Professional Documents
Culture Documents
ôn tập
ôn tập
(RSA, ECC, Diffie-Hellman), mã hóa đoạn văn bản, cùng lắm là xử lý đến hàm
băm
Học kỹ nguyên tắc tạo các khóa của giao thức trao đổi khóa RSA, ECC,
Diffie-Hellman
Nếu như có câu hỏi về mật mã thì không có câu hỏi về mô tả thuật toán (tự nhớ
thuật toán, tự nhớ cách tính)
Khái niệm
Mô hình
Các nguyên tắc
Các phương pháp đảm bảo ATTT (CIA, IAAA)
1 câu như này khoảng 8 ý (viết như nào cho đầy đủ)
Ví dụ: khái niệm ATTT, hiểm họa, rủi ro, điểm yếu, lỗ hổng, tam giác CIA (cần
giải thích các tính chất là như thế nào: tính bí mật; sẵn sàng: người dùng hợp lệ
khi yêu cầu sẽ được phục vụ, người dùng đã được định danh, xác thực; toàn
vẹn: không bị chỉnh sửa xóa, phá hủy)
Tấn công gì, nằm ở tầng nào, phân tích tấn công đó
Tầng ứng dụng -> tường lửa tầng ứng dụng, kết hợp IDS/IPS, SIEM
Thế nào được gọi là 1 tấn công mạng, tấn công có chủ đích; gây ảnh hưởng đến
cái gì (tính bí mật, toàn vẹn, sẵn sàng)
Mô tả về 1 tấn công nào đó (cần có mô hình, giải thích mô hình, vẽ mô hình thể
hiện tấn công đó như thế nào)
Ví dụ tấn công khuếch đại: gửi 1 cái open lên public, sau đó gửi về victim; cách
thức formart từ attacker xử lý như nào sau đó đến các giao thức rồi mới đến
victim
Có những tấn công mạng dùng mã độc nhưng cũng có những tấn công không
Ví dụ DDoS dùng botent -> dùng malware để biến máy zombie thành 1 hệ
thống, còn DDoS khác thì không cần
Mã độc: định nghĩa, phân loại, lấy ví dụ, các phương pháp phòng chống
Mô hình IAAA
Khi người dùng vào bên trong của hệ thống sẽ bị ghi lại tất cả các hành động từ
khi bước vào đến khi ra khỏi hệ thống (account)
Định danh, xác thực là gì; bằng cách nào; các mô hình
Cấp quyền: mô hình DAC, MAC, RBAC; ngoài ra ABAC, RBAC (rule base: áp
dụng cho firewall, IDS/IPS)
Đảm bảo ATTT bằng mật mã (~ mật mã ứng dụng): đảm bảo tính bí mật; tính
toàn vẹn (mã hóa, hàm băm, ký số, các giao thức trao đổi khóa, giao thức an
toàn mạng)
Ví dụ: có 1 hệ thống, có dữ liệu -> bảo vệ dữ liệu là chính (làm theo vòng đời
của dữ liệu, các cách thức bảo vệ trong vòng đời dữ liệu; bao gồm 3 tính chất;
truy xuất cần tính sẵn sàng; sinh ra, chia sẻ -> mã hóa; kiểm tra tính toàn vẹn:
hàm băm)
Bài tập: các mô hình xác thực, các mô hình kiểm soát truy cập
Không có câu liên quan đến pháp luật ATTT, quản lý ATTT (7 chương, 43 điều)
Nguyên lý về xây dựng hệ thống ATTT, các tính chất an toàn của 1 hệ thống
1 hệ thống CNTT như thế nào được gọi là an toàn (nó đảm bảo những tính chất
gì: toàn vẹn, xác thực, sẵn sàng, kiểm soát truy cập, chống chối bỏ: có những
tính chất dùng mật mã nhưng có những tính chất không)
Ví dụ: tại sao thêm 1 luật mới vào firewall lại xóa luật cũ (có thể trùng lặp,
nguyên tắc đầu tiên: nguyên lý ngầm định đảm bảo hoạt động)
Mục đích tường lửa để kiểm soát truy cập nhưng mặc định ban đầu của nó là
ngăn chặn, cấm tất cả các truy cập, dùng firewall để chia đôi hệ thống mạng (hệ
