Đề cương ôn tập môn an toàn mạng máy tính

Contents
Câu 1. Các câu lệnh sau được viết bởi Iptables:...................................................................................1
Câu 2: cho đoạn cấu hình firewall iptables như bên dưới....................................................................1
Câu 3: cho mô hình như sau..................................................................................................................2
câu 4: Hãy cho biết ưu điểm và nhược điểm của các công nghệ tạo đường hầm IPSEC, OpenVPN
trong VPN. Hãy giải thích vì sao VPN có thể chống lại các hình thức tấn công lặp lại thông qua cấu
trúc của AH và ESP. Cho đoạn cấu hình VPN giữa 2 router SAIGON và HANOI như bên dưới, hãy cho
biết cấu hình bên dưới nằm trong phase hoạt động nào của IPSEC VPN, với cấu hình này router
SAIGON và HANOI có thõa thuận các thông số bảo mật thành công hay không.................................3
Câu 5. Hãy cho biết mục đích của IKE trong IPsec VPN. Về việc xác thực thì IKE version 2 hơn IKE
version 1 ở đặc điểm nào. Hãy cho biết nguyên tắc chính của đặc điểm này trong đảm bảo xác thực
an toàn trong VPN session....................................................................................................................6
Câu 6. Hãy cho biết nội dung chính của IKE phase 1 và IKE phase 2. Hãy cho biết trong IKEv1 phase 1
dùng các mode nào để thực hiện, so sánh sự khác nhau giữa 2 mode này. Hãy cho biết trong IKEv1
phase 2 dùng mode nào để thực hiện, trong phase này nếu dùng thêm option PFS thì có tác dụng
gì?...........................................................................................................................................................7
Câu 7. Hãy vẽ hình và cho biết chức năng của các trường trong cấu trúc của AH header. Từ đó giải
thích vì sao VPN đóng gói theo AH có thể chống tấn công lập lại........................................................8
Câu 8. Hãy vẻ hình và cho biết chức năng của các trường trong cấu trúc của ESP header. Từ đó giải
thích vì sao VPN đóng gói theo ESP có thể chống tấn công lập lại.......................................................9
Câu 9. Trong main mode của IKEv1 phase 1, hãy giải thích và chức năng của các khái niệm sau: SA,
SPI, Cookie, Protocol ID........................................................................................................................10
Câu 10. Trong SSL handshake protocol, hãy cho biết ý nghĩa của các thông trong gói tin “Client
Response” được gửi từ client sang server trong quá trình thiết lập kết nối. Hãy giải thích khi gửi
public key, làm thế nào nó có thể đảm bảo rằng public key không bị giả mạo?................................10
Câu 11. Trong SSL handshake protocol, hãy cho biết ý nghĩa của các thông trong gói tin “Server
Hello” được gửi từ server sang client trong quá trình thiết lập kết nối. Hãy giải thích khi gửi public
key, làm thế nào nó có thể đảm bảo rằng public key không bị giả mạo?...........................................11
Câu 12. Hãy phân biệt các đặc điểm khác nhau giữa Stateful va Stateless Firewall, lấy ví dụ cụ thể.
.............................................................................................................................................................12
Câu 13. Hãy trình bày cấu trúc của 1 rule base của firewall checkpoint R80.30? Từ đó hãy cho biết
rõ vai trò của network object trong rule base? Hãy giải thích vì sao checkpoint được gọi là firewall
thế hệ mới trong xây dựng hạ tầng mạng an toàn. Hãy viết một rule base ví dụ về việc chặn
network 192.168.1.1 đến ứng dụng face-time của facebook, chú ý giải thích ý nghĩa của từng thông
tin.........................................................................................................................................................13
Câu 14. Hãy trình bày, giải thích và lấy ví dụ cụ thể cho tính năng Anti-Bot, Anti-virus, Anti-Spam
trên firewall checkpoint R80.30. Từ đó hãy giải thích vì sao checkpoint được gọi là firewall thế hệ
mới trong xây dựng hạ tầng mạng an toàn. Hãy viết ví dụ và giải thích về 1 rule base trên firewall
checkpoint thể hiện tính năng Anti-Bot, Anti-virus, Anti-Spam, chú ý giải thích các thông tin của rule
base......................................................................................................................................................15
Câu 15. Hãy trình bày, giải thích và lấy ví dụ cụ thể cho tính năng Identity Awareness trên firewall
checkpoint R80.30. Từ đó hãy giải thích vì sao checkpoint được gọi là firewall thế hệ mới trong xây
dựng hạ tầng mạng an toàn. Hãy viết ví dụ và giải thích về 1 rule base trên firewall checkpoint thể
hiện tính năng Identity Awareness, chú ý giải thích các thông tin của rule base...............................18
Câu 16. Cho 1 rule trên IDS snort như sau:.........................................................................................19
Câu 17. Biểu thức chính quy có tác dụng gì? Hãy cho một ví dụ cụ thể về biểu thức chính quy trong
network và IDS.....................................................................................................................................22

Câu 1. Các câu lệnh sau được viết bởi Iptables:

a. Bảng nào của IPtables được sử dụng trong các câu lệnh cấu hình ở trên.

NAT và Filter

b. Hãy giải thích ý nghĩa của từng lệnh.

- A POSTROUTING -o eth1 -j MASQUERADE: Thực hiện đổi địa chỉ nguồn trong
trường hợp đi ra từ eth1

-A INPUT -j DROP: drop toàn bộ gói tin vào

-A INPUT -s 192.168.1.10/32… : chặn ping từ ip 192.168.1.0 đến 192.168.2.10

c. Hãy viết thêm lệnh sao cho DROP toàn bộ gói tin SYN từ mọi IP vào firewall
khi số lượng gói tin SYN trên 100. IP của Firewall là 192.168.1.100.

iptables -A INPUT -p tcp --syn -m limit --limit 100/sec --limit-burst 100 -j

ACCEPT
Câu 2: cho đoạn cấu hình firewall iptables như bên dưới
iptables -A INPUT -p tcp --tcp-flags ALL FIN,PSH,URG –j DROP

iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG –j DROP

iptables -A INPUT -p tcp --tcp-flags ALL ALL –j DROP

Hãy cho biết đoạn cấu hình trên có tác dụng gì? Anh/Chị hãy giải thích ý nghĩa
của các thành phần trong câu lệnh trên.

