Tải bản đầy đủ (.docx) (11 trang)
  1. Trang chủ
    2. >>
  2. Giáo án - Bài giảng
    3. >>
  3. Cao đẳng - Đại học

TÀI LIỆU AN NINH MẠNG

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (168.51 KB, 11 trang )

1. *Các máy tính bị khống chế để phục vụ tấn công DDos gọi là botnet.
Câu 1: Ý tưởng nào dùng để thiết lập các đường hầm(tunnel) trong mạng VPN?
a. Chứng thực 2 chiều trên đường truyền
b. Phân quyền chi tiết cho từng người dùng cụ thể
c. Nén dữ liệu
d. Bao gói dữ liệu gốc bên trong gói dữ liệu đã được mã hóa.x
Câu 2: Một hệ thống mạng đã dùng thuật toán băm MD5 để kiểm tra tính đúng đắn của... trên đường
truyền. Một hôm, người quản trị mạng phát hiện ra dữ liệu nhận được không phải là dữ liệu gốc gửi đi dù
thuật toán băm kiểm tra vẫn có kết quả chính xác. Như vậy hệ thống có thể bị tấn công dạng gì và có thể
được khắc phục bằng cách nào?
a. Hệ thống bị tấn công dạng kẻ đứng giữa_ khắc phục bằng cách sử dụng HMAC-M..x
b. Hệ thống bị tấn công dạng nghe lén- khắc phục bằng cách mã hóa dữ liệu bằng …
c. Hệ thống bị tấn công dạng giả mạo- khắc phục bằng cách sử dụng SHA-1
d. Hệ thống bị tấn công mật khẩu- khắc phục bằng cách đổi mật khẩu
Câu 3: Đặc điểm nào không phải của mạng WLAN?
a. Được thể hiện bởi logo WIFI.x
b. Hoạt động theo nguyên tắc CSMA/CD
c. Các chuẩn hiện tại là A, B, G, Draft-N
d. Chuẩn hóa trong IEEE 802.11
Câu 4: Firewall nào chỉ lọc lưu thông trên mạng dựa theo địa chỉ IP?
a. Tường lửa tầng ứng dụng (proxy firewall)
b. Tường lửa lọc gói(packet filtering firewall)x
c. Tường lửa đầy đủ trang thái(stateful firewall)
d. Tường lửa duyệt sâu gói tin(deep packet layer firewall)
Câu 5: Người dùng di động kết nối VPN đến mạng đặt tại trụ sở chính của….
Câu 6: Một …. Không bao gồm thuật toán nào?
a. Thuật toán …x
b. Thuật toán mã hóa đối xứng
c. Thuật toán mã hóa bất đối xứng
d. Thuật toán băm
Câu 7: Giới hạn của Firewall là:


a. Không ngăn được các tấn công không đi qua Firewall( chẳng hạn đường đi….)
b. Không ngăn chặn được các tấn công từ bên trong
c. Không bảo vệ được hệ thống trước tấn công của virus vào dữ liệu hay phần mềm
d. Tất cả các đặc điểm trên.x
Câu 8: Một công ty có hệ thống mạng kết nối với Internet, tuy nhiên, hệ thống…nhưng không có máy chủ
phục vụ trên Internet. Công ty muốn thiết lập các …(chính sách) mạng, chính sách nào bên dưới là KHÔNG
CẦN THIẾT?
a. Chính sách an ninh cho vùng DMZ( DMZ Security policy)x
b. Chính sách trong phòng chống virus (Anti-virus policy)
c. Chính sách quản lý mật khẩu (Password management policy)
d. Chính sách an ninh cho máy chủ(Server security policy)
Câu 9: Là một người dùng trong tổ chức, khi phát hiện ra hệ thống máy tính có người ngoài xâm nhập và các
dữ liệu quan trọng có dấu hiệu bị chỉnh sửa, người dùng có hành động nào được xác định là ĐÚNG?


a. Cô lập máy tính, ngắt đường truyền mạng, thông báo báo ngay cho quan …ứng nhanh đến xử lý.x
b. Tắt ngay máy tính, quiets virus bằng chương trình mới nhất, xóa bỏ các file, chương trình lạ trong hệ
thống
c. Backup lại các dữ liệu quan trọng, format lại ổ cứng, cài đặt hệ điều hành mới và firewall mạnh hơn
d. Cài đặt hệ thống phát hiện xâm nhập vào máy tính, thay đổi mật khẩu an toàn hơn
Câu 10: Ông A là một người quản trị hệ thống mạng. Một ngày nọ, ông A phát hiện Server phục vụ hệ thống
mạng điện tử của công ty bị xâm nhập. Ông A KHÔNG nên làm gì tiếp theo?
a. Thay thế hệ thống dự phòng vào để phục vụ cho việc thương mại tiếp tục (nếu có)
b. Shutdown Server, khôi phục các dữ liệu, kiểm tra lỗ hỏng, cài đặt các bản và lỗi cho Server.x
c. Cô lập Server để giữ nguyên hiện trạng để phục vụ điều tra
d. Không cho các nhân viên khác can thiệp vào hệ thống, thu thập và bảo quản các log file
Câu 11: Để các cơ chế an ninh mạng khi cài đặt được phát huy tác dụng tốt nhất, tổ chức phải:
a. Tổ chức đội phản ứng nhanh để xử lý sự cố mạng.x
b. Sao lưu các file cấu hình của các thiết bị, dữ liệu trên Server
c. Xây dựng các chính sách an ninh cho hệ thống mạng

