Câu 1: Trình bày ngắn gọn về các dịch vụ bảo mật được áp dụng trong các hệ thống bảo mật hiện nay?

  Authentication Service (dịch vụ xác thực): Dịch vụ này đảm bảo một sự truyền thông tin cậy. Nó có hai loại dịch vụ xác thực: Peer entity authentication và Data origin authentication:

-         Peer entity authentication: Cung cấp một sự chứng thực về định danh của các thực thể ngang hàng trong một liên kết. Nó được cung cấp để sử dụng tại thời điểm thiết lập kết nối hoặc trong suốt quá trình trao đổi dữ liệu của kết nối.

-         Data origin authentication. Cung cấp sự chứng thực về nguồn gốc của đơn vị dữ liệu, nó không cung cấp sự bảo vệ để chống lại các loại tấn công theo kiểu nhân bản hoặc làm thay đổiđơn vị dữ liệu.    

Access ControlService (dịch vụ điều khiển truy cập): Nhiệm vụ của dịch vụ điều khiển truy cập là: mỗi thực thể truyền thông khi cố gắng truy cập vào hệ thống thì trước hết nó phải được nhận dạng hoặc được xác thực, sau đó mới có thể nhận được quyền truy cập phù hợp với riêng nó

Data Confidentiality Service(dịch vụ tin cậy dữ liệu): Dịch vụ này cung cấp sự bảo vệ cho các dữ liệu được truyền đi, trước các tấn công loại passive (thụ động).

Data Integrity Service(dịch vụ toàn vẹn dữ liệu): Cũng như sự tin cậy, sự toàn vẹn có thể áp dụng với một dòng thông điệp, một thông điệp đơn hoặc các trường được chỉ ra trong phạm vi một thông điệp. Dịch vụ này đảm bảo thông điệp mà bên nhận nhận được là hoàn toàn trung thực với thông điệp được gửi đi từ bên gửi, tức là thông điệp không bị nhân bản, không bị thay đổi, không bị sắp xếp lại, không bị phát lại khi nó di chuyển trên đường truyền.

Non-repudiation Service (dịch vụ “sự công nhận”): Sự công nhận ngăn chặn hiện tượng người gửi hoặc người nhận từ chối một thông điệp đã được chuyển đi. Vì thế khi một thông điệp được gửi, người nhận phải chứng tỏ được rằng thông điệp là được nhận từ người gửi. Tương tự, khi một thông điệp được nhận, người gửi phải chứng được rằng thông điệp là đã được gửi đến người nhận.

·        Availability Service (Dịch vụ “sẵn dùng”): Dịch vụ này có nhiệm vụ làm cho tài nguyên của hệ thống trở thành có thể truy cập và có thể được dùng bởi các thực thể được phép trong một giới hạn nào đó

Câu 2: Làm thế nào để phòng chống được tấn công từ chối dịch vụ (DOS)

- Tăng cường khả năng xử lý của hệ thống: Tối ưu hóa các thuật toán xử lý, mã nguồn của máy chủ web Nâng cấp hệ thống máy chủ Nâng cấp đường truyền và các thiết bị liên quan,

Cài đặt đầy đủ các bản vá cho hệ điều hành và các phần mềm khác để phòng ngừa khả năng bị lỗi tràn bộ đệm, cướp quyền điều khiển,v.v…

- Hạn chế số lượng kết nối tại thiết bị tường lửa tới mức an toàn hệ thống cho phép.- Sử dụng các tường lửa cho phép lọc nội dung thông tin (tầng ứng dụng) để ngăn

chặn các kết nối nhằm tấn công hệ thống.- Phân tích luồng tin (traffic) để phát hiện các dấu hiệu tấn công và cài đặt các

tường lửa cho phép lọc nội dung thông tin (tầng ứng dụng) ngăn chặn theo các dấu hiệu đã phát hiện.

Câu 3: Các giải pháp bảo mật cho các mạng TCP/IP là gì?SOCKS: Là một chuẩn cho các gateway circuit-level. Nó không cần proxy nhưng

người sử dụng có thể thực hiện kết nối đến Firewall trước, sau đó yêu cầu một kết nối thứ hai đến server đích. Thay vì khởi tạo một session trực tiếp với server đích, client khởi tạo một session đến SOCKS server trên Firewall. Sau đó SOCKS sẽ xác nhận tính hợp lệ của địa chỉ nguồn và user ID, nếu hợp lệ sẽ cho phép user thiết lập kết nối hướng đến mạng không an toàn bên ngoài, và rồi tạo một session thứ hai.