thống bên trong, hệ thống Internet bên ngoài) -> dùng để cô lập hệ thống mạng,
nên khi muốn thêm 1 luật mới vào cần cấp quyền cho cái luật đó => cần tắt cái
mặc định đi để có thể áp dụng được luật mới thêm vào vì mặc định của tường
lửa là để ngăn chặn
Thêm 1 luật mới vào sẽ gây ra xung đột với những luật đã có => bỏ luật mặc
định đi
Mã độc: đánh giá dựa trên định tính (dựa trên cảm nhận, có nguy hiểm hay
không, gây ra những tấn công gì, lỗ hổng nào, thường các loại mã độc sử dụng
khai thác lỗ hổng vào hệ thống: DDoS, leo thang đặc quyền, RCE – từ cấp thấp
đến cấp cao); định lượng (dựa vào con số, CVSS)
Một số giải pháp đảm bảo ATTT: VPN, firewall, IDPS, giám sát, antivirus
Thế nào được gọi là ATTT, an ninh thông tin là gì (xem trong luật ATTT, luật an
ninh mạng, viết theo luật phải đúng từng câu từng chữ)
Những khái niệm cần biết: thông tin, lỗi, lỗ hổng, hiểm họa, rủi ro, bí mật, toàn
vẹn, sẵn sàng, chống chối bỏ, kiểm soát truy cập
1. Mọi thứ đều tham chiếu vào tam giác ATTT (CIA)
C: mật mã (encrypt, decrypt) tính bí mật: người có thẩm quyền (2 người thì chỉ
có 2 người biết, group thì chỉ có group biết) -> tất cả các thuật toán mật mã (mã
dòng, mã khối, công khai, bí mật)
I: mật mã (encrypt, decrypt) tính toàn vẹn: -> hàm băm và các tính chất của hàm
băm (quan trọng nhất là tính kháng tiền ảnh)
A: đã có mật mã thì tính sẵn sàng sẽ bị giảm đi; tính sẵn sàng -> các giải pháp
không sử dụng mật mã
Encrypt => biến đổi sang hẳn 1 dạng khác => nhắc đến key (secrect key (hệ mật
KBM); hệ mật KCK – 2 cặp (1 public key, 1 secrect key))
2. Lược đồ IAAA
I: định danh: username, phone, email, v.v (đều phải đánh giá); khi định danh
xong (tạo xong tài khoản) thì sẽ được lưu ở CSDL (server)
A: xác thực (authen): kiểm tra tính hợp lệ (tính đúng, sai) của định danh để cấp
quyền truy cập hoặc từ chối truy cập (cho phép hoặc loại bỏ)
Để xác thực được yêu cầu nhân tố xác thực (biết -> pass, có, thuộc về
người dùng)
Pass: sơ đồ xác thực bằng mật khẩu, 5 sơ đồ (bản rõ, hash, hash + salt,
mật khẩu 1 lần (lamport - băm n lần), Digest Authentication)
Pass: yêu cầu mật khẩu mạnh (8 ký tự trở lên, chữ hoa, thường, số, ký tự
đặc biệt, v.v) => tăng kích thước của không gian mẫu (giảm tấn công brute
force, tấn công từ điển)
A: cấp quyền (author): sau khi đã xác thực xong rồi => cấp quyền nói đến thao
tác đối với hệ thống (chỉnh sửa, xóa, v.v)
DAC: chủ sở hữu có thể tạo ra 1 đối tượng sau đó gán và thu hồi
quyền cho đối tượng đó (ACM – access control matrix)
MAC: nhãn an toàn (security label) => not read up, not write down
RBAC: group => hệ thống phân ra thành các group, các user với
các đặc quyền khác nhau
A: kế toán (account) => giám sát, cân bằng tải, v.v (~ liên quan đến A trong
CIA)
Pass (các sơ đồ xác thực bằng mật khẩu)
Mô hình
Giải thích
Không sử dụng giao thức an toàn, dữ liệu truyền bản rõ -> tấn công chặn bắt