d. Thuê đường truyền Internet an toàn cho tổ chức.
Câu 12: Giao thức nào không dùng để thiết lập VPN?
a. PPTP
b. L2TP
c. PGP
d. IPScc
Câu 13: Phát biểu nào sao đây là SAI về hạ tầng công khai(PKI)?
a. PKI là cơ chế để cho một bên thứ 3(Certificate Authority-CA) cung cấp và chứng thực định danh các
bên tham gia vào quá trình trao đổi thông tin
b. CA sẽ cung cấp và xá nhận các chứng chỉ số(digital cẻtificate)
c. Chứng chỉ số hiện nay được tạo ra theo chuẩn X. 509 version 3
d. PKI sử dụng khóa công khai để mã hóa chữ ký điện tử và giải mã bằng khóa bí mật.x
Câu 14: Một hệ thông mạng dùng mã hóa DES. Tuy nhiên, người quản trị mạng nhân thấy DES không đủ an
toàn vì độ dài khóa ngắn. Thuật toán mã hóa đối xứng nào có thể được lựa chọn?
a. MD5 (Message- Digest 5)
b. AES (Advanced Encryption Standard)
c. 3DES(Triple Data Encryption Standard)
d. DSA(Digital Signature Algorithm)
Câu 15: Người dùng A sử dụng laptop dò tìm được mạng WLAN dạng Open và tiến hành thiết lập. Tuy nhiên,
A phát hiện ra là Laptop của mình đã đăng nhập thất bại. Lý do có thể là:
a. Mạng WLAN này được cấu hình ẩn định danh mạng(SSID)
b. Mạng WLAN này được cấu hình 1 bộ lọc địa chỉ MAC của các máy tính gia nhập mạng
c. Mạng WLAN này được cấu hình chứng thực dạng tập trung
d. Mạng WLAN này được cấu hình chứng thực theo WPA-PSK
Câu 16: Trong an toàn mạng, phát biểu nào SAI về giải thuật băm?
a. Giải thuật băm MD5 có đầu ra là 1 số 128 bits
b. Giải thuật SHA-1 có tính bảo mật cao hơn MD5
c. Giải thuật băm không dùng để mã hóa dữ liệu mà dùng để mã hóa khóa bí mật
d. Kết quả của giải thuật băm là 1 số (digest) có độ dài cố định và được gửi đi kèm
Câu 17: Đặc điểm nào của dịch vụ LDAP là đúng?



a. LDAP được tạo ra theo chuẩn X.509
b. LDAP là dịch vụ an toàn nên không cần bổ sung them các giải pháp khác
c. LDAP là giao thức dùng riêng của Microsoft
d. LDAP thường dùng để cung cấp chứng thực cho các dịch vụ khác như: Web, Mail,..x
Câu 18: Bảng phân giải địa chỉ(….-Network Address Transtation) tạo sự an toàn cho mạng vì:
a. NAT lọc các lưu thông mạng không hợp lệ giữa bên trong và bên ngoài mạng
b. Cung cấp tính năng phát hiện các xâm nhập từ bên ngoài mạng vào mạng nội bộ
c. Các máy tính bên trong mạng nội bộ có thể kết nối trực tiếp với các máy tính ở ngoài Internet còn
các máy tính bên ngoài Internet không “thấy”được máy tính bên trong mạng cục bộ. x
d. Cung cấp tính năng phát hiện và ngăn virus tấn công vào mạng
Câu 19: Phát biểu nào SAI về quản lý khóa và chứng chỉ số:
a. Khóa và chứng chỉ số khi tạm dừng có thể được khôi phục lại sau này
b. Khóa có thể được lưu trử 1 bản sao tại các Escrow
c. Khi phát hiện khóa bí mật bị lộ, chứng chỉ sẽ được hủy bỏ bằng cách đưa vào danh sách …(CRL).
Danh sách này sẽ không được công bố ra bên ngoài. x
d. Trước khi chứng chỉ số hết hạn, người dùng có thể gia hạn
Câu 20: Để tạo sự an toàn cho đường kết nối phục vụ bởi hệ thống RÁ, ta sẽ dùng giao thức:
a. PPP với chứng thực CHAP
b. PPP với chứng thực PAP
c. PPP không chưngs thực
d. HDLC
Câu 21: Trong an toàn mạng, phát biểu nào là SAI về giải thuật mã hóa bất đối xứng?
a. Mã hóa bất đối xứng dùng 2 khóa: 1 khóa để mã hóa và khóa thứ 2 để giải mã
b. Mã hóa bất đối xứng an toàn hơn so với mã hóa đối xứng
c. Mã hóa bất đối xứng có tốc độ thực thi nhanh hơn mã hóa đối xứng. x
d. Mã hóa bất đối xứng luôn có độ dài khóa lớn hơn so với mã hóa đối xứng
Câu 22: Sắp xếp các chuẩn chứng thực của mạng WLAN theo thứ tự độ bảo mật tăng dần
a. Open, WEP, WPA-PSK, WPA2. x