- Đoạn code trên có tác dụng dùng Iptables chặn quét cổng bằng NMAP,
phòng chống hành vi scan port, và các câu lệnh đó là thực hiện chặn XMAS
scan:
o Câu lệnh 1: các gói tin đi vào firewall có giao thức TCP có bật cờ FIN, PSH,
URG - các cờ còn lại tắt thì sẽ bị DROP.
o Câu lệnh 2: các gói tin đi vào firewall có giao thức TCP có bật cờ SYN, RST,
ACK, FIN, URG - các cờ còn lại tắt thì sẽ bị DROP
o Câu lệnh 3: các gói tin đi vào firewall là gói tin XMAS sẽ bị DROP

Câu 3: cho mô hình như sau

VPN site to site được cấu hình giữa sg và hn các router là thiết bị cisco
a. hãy cho biết các tổ hợp mật mã cipher suite được dùng ở đây là gì

- Hashing: MD5

- Authentication: pre-share keys

- DH group 2

- Encrytion: des

b. những lệnh nào thuộc phase 1 trong vpn session

- Các bước cấu hình trên router SAIGON tương ứng với VPN phase 1: Ở bước
này, thực hiện tạo đường hầm, khởi tạo kết nối và quy định các thông số bảo
mật của ISAKMP SA gồm:

o Phương pháp chứng thực

o Thuật toán hash

o Thuật toán mã hóa

o Số nhóm khóa Diffie hellman (version)

SAIGON(config)#crypto isakmp policy 10

SAIGON(config-isakmp)#hash md5 // thuật toán hash

SAIGON(config-isakmp)#encryption des // thuật toán mã hoá

SAIGON(config-isakmp)#group 2 // số nhóm (version) Diffie- Hellman

SAIGON(config-isakmp)#authentication pre-share // Phương thức chứng thực

SAIGON(config)#crypto isakmp key 0 ngocdai address 192.168.3.10 / Xác định

thông tin key và peer

câu 4: Hãy cho biết ưu điểm và nhược điểm của các công nghệ tạo đường
hầm IPSEC, OpenVPN trong VPN. Hãy giải thích vì sao VPN có thể chống
lại các hình thức tấn công lặp lại thông qua cấu trúc của AH và ESP. Cho
đoạn cấu hình VPN giữa 2 router SAIGON và HANOI như bên dưới, hãy
cho biết cấu hình bên dưới nằm trong phase hoạt động nào của IPSEC VPN,
với cấu hình này router SAIGON và HANOI có thõa thuận các thông số bảo
mật thành công hay không.

 Ưu, nhược điểm của các công nghệ tạo đường hầm IPSEC và OPENVPN.
1. IPSEC
- Ưu điểm
- Khi IPSec được triển khai bên tường lửa hoặc bộ định tuyến của
một mạng riêng, thì tính năng an toàn của IPSec có thể áp dụng
cho toàn bộ vào ra mạng riêng đó mà các thành phần không cần
phải xử lý thêm các công việc liên quan đến bảo mật.
- IPSec có thể được thực hiện bên dưới lớp TCP và UDP, đồng thời
nó hoạt động trong suốt đối với các lớp này. Do vậy không cần
phải thay đổi phần mềm hay câu hình lại cách dịch vụ khi IPSec
được triển khai.
- IPSec có thể được cấu hình để hoạt động một cách trong suốt
đối với các ứng dụng đầu cuối, điều này giúp che giấu những chi
tiết cấu hình phức tạp mà người dùng phải thực hiện khi kết nối
đến mạng nội bộ từ xa thông qua mạng Internet.
- Nhược điểm
- Chỉ hỗ trợ TCP/IP mà không hỗ trợ các giao thức khác như IPX
hay Appletalk.
- Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do
phải thêm vào các tiêu đề khác nhau, và diều này làm cho thông
 lượng hiệu dụng của mạng giảm xuống. vấn đề này có thể được
khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kỹ
thuật như vậy vẫn còn đang nghiên cứu và chưa được chuẩn
hóa.
- IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng ip,
không hỗ trợ các dạng lưu lượng khác.
- Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là
một ván đề khó đói với các trạm làm việc và máy PC năng lực
yếu.
- Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị
hạn chế đối với chính phủ một số quốc gia.
2. OPENVPN
- Ưu điểm
- Là phần mềm mã nguồn mở: có tính minh bạch, bất cứ ai
cũng có thể kiểm tra mã cho các cửa hậu ẩn hoặc lỗ hổng có
thể làm tổn hại đến bảo mật VPN của người dùng.
- Bảo vệ người làm việc bên ngoài bằng tường lửa nội bộ.
- Các kết nối OpenVPN có thể đi qua được hầu hết mọi tường
lửa và proxy. OpenVPN có hỗ trợ ủy quyền đầy đủ bao gồm
xác thực.
- Hỗ trợ UDP và TCP: OpenVPN có thể được cấu hình để chạy
dịch vụ TCP hoặc UDP trên máy chủ hoặc client. Là một máy
chủ, OpenVPN chỉ đơn giản là chờ đợi cho đến khi một user
yêu cầu kết nối, kết nối này được thiết lập theo cấu hình của
khách hang.
- Chỉ cần một cổng tường lửa được mở là cho phép nhiều kết
nối vào: Kể từ phần mềm OpenVPN 2.0, máy chủ đặc biệt
này cho phéo nhiều kết nối vào trên cùng một cổng TCP
hoặc UDP, đồng thời vẫn sử dụng các cấu hình khác nhau
cho mội một kết nối.
- Không có vấn đề gì với NAT: Cả máy chủ và máy khác
OpenVPN có thể nằm trong cùng một mạng và sử dụng các
địa chỉ IP riêng. Mỗi tường lửa có thể được dung để gửi lưu
lượng tới điểm cuối đường hầm.
- Giao diện ảo chấp nhận các quy tắc về tường lửa: Tất cả các
quy tắc, các cơ chế chuyển tiếp, và NAT có thể dung chung
đường hầm OpenVPN
- Độ linh hoạt cao: OpenVPN cung cấp nhiều điểm trong quá
trình thiết lập kết nối để bắt đầu các kịch bản riêng. Những
 kịch bản có thể được sử dụng cho một loạt các mục đích từ
xác thực, chuyển đổi dự phòng và nhiều hơn nữa.
- Hỗ trợ khả năng hoạt đông cao, trong suốt cho IP động: Hai
đầu đường hầm có thể sử dụng IP động và ít bị thay đổi.
Nếu bị đổi, cả phiển làm việc của Windows Terminal Server
và SSH có thể chỉ bị ngưng lại trong vài giây và sẽ tiếp tục
hoạt động bình thường.
- Cài đặt đơn giản trên bất kì hệ thống nào
- Nhược điểm