(bản rõ, hash, hash + salt)
Bản rõ
Truyền dữ liệu ở bản rõ -> không đảm bảo an toàn trên đường truyền
Dữ liệu lưu trên server cũng là bản rõ -> không đảm bảo an toàn dữ liệu
Tính toàn vẹn -> không biết được (lúc nhập sai là bị từ chối luôn)
Tính sẵng sàng -> dữ liệu đưa vào dạng rõ và lưu ở dạng rõ nên việc so khớp rất
nhanh và truy cập rất nhanh => tính sẵn sàng cao nhất
Mô hình có rất nhiều điểm yếu nhưng đạt được tính sẵn sàng cao
Điều kiện: lưu những gì
Lộ thông tin trên đường truyền -> đường truyền không an toàn -> dữ liệu
có thể bị thay đổi trên đường truyền, attacker có thể lấy thông tin để dùng
lại -> ảnh hưởng tính riêng tư của người dùng
Trong CSDL -> bị tấn công: bị lộ; không bị tấn công: có khả năng bị lộ ở
DBA
Hash
Băm ở server
Chấp nhận truy cập (hoặc xác thực thành công hay không thành công)
Cơ sở quyết định Alice gửi username có, có tồn tại Alice ở trong CSDL của
server và ở ô hình thoi
Có tính C-I nhưng A giảm nhưng vẫn còn (do so khớp mã hash)
Nếu hàm băm yếu có thể bị tấn công từ điển (2 đầu ra giống nhau thì 2 đầu vào
cũng giống nhau – tính chất của hàm băm 1:1)
Lưu trong CSDL thì DBA chỉ nhìn được hash nên đã an toàn hơn
Tương đối an toàn, bỏ qua vấn đề đường truyền => tăng tính an toàn sử dụng
hàm băm khó hơn
2 người có mật khẩu giống nhau thì giá trị băm giống nhau (trùng mật khẩu, nếu
bị tấn công thì người còn lại cũng bị tấn công) => thêm salt
Hash + salt
Dù 2 người có pass giống nhau nhưng khi thêm salt thì mã băm khác nhau
Tính bí C-I tăng, nhưng A giảm đi
Điểm yếu: có thể bị tấn công từ điển (bảng băm mật khẩu nhiều lần: băm 1 lần,
2 lần, n lần sau đó so sánh)
Vét cạn số n
Digest Authentication
=> từ việc đánh giá các mô hình => xác thực đa nhân tố
(vân tay, mật khẩu không được gọi là xác thực đa nhân tố)
Đầu tiên ấn vấn tay, sau đó hiện mật khẩu -> ấn mật khẩu, sau đó mới hiện ổ
khóa cơ -> dùng khóa để mở => từng bước chứ không phải từng cách
Càng nhiều cách thức thì càng yếu nhưng không phải xác thực đa nhân tố, mà
phải tổng hợp và kết hợp lại
Khi đánh giá tính bí mật cần nhớ tính bí mật có các cấp độ chứ không phải có 1
cấp độ
Ví dụ:
Có thông tin -> được bọc lớp đầu tiên là lớp mã hóa -> sau lớp mã hóa được
đưa vào trong 1 usb security -> sau đó chuyển đi
Cấp độ bí mật đầu tiên với vật mang thông tin -> đánh rơi usb nhưng người ta
không có khả năng mở usb -> thông tin vẫn được gọi là mật => đảm bảo bí mật
với mức độ ở vật mang thông tin
Mức biểu diễn thông tin -> mở được usb ra nhưng không đọc được thông tin ->
thông tin vẫn được gọi là mật
Mức sau -> đọc được thông tin -> ảnh hưởng đến tính bí mật, nội dung của
thông tin
Thông tin có thời gian sống -> khi đọc được thông tin thì thông tin hết hạn,
được phép công bố -> thông tin vẫn còn tính bí mật
Protocol, method, SQLi – server, XSS – client, server lưu session, client lưu
cookie
Kiểm soát truy cập ( => tránh việc lạm quyền)