b. Open, WPA-PSK, WPA2,WEP
c. Open, WPA, WEP, WPA2
d. WEP, WPA-PSK, WPA-RADIUS, Open
Câu 23: Để tạo sự an toàn cho dịch vụ đăng nhập và làm việc từ xa, ta sẽ:
a. sử dụng Telnet thông qua cổng 22
b. Thiết lập 1 firewall chặn cổng 23
c. Không sử dụng Telnet mà chuyển sang dùng SSH. x
d. Sử dụng telnet với chứng thực dựa trên hạ tầng khóa công khai(PKI)
Câu 24: Chọn thứ tự hoạt động của mạng WLAN:
a. Beacon (báo hiệu), Probing (thăm dò), Authentication (chứng thực), Association (kết hợp). x
b. Probing (thăm dò), Beacon (báo hiệu), Association (kết hợp), Authentication(chứng thực)
c. Beacon (báo hiệu), Authentication (chứng thực), Probing (thăm dò),Association (kết hợp).
d. Authentication (chứng thực), Beacon (báo hiệu), Association (kết hợp), Probing (thăm dò)
Câu 25: Việc thiết lập VLAN có một số lợi ích, đặc điểm nào bên dưới KHÔNG lien quan đến lợi ích của việc
tạo VLAN?
a. Tăng tốc độ truy xuất. x
b. Ngăn broadcast, từ đó làm tăng hiệu năng mạng
c. Tiết kiệm thiết bị và nâng cao tính bảo mật trong mạng


d. Tạo sự mềm dẻo trong thiết kế và quản lý
Câu 26: Lý do chính để sử dụng mạng VPN?
a. Tăng độ an toàn cho đường truyền Internet
b. Giảm chi phí cần thiết lập đường kết nối an toàn giữa 2 vị trí ở cách xa. x
c. Tăng tốc độ cho đường truyền Internet
d. Đường thuê bao Ieased-line kết nối trực tiếp 2 vị trí xa nhau không an toàn
Câu 27: Sự khác biệt giữa 2 chế độ truyền trong mạng IPSec VPN là:
a. Tunnel mode mã hóa chỉ phần dữ liệu, Transport mode mã hóa cả dữ liệu và header
b. Tunnel mode mã hóa chỉ phần dữ liệu, Transport mode mã hóa chỉ phần header
c. Tunnel mode mã hóa chỉ phần header, Transport mode mã hóa chỉ phần dữ liệu

d. Tunnel mode mã hóa cả dữ liệu và header, Transport mode mã hóa chỉ phần dữ liệu. x
Câu 28: Trong an toàn mạng, phát biểu nào SAI về giải thuật mã hóa đối xứng?
a. Mã hóa đối xứng chỉ dùng 1 khóa duy nhất để mã hóa và giải mã
b. Mã hóa đối xứng còn được gọi là mã hóa với khóa bí mật hay mã hóa với khóa chia sẽ.
c. Mã hóa đối xứng có điểm yếu là có thể bị tấn công dạng kẻ dứng giữa (Man-in-the-midd).x
d. Một số giải thuật mã hóa đối xứng thông dụng là: DES, 3DES, AES
Câu 29: Giao thức nào dùng để tạo đường hầm (tunnel) trong IPSec VPN mà chỉ mã hóa (payload) nhưng
không mã hóa header?
a.
b.
c.
d.

ESP (Encapsulating Security Payload)x
AH(Authentication Header)
SSL( Secure Sockets Layer)
TLS(Transport Layer Security)

Câu 30: Đặc điểm nào KHÔNG phải của SSL?
a.
b.
c.
d.

Độc lập với giao thức tằng ứng dụng
Cung cấp cơ chế bảo mật cho các dịch vụ web, FTP, Telnet, LDAP,IMAP
Chứng thực qua mã hóa đối xứng hoạc bất đối xứng. x
Hoạt động trên tầng mạng (tầng IP)

2. *Các máy tính trong vùng DMZ được gọi là Bastion host.

3. các thuật toán là thuật toán mã hóa đối xứng là: triple-DES,RC4,RC5, Blowfish
4. cơ chế bảo mật SSL hoạt động trên tầng network, transport
5. Giao thức SSL và TSL hoạt độn ở tầng transport của mô hình OSI
6. Các giao thức được để bảo mật thư điện tử là GPG,S/MINE
7. keberos là dịch vụ ủy thác xác thực trên server
8. Các giao thức bảo mật trên internet như SSL, TLS, SSH hoạt động ở tầng tranport trở lên đến tầng 7
9. PGP là giao thức để xác thực bảo mật cho thư điện tử
10. công cụ/ cơ chế bảo mật cho mạng ko dây là: WEP
11. kỹ thuật tấn công phổ biến trên Web là: từ chối dịch vụ(DoS)
12. khi thuê 1 giải pháp VPN những loại tấn công cần phải xét đến là: DoS attacks, internet viruses...
13. chữ ký điện tử sử dụng thuật toán: MD5, SHA, RSA.
14. Lý do tốt nhất để thực hiện 1 chính sách bảo mật là tăng an ninh mạng