- Không có giao diện đồ họa làm việc nào dành cho việc quản
trị => cần thêm phần mềm thứ 3.
- Phiên bản di động cần cải thiện
- Còn ít người biết cách sử dụng OpenVPN
- OpenVPN không được định nghĩa bởi bất ký RFC nào.
- Không tương thích với IPSEC
- Triển khai phức tạp: mất nhiều thao tác cấu hình phức tạp
do tính chất tùy biến cao.
 VPN có thể chống lại hình thức tấn công lặp lại DOS vì:
- Một gói tin được gửi trong VPN thì gói tin không còn hợp lệ khi gửi
tiếp lần 2 trong phiên làm việc đó. Và VPN chỉ tạo một phiên kết nối chỉ
có 1 lần trong 86400 giây còn Dos thực hiện phiên kết nối liên tục giống
nhau nên VPN có thể chống lại hình thức tấn công Dos.
- Trong IPSEC, cả ESP và AH dùng số tuần tự để bất cứ gói tin nào
được capture lại trong lần gửi lại sau đó sẽ dùng số không tuần tự. Dùng
số được sắp xếp theo thứ tự để chắc chắn rằng kẻ tấn công không thể
dùng lại hay gửi lại dữ liệu đã được capture để thiết lập phiên làm việc
hoặc thu thập thông tin bất hợp pháp.
 Cho đoạn cấu hình VPN giữa 2 router SAIGON và HANOI như bên dưới,
hãy cho biết cấu hình bên dưới nằm trong phase hoạt động nào của
IPSEC VPN, với cấu hình này router SAIGON và HANOI có thõa thuận
các thông số bảo mật thành công hay không.
- Phase 1
Câu 5. Hãy cho biết mục đích của IKE trong IPsec VPN. Về việc xác thực
thì IKE version 2 hơn IKE version 1 ở đặc điểm nào. Hãy cho biết nguyên
tắc chính của đặc điểm này trong đảm bảo xác thực an toàn trong VPN
session.
 Mục đích IKE
- IKE dùng để tạo tunnel (ISAKMP tunnel).
- ISAKMP tunnel hỗ trợ bảo mật cho IPSec tunnel.
- Cho phép IPsec peer trao đổi khóa và thương lượng SA tự động.
- Cho phép IPsec peer tự động xóa SA sau timelife.
- Là Hybrid giữa Oakley, SKEME và ISAKPM.
- IKE không chứng thực và mã hóa.
- UDP, port 500. đổi khóa mã hóa và tải trọng liên kết bảo mật.
 IKE v1 và v2
IKEv1 đã được giới thiệu khoảng năm 1998 và được IKEv2 thay thế vào
năm 2005. Có một vài sự khác biệt giữa 02 phiên bản này:
- IKEv2 yêu cầu ít băng thông hơn là IKEv1.
- IKEv2 hỗ trợ chứng thực EAP (bên cạnh Pre-shared keys và Digital
certificates).
- IKEv2 được hỗ trợ tích hợp (build-in support) cho NAT đi qua (bắt buộc
khi IPsec peer đứng sau NAT Router).
- IKEv2 được tích hợp cơ chế lưu trữ (keepalive mechanism) cho tunnel.
 Nguyên tắc
thiết lập các thuộc tính bảo mật của IPSec Security Associations (SAs)
như encryption key, thuật toán mã hóa và mode hoạt động của IPSec
peer. Internet Key Exchange cho phép các IPSec peer trao đổi động các
khóa và thương lượng IPSec Security Associations (SAs). Sử dụng
Internet Key Exchange (IKE), IPSec Security Associations (SAs) có thể
được thiết lập động và loại bỏ sau một khoảng thời gian đã thỏa
thuận.

Câu 6. Hãy cho biết nội dung chính của IKE phase 1 và IKE phase 2. Hãy
cho biết trong IKEv1 phase 1 dùng các mode nào để thực hiện, so sánh sự
khác nhau giữa 2 mode này. Hãy cho biết trong IKEv1 phase 2 dùng mode
nào để thực hiện, trong phase này nếu dùng thêm option PFS thì có tác
dụng gì?
 Nội dung chính của IKE phase 1 và IKE phase 2
Phase 1 (IKE SA Negotiation) và Phase 2 (IPSec SA Negotiation).
- IKEv1 Phase 1 đàm phán SA là để bảo vệ IKE. Nghĩa là, Phase 1 được sử
dụng để thương lượng các tham số và key cần thiết để thành lập Security
 Association (SA) giữa 2 IPSec peer. Security Associations (SAs) được đàm
phán trong Phase 1 sau đó được sử dụng để bảo vệ thông tin liên lạc IKE
trong tương lai.
- IKEv1 Phase 2 SA thương lượng là để bảo vệ IPSec (lưu lượng truyền
thực của người dùng). Sau khi IKE Phase 2 được hoàn thành, sẽ có một
tunnel IKE Phase 2 được dùng để bảo vệ dữ liệu của người dùng. Nghĩa là
dữ liệu của người dùng sẽ được gửi thông qua tunnel IKE Phase 2 này.
 Cho biết trong IKEv1 phase 1 thực hiện mode nào. so sánh 2 mode này
Main Mode Aggressive mode
có 3 cặp thông điệp (tổng số 6 3 messgae:
thông điệp) - 1,2: thông số bảo mật
- 3: Xác thực
6 messgae:
- 2: thông số bảo mật
- 2: DH
- 2: chứng thực
An toàn hơn Tốc độ hơn

 IKEv1 Phase 2 (Quick Mode) chỉ có 3 thông điệp. PFS là một tùy chọn và
nó buộc các thiết bị chạy lại thuật toán trao đổi DH lần nữa để tạo ra
Shared Key mới trong mỗi IKE Phase 2 Quick Mode. Nói cách khác là nếu
Perfect Forward Secrecy (PFS) được bật, new shared key sẽ được tạo để
sử dụng. Diffie-Hellman Key generation được thực hiện lại bằng cách sử
dụng các Nonces mới được trao đổi giữa các peer
Câu 7. Hãy vẽ hình và cho biết chức năng của các trường trong cấu trúc
của AH header. Từ đó giải thích vì sao VPN đóng gói theo AH có thể chống
tấn công lập lại.