Khái niệm
A: cấp quyền (author): sau khi đã xác thực xong rồi => cấp quyền nói đến thao
tác đối với hệ thống (chỉnh sửa, xóa, v.v)
DAC (tùy quyền): chủ sở hữu có thể tạo ra 1 đối tượng sau đó gán và thu
hồi quyền cho đối tượng đó (ACM – access control matrix)
ACM: subject, object (S là tập con của O), chủ thể là chủ thể của 1 đối
tượng này nhưng chủ thể đó cũng là đối tượng của 1 chủ thể khác
Ví dụ: (mô tả) người dùng trong Windows khi tạo 1 file thì có thể cấp
quyền cho file, thư mục đó
MAC (bắt buộc): nhãn an toàn (security label) => not read up, not write
down
o Trình bày tại sao tính chất * trong mô hình MAC lại là bắt buộc,
lấy ví dụ minh họa
o Security label: chủ thể và đối tượng phải có nhãn an toàn
o Tính trội nhãn: not read up, not write down
TS (ví dụ: audit log)
S (lấy ví dụ và giải thích tại sao nó ở lớp S)
C (ví dụ)
UC: chưa phân loại (ví dụ: telephone)
RBAC (dựa trên vai trò): group => hệ thống phân ra thành các group, các
user với các đặc quyền khác nhau
o RBAC là gì
o Lấy ví dụ trong Windows (Linux) có vai trò gì. Ví dụ chmod 777
(read, write, execute cho owner, author); ví dụ: admin có quyền gì,
khách có quyền gì, user A ở trong nhóm đó có quyền gì
10 nguyên lý
Khái niệm hàm băm, giải thích các tính chất của hàm băm. Nêu tên 2 hàm băm,
kích thước đầu ra của mỗi hàm băm đó. Ứng dụng trong thực tế
Khái niệm hàm băm: hàm toán học 1 chiều để biến đổi 1 đầu vào bất kỳ
thành 1 đầu ra cố định
Giải thích 3 tính chất (nêu công thức):
o Kháng tiền ảnh thứ 1
o Kháng tiền ảnh thứ 2
o Kháng va chạm
Tên 2 hàm băm và kích thước đầu ra của mỗi hàm băm đó (MD5 – 128
bit, SHA1 – 160 bit)
Ứng dụng hàm băm:
o sử dụng trong sơ đồ xác thực bằng mật khẩu thông qua hàm băm
(vẽ sơ đồ xác thực bằng mật khẩu có sử dụng hàm băm, phân tích
sơ đồ đó)
o kiểm tra tính toàn vẹn của phần mềm (phải nói kiểm tra như thế
nào): mỗi phần mềm có 1 mã băm và mã băm đó thường được lưu
kèm với phần mềm, so sánh với mã băm đó với mã băm của nhà
cung cấp cho để xem có trojan không
o chữ ký số (xác thực, chống chối bỏ, toàn vẹn) (kiểm tra tính toàn
vẹn của văn bản): kiểm tra xem ai ký, thông điệp của người ký đó
không bị thay đổi
Mật mã khóa công khai, lấy ví dụ: chỉ sử dụng để mã thông điệp ngắn
(ví dụ SMS), mã hóa KBM của hệ mật KBM, dùng để truyền KBM
Ví dụ: truyền file văn bản dùng DES, AES
Mật mã khóa đối xứng: mã dữ liệu
Nguyên tắc sử dụng khóa riêng, khóa công khai trong mã hóa và ký số
o Mã hóa sử dụng hệ mật KCK
Trình bày mô hình tạo và kiểm tra ký số
o 2 sơ đồ chữ ký số
o Mô tả 1 sơ đồ (ký số, kiểm tra) và giải thích các ký hiệu, 3 tính
(toàn vẹn, xác thực, chống chối bỏ)
Giải thích tại sao khi chữ ký số lên thông điệp kiểm tra là hợp lệ thì có
thể kết luận thông điệp đó được đảm bảo tính xác thực về nguồn gốc
o Ký số đảm bảo 2 tính chất chính (xác thực, chống chối bỏ)
Tính xác thực (chứa thông tin bí mật của người ký, ai là
