1. Câu 1: Trình bày ngắn gọn về các dịch vụ bảo mật được áp dụng trong các hệ
thống bảo mật hi ện nay?
Authentication Service (dịch vụ xác thực): Dịch vụ này đảm bảo một sự truyền thông
tin cậy. Nó có hai loại dịch vụ xác thực: Peer entity authentication và Data origin
authentication:
- Peer entity authentication: Cung cấp một sự chứng thực về định danh của các
thực thể ngang hàng trong một liên kết. Nó được cung cấp để sử dụng tại thời điểm thiết
lập kết nối hoặc trong suốt quá trình trao đổi dữ liệu của kết nối.
- Data origin authentication. Cung cấp sự chứng thực về nguồn gốc của đơn vị dữ
liệu, nó không cung cấp sự bảo vệ để chống lại các loại tấn công theo kiểu nhân bản
hoặc làm thay đổiđơn vị dữ liệu.
Access ControlService (dịch vụ điều khiển truy cập): Nhiệm vụ của dịch vụ điều khiển
truy cập là: mỗi thực thể truyền thông khi cố gắng truy cập vào hệ thống thì trước hết nó
phải được nhận dạng hoặc được xác thực, sau đó mới có thể nhận được quyền truy cập
phù hợp với riêng nó
Data Confidentiality Service(dịch vụ tin cậy dữ liệu): Dịch vụ này cung cấp sự bảo vệ
cho các dữ liệu được truyền đi, trước các tấn công loại passive (thụ động).
Data Integrity Service(dịch vụ toàn vẹn dữ liệu): Cũng như sự tin cậy, sự toàn vẹn có
thể áp dụng với một dòng thông điệp, một thông điệp đơn hoặc các trường được chỉ ra
trong phạm vi một thông điệp. Dịch vụ này đảm bảo thông điệp mà bên nhận nhận được
là hoàn toàn trung thực với thông điệp được gửi đi từ bên gửi, tức là thông điệp không bị
nhân bản, không bị thay đổi, không bị sắp xếp lại, không bị phát lại khi nó di chuyển trên
đường truyền.
Non-repudiation Service (dịch vụ “sự công nhận”): Sự công nhận ngăn chặn hiện tượng
người gửi hoặc người nhận từ chối một thông điệp đã được chuyển đi. Vì thế khi một
thông điệp được gửi, người nhận phải chứng tỏ được rằng thông điệp là được nhận từ
người gửi. Tương tự, khi một thông điệp được nhận, người gửi phải chứng được rằng
thông điệp là đã được gửi đến người nhận.
· Availability Service (Dịch vụ “sẵn dùng”): Dịch vụ này có nhiệm vụ làm cho tài
nguyên của hệ thống trở thành có thể truy cập và có thể được dùng bởi các thực thể được
phép trong một giới hạn nào đó
Câu 2: Làm thế nào để phòng chống được tấn công từ chối dịch vụ (DOS)
- Tăng cường khả năng xử lý của hệ thống:
Tối ưu hóa các thuật toán xử lý, mã nguồn của máy chủ web
Nâng cấp hệ thống máy chủ
Nâng cấp đường truyền và các thiết bị liên quan,
2. Cài đặt đầy đủ các bản vá cho hệ điều hành và các phần mềm khác để phòng
ngừa khả năng bị lỗi tràn bộ đệm, cướp quyền điều khiển,v.v…
- Hạn chế số lượng kết nối tại thiết bị tường lửa tới mức an toàn hệ thống cho phép.
- Sử dụng các tường lửa cho phép lọc nội dung thông tin (tầng ứng dụng) để ngăn
chặn các kết nối nhằm tấn công hệ thống.
- Phân tích luồng tin (traffic) để phát hiện các dấu hiệu tấn công và cài đặt các tường
lửa cho phép lọc nội dung thông tin (tầng ứng dụng) ngăn chặn theo các dấu hiệu đã phát
hiện.
Câu 3: Các gi ải pháp bảo mật cho các mạng TCP/IP là gì?
SOCKS: Là một chuẩn cho các gateway circuit-level. Nó không cần proxy nhưng
người sử dụng có thể thực hiện kết nối đến Firewall trước, sau đó yêu cầu một kết nối thứ
hai đến server đích. Thay vì khởi tạo một session trực tiếp với server đích, client khởi tạo
một session đến SOCKS server trên Firewall. Sau đó SOCKS sẽ xác nhận tính hợp lệ của
địa chỉ nguồn và user ID, nếu hợp lệ sẽ cho phép user thiết lập kết nối hướng đến mạng
không an toàn bên ngoài, và rồi tạo một session thứ hai.
