa riêng để giải mã Tạo chữ ký số khóa riêng để mã hóa, khóa chung để giải mã Khóa có độ dài từ 1024-2048 bits Rất phức tạp sử dụng nhiều công thức toán học gần ko co pphap tìm ngược lại khóa riêng từ liệu mã hóa khóa chung RSA sử dụng IPSec Tốc độ thực thi chậm DES giải thuật mã hóa đối xứng khác - DSA: chuẩn phủ Mỹ việc tạo chữ ký điện tử Sử dụng SHA-1 cho giải thuật băm Khóa có độ dài từ 512-1024 bits Hiện dc khuyến cáo nên dùng 1048 bits cho khóa Tốc độ tương đương RSA tạo chữ ký số chậm 10-40 lần kiểm tra chữ ký số - DH: có điểm yếu với dạng công kẻ đứng giưã Dh cung cấp chế bảo mật ko cung cấp dịch vụ chứng thực giải thuật DH dùng để tạo “khóa bí mật chia sẻ” hoat đường truyền ko an toàn - ECC - EI Gamal 40 ứng dụng mật mã dịch vụ bảo mật: mã hóa dùng khóa công khai bên nhận - ứng dụng mật mã dịch vụ toàn vẹn: chế kiểm tra liệu có bị biến đổi hay ko Sử dụng giải thuât băm MD5 chứng thực điểm cuối: mã hóa dùng khóa bí mật(private key) bên gửi chứng thực thông wa việc chấp nhận khóa thuật toán DH Có cách để chứng thực: sửng dụng khóa bí mật chia sẻ, sử dụng chữ ký số, sử dụng số ngẫu nhiên mã hóa - ứng dụng mật mã dịch vụ ko thể phủ nhận: tính ko thể phủ nhận thực qua chữ ký số chữ ký số nhất, xác nhận cá nhân hay thực thể 41 chữ ký số thông tin kèm theo liệu nhằm mục đích xác định người chủ liệu Chữ ký số tập chữ ký điện tử hoạt động cách sử dụng giải thuật băm dạng sau: mã hóa đối xứng, mã hóa bất đối xứng trình sử dụng chữ ký số bao gồm trình tạo chữ ký kiểm tra chữ ký 42 phần lại xem sách giáo khoa 43 PPP(Point-to-point Protocol): giao thức tầng cho phép chứng thực: - PAP ko mã hóa - CHAP có mã hóa Kết nối từ xa qua đường điện thoại dễ sử dụng, tốc độ thấp, kết nối đơn giản.Có thể dùng cho dạng mạng IP, IPX, AppleTail Cho phép cấp địa IP động, nén liệu điều khiển chất lượng đường nối kết 44 Telnet : đăng nhập làm việc từ xa, dùng cổng 23 TCP chế dòng lệnh giao thức ko an toàn liệu truyền mạng ko dc mã hóa(plaintext) Nên khóa dịch vụ Telnet từ bên mạng vào Chuyển sang dùng SSH 45 SSH(Secure Shell) thiết lập kết nối mạng cách bảo mật, cổng 22, làm việc wa bước - định danh host: sử dụng cặp khóa công cộng khóa bí mật - Mã hóa: DES, 3DES, IDEA, Blowfish - Chứng thực: RSA DSA 46 TACACS(Terminal Access Control Access Control System Plus): chứng thực tập trung, thích hợp cho mạng với số lượng người dùng lớn cung cấp riêng lẻ dịch vụ AAA Giao thức riêg Cisco sử dụng TCP cổng 49 Mã hóa thông tin toàn phiên giao dịch Dùng khóa bí mật để mã hóa giải mã hệ thống điểm yếu: bị công theo dạng Replay Có thể bị công vào phần mã hóa dùng khóa bí mật=> nên thay đổi thường xuyên 47 NAS: router, switch, PIX/ASA, VPN3000 48 Quá trình phân quyền bước chứng thực dùng TACACS+ 49 RADIUS:(Remote Authentication Dial In