người ký)
Tính chống chối bỏ
Tính toàn vẹn (hàm băm)
Trình bày mô hình tạo và kiểm tra chữ ký số có sử dụng hàm băm và cho
biết vai trò của hàm băm trong mô hình này
o Mô tả về tính chất của hàm băm (tính chất nào sử dụng trong mô
hình này)
Kháng va chạm => kiểm tra được tính toàn vẹn của thông
điệp
o Kiểm tra chữ ký số:
Toàn vẹn
Xác thực
Chống chối bỏ
Câu 1: Giải thích khái niệm mật mã KCK. Trình bày quy tắc sử dụng khóa riêng
và KCK trong mã hóa và chữ ký số. Trình bày mô hình tạo và kiểm tra chữ ký
số (tạo, kiểm tra). Giải thích tại sao khi chữ ký số lên thông điệp được kiểm tra
là hợp lệ thì có thể kết luận thông điệp được đảm bảo tính xác thực về nguồn
gốc
Câu 2: Giải thích khái niệm mật mã KCK. Trình bày quy tắc sử dụng khóa riêng
và KCK trong mã hóa và chữ ký số. Trình bày mô hình tạo và kiểm tra chữ ký
số có sử dụng hàm băm (tạo, kiểm tra). Cho biết vai trò của hàm băm trong mô
hình này
CHỮA
Hệ mật KCK gồm 2 cặp khóa (gửi và nhận, mỗi bên phải có 1 bộ)
Mật mã KCK trong mã hóa:
o Yêu cầu bên gửi và bên nhận có 1 cặp khóa
o KCK để mã hóa
Yêu cầu với KCK
Đánh giá 1 số hiểm họa khi bị giả mạo KCK (dùng KCK với
2 vai trò => thông tin sẽ bị giải mã) => cần CA để xác thực
o Người nhận dùng KBM để giải mã
Mật mã KBM: vấn đề trong việc truyền khóa
Chữ ký số: chữ ký số gồm những gì, những yếu tố nào, vẽ mô hình tạo và
kiểm tra sau đó giải thích
o Tính xác thực chính là tính chống chối bỏ
o Dùng KCK để kiểm tra chữ ký => không chối bỏ được
o Thông điệp là không thể thay đổi nên mã băm là giống nhau
o Chữ ký số gắn với văn bản đó vì cần dùng hàm băm để kiểm tra
văn bản có tính toàn vẹn không, sau đó bỏ giá trị hash đi để kiểm
tra tính xác thực hay không
o Tính toàn vẹn không còn thì không cần kiểm tra tính xác thực, vì
văn bản đã bị thay đổi
o Mục đích của ký số là thông tin phải đảm bảo tính toàn vẹn là có
thể kiểm tra được
o Chữ ký số đảm bảo 3 tính chất
Toàn vẹn
Xác thực
Chống chối bỏ
Hàm băm => kiểm tra tính toàn vẹn của toàn bộ văn bản
Chữ ký số bằng RSA:
Thường kết hợp với câu bài tập (thuật toán RSA)
B có KBM s, p
Giả sử
1 kiểm tra tính toàn vẹn (so sánh 2 bản tóm lược với nhau) => nếu bản tóm lược
bị thay đổi thì không cần kiểm tra chữ ký
2 kiểm tra tính xác thực (dựa trên việc mã hóa chữ ký số bằng KBM)
Chữa bài nguyên tắc đặc quyền tối thiểu
Lấy ví dụ cần phải phân tích: nó nằm trong hệ thống nào, gồm những đối tượng
nào tham gia, sau đó lấy ví dụ quyền hạn cho từng vai trò, trong 1 tác vụ thì như
thế nào đấy. Ví dụ: người bán có nhiệm vụ gì, người mua như thế nào, vận
chuyển như thế nào
Ví dụ của kiểm soát truy cập gồm những gì: DAC, MAC, RBAC
Định nghĩa
o Software: chương trình máy tính
o Code: mã độc hại
C-I-A (nếu không nhớ được 2 định nghĩa trên)
Phân loại (giải thích từng cái 1 và lấy ví dụ => không bắt buộc)
o Không cần vật chủ: tự sống được, không nhất thiết phải bám vào
cái gì