15. Giao thức bảo mật IPSec hoạt động ở tầng Network Layer ở mô hình OSI
16. Bảo mật thư điện tử nhằm đảm bảo Tính cẩn thận, tính xác nhận, toàn vẹn thông điệp, sự thối thác ban
đầu
17. FPT sử dụng cổng 21
18. Giao thức SSL dùng để cung cấp bảo mật cho dữ liệu lưu thông trên dịch vụ HTTP
19. HTTPS sử dụng cổng 443
20. chính sách bảo mật là phương thức xác định các hành vi”phù hợp” của các đối tượng tương tác với hệ
thống.
21. khi thực hiện triển khai HIDS khó khăn gặp là: chi phí lắp đặt cao, khó bảo quản và duy trì
22. Mật mã là 1 nghệ thuật làm biến đổi dữ liệu gốc và sau đó sẽ khôi phục lại để sử dụng trong tương lai.
23. Mật mã sử dụng các giải thuật:
- Băm(hashing)
- Mã hóa đối xứng(symmetric)
- Mã hóa bất đối xứng(Asymmetric)
24. Băm công dụng không phải là mã hóa. Dùng để tạo ” dấu vân tay”(MAC)
25. Các giải thuật băm:

- Message_digest 5 (MD5)
- Secure Hash Algorithm 1 (SHA-1)
26. MD5 được mô tả trong RFC-1321.
27. Đầu ra của MD5 luôn là 1 digest có giá trị 128 bits hay 32 ký tự Hex. Ko thể “dịch ngược “ lại được dữ
liệu gốc từ digest của MD5
28. SHA-1 được tạo ra bởi chính phủ Mỹ(NIST&NSA)
- Đầu ra của SHA-1 luôn là 1 digest có giá trị 160 bits. Bảo mật hơn MD5
- SHA-1 thông thường được sử dụng trong việc cài đặt IPSec.
29. HMACs đưa vào thêm 1 khóa bí mật(MAC) trước khi dung giải thuật băm: Data+key=>Digest
30. Các giải thuật băm có điểm yếu khi gặp dạng tấn công kẻ đứng giữa giả mạo dữ liệu và cả digest gửi
kèm.
- Khóa bí mật chỉ được biết bởi người gửi và người nhận.
31. HMAC với 2 giải thuật băm chính.
32. HMAC + MD5=HMAC-MD5 sử dụng khóa 128 bits.
33. HMAC + SHA-1=HMAC-SHA-1 sử dụng khóa 160 bits.
34. Mã hóa sử dụng những giải thuật để biến đổi dữ liệu gốc sang dạng dữ liệu ko thể hiểu đượccác giải thuật
mã hóa dung khóa để mã hóa và giải mã. Khóa càng dài=>bảo mật càng cao
35. Giải thuât mã hóa đối xứng còn gọi là “mã hóa với bí mật” hay “mã hóa với khóa chia sẻ”.
36. Có thể bị tấn công “ vét cạn” để tìm ra khóa, có tốc độ nhanh và cài đặt đơn giản hơn so với mã hóa bất
đối xứng.
37. SSL sử dụng mã hóa đối xứng
38. Một số giải thuật mã hóa đối xứng:


- DES =>Mã hóa từng khối dữ liệu 64 bits(56 bit cho khó và 8 bits cho kiem tra). Giải thuật được sử dụng
rông rãi vì tốc độ mã hóa nhanh nhưng hiện nay được xem là ko an toàn vì độ dài khó ngắn(56bits) =>chuyển
qua dung 3DES
- 3DES thay thế dần cho DES vì an toàn hơn. Dùng 3 lần lien tiếp DES sử dụng khóa 3*56=168 bits. Gần
như ko thể dò tìm bằng phương pháp vét cạn. phiên bản khát là 2TDES có khóa là 112bit vì sử dụng khóa
k1=k3. Tốc độ thực thi chậm nên được thay dần bởi thuật toán AES