- Next Header: Xác định loại giao thức của payload trong gói tin gốc ban đầu khi
đóng gói, đây là cách mà các IPsec header được liên kết với nhau. Ở ví dụ này là
ICMP.

- Length: đây là chiều dài của trường AH Header. nếu là IPv6 thì trừ đi các
Extension Header (theo RFC 1883).

- Reserved: Trường này được dành riêng để sử dụng trong tương lai và phải
bằng 0.

- SPI ( Security Parameter Index): đây là 32-bit định danh để người nhận biết
gói tin này đang thuộc về luồng nào. Bên cạnh đó, mỗi kết nối VPN được bảo vệ
bằng AH bao gồm một thuật toán băm (MD5, SHA-1...), dữ liệu bí mật và một
loạt các tham số khác. Và SPI có thể được coi như một chỉ mục các thông số
bảo mật được cài đặt, cấu hình cho kết nối VPN.

- Sequence: Đây là số thứ tự tuần tự tăng dần được dùng để đánh cho dữ liệu
khi dữ liệu được truyền trong phiên kết nối VPN. Nếu dữ liệu truyền trong
phiên kết nối VPN có số SN bị trùng thì sẽ không được truyền trong phiên kết
nối VPN. Mục tiêu là để chống tấn công theo hình thức lặp lại. Giá trị SN này
được nằm trong các dữ liệu được xác thực, do đó các sửa đổi sẽ được phát
hiện.
- Authentication Data: Đây là giá trị dùng để kiểm tra tính toàn vẹn được tính
trên toàn bộ gói tin (bao gồm hầu hết các header). Người nhận sẽ tính toán lại,
nếu cùng một hàm băm thì dữ liệu được chấp nhận.

Chú ý ICV (Integrity Check Value): đây là hàm băm được tính toán cho toàn bộ
gói tin. Bên nhận cũng sẽ tính toán hàm băm, khi nó không giống nhau thì dữ
liệu truyền giữa 2 peer không được đảm bảo tính toàn vẹn.
 Do có sequence: tăng dần được dùng để đánh cho dữ liệu khi dữ liệu
được truyền trong phiên kết nối VPN. Nếu dữ liệu truyền trong phiên
kết nối VPN có số SN bị trùng thì sẽ không được truyền trong phiên
kết nối VPN. Mục tiêu là để chống tấn công theo hình thức lặp lại. Giá
trị SN này được nằm trong các dữ liệu được xác thực, do đó các sửa
đổi sẽ được phát hiện

Câu 8. Hãy vẻ hình và cho biết chức năng của các trường trong cấu trúc của
ESP header. Từ đó giải thích vì sao VPN đóng gói theo ESP có thể chống tấn
công lập lại.

ESP header

Như AH header

Encrypted Payload: do ESP hỗ trợ xác thực + mã hóa nên có thêm trường mã
hóa

Padding: phần thêm vào để chẵn 32 bit

 + Pad len: chiều dài padding

+ next header: xác định payload lớp trên là gì..

 Do có sequence: tăng dần được dùng để đánh cho dữ liệu khi dữ liệu
được truyền trong phiên kết nối VPN. Nếu dữ liệu truyền trong phiên
kết nối VPN có số SN bị trùng thì sẽ không được truyền trong phiên
kết nối VPN. Mục tiêu là để chống tấn công theo hình thức lặp lại. Giá
trị SN này được nằm trong các dữ liệu được xác thực, do đó các sửa
đổi sẽ được phát hiện

Câu 9. Trong main mode của IKEv1 phase 1, hãy giải thích và chức năng của
các khái niệm sau: SA, SPI, Cookie, Protocol ID.
SA: SA là tập hợp các thông số bảo mật , SA payload được sử dụng để chỉ định
rằng trao đổi ISAKMP cụ thể này là để thương lượng IPSec

SPI: Tập hợp các thông số khởi tạo gọi là SPI (Security Parameter Index). SPI
(Security Parameter Index) là một giá trị duy nhất để xác định SA.

Cookie:giá trị cookie sẽ được đưa vào SA, Initiator và Responder phải tính toán
một giá trị, được gọi là cookie. Giá trị cookie được sử dụng để bảo vệ IPSec
peer chống lại các cuộc tấn công DoS và Re-Play

Protocol id: Chỉ định mã định danh giao thức

Câu 10. Trong SSL handshake protocol, hãy cho biết ý nghĩa của các thông
trong gói tin “Client Response” được gửi từ client sang server trong quá
trình thiết lập kết nối. Hãy giải thích khi gửi public key, làm thế nào nó có
thể đảm bảo rằng public key không bị giả mạo?
Sau khi client nhận được response của server ở Bước 2, trước tiên client sẽ xác
thực server certificate. Nếu certificate không được cấp bởi một tổ chức đáng
tin cậy hoặc nếu certificate domain name và real domain name không giống
nhau hoặc nếu certificate đã hết hạn, thì client sẽ hiển thị một cảnh báo bằng
cách dùng SSL alert protocol, trong đó có thể đưa ra lựa chọn có tiếp tục giao
tiếp hay không. Nếu không có vấn đề gì với certificate, client sẽ trích xuất public
key của server từ certificate.

Sau đó, client sẽ gửi các mục thông tin sau đến server:
(1) Client Certificate. Tương ứng với gói số (6) trong bước 2 thì client sẽ gửi
identity certificate của nó cho server. Chú ý là trong certificate này có chứa
public key của client.