SSL: Secure Sockets Layer: cung cấp một kênh riêng giữa các ứng dụng truyền thông
cần có sự xác thực các đối tác truyền thông và đảm bảo tính toàn vẹn và riêng tư của dữ
liệu. SSL cung cấp một sự thay thế cho các socket API chuẩn TCP/IP, trong đó có cài đặt
các tính năng an toàn. SSL thường được cài đặt để hỗ trợ các traffic như HTTP, NNTP ,
Telnet, …
Câu 4: Phân bi ệt sự khác nhau gi ữa 2 cụm từ: AAA và AIA
What is AAA: là từ viết tắt của Xác thực ,Ủy quyền,Kiểm soát, là một hệ thống kết
nối mạng sử dụng IP mục đích là quản lý các máy tính của người sử dụng truy cập vào hệ
thống mạng và giữ kiểm soát dấu vết các hành động của mọi người sử dụng trên hệ thống
mạng.
Xác thực dựa trên ý tưởng rằng, mỗi người dùng cá nhân sẽ có thông tin duy nhất
để phân biệt người cần xác thực với những người dùng khác.
Ủy quyền là quá trình cho phép hoặc từ chối người dùng truy cập vào tài nguyên hệ
thống mạng, khi người dùng đã được xác thực thông qua tên đăng nhập và mật khẩu. Số
lượng thông tin và số dịch vụ được sử dụng của người dùng phụ thuộc vào mức độ ủy
quyền của người đó.
Kiểm soát người dùng là quá trình theo dõi các hoạt động của người dùng khi truy
cập các tài nguyên mạng, bao gồm thời gian hoạt động, các dịch vụ được truy cập và số
lượng dữ liệu được sử dụng trong phiên sử dụng. Số liệu kiểm soát được sử dụng để phân
tích xu hướng, lập kế hoạch công suất, thanh toán, kiểm soát và phân bổ chi phí.
Các dịch vụ AAA thông thường sẽ yêu cầu 1 server mà nó được đặt riêng lẻ và tích hợp 3
dịch vự cơ bản ở trên, Và 1 dịch vụ lấy ví dụ ở đây là RADIUS
What is CIA?: Bảo mật, tính toàn vẹn, và tính sẵn sàng (CIA) là một mô hình được
thiết kế để hướng dẫn chính sách an ninh thông tin trong một tổ chức. Trong bối cảnh này,
3. bảo mật là một bộ các quy tắc hạn chế tiếp cận thông tin, tính toàn vẹn là sự đảm bảo rằng
thông tin là đáng tin cậy và chính xác, tính sẵn sàng đảm bảo luôn sẵn sàng tiếp cận thông
tin của người được ủy quyền. mô hình này có thể được coi như CIA.
Bảo mật giúp ngăn chặn những thông tin nhạy cảm bị lộ ra cho những người không
đáng tin cậy và đảm bảo thông tin đó được chuyển đến đúng người nhận. Mã hóa dữ liệu
là một phương pháp phổ biến của việc đảm bảo bí mật. Xác thực ID người dùng và mật
khẩu là phương pháp xác thực tiêu chuẩn ngoài ra còn có xác minh sinh trắc học cũng là 1
sự lựa chọn tốt. Người dùng có thể sử dụng những biện pháp phòng ngừa, giảm thiểu những
lần thông xuất hiện và những lần truyền một giao dịch thực sự .
Tính toàn vẹn liên quan đến việc duy trì tính nhất quán, chính xác, và độ tin cậy
của dữ liệu trên toàn bộ chu trình. Dữ liệu không được thay đổi trong quá trình di chuyển,
và các bước phải được thực hiện để đảm bảo rằng dữ liệu không thể bị thay đổi bởi những
người không được phép. Ngoài ra, cần phải dùng một số phương tiện để phát hiện bất kỳ
thay đổi trong dữ liệu mà không phải là do con người làm giống như là EMP, treo hệ thống.
Nếu một sự thay đổi bất ngờ xảy ra, một bản sao lưu phải có sẵn để khôi phục lại dữ liệu
mà bị ảnh hưởng đến xấu đến hệ thống đó.