- AES lấy tên là thuật toán Rijndael tạm dịch là” tiêu chuẩn mã hóa tiên tiến”. sử dụng thuật toán thay
thế hoán vị, khố dữ liệu 128 bits, khóa 128, 192 hoặc 256 bits. Số chu trình thực hiện là 10, 12, 14 tùy theo độ
dài của khóa. Được sử dụng phổ biến vì dễ thực hiện, tốc độ cao và ít tốn bộ nhớ. Được Mỹ áp dụng làm tiêu
chuần mã hóa vào tháng 5 năm 2002
- IDEA
- CAST
39. Giải thuật mã hóa bất đối xứng còn gọi là “mã hóa với khóa công khai”.giải thuật thực thi chậm. một
số giải thuật mã hóa bất đối xứng:
- RSA =>mã hóa dữ liệu dùng khóa dung chung để mã hóa và khóa riêng để giải mã. Tạo chữ ký số khóa
riêng để mã hóa, khóa chung để giải mã. Khóa có độ dài từ 1024-2048 bits. Rất phức tạp sử dụng nhiều công
thức toán học. gần như ko co 1 pphap nào tìm ngược lại được khóa riêng từ dữ liệu được mã hóa và khóa
chung. RSA được sử dụng trong IPSec. Tốc độ thực thi chậm hơn DES và các giải thuật mã hóa đối xứng
khác.
- DSA: là chuẩn của chính phủ Mỹ trong việc tạo ra chữ ký điện tử. Sử dụng SHA-1 cho giải thuật băm.
Khóa có độ dài từ 512-1024 bits. Hiện nay dc khuyến cáo nên dùng 1048 bits cho khóa. Tốc độ tương đương
như RSA khi tạo ra chữ ký số. chậm hơn 10-40 lần khi kiểm tra chữ ký số
- DH: có điểm yếu với dạng tấn công kẻ đứng giưã. Dh cung cấp cơ chế bảo mật nhưng ko cung cấp dịch
vụ chứng thực. giải thuật DH dùng để tạo ra “khóa bí mật chia sẻ” giữa 2 hoat trên đường truyền ko an toàn
- ECC
- EI Gamal
40. ứng dụng của mật mã trong dịch vụ bảo mật: mã hóa dùng khóa công khai của bên nhận
- ứng dụng của mật mã trong dịch vụ toàn vẹn: cơ chế có thể kiểm tra dữ liệu có bị biến đổi hay ko. Sử
dụng giải thuât băm MD5 chứng thực tại các điểm cuối: mã hóa dùng khóa bí mật(private key) của bên gửi.
chứng thực thông wa việc chấp nhận khóa của thuật toán DH. Có 3 cách để chứng thực: sửng dụng khóa bí
mật chia sẻ, sử dụng chữ ký số, sử dụng số ngẫu nhiên được mã hóa
- ứng dụng của mật mã trong dịch vụ ko thể phủ nhận: tính ko thể phủ nhận được thực hiện qua chữ ký số.
chữ ký số là duy nhất, xác nhận đúng là cá nhân hay thực thể đó.
41. chữ ký số là thông tin đi kèm theo dữ liệu nhằm mục đích xác định người chủ của dữ liệu đó. Chữ ký số
là 1 tập con của chữ ký điện tử. hoạt động bằng cách sử dụng giải thuật băm và 1 trong 2 dạng sau: mã
hóa đối xứng, mã hóa bất đối xứng. quá trình sử dụng chữ ký số bao gồm 2 quá trình tạo ra chữ ký

và kiểm tra chữ ký.
42. phần còn lại xem sách giáo khoa
43. PPP(Point-to-point Protocol): là giao thức tầng 2 cho phép chứng thực:
-

PAP ko mã hóa

-

CHAP có mã hóa

Kết nối từ xa qua đường điện thoại. dễ sử dụng, tốc độ thấp, kết nối đơn giản.Có thể dùng cho các dạng mạng
IP, IPX, AppleTail. Cho phép cấp địa chỉ IP động, nén dữ liệu và điều khiển chất lượng đường nối kết
44. Telnet : đăng nhập và làm việc từ xa, dùng cổng 23 TCP cơ chế dòng lệnh là giao thức ko an toàn vì dữ liệu
truyền đi trên mạng ko dc mã hóa(plaintext). Nên khóa dịch vụ Telnet từ bên ngoài mạng vào. Chuyển sang dùng
SSH


45. SSH(Secure Shell) thiết lập kết nối mạng 1 cách bảo mật, cổng 22, làm việc wa 3 bước
-

định danh host: sử dụng cặp khóa công cộng và khóa bí mật

-

Mã hóa: DES, 3DES, IDEA, Blowfish

-

Chứng thực: RSA. DSA


46. TACACS(Terminal Access Control Access Control System Plus): chứng thực tập trung, thích hợp cho các mạng
với số lượng người dùng lớn. cung cấp riêng lẻ các dịch vụ AAA. Giao thức riêg của Cisco sử dụng TCP cổng 49.
Mã hóa thông tin toàn bộ phiên giao dịch. Dùng 1 khóa bí mật để mã hóa và giải mã trên cả 2 hệ thống. điểm
yếu: có thể bị tấn công theo dạng Replay. Có thể bị tấn công vào phần mã hóa vì chỉ dùng 1 khóa bí mật=> nên
thay đổi thường xuyên
47. NAS: router, switch, PIX/ASA, VPN3000
48. Quá trình phân quyền và các bước chứng thực dùng TACACS+
49. RADIUS:(Remote Authentication Dial In User Service): tương tự như TACACS+ cung cấp dịch vụ AAA, chuẩn
mở, định nghĩa trong RFC-2865. chuẩn chứng thực an toàn của 802.1X, sử dụng UDP cổng 1812, dùng mô hình
client-server, trong đó RSA đóng vai trò là RADIUS client
50. RADIUS mã hóa mật khẩu và tên người dùng. Hỗ trợ giao thức: PPP, PAP, CHAP
51. Kết hợp chứng thực và phân quyền dùng RADIUS
52. Mạng ko dây WLAN sử dụng phương pháp CSMA/CA. Chuẩn hóa trong IEEE 802.11. gồm các chuẩn mạng:
802.11 A: sử dụng tại mỹ; 54 Mbps
-

