1.

Trình bày nguyên lý và các loại Honeypot

2. Mô tả câu trúc chứng chỉ số theo chuẩn X509
3. Trình bày các mô hình hoạt động và kiến trúc cơ bản hạ tầng khóa công khai
PKI
4. Trình bày các phương pháp điều khiển truy cập
5. Trình bày khái niệm về tường lửa, phân loại và mô tả các loại tường lửa phổ
biến
6. Trình bày về nguyên lý của giao thức IPSec, cấu trúc dữ liệu và phương thức
hoạt động của AH và ESP
7. Trình bày nguyên lý và mô hình hoạt động của giao thức SSL
8. Trình bày nguyên lý tấn công và phương pháp phòng chống DdoS
9. Trình bày kỹ thuật chữ ký số đảm bảo an toàn thông tin trên đường truyền:
Sơ đồ ký, sơ đồ xác thực, chức năng của chữ ký số
10.Trình bày ứng dụng của PKI
11.Trình bày bảo mật cho mạng cục bộ

Bài làm
Câu 1. Trình bày nguyên lý và các loại Honeypot
● Nguyên lý của Honeypot
- Honeypot là một hệ thống tài nguyên thông tin được xây dựng với mục
đích:
o Giả lập đánh lừa những kẻ sử dụng và xâm nhập trái phép
o Thu hút sự chú ý của chúng
o Ngăn không cho chúng tiếp xúc với hệ thống thật
- Sau khi thu hút được kẻ tấn công, honeypot sẽ kiểm soát dữ liệu, bắt
dữ liệu và phân tích các hoạt động cũng như dấu vết của kẻ tấn công
để tìm ra các phương thức của kẻ tấn công. Honeypot càng giống hệ
thống thật thì những thông tin thu được càng hữu ích, từ đó sẽ giúp cải
thiện an ninh của hệ thống thật
● Có 2 loại Honeypot
- Tương tác thấp:
o Mô phỏng giả lập các dịch vụ, ứng dụng và hệ điều hành

1
 o Mức rủi ro thấp, dễ triển khai và bảo dưỡng nhưng bị giới hạn
về dịch vụ
- Tương tác cao:
o Là các dịch vụ, ứng dụng và hệ điều hành thực
o Mức độ thông tin thu thập được cao. Nhưng rủi ro cao và tốn
thời gian để vận hành và bảo dưỡng
● Ví dụ cho 2 loại hình honeypot
- Tương tác thấp:
o BackOfficer Friendly (BOF)
▪ Dễ vận hành, cấu hình và hoạt động trên bất kỳ phiên
bản nào của Linux/Window
▪ Chỉ tương tác được với một số dịch vụ đơn giản như FTP,
Telnet, SMTP
o Specter
▪ Có khả năng tương tác tốt hơn BOF, giả lập trên 14 cổng,
có thể cảnh báo và quản lý từ xa
▪ Bị giới hạn về số dịch vụ và không linh hoạt
o Honeyd:
▪ Lắng nghe trên tất cả các cổng TCP và UDP
▪ Ngăn chặn và ghi lại những cuộc tấn công, tương tác với
kẻ tấn công với vai trò một hệ thống nạn nhân.
▪ Mô phỏng giả lập một lúc nhiều hệ điều hành khác nhau
▪ Có nhiều phiên bản và có thể mô phỏng được 473 hệ điều
hành
▪ Không thể cung cấp một hệ điều hành thật để tương tác
với tin tặc. Không có cơ chế cảnh báo khi phát hiện hệ
thống bị xâm nhập hay gặp nguy hiểm
- Tương tác cao:
o Honeynet
▪ Là hệ thống thật, hoàn toàn giống mạng làm việc bình
thường
▪ Cung cấp các hệ thống, ứng dụng và dịch vụ thật
▪ Quan trọng nhất khi xây dựng một honeynet chính là
honeywall.
▪ Honeywall là gateway ở giữa honeynet và mạng bên
ngoài. hoạt động ở tầng 2, đóng vai trò là Bridged. Các