(2) ClientKeyExchange(16, 0x10): Trong ClientKeyExchange có chứa

pre_master secret. Pre-master key này được client tạo từ số ngẫu nhiên, được
mã hóa bằng public key của server. khi server nhận được sẽ giải mã bằng
private key tương ứng. Bây giờ cả client và server sẽ sử dụng pre_master secret
cùng với 2 con số ngẫu nhiên đã phát sinh trước đó để tạo ra master key và sau
đó từ master key sẽ tạo ra session key dùng để mã hóa dữ liệu được truyền
trong Session đang được thực hiện kết nối.

(3) Certificate verify (15, 0x0F): Gói tin này chứa chuỗi hash được tính cho tất
cả các message đã trao đổi giữa client và server cho đến lúc này và được mã
hóa bằng private key của client. Bên Server sẽ sử dụng public key tương ứng
(chứa trong certificate của client) để giải mã gói tin. Việc giải mã thành công sẽ
giúp server chứng thực được client.

(4) ChangeCipherSpec được dùng bởi SSL change cipher spec protocol,
ChangeCipherSpec được gửi cho server để cho biết kể từ lúc này, tất cả các gói
tin trao đổi giữa client và server đều sẽ được mã hóa bằng các thuật toán và
key đã thương lượng trước đó.

(5) ClientFinishMessage: Client gửi đến server để cho biết client đã hoàn tất
việc thiết lập tunnel. Giai đoạn handshake của client đã được kết thúc.

- Không bị giả mạo là vì có kết hợp digital certificate. Input public key của
server vào server certificate, server sẽ gửi certificate đến client. Miễn là
certificate đáng tin cậy, thì public key có thể được tin cậy.

Câu 11. Trong SSL handshake protocol, hãy cho biết ý nghĩa của các thông
trong gói tin “Server Hello” được gửi từ server sang client trong quá trình
thiết lập kết nối. Hãy giải thích khi gửi public key, làm thế nào nó có thể
đảm bảo rằng public key không bị giả mạo?
Sau khi nhận được client request, server sẽ gửi response đến client bằng server
hello với mục đích là server đồng ý khởi tạo kết nối. Bước này bao gồm các
thông tin sau:
(1) Xác nhận version của giao thức SSL đang được sử dụng, ví dụ: phiên bản TLS
1.0. Nếu phiên bản được hỗ trợ bởi trình duyệt và server không giống nhau, thì
máy chủ sẽ đóng giao tiếp.

(2) Một số ngẫu nhiên do server tạo, góp phần trong tạo session key.

(3) Xác nhận bộ mật mã - cipher suite mà cả client và server cùng hỗ trợ và đảm
bảo là mạnh và mới nhất

(4) Server certificate (11, 0x0B) để cho client xác thực server.

(5) Server Key Exhange (12, 0x0C) dùng để gửi public key của server cho client.
Chú ý là public key của server được nằm trong Server certificate.

(6) Client Certificate Request (13, 0x0D). Do SSL handshake protocol hỗ trợ xác
thực hai chiều giữa client và server nên Client Certificate Request được server
dùng để yêu cầu client gửi thông tin xác thực đến server.

(7) ServerHelloDone (14, 0x0E): Đây là gói cuối cùng trong Bước 2, server gửi
đến client để cho biết tất cả thông tin của server đều đã được gửi hết.

Sau khi các gói tin ClientHello và ServerHello được trao đổi thì client và server
đã thương lượng xong các thuật toán encryption, hash và authentication sẽ sử
dụng.

- Không bị giả mạo là vì có kết hợp digital certificate. Input public key của
server vào server certificate, server sẽ gửi certificate đến client. Miễn là
certificate đáng tin cậy, thì public key có thể được tin cậy.

Câu 12. Hãy phân biệt các đặc điểm khác nhau giữa Stateful va Stateless
Firewall, lấy ví dụ cụ thể.
- Các đặc điểm của Stateless firewall

+ Khả năng lọc gói có cả ở Stateful firewall và Stateless firewall nhưng về độ sâu
và rộng thì Stateless firewall không bằng Stateful firewall. Đặc biệt là khả năng
lọc ở tầng Application.

+ Tường lửa Stateless firewall chặn hoặc cho phép các gói dựa trên địa chỉ
nguồn là chính.

+ Dùng bộ quy tắc đơn giản, không xem tổng thể mối liên hệ giữa các gói tin
trong một luồng dữ liệu. Điều này có thể khiến hệ thống mạng dễ bị tấn công
bởi các cuộc tấn công có sự lan rộng trên nhiều gói.
+ Hoạt động nhanh hơn vì chỉ kiểm tra phần tiêu đề của một gói tin.

+ Sử dụng ít tài nguyên hơn.

+ Ví dụ như: ACL trên router Cisco, Juniper SRX, policy trên các router khác…

- Các đặc điểm của Stateful firewall

+ Khả năng lọc gói tin sâu và rộng dựa trên sự theo dõi tình trạng kết nối và
bảng trạng thái được tạo. Bảng trạng thái giữ thông tin hữu ích liên quan đến
giám sát hiệu suất thông qua một Gateway Security.

Ví dụ 1: Có thể kiểm soát userID…

Ví dụ 2: Theo dõi các trạng thái trong bắt tay 3 bước của TCP, trong một RCP
session mới nếu nhận được flag RST sẽ lưu trạng thái và deny TCP session này
trừ khi firewall được cấu hình permit.

+ Kiểm tra phân tích của một gói dữ liệu nguồn và địa chỉ đích, cổng nguồn và
đích, giao thức và nội dung.

+ Có các Stateful Inspection cụ thể cho từng trường hợp xử lý các gói tin.

+ Cấu hình các tính năng nâng cao: IPsec, SSL, mã hóa, giải mã gói tin, IPS, data
loss prevention, smart console.