SSL: Secure Sockets Layer: cung cấp một kênh riêng giữa các ứng dụng truyền thông cần có sự xác thực các đối tác truyền thông và đảm bảo tính toàn vẹn và riêng tư của dữ liệu. SSL cung cấp một sự thay thế cho các socket API chuẩn TCP/IP, trong đó có cài đặt các tính năng an toàn. SSL thường được cài đặt để hỗ trợ các traffic như HTTP, NNTP, Telnet, …  

Câu 4: Phân biệt sự khác nhau giữa 2 cụm từ: AAA và AIA

What is AAA: là từ viết tắt của Xác thực ,Ủy quyền,Kiểm soát, là một hệ thống kết nối mạng sử dụng IP mục đích là quản lý các máy tính của người sử dụng truy cập vào hệ thống mạng và giữ kiểm soát dấu vết các hành động của mọi người sử dụng trên hệ thống mạng.

Xác thực dựa trên ý tưởng rằng, mỗi người dùng cá nhân sẽ có thông tin duy nhất để phân biệt người cần xác thực với những người dùng khác.

Ủy quyền là quá trình cho phép hoặc từ chối người dùng truy cập vào tài nguyên hệ thống mạng, khi người dùng đã được xác thực thông qua tên đăng nhập và mật khẩu. Số lượng thông tin và số dịch vụ được sử dụng của người dùng phụ thuộc vào mức độ ủy quyền của người đó.

Kiểm soát người dùng là quá trình theo dõi các hoạt động của người dùng khi truy cập các tài nguyên mạng, bao gồm thời gian hoạt động, các dịch vụ được truy cập và số lượng dữ liệu được sử dụng trong phiên sử dụng. Số liệu kiểm soát được sử dụng để phân tích xu hướng, lập kế hoạch công suất, thanh toán, kiểm soát và phân bổ chi phí.Các dịch vụ AAA thông thường sẽ yêu cầu 1 server mà nó được đặt riêng lẻ và tích hợp 3 dịch vự cơ bản ở trên, Và 1 dịch vụ lấy ví dụ ở đây là RADIUS

What is CIA?: Bảo mật, tính toàn vẹn, và tính sẵn sàng (CIA) là một mô hình được thiết kế để hướng dẫn chính sách an ninh thông tin trong một tổ chức. Trong bối

cảnh này, bảo mật là một bộ các quy tắc hạn chế tiếp cận thông tin, tính toàn vẹn là sự đảm bảo rằng thông tin là đáng tin cậy và chính xác, tính sẵn sàng đảm bảo luôn sẵn sàng tiếp cận thông tin của người được ủy quyền. mô hình này có thể được coi như CIA.

Bảo mật giúp ngăn chặn những thông tin nhạy cảm bị lộ ra cho những người không đáng tin cậy và đảm bảo thông tin đó được chuyển đến đúng người nhận. Mã hóa dữ liệu là một phương pháp phổ biến của việc đảm bảo bí mật. Xác thực ID người dùng và mật khẩu là phương pháp xác thực tiêu chuẩn ngoài ra còn có xác minh sinh trắc học cũng là 1 sự lựa chọn tốt. Người dùng có thể sử dụng những biện pháp phòng ngừa, giảm thiểu những lần thông xuất hiện và những lần truyền một giao dịch thực sự .

Tính toàn vẹn liên quan đến việc duy trì tính nhất quán, chính xác, và độ tin cậy của dữ liệu trên toàn bộ chu trình. Dữ liệu không được thay đổi trong quá trình di chuyển, và các bước phải được thực hiện để đảm bảo rằng dữ liệu không thể bị thay đổi bởi những người không được phép. Ngoài ra, cần phải dùng một số phương tiện để phát hiện bất kỳ thay đổi trong dữ liệu mà không phải là do con người làm giống như là EMP, treo hệ thống. Nếu một sự thay đổi bất ngờ xảy ra, một bản sao lưu phải có sẵn để khôi phục lại dữ liệu mà bị ảnh hưởng đến xấu đến hệ thống đó.