2
 luồng dữ liệu khi vào ra từ honeynet đều phải qua
Honeywall
Câu 2. Mô tả cấu trúc chứng chỉ số theo chuẩn X509
● Sơ đồ cấu trúc

● Mô tả cấu trúc
- Version: Xác định
phiên bản của chứng chỉ
- Certificate Serial
Number: Do CA cấp, là định
danh duy nhất
- Signature Algorithm
Identifier: Chỉ ra thuật toán
CA sử dụng để đăng ký chứng
chỉ
- Issuaer Name: Tên
của CA thực hiện chứng chỉ
này
- Period of validity:
Thời hạn của chứng chỉ:
- Not before: thời gian chứng chỉ bắt đầu có hiệu lực
- Not after: thời gian chứng chỉ hết hiệu lực
- Subject name: Xác định thực thể mà khoá công khai này được xác
nhận. Tên của subject phải là duy nhất đối với mỗi thực thể được CA
xác nhận
- Subject’s public key info: Chứa thuật toán công khai và các tham số
liên quan, khóa được sử dụng
- Issuer Unique Identifier: Là trường không bắt buộc, cho phép sử
dụng tên lại tên người cấp. Trường này thường không được sử dụng
trong thực tế

3
 - Subject Unique Identifier: Là trường tùy chọn cho phép sử dụng lại
khi tên subject quá hạn.
- Extensions: Là thành phần mở rộng, chỉ có trong chức chỉ X.509 v3
- Signature: gồm 3 phần:
o phần 1 chứa tất cả những trường còn lại
o phần 2 chứa bản tóm tắt của phần 1 được mã hoá bằng khoá
công khai của CA
o phần 3 gồm các thuật toán được sử dụng trong phần 2.
Câu 3. Trình bày các mô hình hoạt động và kiến trúc cơ bản hạ tầng khóa công
khai PKI?
● Kiến trúc cơ bản của hạ tầng khóa công khai PKI
- PKI là một hạ tầng gồm phần cứng, phần mềm, chính sách thủ tục
nhằm cung cấp:
o Chính sách về Security
o Các cơ chế mã hóa
o Các ứng dụng tạo, quản lý, lưu trữ khóa và chứng thư số
- Kiến trúc cơ bản hạ tầng PKI:

Các thành phần trong đó:

o Thực thể cuối EE (End Endtity – EE)
o Tổ chức quản lý chứng thư (Certificate Authority – CA)
o Tổ chức đăng ký chứng thư (Registration Authority – RA)
o Kho lưu trữ chứng thư (Certificate Repository – CR)
● Các mô hình hoạt động của PKI
- Đăng ký và phát hành chứng thư số:

4
 o User gửi thông tin bản thân tới RA để đăng ký. Thông tin này
có thể là họ tên, số chứng minh thư, email…
o RA ký yêu cầu được chấp thuận và gửi thông tin của User đến
CA
o CA tạo chứng thư trên khóa công khai, ký bằng khóa bí mật
của CA và cập nhật chứng thư trên cơ sở dữ liệu
o CA gửi chứng thư trở lại RA
o RA cấp chứng thư cho User
- Sử dụng và kiểm tra chứng chỉ số
o User tạo đơn hàng, ký vào đơn hàng bằng khóa riêng, gửi đơn
hàng đã ký và chứng chỉ số cho nhà cung cấp
o Nhà cung cấp chuyển chứng chỉ số của User cho RA để kiểm
tra, nếu chứng chỉ hợp lệ thì tiến hành xác thực chữ ký số người
dùng sử dụng khóa công khai của người dùng lấy từ chứng chỉ
số. Nếu chữ ký của người dùng xác thực thành công thì đơn
hàng được duyệt
Câu 4. Trình bày các phương pháp điều khiển truy cập?
● Điều khiển truy cập bắt buộc – (Mandatory Access Controll – MAC):
- Được thiết lập cố định ở mức hệ thống, người sử dụng (bao gồm cả người
tạo tài nguyên) không thay đổi được
- Khi mô hình điều khiển bắt buộc đã được thiết lập, nó có tác động tới tất
cả người dùng và tài nguyên trên hệ thống
- Hạn chế truy nhập dựa trên 2 yếu tố chính:
o Tính nhạy cảm của thông tin chưa tring đối tượng
o Sự trao quyền chính thức cho chủ thế truy nhập các thông tin nhạy
cảm này
● Điều khiển truy nhập tùy ý – (Discretionary Access Controll – DAC):
- Đây là mô hình phổ biến nhất, xuất hiện trong hầu hết các hệ điều hành
máy tính
- Người chủ sở hữu của tài nguyên thường là người tạo ra tài nguyên đó
hoặc người được gán quyền sở hữu, có toàn quyền điều khiển việc truy
xuất đến tài nguyên
- Quyền điều khiển truy xuất đến một tài nguyên có thể chuyển từ đối
tượng (user) này đến đối tượng (user) khác