+ Ví dụ:

Câu 13. Hãy trình bày cấu trúc của 1 rule base của firewall checkpoint
R80.30? Từ đó hãy cho biết rõ vai trò của network object trong rule base?
Hãy giải thích vì sao checkpoint được gọi là firewall thế hệ mới trong xây
dựng hạ tầng mạng an toàn. Hãy viết một rule base ví dụ về việc chặn
network 192.168.1.1 đến ứng dụng face-time của facebook, chú ý giải thích
ý nghĩa của từng thông tin.
 Trình bày cấu trúc của 1 rule base của firewall checkpoint R80.30
- Cơ sở quy tắc tường lửa xác định chất lượng của kiểm soát truy
cập và hiệu suất mạng. Các quy tắc được thiết kế chính xác đảm
bảo rằng một mạng:
- Chỉ cho phép các kết nối được ủy quyền và ngăn ngừa các lỗ hổng
trong mạng
- Cung cấp cho người dùng được ủy quyền quyền truy cập vào các
mạng nội bộ chính xác
- Tối ưu hóa hiệu suất mạng và kiểm tra hiệu quả các kết nối
 - Cấu trúc:
Cột Mô tả

No. Số thứ tự của rule trong lớp rule base

Hits Số lượng kết nối phù hợp với quy tắc này.

Name Tên mà quản trị hệ thống đưa ra quy tắc này.

Source Đối tượng mạng nguồn bắt đầu kết nối.

Destination Đối tượng mạng đích hoàn thành kết nối.

VPN Định nghĩa VPN về lưu lượng được phép hoặc bị chặn giữa các
trang web VPN.

Service and dịch vụ mạng được phép hoặc bị chặn.

Applications

Action Tường lửa hành động được thực hiện khi lưu lượng phù hợp với
quy tắc.

Track Theo dõi hành động và ghi nhật ký được thực hiện khi lưu lượng
truy cập phù hợp với quy tắc.

Install On Các đối tượng mạng sẽ nhận (các) quy tắc của chính sách bảo
mật. Tùy chọn Mục tiêu chính sách sẽ cài đặt (các) quy tắc trên
tất cả các Cổng bảo mật.

Một rule viết cho 1 lần có thể dùng rule trên nhiều gateway

Time Khoảng thời gian mà Tường lửa thực thi quy tắc này.

Comment Một trường tùy chọn cho phép bạn tóm tắt quy tắc.

 Firewall checkpoint được gọi là Firewall thế hệ mới vì: có cơ sở dữ liệu

lớn, quản lý dựa trên nền tảng cloud. Có thêm nhiệm vụ ngoài cho phép,
chặn, log thì có phân tích, IDS, cơ sở dữ liệu phát hiện xâm nhập, ảo hóa,
… giúp mạng trở nên an toàn hơn.
- Tích hợp tất cả các tính năng của Firewall cũ đồng thời thêm những tính
năng của Firewall mới so với sự phát triển của mạng ngày nay.
- Một số firewall thế hệ mới:
 Cisco: ASAv, NGIPS,…
Palo Alto
Checkpoint
 Ví dụ rulebase: Với UserA có địa chỉ IP: 192.168.1.1
No Name Sourc Destinatio VP Services Actio Trac
. e n N and n k
Applicatio
n

1 Drop IP UserA Any Any Facebook Drop Log

192.168.1. Facetime
1 connect
to
Facebook
Facetime

Câu 14. Hãy trình bày, giải thích và lấy ví dụ cụ thể cho tính năng Anti-Bot,
Anti-virus, Anti-Spam trên firewall checkpoint R80.30. Từ đó hãy giải thích
vì sao checkpoint được gọi là firewall thế hệ mới trong xây dựng hạ tầng
mạng an toàn. Hãy viết ví dụ và giải thích về 1 rule base trên firewall
checkpoint thể hiện tính năng Anti-Bot, Anti-virus, Anti-Spam, chú ý giải
thích các thông tin của rule base.
 Anti-Bot:
Phần mềm Anti-Bot Blade phát hiện và ngăn chặn các mối đe dọa bot và
botnet. Nó sử dụng các quy tắc sau:

- Xác định địa chỉ kiểm soát các bot

- Xác định các giao tiếp được sử dụng bởi mỗi dạng botnet
- Xác định hành vi bot thông qua các lệnh cho bot như spam hoặc
DOS.
o Một bot là phần mềm độc hại có thể lây nhiễm máy tính của bạn.
Có nhiều phương pháp lây nhiễm, ví dụ:
- Mở tệp đính kèm khai thác lỗ hổng

- Truy cập trang web dẫn đến tải xuống độc hại
 o Một bot thường có thể tạo ra nhiều mối đe dọa. Bots thường được
sử dụng như một phần của các mối đe dọa liên tục nâng cao (APT)
nơi tội phạm mạng cố gắng gây thiệt hại cho các cá nhân hoặc tổ
chức. Botnet là một tập hợp các máy tính bị xâm nhập và bị nhiễm.
o Sau khi phát hiện ra các máy bị nhiễm bot, thì anti-bot sẽ chặn kết
nối bên ngoài đến các trang web kiểm soát bot dựa trên Rule Base.
o Ví dụ: Sau khi thực hiện cài đặt và cập nhập cấu hình tính năng
antibot trên Checkpoint, người dùng trên mạng LAN thực hiện truy
cập vào threatWiki.checkpoint.com và chọn test Anti-Bot. Lúc này,
Checkpoint sẽ tiến hành block trang lại ngay.
- Anti-Virus: Phần mềm Anti-Virus Blade kiểm tra các kết nối với Internet và
quét các lần chuyển và tải tệp xuống mạng nội bộ để tìm và ngăn chặn các
cuộc tấn công phần mềm độc hại. Nó cũng cung cấp bảo vệ tiền lây nhiễm
từ phần mềm độc hại bên ngoài và máy chủ độc hại.
o Có thể xác định phền mềm chứa virus bằng ThreatSpect và ThreatCloud.
o Việc ngăn chặn các phần mềm độc hai được thực hiện theo thời gian
thực. Các tệp được phân loại trên gateway và kết quả được gửi lên Threat
Could để so sánh với các tệp độc hại đã biết. Nếu như trùng khớp thì sẽ bị
ngăn chặn.
o Ngăn chặn tải xuống phần mềm độc hại bằng cách ngăn chặn truy cập
các trang web kết nối với phần mềm độc hại. Cụ thể, Các URL truy cập được
kiểm tra bởi các cơ chế lưu trữ của gateway hoặc được gửi lên ThreatCloud
để xác định xem chúng có được phép hay không. Nếu không được phép, thì
sẽ dừng kết nối để tránh thiệt hại
o Ví dụ: Sau khi thực hiện cài đặt và cập nhập cấu hình tính năng antivirus
trên Checkpoint, người dùng trên mạng LAN thực hiện truy cập vào
eicar.org và tải xuống một file eicar bất kỳ. Lúc này, Checkpoint sẽ tiến hành
block trang Download lại ngay.
- Anti-Spam: Phần mềm chống thư rác và cung cấp cho quản trị viên hệ
thống một công cụ dễ dàng để loại bỏ hầu hết các thư rác đến mạng của
họ.
o Checkpoint Anti-Spam đảm nhiệm vai trò phòng chống anti-spam bằng
cách phân tích các mẫu đã biết và đang phổ biến. Trích xuất từ tiều đề và
nội dung. Các đặc điểm được gửi đến Dection Center để phân tích ở bất kỳ
ngôn ngữ, định dạng hoặc mã hóa nào. Nếu phát hiện được spam thì địa chỉ
tạo thư rác sẽ được đưa vào blacklisted cho đến khi thay đổi hành vi.
o Ví dụ: Sau khi thực hiện cài đặt và cập nhập cấu hình tính năng antispam
trên Checkpoint, người dùng trên mạng LAN thực hiện truy cập vào mail và
gửi một mail quảng cáo bất kỳ đến một người dùng khác. Người dùng khác
 sau khi vào mail kiểm tra tin nhắn sẽ không nhận được thì mail quảng cáo
đã bị loại bỏ.
 Rule ví dụ
o Antibot và antivirus : chặn tải về tất cả các file có các đuôi .txt, .psk,.. và
các bot trên các website
N Name Protect Protecti Action Trac Insta
o ed on k ll
. Scope On