User Service): tương tự TACACS+ cung cấp dịch vụ AAA, chuẩn mở, định nghĩa RFC-2865 chuẩn chứng thực an toàn 802.1X, sử dụng UDP cổng 1812, dùng mô hình client-server, RSA đóng vai trò RADIUS client 50 RADIUS mã hóa mật tên người dùng Hỗ trợ giao thức: PPP, PAP, CHAP 51 Kết hợp chứng thực phân quyền dùng RADIUS 52 Mạng ko dây WLAN sử dụng phương pháp CSMA/CA Chuẩn hóa IEEE 802.11 gồm chuẩn mạng: 802.11 A: sử dụng mỹ; 54 Mbps - 802.11 B: 11Mbps - 802.11 G: 54 Mbps - 802.11 draft N: 248 Mbps 53 chia kênh để ko bị nhiễu, kênh cách 22 MHz - Bắc Mỹ: chia 11 kênh - Châu Âu: chia 13 kênh - Trong phạm vi nên chọn cách kênh - 3AP: chọn 1,6,11 - 2AP: chọn 5,10/ 4,9/ 3,8/2,7 54 Hoạt động 1: Beacon(báo hiệu), hoạt động 2: Probing(thăm dò), hoạt động 3: Authentication(chứng thực), hoạt động 4: Association( kết hợp) 55 nguy từ mạng ko dây: WLAN có nguy bị công dạng kẻ đứng giai đoạn ASSociation(kết hợp)=>giải pháp cài đặt hệ thống ngăn chặn xâm nhập IPS 56 nguy từ mạng ko dây: công giả mạo, công DoS 57 Các giao thức an toàn cho mạng WLAN theo thứ tự an toàn tăng dần: Open, Wep, WPA,WPA2 58 WEP: sử dụng khóa chia sẽ, dùng khóa 64 hay 128 bits, mã hóa dùng thuật toán RC4, co1l ỗ hổng bảo mật dễ bị khai thác=>cài đặt hệ thống phát xâm nhập(IDS) hay hệ thống ngăn chặn xâm nhập(IPS) 59 Các giao thức chứng thực mạng WLAN: EAP(Extensible Authentication Protocol) giao thức chứng thực mạnh Chứng thực wa server, chuẩn hóa RFC 3748, chứng thực tầng 2, phần PPP 60 WPA WPA2: thaythe61 cho WEP chứng thực ko cần server Passphrase lưu Acess Point máy cục Chứng thực qua 802.1X Auth Server Mã hóa - TKIP: WEP phức tạp - AES: TKIP có bổ sung tính để cao tính bảo mật - WPA2 dùng mã hóa AES 61 Nâng cao tính an toàn mạng WLAN - Ẩn định danh SSID - Chọn WPA WPA2 cho chứng thực mã hóa - Lọc máy trạm dựa theo địa MAC 62 Phân loại mạng riêng ảo(VPN) - - Site-to-Site VNP (LAN-to-LAN) : VNP điểm nối điểm chia làm loại: o Intranet VNP: kết nối chi nhánh, văn phòng xa với công ty, tổ chức o Extranet VNP: kết nối khách hàng, nhà cung cấp, đối tác với công ty o Được xây dựng cách sử dụng Router, Security Appliance VPN Concentrator Remote Access VPN (VPN triuy cập từ xa): gọi Dialup riêng ảo cung cấp cho người dùng xa, người dùng di động truy cập vào mạng công ty chia làm loại: o Client-initiated: người dùng sử dụng VPN Client trình duyệt Web để thiết lập nối kết o NAS-initiated: người dùng dial (gọi) vào mạng ISP - Các thành phần VPN: VPN Client, VPN Server(Gateway),mạng công cộng, Tunnel(đường hầm), kết nối(VPN) - Có nhiếu công nghệ mạng VPN từ nhiều công ty cài đặt nhiều tầng khác 63 VPN lớp mô hình OSI - tầng mạng cung cấp nhiều giải pháp khác cho VPN 64 WEB VPN : thiết lập VPN truy cập từ xa thông qua trình duyệt Web: có khả truy cập website