5
 ● Điều khiển truy nhập dựa trên vai trò – RBAC (Role Based Access Controll
– RBAC):
- Quyền truy xuất được cấp dựa trên công việc của người dùng trong hệ
thống
- Linh động hơn mô hình điều khiển truy xuất bắt buộc, người quản trị hệ
thống có thể cấu hình lại quyền truy xuất cho từng nhóm chức năng hoặc
thay đổi thành viên trong các nhóm
- Thực hiện đơn giản hơn mô hình truy xuất tùy ý, không gần gán quyền
truy xuất trực tiếp cho người dùng
Câu 5. Trình bày khái niệm về tường lửa, phân loại và mô tả các loại tường lửa phổ
biến
● Khái niệm:
- Tường lửa là một trong kỹ thuật bảo vệ mạng máy tính chống lại sự
truy nhập trái phép từ các (mạng) máy tính khác. Tường lửa bao gồm
các cơ chế nhằm:
o Ngăn chặn truy nhập trái phép
o Cho phép truy nhập sau khi kiểm tra tính xác thực của thực
thể yêu cầu truy nhập
o Có thể phục vụ như một công cụ theo dõi các cuộc tấn công.
- Tường lửa có thể là thiết bị phần cứng hay mô đun phần mềm
● Phân loại: Dựa trên vị trí lớp giao thức mạng hoặc khả năng lưu trạng
thái của các kết nối mạng mà ta có nhiều loại tường lửa khác nhau
- Tường lửa lọc gói: thực hiện việc lọc gói tin IP, theo dó một tập hoặc 1
nhóm luật được áp dụng cho mỗi gói tin gửi / nhận có hợp pháp hay
không, loại bỏ bất kỳ gói tin nào không hợp lệ.
- Cổng ứng dụng: còn gọi là máy chủ proxy thường sử dụng để phát lại
lưu lượng mạng ở mức ứng dụng. Thường thực hiện lọc các yêu cầu /
phản hồi ở các giao thức HTTP, SMTP. FTP…
- Cổng chuyển mạch: hoạt động ở mức thấp nhất với cơ chế tương tự
như các bộ chuyển mạch
- Tường lửa trạng thái: đây là tường lửa theo dõi trạng thái của mọi
kết nối mạng đi qua các giao thức cho đến khi kết nối cụ thể bị đóng.
Nó giữ một bảng tất cả các giá trị tiêu đề giao thức khác nhau trong
khi các gói đi qua lại trong hệ thống
- Tường lửa không trạng thái: Thực hiện việc lọc các gói tin riêng rẽ mà
không quan tâm đến gói tin thuộc kết nối nào