802.11 B: 11Mbps

-

802.11 G: 54 Mbps

-

802.11 draft N: 248 Mbps

53. chia kênh để ko bị nhiễu, mỗi kênh cách nhau 22 MHz
-


Bắc Mỹ: chia 11 kênh

-

Châu Âu: chia 13 kênh

-

Trong cùng phạm vi nên chọn cách nhau 5 kênh

-

3AP: chọn 1,6,11

-

2AP: chọn 5,10/ 4,9/ 3,8/2,7

54. Hoạt động 1: Beacon(báo hiệu), hoạt động 2: Probing(thăm dò), hoạt động 3: Authentication(chứng thực), hoạt
động 4: Association( kết hợp)
55. nguy cơ từ mạng ko dây: WLAN có nguy cơ bị tấn công dạng kẻ đứng giữa tại giai đoạn ASSociation(kết
hợp)=>giải pháp cài đặt hệ thống ngăn chặn xâm nhập IPS.
56. nguy cơ từ mạng ko dây: tấn công giả mạo, tấn công DoS
57. Các giao thức an toàn cho mạng WLAN theo thứ tự an toàn tăng dần: Open, Wep, WPA,WPA2
58. WEP: sử dụng khóa chia sẽ, dùng khóa 64 hay 128 bits, mã hóa dùng thuật toán RC4, co1l ỗ hổng bảo mật dễ bị
khai thác=>cài đặt hệ thống phát hiện xâm nhập(IDS) hay hệ thống ngăn chặn xâm nhập(IPS)
59. Các giao thức chứng thực trong mạng WLAN: EAP(Extensible Authentication Protocol) là giao thức chứng thực
mạnh. Chứng thực wa server, chuẩn hóa trong RFC 3748, chứng thực ở tầng 2, là 1 phần của PPP
60. WPA và WPA2: thaythe61 cho WEP chứng thực ko cần server. Passphrase được lưu trên Acess Point và trên
máy cục bộ. Chứng thực qua 802.1X Auth. Server. Mã hóa

-

TKIP: như WEP nhưng phức tạp hơn

-

AES: như TKIP nhưng có bổ sung các tính năng để năng cao tính bảo mật

-

WPA2 dùng mã hóa AES


61. Nâng cao tính an toàn của mạng WLAN
-

Ẩn định danh SSID

-

Chọn WPA hoặc WPA2 cho chứng thực và mã hóa

-

Lọc các máy trạm dựa theo địa chỉ MAC

62. Phân loại mạng riêng ảo(VPN)
-

-


Site-to-Site VNP (LAN-to-LAN) : VNP điểm nối điểm có thể được chia làm 2 loại:
o

Intranet VNP: kết nối các chi nhánh, văn phòng ở xa với công ty, tổ chức

o

Extranet VNP: kết nối khách hàng, nhà cung cấp, đối tác với công ty.

o

Được xây dựng bằng cách sử dụng Router, Security Appliance hoặc VPN Concentrator.

Remote Access VPN (VPN triuy cập từ xa): còn gọi là Dialup riêng ảo cung cấp cho người dùng
ở xa, người dùng di động truy cập vào mạng công ty được chia làm 2 loại:
o

Client-initiated: người dùng sử dụng VPN Client hoặc trình duyệt Web để thiết lập nối
kết

o

NAS-initiated: người dùng dial (gọi) vào mạng của ISP

-

Các thành phần trong VPN: VPN Client, VPN Server(Gateway),mạng công cộng, Tunnel(đường
hầm), kết nối(VPN)


-

Có khá nhiếu công nghệ mạng VPN từ nhiều công ty và cài đặt trên nhiều tầng khác nhau

63. VPN trên các lớp của mô hình OSI
- tầng mạng cung cấp nhiều giải pháp khác nhau cho VPN
64. WEB VPN : thiết lập VPN truy cập từ xa thông qua trình duyệt Web: có khả năng truy cập website nội bộ thông
qua HTTPS, truy cập hệ thống file chia sẻ trên mạng cục bộ, truy cập hệ thống email POP, SMTP, IMAP qua SSL.
Sử dụng SSL để mã hóa và TLS để cung cấp kết nối an toàn từ máy người dùng đến site
65. Tunneling: các gioa thức tunneling(đường hầm) cung cấp tính bảo mật cho dữ liệu gửi và nhận bên trong. Bao gói
dữ liệu gốc vào 1 bên trong gói dữ liệu đã được mã hóa.
66. Các giao thức tạo đường hầm tunneling:

GRE,IPSec, L2F, L2TP, MPLS, PPTP

-

GRE: hỗ trợ nhiều giao thức bên trong IP tunnel

-

MPLS: thích hợp cho ISP và các doanh nghiệp lớn

-

L2TP và PPTP đều “bao gói” gói tin PPP truyền đi trong mạng IP

-

PPTP: sử dụng cổng TCP 1723, chứng thực dùng MSCHAP-v2 hoặc EAP-TLS, có thể dùng

MPPE để mã hóa. Chỉ dùng cho giao thức IP

-

L2TP: sử dụng cổng UDP 1701, có chứng thực nhưng ko mạnh, kết hợp với IPSec để mã hóa.
Thường dùng cho dạng VPN triuy cập từ xa qua RAS, dùng cho IP, IPX,...