1 AntiBot Any - N/A Security- Log All

and For-
AntiVir Compa
us ny

Security-For-Company : profile đã bật tính năng Anti Virus và Anti Bot và

cấu hình đầy đủ là 2 mục
Trong đó:
No. : số thứ tự của rule base
Name: tên của rule base mà quản trị viên đã đặt
Protected Scope: Các đối tượng được bảo vệ chống lại bot và virus. Lưu
lượng đến và từ các đối tượng này được kiểm tra ngay cả khi các đối tượng
không mở kết nối.
Protection: Đối với quy tắc, giá trị cho trường này luôn là N / A. Các biện
pháp bảo vệ được đặt theo cấu hình trong trường Action. Đối với trường
hợp ngoại lệ, đặt trường này thành một hoặc nhiều biện pháp bảo vệ được
chỉ định.
Action: Đối với quy tắc, giá trị cho trường này là Anti-Bot và Anti-Virus
profile. Đối với trường hợp ngoại lệ, đặt trường này thành Detect (phát
hiện) hoặc Prevent (Ngăn chặn).
Track: Theo dõi hành động và ghi nhật ký được thực hiện khi lưu lượng truy
cập phù hợp với quy tắc.
Install On: Các đối tượng mạng có được quy tắc này. Cài đặt mặc định là All
và cài đặt chính sách trên tất cả Cổng bảo mật có bật Anti-Bot và Anti-Virus.
o Anti Spam : chặn thư rác dựa trên danh sách đã xác định
Feature Setting Description

Block List Anti-Spam Block Xác định thư rác dựa

trên tên miền hoặc
 địa chỉ IP mà bạn
xác định

Trong đó:
Feature: đặc tính / thuộc tính
Setting: trạng thái : block/off/high protection
Description: mô tả feature

Câu 15. Hãy trình bày, giải thích và lấy ví dụ cụ thể cho tính năng Identity
Awareness trên firewall checkpoint R80.30. Từ đó hãy giải thích vì sao
checkpoint được gọi là firewall thế hệ mới trong xây dựng hạ tầng mạng an
toàn. Hãy viết ví dụ và giải thích về 1 rule base trên firewall checkpoint thể
hiện tính năng Identity Awareness, chú ý giải thích các thông tin của rule
base.
- Identity awareness (Kết nối Activity Directory): The Identity Awareness
Software Blade cho phép định cấu hình tường lửa để thực thi kiểm soát
truy cập cho từng người dùng và nhóm. Có thể sử dụng nguồn nhận dạng
để nhận thông tin về người dùng và nhóm để tạo tính linh hoạt và bảo mật
bổ sung cho cơ sở quy tắc. Identity awareness cho phép tạo các quy tắc
dành cho người dùng được chỉ định cho các cơ sở quy tắc này:
o Tường lửa
o Kiểm soát ứng dụng và lọc URL
o DLP
o Anti Bot
- The Identity Awareness Software Blade cho phép tùy chỉnh tường lửa cho
người dùng bất kể họ đang sử dụng máy tính nào. Sử dụng kiểm soát truy
cập cho các đối tượng trong một quy tắc và Identity awareness xác định
người dùng phù hợp với quy tắc. Cũng có thể kích hoạt hành động chấp
nhận để chuyển hướng lưu lượng truy cập từ một người dùng không xác
định đến cổng thông tin Captive
- Identity Awareness trên firewall checkpoint giúp kiểm soát các kết nối dựa
trên danh tính của người dùng. Áp dụng cho việc xây dựng các rule cho
người dùng hoặc nhóm người dùng.
- Ví dụ: Sau khi Checkpoint thực hiện kết nối AD vào domain anhthu.com, lúc
này, các user/group trên domain đã được đồng bộ vào Checkpoint.
Checkpoint lúc này có quyền kiểm soát truy cập đối với từng người dùng
hoặc nhóm người dùng trên domain anhthu.com. Như cấm userA truy cập
Facebook.
- Rule ví dụ: Cho phép CEO - J, truy cập tất cả các tài nguyên mạng. Giám đốc
điều hành được xác định bằng Truy vấn AD Identity Awareness hoặc CEO
xác thực với cổng thông tin Captive.
No Nam Sourc Destinatio Service Action
. e e n and
Applicatio
n

1 CEO J Any Any Accep

allo t
w Displa
y
Captiv
e
Portal

o Trong đó:
 No. : số thứ tự của rule base
 Name: tên của rule base
 Source: địa chỉ nguồn - ở đây J là user trong cơ sở dữ liệu nhóm người dùng
của AD.
 Destination: địa chỉ đích
 Service and Application: dịch vụ được sử dụng
 Action: hành động Accept / Drop . Với Display Captive Portal: xác thực user
ra Internet