nội thông qua HTTPS, truy cập hệ thống file chia sẻ mạng cục bộ, truy cập hệ thống email POP, SMTP, IMAP qua SSL Sử dụng SSL để mã hóa TLS để cung cấp kết nối an toàn từ máy người dùng đến site 65 Tunneling: gioa thức tunneling(đường hầm) cung cấp tính bảo mật cho liệu gửi nhận bên Bao gói liệu gốc vào bên gói liệu mã hóa 66 Các giao thức tạo đường hầm tunneling: GRE,IPSec, L2F, L2TP, MPLS, PPTP - GRE: hỗ trợ nhiều giao thức bên IP tunnel - MPLS: thích hợp cho ISP doanh nghiệp lớn - L2TP PPTP “bao gói” gói tin PPP truyền mạng IP - PPTP: sử dụng cổng TCP 1723, chứng thực dùng MSCHAP-v2 EAP-TLS, dùng MPPE để mã hóa Chỉ dùng cho giao thức IP - L2TP: sử dụng cổng UDP 1701, có chứng thực ko mạnh, kết hợp với IPSec để mã hóa Thường dùng cho dạng VPN triuy cập từ xa qua RAS, dùng cho IP, IPX, - IPSec:được sử dụng rộng rãi cài đặt loại VPN, cung cấp tính bảo mật toàn vẹn cho gói tin (tẩng)vkhi chuyền mạng IP Sử dụng TCP cổng 50 51 Các chế độ truyền: - Tunnel mode peer-to-peer sử dụng truyển qua đường truyền mạng ko tin cậy Mã hóa liệu phần header - Transport mode: host-to-host truyền trực tiếp bên gửi bên nhận Mã hóa phần liệu, giữ nghuyên phẩn header - Giao thức ESP: cung cấp mã hóa liệu, cung cấp chứng thực có giới hạn Bao gói liệu(mã hóa payload) ko mã hóa Header - Giao thức AH: mã hóa toàn gói tin kể phần header, đảm bảo tính toàn vẹn gói tin - Hoạt động cũa IPSec: o IKE: đảm bảo tính an toàn trao đổi khóa bí mật bên thiết lập đường hầm o ISAKMP: sử dụng để đàm phán cung cấp chứng thực 67 Dịch vụ Email: giao thức chuẩn email ko cung cấp chế an toàn Dịch vụ Email có nhiều điểm yếu dễ dàng bị công khai thác - SMTP: gửi mail cổng TCP 25 - POP/IMAP: nhận mail cổng 110 - MIME: RFC 1512 1522 hỗ trợ gửi mail có đính kèm file - S/MIME cung cấp chế bảo mật cho Email Version 2: RFC-2311 version RFC-2633 cung cấp dịch vụ mật mã cho ứng dụng email: chứng thực, tính toàn vẹn tính ko thể phủ nhận(thông qua chữ ký số), bảo mật riêng tư cho thông điệp(thông qua mã hóa) Sử dụng thuật toán mã hóa đối xứng: DES, 3DES, RCC2 việc mã hóa thông điệp Dùng giải thuật RSA viêc trao đổi khóa chũ ký số - PGP: chuẩn đóng thuộc công ty PGP, xử dụng thuật toán mã hóa đối xứng, dùng hạ tầng khóa công khai(PKI), nén liệu trước mã hóa, dùng thuật toán RSA DH Open PGP theo chuẩn mở mô tả RFC-2440 - Các điểm yếu Email: SPAM, Mail đánh lừa, Phishing(lừa đảo),virus, trojan 68 Dịch vụ web: dùng giao thức HTTP, mô tả RFC-2616, cổng phục vụ TCP 80, ngôn ngữ sử dụng HTML - HTTP giao thức ko an toàn, ko chứng thực ko mã hóa - HTTPS= HTTP+ TLS/SSL: cung cấp tính bảo mật cho dịch vụ Web, dùng cổng TCP 443 sử dụng mật mã khóa công khai: cặp khóa công kha+ khóa bí mật chứng số X.509 - SSL TLS: độc lập với giao thức tầng ứng dụng Cung cấp chế bảo mật