-

IPSec:được sử dụng rộng rãi trong cài đặt các loại VPN, cung cấp tính bảo mật và toàn vẹn cho
gói tin (tẩng)vkhi chuyền trên mạng IP. Sử dụng TCP cổng 50 và 51. Các chế độ truyền:

-

Tunnel mode peer-to-peer sử dụng khi truyển qua đường truyền mạng ko tin cậy. Mã hóa cả dữ
liệu và phần header

-

Transport mode: host-to-host truyền trực tiếp giữa bên gửi và bên nhận. Mã hóa chỉ phần dữ
liệu, giữ nghuyên phẩn header

-

Giao thức ESP: cung cấp mã hóa dữ liệu, cung cấp chứng thực có giới hạn. Bao gói dữ liệu(mã
hóa payload) nhưng ko mã hóa Header

-

Giao thức AH: mã hóa toàn bộ gói tin kể cả phần header, đảm bảo tính toàn vẹn của gói tin



-

Hoạt động cũa IPSec:
o

IKE: đảm bảo tính an toàn khi trao đổi khóa bí mật giữa 2 bên khi thiết lập đường hầm

o

ISAKMP: được sử dụng để đàm phán và cung cấp chứng thực

67. Dịch vụ Email: các giao thức chuẩn của email ko cung cấp cơ chế an toàn. Dịch vụ Email có nhiều điểm yếu có
thể dễ dàng bị tấn công và khai thác
-

SMTP: gửi mail cổng TCP 25

-

POP/IMAP: nhận mail cổng 110

-

MIME: RFC 1512 và 1522 hỗ trợ gửi mail có đính kèm file

-

S/MIME cung cấp cơ chế bảo mật cho Email Version 2: RFC-2311 và version 3 RFC-2633. cung

cấp dịch vụ mật mã cho các ứng dụng email: chứng thực, tính toàn vẹn và tính ko thể phủ
nhận(thông qua chữ ký số), bảo mật và riêng tư cho thông điệp(thông qua mã hóa). Sử dụng 3
thuật toán mã hóa đối xứng: DES, 3DES, RCC2 trong việc mã hóa thông điệp. Dùng giải thuật
RSA trong viêc trao đổi khóa và chũ ký số

-

PGP: là chuẩn đóng thuộc công ty PGP, xử dụng thuật toán mã hóa đối xứng, dùng hạ tầng khóa
công khai(PKI), nén dữ liệu trước khi mã hóa, dùng thuật toán RSA hoặc DH. Open PGP theo
chuẩn mở mô tả trong RFC-2440

-

Các điểm yếu của Email: SPAM, Mail đánh lừa, Phishing(lừa đảo),virus, trojan

68. Dịch vụ web: dùng giao thức HTTP, mô tả trong RFC-2616, cổng phục vụ là TCP 80, ngôn ngữ sử dụng HTML.
-

HTTP là giao thức ko an toàn, ko chứng thực ko mã hóa

-

HTTPS= HTTP+ TLS/SSL: cung cấp tính bảo mật cho dịch vụ Web, dùng cổng TCP 443. sử
dụng mật mã khóa công khai: cặp khóa công kha+ khóa bí mật và chứng chỉ số X.509

-

SSL và TLS: độc lập với giao thức tầng ứng dụng. Cung cấp cơ chế bảo mật cho các dịch vụ
Web, FTP, Telnet, IMAP,... kết nối bí mật qua mã hóa đối xứng: DES, RC4,..chứng thực qua mã
hóa bất đối xứng RSA,DDS


-

SSL: hoạt động phí trên tầng TCP sửng dụng khóa công khai và khóa đối xứng cho các phiên giao
dịch. Sử dụng 3 giao thức SSL handshake protocol, SSL Record protocol, SSL Alter protocol

-

TLS: kết thừa từ SSL nhưng ko tương thích với SSL. Cung cấp các chức năng bảo mật năng cao
hơn

-

Giao thức: dùng giao thức FTP mô tả trong RFC-959 cổng phục vụ là : TCP 21 cho nối kết và
TCP 20 cho dữ liệu, TCP 20 cho dữ liệu

-

SLDAP dùng SSL/TLS để cung cấp chứng thực và mã hóa

69. FTPS=FTP + TLS/SSL cung cấp tính bảo mật cho dịch vụ FTP. Thích hợp cho các giao dịch an toàn và bảo mật
khi truyền file bằng FTP. Dùng cổng TCP 990 cho điều khiển và TCP 898 cho dữ liệu. sử dụng mật mã khóa công
khai. Chữ ký số chuẩn x.509 dùng RSA, DSA. Mã hóa dữ liệu khóa bí mật: DES, 3DES, AES
70. Dịch vụ chia sẽ file: file sharing
-

NetBIOS cung cấp dịch vụ vận chuyển và giao dịch, dùng cổng TCP 137, 138, 139

-


NetBEUI chuẩn định dạng khung của NetBIOS, giao thức tầng 4 nhưng ko hỗ trợ vạch đường

-

NetBIOS trên TCP(NBT) dùng vận chuyển dữ liệu NetBIOS trên các mạng tầng 3(như IP)

71. Mô hình mạng an toàn bao gồm nhiều vùng vật lý và luận lý với nhiều mức bảo mật khác nhau
Vùng an ninh: là 1 phần của mạng được định nghĩa chung 1 mức an ninh. Vùng an ninh thường được chia làm
3 loại: intranet, extranet, DMZ
Intranet:là 1 mạng dùng riêng sử dụng các giao thức và dịch vụ tương tự như internet. Tốc độ cao, dễ dàng
truy xuất các tài nguyên, sử dụng các dạng mạng Ethernet, Fast Ethernet, token ring, atm,..