Câu 16. Cho 1 rule trên IDS snort như sau:

alert icmp any any -> $HOME_NET any (msg:"-->snort1!"; dsize:>20000;

gid:1000001; sid:1000001;rev:1;)

drop icmp any any -> $HOME_NET any (msg:"-->snort!"; dsize:>20000;

gid:1000002; sid:1000002;rev:1;)

alert tcp any any -> $HOME_NET any (msg:"-->Phat hien 1! "; flags: S;gid:
2000001;sid:2000001;)
alert tcp any any -> $HOME_NET any (msg:"-->Phat hien 2!"; flags:
F;gid:2000002; sid:2000002;)

alert tcp any any -> $HOME_NET any (msg:" -->Phat hien 3!"; flags:
0;gid:2000003; sid:2000003;)

Hãy giải thích đoạn cấu hình trên có tác dụng gì? Hãy giải thích ý nghĩa của các
thành phần trong câu lệnh trên. Từ đó Anh/Chị hãy so sánh các điểm khác
biệt cơ bản giữa HIDS và NIDS.

 Đoạn code dưới đây có tác dụng:

alert icmp any any -> $HOME_NET any (msg:"-->snort1!"; dsize:>20000;

gid:1000001; sid:1000001;rev:1;)

drop icmp any any -> $HOME_NET any (msg:"-->snort!"; dsize:>20000;

gid:1000002; sid:1000002;rev:1;)

 Là những rules thông báo phát hiện và ngăn chặn gói tin ping ICMP (ping
of death)
 Rule đầu tiên: Cảnh bảo “--> snort1!” khi có gói icmp request có kích
thước lớn hơn 20000. Gửi từ ip bất kỳ với port bất kỳ đến bất kỳ ip trong
mạng với port bất kỳ.
 Rule thứ hai: Chặn gói tin icmp request có kích thước lớn hơn 20000 và
gửi thông báo “--> snort!”. Gửi từ ip bất kỳ với port bất kỳ đến bất kỳ ip
trong mạng với port bất kỳ.
 Trong đó:
o alert: gửi cảnh báo
o drop: chặn
o icmp: gói tin sử dụng giao thức ICMP
o -> chỉ ra hướng quan tâm cho lưu lượng.
o any any -> $HOME_NET any: địa chỉ IP nguồn – cổng nguồn –
hướng quan tâm lưu lượng – địa chỉ IP đích (ở đây là $Home_Net)
– cổng đích.

- Tùy chọn rule:

o msg:”-->snort1!” : thông báo snort1!

o dsize:>20000 : kiểm tra kích thước tải trọng của gói theo một giá
trị ( ở đây là > 20000)
o gid:1000001 : trình tạo id
o sid:1000001 : chữ ký id
o rev:1: xác định duy nhất các sửa đổi của quy tắc Snort
 - Đoạn code dưới đây có tác dụng:

alert tcp any any -> $HOME_NET any (msg:"-->Phat hien 1! "; flags: S;gid:
2000001;sid:2000001;)

alert tcp any any -> $HOME_NET any (msg:"-->Phat hien 2!"; flags:
F;gid:2000002; sid:2000002;)

alert tcp any any -> $HOME_NET any (msg:" -->Phat hien 3!"; flags:
0;gid:2000003; sid:2000003;)

 Là những rules thông báo phát hiện tấn công NMAP

 Rule đầu tiên: Cảnh báo “-->Phat hien 1!” khi có gói tin tcp bật cờ syn.
Gửi từ ip bất kỳ với port bất kỳ đến bất kỳ ip trong mạng với port bất kỳ.
 Rule thứ hai: Cảnh báo “-->Phat hien 2!” khi có gói tin tcp bật cờ FIN. Gửi
từ ip bất kỳ với port bất kỳ đến bất kỳ ip trong mạng với port bất kỳ.
 Rule thứ ba: Cảnh báo “-->Phat hien 3!” khi có gói tin tcp NONE . Gửi từ
ip bất kỳ với port bất kỳ đến bất kỳ ip trong mạng với port bất kỳ
 Trong đó:
o alert: gửi cảnh báo
o tcp: gói tin sử dụng giao thức TCP
o -> chỉ ra hướng quan tâm cho lưu lượng.
o any any -> $HOME_NET any: địa chỉ IP nguồn – cổng nguồn –
hướng quan tâm lưu lượng – địa chỉ IP đích (ở đây là $Home_Net)
– cổng đích.

- Tùy chọn rule:

o msg:”-->Phat hien 1!” : thông báo đến Phát hiện 1

o msg:”-->Phat hien 2!” : thông báo đến Phát hiện 2
o msg:”-->Phat hien 3!”: thông báo đến Phát hiện 3
o flags: S : cờ SYN
o gid: 2000001 : trình tạo id
o sid:2000001: chữ ký id
o flags: F : cờ FIN
o gid: 2000002 : trình tạo id
o sid: 2000002: chữ ký id
o flags: 0: cờ NULL
o gid: 2000003 : trình tạo id
o sid: 2000003: chữ ký id

 So sánh sự khác nhau giữa HIDS và NIDS

- HIDS (Host): kế bên server

- NIDS (Network):Biên mạng(LAN-WAN)

Câu 17. Biểu thức chính quy có tác dụng gì? Hãy cho một ví dụ cụ thể về
biểu thức chính quy trong network và IDS.
- Tác dụng: có thể thực hiện viết 1 rule nhằm phân tích các log để lấy thông tin
từ các chuỗi đã chuẩn hóa,từ đó thu được thông tin ngắn gọn nhưng quan
trọng từ các event

- Ví dụ

Ví dụ về 1 log và rule để parser nó tương ứng như sau:

• alert any any any → any any (msg:"OpenSSH Accepted

Password";content:"Accepted password for ";pcre:"Accepted\s+password\
s+for\s+(\S+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\
d+)";setparm:username=1;setparm:src_ip=2;setparm:src_port=3;sid:31;rev:1;
)

• Nov 7 11:27:03 hiep sshd[34259]: Accepted password for root from

172.0.12.20 port 59547 ssh2