Tính sẵn sàng là đảm bảo duy trì tất cả các thiết bị phần cứng hoạt động một cách
ổn định, được sửa chữa ngay lập tức khi cần thiết, có các biện pháp dự phòng và chuyể n
đổi dự phòng, cung cấp đầy đủ băng thông truyền tải và ngăn ngừa sự xuất hiện của tắc
nghẽn, xây dựng hệ thống điện dự phòng khi khẩn cấp, hệ thống hiện tại có thể nâng cấp
khi cần thiết , và bảo vệ hệ thống chống lại các mối nguy hiểm như tấn công từ chối dịch
vụ (DoS)
Câu 5: Phân tích tấn công DoS xuất phát từ l ỗ hổng của quá trình bắt tay 3 bước
TCP?
Trong tấn công TCP SYN flood attack, attacker sẽ gửi tràn ngập TCP SYN segments
mà không hoàn tất quá trình bắt tay 3 bước cho mỗi kết nối TCP.
Thông thường, trong cách tấn công này, attacker sẽ kết hợp với tấn công IP spoofing,
trong đó địa chỉ nguồn của gói tin là 1 địa chỉ không hợp lệ hoặc là địa chỉ một người nào
đó. Vì những địa chỉ nguồn này không thể tới được nên TCP server bị tấn công sẽ bị treo
với half-open connection, server phải đợi hết khoảng thời gian timeout để xoá connection
này khỏi bảng local connection.
Như thế thì tài nguyên của TCP server sẽ bị sử dụng hết, và buộc
phải từ chối các TCP connections hợp lệ khác.
Câu 6: Hãy cho bi ết l ỗ hổng xuất hi ện trong dịch vụ DNS và phân tích ki ểu tấn
công đánh l ừa DNS?
Dựa vào nguyên lý hoạt động của DNS là phân giải tên miền thành địa chỉ IP thì với
cách hoạt động như thế, hacker sẽ tấn công bằng cách can thiệp vào quá trình tham chiếu
giữa địa chỉ IP và tên miền của máy chủ DNS nhằm trả về một địa chỉ IP sai lệch nằm
trong sự kiểm soát của chúng
4. Đánh lừa DNS (DNS spoofing): để buộc switch phải chuyển tất cả các gói tin đến
sniffer là: đánh lừa hệ thống gửi tin để hệ thống đó gửi tin đến sniffer bằng cách sử dụng
địa chỉ MAC thật của sniffer. Để thực hiện được điều này, sniffer phải “thuyết phục” hệ
thống gửi tin sao cho nó phải gửi ARP đến địa chỉ IP của sniffer. Cách làm này có thể
thành công dựa vào việc đánh lừa DNS.
Trong kiểu tấn công đánh lừa DNS, sniffer gửi các tin trả lời cho các yêu cầu DNS
của hệ thống gửi tin. Các tin đáp trả này cung cấp địa chỉ IP của sniffer thay vì địa chỉ IP
của hệ thống mà hệ thống gửi tin yêu cầu. Và sau đó, hệ thống gửi tin sẽ gửi tất cả tin đến
sniffer. Sau đó sniffer sẽ phải chuyển tiếp các gói tin này đến hệ thống đích thực sự. Kiểu
tấn công này còn được gọi là theo kiểu “đánh chặn”.
Để tấn công kiểu này thành công, sniffer phải có khả năng nhận biết tất cả các yêu cầu
DNS và trả lời cho chúng trước khi máy chủ DNS trả lời. Như vậy sniffer phải nằm trên
tuyến mạng giữa hệ thống gửi tin và máy chủ DNS nếu như sniffer không nằm trên mạng
con cục bộ của hệ thống gửi tin.
Câu 7: Vẽ sơ đồ mạng VPN Client to Site, được xác thực bởi hệ thống RADIUS.
Dựa vào sơ đồ này để phân tích hoạt động của RADIUS.
Sơ đồ:
Phân tích hoạt động của RADIUS:
Bước 1: User gửi tới RADIUS Client một yêu cầu kết nối
Bước 2: RADIUS Client gửi tới RADIUS Server một yêu cầu xác thực yêu cầu kết
nối của user
5. Bước 3: RADIUS Server gửi một yêu cầu tới RADIUS Database để lấy các thông tin
của user để xác thực
Bước 4: RADIUS Database gửi các thông tin của user tới RADIUS Server
Bước 5: Tại đây sẽ có 2 trường hợp:
- Nếu thông tin l ấy về từ RADIUS Database khớp với thông tin do user đi ền
vào: RADIUS Server gửi cho RADIUS Client một thông báo xác thực thông tin
user nhập vào khớp với thông tin của user chứa trong RADIUS Databse
- Nếu thông tin l ấy về từ RADIUS Database không khớp với thông tin do user
đi ền vào: RADIUS Server gửi cho RADIUS Client một thông báo xác thực thất
bại, thông tin user nhập vào không khớp với thông tin của user chứa trong
RADIUS Databse
Tùy theo trường hợp tại bước 5 mà RADIUS Client gửi thông báo cho User
- Nếu thông báo l ấy về từ RADIUS Server là xác thực thành công: RADIUS
Client gửi một thông báo cho phép truy cập đến User
- Nếu thông báo l ấy về từ RADIUS Server là xác thực thất bại: RADIUS Client
gửi một thông báo không cho phép truy cập tới User
Câu 8:
a. Hãy cho bi ết khác bi ệt gi ữa Firewall Lọc gói và Firewall tầng ứng dụng.