6
Câu 6. Trình bày về nguyên lý của giao thức IPSec, cấu trúc dữ liệu và phương
thức hoạt động của AH và ESP?
● Internet Protocol Security (IPSec): là một bộ giao thức bảo mật mã việc
xác thực và mã hóa các gói dữ liệu được gửi qua mạng IP
● Nguyên lý hoạt động: IPSec có hai chế độ hoạt động
- Chế độ vận chuyển transport
o Khi hoạt động trong chế độ vận chuyển, máy chủ và máy đích phải
trực tiếp thực hiện tất cả cá thao tác mã hóa
o Dữ liệu được mã hóa được gửi qua một kết nối được tạo ra với
công nghệ L2TP
o Phương thức hoạt động này thiết lập tính an toàn từ đầu đến cuối
đường truyền
- Chế độ phân luồng tunnel
o Khi IPSec hoạt động ở chế độ phân luồng, các cổng đặc biệt phải
thực hiện quá trình xử lý mật mã ngoài các mày chủ và nguồn đích
o Ở đây, nhiều “đường hầm” được tạo ra theo hàng loại các cổng kết
nối gateway, thiết lập an ninh theo dạng gateway-to-gateway
● AH:
- Cấu trúc: Gồm 5 trường: Trường liên kết (Next Header Field), chiều dài
tải (Payload Length), chỉ số tham số bảo mật SPI (Security Parameter
Index), số tuần tự (Sepuence Number), dữ liệu xác thực (Authentication
Data)
- Xác thực tiêu đề trong hệ thống IPSec được chèn vào giữa tiêu đề IP và
nội dung, không làm thay đổi nội dung của gói dữ liệu

- Cung cấp tính xác thực và toàn vẹn của gói tin chuyển đi. Việc xác thực
được thực hiện thông qua các chức năng như là MAC (mã xác thực tin
nhắn).
● ESP:
- ESP có nhiệm vụ mã hóa dữ liệu, nên nội dung của gói sẽ bị thay đổi

7
 - ESP gồm các SPI để chỉ cho bên nhận biết cơ chế bảo mật thích hợp cho
việc xử lý gói tin. Số tuần tự trong ÉP là bộ đếm tăng mỗi khi gói tin
được gửi đến cùng một địa chỉ

Câu 7. Trình bày nguyên lý và mô hình hoạt động của giao thức SSL
● Nguyên lý hoạt động SSL
- SSL được thiết kế như một giao thức riêng cho vấn đề bảo mật và có thể
hỗ trợ cho rất nhiều ứng dụng
- Giao thức SSL hoạt động bên trên TCP/IP và bên dưới các giao thức ứng
dụng tầng cao hơn như là HTTP, IMAP và FPT
- SSL không phải là một giao thức đơn lẻ, mà là một tập hơp các thủ tục đã
được chuẩn hóa để thực hiện các nhiệm vụ sau:
o Xác thực Server:
▪ Cho phép người sử dụng xác thực được server muốn kến
nối.
▪ Phía trình duyệt sử dụng các kỹ thuật mã hóa công khai để
kiểm tra xemCertificate và public ID của phía server được
cung cấp bởi một CA tin cậy hay không
o Xác thực client:
▪ Cho phép Server xác thực được người sử dụng muốn kết
nối.
▪ Phía server cũng sử dụng các kỹ thuật mã hóa công khai để
kiểm tra xem Certificate và public id của người sử dụng có
được cập bởi một CA tin cậy hay không
o Mã kết nối:
▪ Tất cả thông tin trao đổi giữa client và server đều phải được
mã hóa trên đường truyền nhằm nâng cao khả năng bảo mật
● Mô hình hoạt động:

8
 Câu 8. Trình bày nguyên lý tấn công và phương pháp phòng chống DDoS
● Nguyên lý tấn công DDoS
- Là một loại tấn công DoS đặc biệt, liên quan đến việc gây ngập lụt các
máy nạn nhân với một lượng rất lớn các yêu cầu kết nối giả mạo
- Gây cạn kiệt tài nguyên hệ thống máy chủ mục tiêu và làm ngập lưu
lượng băng thông Internet, khiến truy cập từ người dùng tới máy chủ bị
ngắt quãng
- Số lượng máy tham gia tấn công DDoS là rất lớn, có thể tới hàng ngàn,
hoặc hàng trăm ngàn. Các máy tham gia tấn công DDoS có thể đế từ
nhiều vị trí địa lý khác nhau trên toàn cầu 🡪 Khó phòng chống
- Có 2 dạng tấn công DdoS:
o DDoS trực tiếp: Các yêu cầu giả mạo được các máy tấn công gửi
trực tiếp đến máy nạn nhân
▪ Kẻ tấn công chiềm quyền điều khiển hàng ngàn, hàng chục
ngàn máy tính trên mạng Internet và tạo thành Botnet hoặc
Zombie Network (không bị giới hạn bởi chúng loại hay tô
pô mạng vật lý)
▪ Kẻ tấn công giao tiếp với Botnet thông qua một mạng lưới
trung gian (Handler) gồm nhiều tầng. Phương thức giao tiếp
có thể là IRC, P2P, HTTP…
▪ Kẻ tấn công ra lệnh cho các Bot trong Botnet đồng loại gửi
yêu cầu giả mạo đến các máy nạn nhân tạo thành cuộc tấn
công DDoS

9
 ▪ Lượng yêu cầu giả mạo có thể rất lớn và đến từ nhiều nguồn,
vị trí địa lý khác nhau nên rất khó đối phó và truy vết để tìm
ra kẻ tấn công thật sự

o DDoS phản xạ: Các yêu cầu giả mạo được gửi trực tiếp đến các
máy chủ phản xạ (Reflector) và sau đó gián tiếp chuyển đến máy
nạn nhân
▪ Thay vì gửi yêu cầu trực tiếp đến máy nạn nhân, các
Slave/Bot gửi một lượng lớn các yêu cầu giả mạo với địa chỉ
nguồn là IP của máy nạn nhân đến các máy chủ Reflector
trên mạng Internet
▪ Các Reflector gửi các phản hòi dến máy nạn nhân do địa chỉ
máy nạn nhân là địa chỉ nguồn của yêu cầu giả mạo
▪ Càng nhiều Reflector thì số phản hồi sẽ càng lớn. Các
Reflector bị lợi dụng để tham gia tấn công thường là các
máy chủ có công suất lớn trên mạng Internet và không chịu
sự điều khiển của tin tặc

10
 ● Phương pháp phòng chống tấn công DDoS
- Nhìn chung, để phòng chống tấn công DDoS hiệu quả, cần kết hợp nhiều
biện pháp và sự phồi hợp của nhiều bên do tấn công DDoS có tính phân
tán cao và hệ thống mạng máy tính ma được hình thành và điều khiển
theo nhiều tầng, lớp. Một số biện pháp có thể được áp dụng:
o Sử dụng phần mềm diệt Virus và các phần mềm độc hại khác để
loại bỏ các bot, slave khỏi các hệ thống máy tính
o Sử dụng các hệ thống lọc đặt trên các Router, tường lửa của các
nhà cung cấp dịch vụ Internet để lọc các yêu cầu điều khiển gửi từ
kẻ tấn công đến các bot
o Sử dụng hệ thống giám sát phát hiện bất thường để phát hiện sớm
dấu hiệu của tấn công DDoS
o Sử dụng tường lửa để chặn tạm thời các cổng dịch vụ bị tấn công
Câu 9. Trình bày kỹ thuật chữ ký số đảm bảo thông tin trên đường truyền: Sơ đồ
ký, sơ đồ xác thực, chức năng của chữ ký số.
● Sơ đồ ký và xác thực:

11
● Các bước của quá trình tạo chữ ký số
- Tính toán chuỗi đại diện (message digest/ hash value) của thông điệp sử
dụng một giải thuật băm (Hashing algorithm)
- Chuỗi đại diện được ký sử dụng khóa riêng (Private key) của người gửi
và một giải thuật tạo chữ ký (Signature/Encryption algorithm). Kết quả là
chữ ký số (Digital Signature) của thông điệp hay còn gọi là chuỗi đại
diện được mã hóa (Encrypted Message Digest)
- Thông điệp ban đầu (Message) được ghép với chữ ký số (Digital
signature) tạo thành thông điệp đã được ký (Singed message)
- Thông điệp đã được ký (Signed Message) được gửi cho bên nhận
● Các bước của quá trình xác thực chữ ký số
- Tách chữ ký số và thông điệp gốc khỏi thông điệp đã ký để xử lý riêng
- Tính toán chuỗi đại diện MD1 (message digest) của thông điệp gốc sử
dụng giải thuật băm (là giải thuật sử dụng trong quá trình ký)
- Sử dụng khóa công khai (public key) của người gửi để giải mã chữ ký số
để khôi phục chuỗi đại diện thông điệp MD2.
- So sánh hai chuỗi MD1 và MD2
o Nếu MD1 = MD2: Chữ ký kiểm tra thành công, thông điệp đảm
bảo tính toàn vẹn và thực sự xuất phát từ người gửi
o Nếu MD1 # MD2: Chữ ký không hợp lê, thông điệp có thể bị sửa
đổi hoặc không thực sự xuất phát từ người gửi
● Chức năng chữ ký số:

12
 - Xác thực chữ ký: Chữ ký số không thể bị giả mạo trừ khi người ký mất
kiểm soát với khóa bí mật
- Xác thực thông báo: nhận dạng tài liệu đã ký với độ chính xác và chắc
chắn lớn hơn các chữ ký trên giấy.
- Tạo chứng cứ pháp lý: việc ký bằng khoá bí mật chứng tỏ răng họ đã
hoàn thành một giao dịch, chống chối bỏ.
- Tính hiêu quả: quá trình tạo và xác minh chữ ký số đảm bảo chữ ký là
của người ký. Quá trình tạo và xác minh chữ ký hoàn toàn tự động, tương
tác con người chỉ yêu cầu trong trường hợp ngoại lệ.
Câu 10. Trình bày ứng dụng của PKI
● Mã hóa
- Lợi ích đầu tiên của chứng chỉ số là tính bảo mật thông tin. Khi người gửi
đã mã hóa thông tin bằng khóa công khai của bạn, chắc chắn chỉ có bạn
mới giải mã dược thông tin để đọc.
- Đây là một tính năng rất quan trọng, giúp người sử dụng hoàn toàn tin
cậy về khả năng bảo mật thông tin. Những trao đổi thông tin cần bảo mật
cao, chẳng hạn giao dịch liên ngân hàng, ngân hàng điện tử, thanh toán
bằng thẻ tín dụng, đều cần phải có chứng chỉ số để đảm bảo an toàn.
● Chống giả mạo
- Khi bạn gửi đi một thông tin, có thể là một dữ liệu hoặc một Email, có sử
dụng chứng chỉ số, người nhận sẽ kiểm tra được thông tin của bạn có bị
thay đổi hay không. Bất kỳ một sự sửa đổi hay thay thế nội dung của
thông điệp gốc đều sẽ bị phát hiện​
- Địa chỉ mail, tên domain... đều có thể bị kẻ xấu làm giả để đánh lừa
người nhận lây lan virus, ăn cắp thông tin quan trọng. Tuy nhiên, chứng
chỉ số thì không thể làm giả, nên việc trao đổi thông tin có kèm chứng chỉ
số luôn đảm bảo an toàn
● Xác thực
- Khi sử dụng một chứng chỉ số, người nhận – có thể là đối tác kinh doanh,
tổ chức hoặc cơ quan chính quyền- sẽ xác định rõ được danh tính của
bạn. Có nghĩa là dù không nhìn thấy bạn, nhưng qua hệ thống chứng chỉ
số mà bạn và người nhận cùng sử dụng, người nhận sẽ biết chắc chắn đó
là bạn chứ không phải ai khác.
- Xác thực là một tính năng rất quan trọng trong việc giao dịch điện tử qua
mạng, cũng như các thủ tục hành chính với cơ quan với cơ quan pháp
quyền