Extranet là 1 intrenet có kết nối với mạng dùng ở ngoài như các khách hàng, đối tác, nhà cung cấp,... có thể
kết nối với internet. Yêu cầu tính riêng tư và bảo mật. Có thể dùng PKI hoặc kỹ thuật VPN để thiết lập nếu
cần độ an toàn cao
DMZ: là 1 vùng của mạng được thiết kế đặc biệt, cho phép những người dùng bên ngoài truy xuất vào nhưng
DMZ luôn dc điều khiển và giới hạn bởi Firewall và hệ thống Router. Nếu vùng DMZ bị tấn công và gây hại
thì vẫn ko ảnh hưởng đến mạng riêng của tổ chức
Cách thiết kế DMZ:
-

phân lớp DMZ: đặt giữa 2 Firewall có các quy định khác nhau. Cho phép bên ngoài internet kết
nối vào nhưng chặn ko cho truy cập vào mạng cục bộ

-

tường lủa nhiều giao diện DMZ: dùng nhiều thiết bị Firewall mạnh có thể quản lý các lưu thông
trên nhiều cổng. Hiện nay mô hình này dc sử dụng nhiều hơn


Phải gia cố hệ thống DMZ chẳng hạn gởi bỏ các dịch vụ ít sử dụng và gỡ bỏ không cần thiết.
-

Các máy tính DMZ còn gọi là Bastion hosts có thể truy cập bên trong và bên ngoài.

* DMZ bên trong vùng:
-Các dịch vụ bên trong vùng: web,mail,ftp,DNS,IDS(hệ thống phát hiện xâm nhập)
- Bên trong cần bảo mật :SSL,TLS
* DMZ nhiều vùng trong 1 vùng DMZ:
- Hệ thống khác nhau nên thiết kế vùng an ninh và bảo mật khác nhau:
- Điểm yếu: phức tạp cài đặt, cài firewall dễ nhần lẫn.
- Giải pháp : cấm tất cả, cho phép những gì cần

72. Vlan: Phân mạng lớn thành mạng nhỏ, switch hổ trợ vlan, muốn liên lạc các máy tính khác nhau trong vlan cần 1
router.
-Vlan : không giới hạn vị trí địa lý và kết nối vật lý,
- Lợi ích vlan: Ngăn broadcast làm tăng hiệu năng mạng, tiết kiệm swich, tăng tính bảo mật, dễ chuyển khai và
quản lý nhóm theo từng lan.
- Sử dụng ISL hoặc 802.Q cho đường trunk.
-Switch tự động thêm tag chỉ gõ cho frame khi vào đường trunk
-Nat ánh xạ địa chỉ cục bộ sang địa chỉ thực => thường dùng cho các server
- Dynamic nat tự động ánh xạ một địa chie private trong một dãy điah chi pulic cho trước. => dùng khi có được
nhiều địa chỉ thực ở ngoài.
-Pat còn gọi là nat overload.
Pat ánh xạ nhiều địa chỉ cục bộ sàng một địa chỉ thực với các cổng khác nhau.
Thích hợp với mạng có nhiều máy cục bộ dùng chung đường truyền ADSL
Phải gia cố hệ thống DMZ chẳng hạn gởi bỏ các dịch vụ ít sử dụng


73. Firewall : 1router, 1pc thực thi chuyên dụng,tập hợp nhiều phần cứng. (đặt giữa mạng nội bộ và ngoài)

74. 4 kỹ thuật Firewall sử dụng: Điều khiển dịch vụ,điều hướng,điều khiển người dùng,điều khiển ứng xử
75. Khả năng tường lửa:Bảo vệ trước tấn công giả mạo và vạch đường,cung cấp nền.
76. Giới hạn Firewall : không ngăn chặn khi đi qua đường truy xuất dialup, không bảo vệ được từ bên trong (tấn
công virus và phần mềm bên trong)
77. Firewall tầng ứng dụng(còn gọi là proxy firewall): Cấu hình như: Web,fpt,telnet.. Che giấu mạng nội bộ. Ứng
dụng =>chậm=> ko thích hợp mạng lớn
78. Firewall lọc gói: cài đặt lưu thông dựa vào: Ip nơi gửi và IP nơi nhận.
79. Firewall đầy đủ trạng thái:cài đặt lưu thông mạng: ĐC IP của nơi gửi, Đc ip nơi nhận, Cổng quá trình gửi và nhận.
Mốt số cho phép kiểm tra nội dụng dữ liệu và tính bất thường giao thức.
80. Firewall duyệt sâu gói tin(kiểm tra trên tất cả các tầng) :IDS và cisco Netscreen Firewall hỗ trợ Firewall loại này.
Đảm bảo phù hợp giao thức và chi tiết, không phải là các phần mềm tấn công, toàn vẹn dữ liều truyền đi giữa các
thiết bị . => Chống tấn công Dos và virus



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×