b. Khi xây dựng bảng luật l ọc gói ta cần phải tuân theo các quy tắc nào? Cho ví dụ
minh họa về mỗi quy tắc.
a. Firewall lọc gói
- Chỉ có khả năng cản lọc packet dựa vào địa chỉ IP nguồn và đích, cổng dịch vụ
nguồn và đích của gói tin nhưng không kiểm tra nội dung gói tin. Và không có khả năng
tìm đến các flag của TCP header
- Ít nhất là 2 giao diện mạng
- Các kết nối không kết thúc trên Firewall
- Không có khả năng theo dõi trọn bộ các packet của cùng một kết nối.
- Hoạt động tầng mạng mô hình OSI. (tầng 3 OSI và Network)
- Xử lý lưu lượng lớn hơn Firewall ứng dụng
- Bảo mật thấp Firewall tầng ứng dụng
Firewall tầng ứng dụng
- Sử dụng Proxy để kiểm soát các kết nối đi vào. Các gói tin vào và ra hệ thống sẽ
không thể truy cập các dịch vụ nếu như không có Proxy. Chức năng dùng để kiểm soát các
dịch vụ, giao thức được phép truy cập.
- Có nhiều giao diện mạng
6. - Các kết nối đều kết thúc trên Firewall
- Kiểm tra toàn bộ nội dung gói tin
- Hoạt động ở tầng ứng dụng mô hình OSI và tầng 4 Network
- Xử lý lưu lượng thấp hơn Firewall lọc gói.
- Bảo mật cao
b. Xây dựng bản luật l ọc gói cần đảm bảo:
- Các gói tin không được xem xét trong các tập luật đều không được phép đi qua
Firewall.
VD: cuối các bảng luật đều phải có tập luật any any
Source IP Address Destination IP Address Action
Any Any Deny
- Thứ tự của các tập luật trong bảng luật đóng vai trò quan trọng. Thứ tự các tập luật
phải tuân theo quy tắc First Match
VD: IP A đi tới IP B khớp với luật 1 thì gói tin từ A sẽ chịu tác động của luật 1, nếu
không thì sẽ so khớp với luật thứ 2
- Tránh hiện tượng luật bị che khuất
VD: IP A (192.168.1.10) đi tới IP B khớp với luật 2 là cho phép qua nhưng luật 1 đã
chặn dãy IP(192.168.1.1 – 192.168.1.20) có chứa IP A đến IP B. Do đó luật 2 bị bỏ
qua.
Câu 9:
a. Vẽ sơ đồ thi ết kế Intranet đảm bảo an ninh tối thi ểu nhất theo gợi ý sau: Có
sử dụng một Firewall lọc gói và một Router, có một hệ thống xác thực cho kết
nối từ xa, có một server CA hỗ trợ xác thực web nội bộ, chỉ dùng một địa chỉ
mạng l ớp C để gán cho mạng này.
7. b. Phân tích và cài đặt các chính sách bảo mật cho mạng này.
A. Mô tả
- Mạng gồm 1 vùng DMZ, 1 router, 1 Firewall, 1 Switch
- Mạng có thể đươc kết nối từ xa thông qua VPN
- Vùng DMZ chứa các server ứng dụng, Web Server, hệ thống xác thực RADIUS cho
VPN và xác thực CA SSL cho WEB, tất cả được bảo vệ bởi Firewall
- Mạng bên trong LAN được bảo vệ bởi firewall
- VPN Server không được bảo vệ bởi Firewall
B. Chính sách
- Mạng LAN-> Internet : Allow
- Internet -> Mạng LAN, DMZ: Deny
- Mạng LAN -> DMZ : Allow
C. Bảng luật
STT
Source IP
Address
Destination IP
Address
Port Action
1 192.168.10.0/25 Any 443 Allow