13
 ● Chống chối bỏ nguồn gốc
- Khi sử dụng một chứng chỉ số, bạn phải chịu trách nhiệm hoàn toàn về
những thông tin mà chứng chỉ số đi kèm. Trong trường hợp người gửi
chối cãi, phủ nhận một thông tin nào đó không phải do mình gửi (chẳng
hạn qua mạng) chứng chỉ số mà người nhận có được sẽ là bằng chứng
khẳng định người gửi là tác giả của thông tin đó​
- Trong trường hợp chối bỏ, CA cung cấp chứng chỉ số cho hai bên sẽ chịu
trách nhiệm xác minh nguồn gốc thông tin, chứng tỏ nguồn gốc thông tin
được gửi​
● Chữ ký điện tử
- Email đóng vai trò khá quan trọng trong trao đổi thông tin hàng ngày của
chúng ta vì ưu điểm nhanh, rẻ và dễ sử dụng​
- Tuy nhiên, email rất dễ bị đọc bởi các Hacker. Những thông điệp có thể
bị đọc hay bị giả mạo trước khi đến người nhận.
- Bằng việc sử dụng chứng chỉ cá nhân, bạn sẽ ngăn ngừa được các nguy
cơ này mà vẫn không làm giảm những lợi thể của Email​
- Với chứng chỉ số cá nhân, bạn có thể tạo thêm một chữ ký điện tử vào
email như một bằng chứng xác nhận của mình. Chữ ký điện tử cũng có
tính năng xác thực thông tin, toàn vẹn dữ liệu và chống chối bỏ nguồn
gốc​
● Bảo mật website
- Khi website của bạn sử dụng cho mục đích thương mại điện tử hay cho
những mục đích quan trọng khác, những thông tin trao đổi giữa bạn và
khách hàng có thể bị lộ​
- Để tránh nguy cơ này, bạn có thể dùng chứng chỉ số SSL server để bảo
mật cho Website của mình. ​
- Chứng chỉ số SSL server sẽ cho phép bạn lập cấu hình website của mình
theo giao thức bảo mật SSL (Secure Sockets Layer).
Câu 11. Trình bày bảo mật cho mạng cục bộ
● Các nội dung của an toàn mạng
- Bảo mật: Chỉ người có thẩm quyền mới được truy cập mạng
- Toàn vẹn: Dữ liệu không bị sửa đổi bởi những người không có thẩm
quyền
- Truy nhập: Người có thẩm quyền thì có thể truy nhập dữ liệu
● Xác định các nguy cơ gây mất an toàn mạng

14
 - Khả năng không hoạt động: Phần cứng, phần mềm, virus tấn công, mất
dữ liệu…
- Truy cập trái phép: Truy nhập dữ liệu và thông tin không cho phép
● Điều khiển truy cập mạng
- Người dùng cần đăng nhập để sử dụng dịch vụ, ví dụ: Cơ sở dữ liệu, file,
Web, Máy in hay Mail Server
- Quản trị viên cần đăng nhập với mật khẩu đối với router hoặc switch
● Quản trị rủi ro
● Liệt kê danh mục tài nguyên mạng
● Security Policies
- Phân quyền truy cập theo chức năng
- Chính sách truy cập từ xa
- Xử lý sự cố
● Quy trình xử lý sự cố:
- Cần cài đặt một số công cụ để giám sát hành vi trên mạng
- Cần có hệ thống IDS, IPS
● Hệ thống phát hiện xâm nhập
- Giám sát các hành vi trên mạng và nhận diện hành vi
- Giám sát và phân tích hành động của người dùng và hệ thống
- Xác thực tính toàn vẹn của dữ liệu
- Phát hiện xâm nhập dựa trên chữ ký hoặc dấu hiệu bất thường
● Một số tấn công mạng phổ biến:
- IP Address spoofing
- MAC Address spoofing
- ARP cache poisoning
- DSN name corruption
● Tưởng lửa:
- Kiểm soát truy cập giữa hai mạng
- Chính sách: Chặn các luồng không mong muốn, điều hướng các luồng
vào tới các node an toàn, ẩn các node độc hại, ghi log
- Các loại tường lửa:
o Tường lửa lọc gói
o Tường lửa cổng ứng dụng
o Tường lửa cổng chuyển mạch
o Tường lửa trạng thái
o Tường lửa không trạng thái

15