cho dịch vụ Web, FTP, Telnet, IMAP, kết nối bí mật qua mã hóa đối xứng: DES, RC4, chứng thực qua mã hóa bất đối xứng RSA,DDS - SSL: hoạt động phí tầng TCP sửng dụng khóa công khai khóa đối xứng cho phiên giao dịch Sử dụng giao thức SSL handshake protocol, SSL Record protocol, SSL Alter protocol - TLS: kết thừa từ SSL ko tương thích với SSL Cung cấp chức bảo mật cao - Giao thức: dùng giao thức FTP mô tả RFC-959 cổng phục vụ : TCP 21 cho nối kết TCP 20 cho liệu, TCP 20 cho liệu - SLDAP dùng SSL/TLS để cung cấp chứng thực mã hóa 69 FTPS=FTP + TLS/SSL cung cấp tính bảo mật cho dịch vụ FTP Thích hợp cho giao dịch an toàn bảo mật truyền file FTP Dùng cổng TCP 990 cho điều khiển TCP 898 cho liệu sử dụng mật mã khóa công khai Chữ ký số chuẩn x.509 dùng RSA, DSA Mã hóa liệu khóa bí mật: DES, 3DES, AES 70 Dịch vụ chia file: file sharing - NetBIOS cung cấp dịch vụ vận chuyển giao dịch, dùng cổng TCP 137, 138, 139 - NetBEUI chuẩn định dạng khung NetBIOS, giao thức tầng ko hỗ trợ vạch đường - NetBIOS TCP(NBT) dùng vận chuyển liệu NetBIOS mạng tầng 3(như IP) 71 Mô hình mạng an toàn bao gồm nhiều vùng vật lý luận lý với nhiều mức bảo mật khác Vùng an ninh: phần mạng định nghĩa chung mức an ninh Vùng an ninh thường chia làm loại: intranet, extranet, DMZ Intranet:là mạng dùng riêng sử dụng giao thức dịch vụ tương tự internet Tốc độ cao, dễ dàng truy xuất tài nguyên, sử dụng dạng mạng Ethernet, Fast Ethernet, token ring, atm, Extranet intrenet có kết nối với mạng dùng khách hàng, đối tác, nhà cung cấp, kết nối với internet Yêu cầu tính riêng tư bảo mật Có thể dùng PKI kỹ thuật VPN để thiết lập cần độ an toàn cao DMZ: vùng mạng thiết kế đặc biệt, cho phép người dùng bên truy xuất vào DMZ dc điều khiển giới hạn Firewall hệ thống Router Nếu vùng DMZ bị công gây hại ko ảnh hưởng đến mạng riêng tổ chức Cách thiết kế DMZ: - phân lớp DMZ: đặt Firewall có quy định khác Cho phép bên internet kết nối vào chặn ko cho truy cập vào mạng cục - tường lủa nhiều giao diện DMZ: dùng nhiều thiết bị Firewall mạnh quản lý lưu thông nhiều cổng Hiện mô hình dc sử dụng nhiều Phải gia cố hệ thống DMZ chẳng hạn gởi bỏ dịch vụ sử dụng gỡ bỏ không cần thiết - Các máy tính DMZ gọi Bastion hosts truy cập bên bên * DMZ bên vùng: -Các dịch vụ bên vùng: web,mail,ftp,DNS,IDS(hệ thống phát xâm nhập) - Bên cần bảo mật :SSL,TLS * DMZ nhiều vùng vùng DMZ: - Hệ thống khác nên thiết kế vùng an ninh bảo mật khác nhau: - Điểm yếu: phức tạp cài đặt, cài firewall dễ nhần lẫn - Giải pháp : cấm tất cả, cho phép cần 72 Vlan: Phân mạng lớn thành mạng nhỏ, switch hổ trợ vlan, muốn liên lạc máy tính khác vlan cần router -Vlan : không giới hạn vị trí địa lý kết nối vật lý, - Lợi ích vlan: Ngăn broadcast làm tăng hiệu mạng, tiết kiệm swich, tăng tính bảo mật, dễ chuyển