Tính sẵn sàng là đảm bảo duy trì tất cả các thiết bị phần cứng hoạt động một cách ổn định, được sửa chữa ngay lập tức khi cần thiết, có các biện pháp dự phòng và chuyển đổi dự phòng, cung cấp đầy đủ băng thông truyền tải và ngăn ngừa sự xuất hiện của tắc nghẽn, xây dựng hệ thống điện dự phòng khi khẩn cấp, hệ thống hiện tại có thể nâng cấp khi cần thiết , và bảo vệ hệ thống chống lại các mối nguy hiểm như tấn công từ chối dịch vụ (DoS)

Câu 5: Phân tích tấn công DoS xuất phát từ lỗ hổng của quá trình bắt tay 3 bước TCP?

Trong tấn công TCP SYN flood attack, attacker sẽ gửi tràn ngập TCP SYN segments mà không hoàn tất quá trình bắt tay 3 bước cho mỗi kết nối TCP. 

Thông thường, trong cách tấn công này, attacker sẽ kết hợp với tấn công IP spoofing, trong đó địa chỉ nguồn của gói tin là 1 địa chỉ không hợp lệ hoặc là địa chỉ một người nào đó. Vì những địa chỉ nguồn này không thể tới được nên TCP server bị tấn công sẽ bị treo với half-open connection, server phải đợi hết khoảng thời gian timeout để xoá connection này khỏi bảng local connection.

Như thế thì tài nguyên của TCP server sẽ bị sử dụng hết, và buộc phải từ chối các TCP connections hợp lệ khác.

Câu 6: Hãy cho biết lỗ hổng xuất hiện trong dịch vụ DNS và phân tích kiểu tấn công đánh lừa DNS?

Dựa vào nguyên lý hoạt động của DNS là phân giải tên miền thành địa chỉ IP thì với cách hoạt động như thế, hacker sẽ tấn công bằng cách can thiệp vào quá trình tham chiếu giữa địa chỉ IP và tên miền của máy chủ DNS nhằm trả về một địa chỉ IP sai lệch nằm trong sự kiểm soát của chúng

Đánh lừa DNS (DNS spoofing): để buộc switch phải chuyển tất cả các gói tin đến sniffer là: đánh lừa hệ thống gửi tin để hệ thống đó gửi tin đến sniffer bằng cách sử dụng địa chỉ MAC thật của sniffer. Để thực hiện được điều này, sniffer phải “thuyết phục” hệ thống gửi tin sao cho nó phải gửi ARP đến địa chỉ IP của sniffer. Cách làm này có thể thành công dựa vào việc đánh lừa DNS.

Trong kiểu tấn công đánh lừa DNS, sniffer gửi các tin trả lời cho các yêu cầu DNS của hệ thống gửi tin. Các tin đáp trả này cung cấp địa chỉ IP của sniffer thay vì địa chỉ IP của hệ thống mà hệ thống gửi tin yêu cầu. Và sau đó, hệ thống gửi tin sẽ gửi tất cả tin đến sniffer. Sau đó sniffer sẽ phải chuyển tiếp các gói tin này đến hệ thống đích thực sự. Kiểu tấn công này còn được gọi là theo kiểu “đánh chặn”.

Để tấn công kiểu này thành công, sniffer phải có khả năng nhận biết tất cả các yêu cầu DNS và trả lời cho chúng trước khi máy chủ DNS trả lời. Như vậy sniffer phải nằm trên tuyến mạng giữa hệ thống gửi tin và máy chủ DNS nếu như sniffer không nằm trên mạng con cục bộ của hệ thống gửi tin.

Câu 7: Vẽ sơ đồ mạng VPN Client to Site, được xác thực bởi hệ thống RADIUS. Dựa vào sơ đồ này để phân tích hoạt động của RADIUS. 

Sơ đồ:

Phân tích hoạt động của RADIUS:

Bước 1: User gửi tới RADIUS Client một yêu cầu kết nối

Bước 2: RADIUS Client gửi tới RADIUS Server một yêu cầu xác thực yêu cầu kết nối của user

Bước 3: RADIUS Server gửi một yêu cầu tới RADIUS Database để lấy các thông tin của user để xác thực

Bước 4: RADIUS Database gửi các thông tin của user tới RADIUS Server

Bước 5: Tại đây sẽ có 2 trường hợp:

- Nếu thông tin lấy về từ RADIUS Database khớp với thông tin do user điền vào: RADIUS Server gửi cho RADIUS Client một thông báo xác thực thông tin user nhập vào khớp với thông tin của user chứa trong RADIUS Databse

- Nếu thông tin lấy về từ RADIUS Database không khớp với thông tin do user điền vào: RADIUS Server gửi cho RADIUS Client một thông báo xác thực thất bại, thông tin user nhập vào không khớp với thông tin của user chứa trong RADIUS Databse

Tùy theo trường hợp tại bước 5 mà RADIUS Client gửi thông báo cho User

- Nếu thông báo lấy về từ RADIUS Server là xác thực thành công: RADIUS Client gửi một thông báo cho phép truy cập đến User

- Nếu thông báo lấy về từ RADIUS Server là xác thực thất bại: RADIUS Client gửi một thông báo không cho phép truy cập tới User

Câu 8:

a. Hãy cho biết khác biệt giữa Firewall Lọc gói và Firewall tầng ứng dụng.

b. Khi xây dựng bảng luật lọc gói ta cần phải tuân theo các quy tắc nào? Cho ví dụ minh họa về mỗi quy tắc. 

a. Firewall lọc gói

- Chỉ có khả năng cản lọc packet dựa vào địa chỉ IP nguồn và đích, cổng dịch vụ nguồn và đích của gói tin nhưng không kiểm tra nội dung gói tin. Và không có khả năng tìm đến các flag của TCP header

- Ít nhất là 2 giao diện mạng- Các kết nối không kết thúc trên Firewall- Không có khả năng theo dõi trọn bộ các packet của cùng một kết nối.- Hoạt động tầng mạng mô hình OSI. (tầng 3 OSI và Network)- Xử lý lưu lượng lớn hơn Firewall ứng dụng- Bảo mật thấp Firewall tầng ứng dụng

Firewall tầng ứng dụng - Sử dụng Proxy để kiểm soát các kết nối đi vào. Các gói tin vào và ra hệ thống sẽ

không thể truy cập các dịch vụ nếu như không có Proxy. Chức năng dùng để kiểm soát các dịch vụ, giao thức được phép truy cập.

- Có nhiều giao diện mạng

- Các kết nối đều kết thúc trên Firewall- Kiểm tra toàn bộ nội dung gói tin- Hoạt động ở tầng ứng dụng mô hình OSI và tầng 4 Network- Xử lý lưu lượng thấp hơn Firewall lọc gói.- Bảo mật cao

b. Xây dựng bản luật lọc gói cần đảm bảo:

- Các gói tin không được xem xét trong các tập luật đều không được phép đi qua Firewall.

VD: cuối các bảng luật đều phải có tập luật any anySource IP Address Destination IP Address Action

Any Any Deny

- Thứ tự của các tập luật trong bảng luật đóng vai trò quan trọng. Thứ tự các tập luật phải tuân theo quy tắc First Match

VD: IP A đi tới IP B khớp với luật 1 thì gói tin từ A sẽ chịu tác động của luật 1, nếu không thì sẽ so khớp với luật thứ 2- Tránh hiện tượng luật bị che khuấtVD: IP A (192.168.1.10) đi tới IP B khớp với luật 2 là cho phép qua nhưng luật 1 đã chặn dãy IP(192.168.1.1 – 192.168.1.20) có chứa IP A đến IP B. Do đó luật 2 bị bỏ qua.

Câu 9: a. Vẽ sơ đồ thiết kế Intranet đảm bảo an ninh tối thiểu nhất theo gợi ý sau: Có

sử dụng một Firewall lọc gói và một Router, có một hệ thống xác thực cho kết nối từ xa, có một server CA hỗ trợ xác thực web nội bộ, chỉ dùng một địa chỉ mạng lớp C để gán cho mạng này.

b. Phân tích và cài đặt các chính sách bảo mật cho mạng này.

A. Mô tả- Mạng gồm 1 vùng DMZ, 1 router, 1 Firewall, 1 Switch- Mạng có thể đươc kết nối từ xa thông qua VPN- Vùng DMZ chứa các server ứng dụng, Web Server, hệ thống xác thực RADIUS

cho VPN và xác thực CA SSL cho WEB, tất cả được bảo vệ bởi Firewall- Mạng bên trong LAN được bảo vệ bởi firewall- VPN Server không được bảo vệ bởi Firewall

B. Chính sách- Mạng LAN-> Internet : Allow- Internet -> Mạng LAN, DMZ: Deny- Mạng LAN -> DMZ : Allow

C. Bảng luật

STTSource IP Address

Destination IP Address

Port Action

1 192.168.10.0/25 Any 443 Allow

2 192.168.10.128/27192.168.10.0/2

4Allow

3 Any Any Deny