khai quản lý nhóm theo lan - Sử dụng ISL 802.Q cho đường trunk -Switch tự động thêm tag gõ cho frame vào đường trunk -Nat ánh xạ địa cục sang địa thực => thường dùng cho server - Dynamic nat tự động ánh xạ địa chie private dãy điah chi pulic cho trước => dùng có nhiều địa thực -Pat gọi nat overload Pat ánh xạ nhiều địa cục sàng địa thực với cổng khác Thích hợp với mạng có nhiều máy cục dùng chung đường truyền ADSL Phải gia cố hệ thống DMZ chẳng hạn gởi bỏ dịch vụ sử dụng 73 Firewall : 1router, 1pc thực thi chuyên dụng,tập hợp nhiều phần cứng (đặt mạng nội ngoài) 74 kỹ thuật Firewall sử dụng: Điều khiển dịch vụ,điều hướng,điều khiển người dùng,điều khiển ứng xử 75 Khả tường lửa:Bảo vệ trước công giả mạo vạch đường,cung cấp 76 Giới hạn Firewall : không ngăn chặn qua đường truy xuất dialup, không bảo vệ từ bên (tấn công virus phần mềm bên trong) 77 Firewall tầng ứng dụng(còn gọi proxy firewall): Cấu hình như: Web,fpt,telnet Che giấu mạng nội Ứng dụng =>chậm=> ko thích hợp mạng lớn 78 Firewall lọc gói: cài đặt lưu thông dựa vào: Ip nơi gửi IP nơi nhận 79 Firewall đầy đủ trạng thái:cài đặt lưu thông mạng: ĐC IP nơi gửi, Đc ip nơi nhận, Cổng trình gửi nhận Mốt số cho phép kiểm tra nội dụng liệu tính bất thường giao thức 80 Firewall duyệt sâu gói tin(kiểm tra tất tầng) :IDS cisco Netscreen Firewall hỗ trợ Firewall loại Đảm bảo phù hợp giao thức chi tiết, phần mềm công, toàn vẹn liều truyền thiết bị => Chống công Dos virus [...]... gọi là proxy firewall): Cấu hình như: Web,fpt,telnet Che giấu mạng nội bộ Ứng dụng =>chậm=> ko thích hợp mạng lớn 78 Firewall lọc gói: cài đặt lưu thông dựa vào: Ip nơi gửi và IP nơi nhận 79 Firewall đầy đủ trạng thái:cài đặt lưu thông mạng: ĐC IP của nơi gửi, Đc ip nơi nhận, Cổng quá trình gửi và nhận Mốt số cho phép kiểm tra nội dụng dữ liệu và tính bất thường giao thức 80 Firewall duyệt sâu gói tin(kiểm...73 Firewall : 1router, 1pc thực thi chuyên dụng,tập hợp nhiều phần cứng (đặt giữa mạng nội bộ và ngoài) 74 4 kỹ thuật Firewall sử dụng: Điều khiển dịch vụ,điều hướng,điều khiển người dùng,điều khiển ứng xử 75 Khả năng tường lửa:Bảo vệ trước tấn công giả mạo và vạch đường,cung cấp nền ... thất bại Lý là: a Mạng WLAN cấu hình ẩn định danh mạng( SSID) b Mạng WLAN cấu hình lọc địa MAC máy tính gia nhập mạng c Mạng WLAN cấu hình chứng thực dạng tập trung d Mạng WLAN cấu hình chứng... chuyển liệu NetBIOS mạng tầng 3(như IP) 71 Mô hình mạng an toàn bao gồm nhiều vùng vật lý luận lý với nhiều mức bảo mật khác Vùng an ninh: phần mạng định nghĩa chung mức an ninh Vùng an ninh thường... chỉ(….-Network Address Transtation) tạo an toàn cho mạng vì: a NAT lọc lưu thông mạng không hợp lệ bên bên mạng b Cung cấp tính phát xâm nhập từ bên mạng vào mạng nội c Các máy tính bên mạng nội kết nối