Worm: ransomware, wannacry (lây qua USB)
Tấn công đòi tiền chuộc
Zombie (nói trong tấn công mạng): lây vào trong hệ thống
để biến máy tính có kết nối Internet thành zombie (botnet =>
DDoS)
Tấn công DDoS
o Cần vật chủ
Virus (không nhất thiết phải viết kỹ về virus)
Định nghĩa
Phân loại
o Đa hình
o Siêu hình
Vòng đời: 4 giai đoạn
o Trú ẩn
o Lây lan
o Kích hoạt
o Thực thi
Logic bomb: phát tán vào 1 thời điểm nhất định (giờ nhất
định được cài đặt trước) => mã độc hẹn giờ
Trojan: phần mềm hợp pháp (gán nó vào 1 phần mềm hợp
pháp, khi cài nó thì cài cả 2)
MD5/SHA1 (kiểm tra tính toàn vẹn của phần mềm
hợp pháp)
Khi gán phần mềm độc hại vào thì lại sinh ra
MD5/SHA1 mới
Backdoor: RAT (mở cổng 3389, hoặc 1 cổng bất kỳ) dịch vụ
RDP phải bật => mở cửa hậu để kẻ tấn công tương tác với
máy của người dùng
Exploit
Mục đích của mã độc (=> làm hại đến tính bí mật, sẵn sàng, toàn vẹn)
o Mã hóa dữ liệu đòi tiền chuộc (ransomware, wannacry)
o Hiển thị các quảng cáo
o Gian lận, lừa đảo
o Theo dõi hoạt động, thu thập dữ liệu, nghe lén, lấy cắp thông tin
của người dùng (keylogger, sniffer)
o Chiếm quyền điều khiển máy tính
o Phá hoại hệ thống…
Con đường lây nhiễm (cần viết kỹ)
o USB => quét USB
o Email (tệp đính kèm) => lọc
o Website => antivirus, không truy cập vào các đường link lạ
Adware
Spyware
o Phần mềm lậu (nhiễm mã độc từ phần mềm của nhà sản xuất) =>
download phần mềm từ trang chủ
o Mạng nội bộ: 1 máy tính bị nhiễm sau đó lây lan ra toàn bộ hệ
thống (LAN) => antivirus
o Cài trực tiếp (cho người khác mượn máy => cần cài keylogger để
giám sát các hoạt động) => phân quyền
o Dịch vụ hội thoại trực tuyến (chat): gửi các đường dẫn độc hại
thông qua các khung giao tiếp => ăn cắp cookie máy của người
dùng
o Mạng xã hội: thông qua các đường link độc hại được chia sẻ công
khai (gửi thông qua facebook, X)
Cách ngăn chặn
o Quét hệ thống thường xuyên
o Quét USB (quét bằng virustotal)
Quét đơn: dùng 1 antivirus quét thử
Quét đa: tích hợp các antivirus vào để cùng quét
o Lọc dựa trên tiêu đề và nội dung
o Antivirus, không truy cập vào các đường link lạ
o Download phần mềm từ trang chủ
o Phân quyền (kiểm soát truy cập)
Xây dựng policy
o Quét bằng antivirus
Dành cho máy đơn
Dành cho gateway
o Kiểm tra bằng virustotal (~antivirus nhưng là quét đa)
o Kiểm tra trojan dựa trên hàm băm (signutare)
o Đóng băng ổ đĩa
Xây dựng policy
Mã độc khai thác lỗ hổng zeroday
Mã độc đa hình và mã độc siêu hình
Tóm lược các nguyên tắc đảm bảo ATTT
Trình bày khái niệm lỗ hổng tràn bộ đệm. Phân loại lỗ hổng tràn bộ đệm.
Lấy ví dụ đoạn mã có lỗ hổng tràn bộ đệm, trình bày cơ chế khai thác lỗ
hổng trong đoạn mã đó
Trình bày khái niệm lỗ hổng XSS. Phân loại lỗ hổng XSS. Lấy ví dụ đoạn
mã có lỗ hổng XSS, trình bày cơ chế khai thác lỗ hổng trong đoạn mã đó
Trình bày khái niệm lỗ hổng SQLi. Phân loại lỗ hổng SQLi. Lấy ví dụ đoạn
mã có lỗ hổng SQLi, trình bày cơ chế khai thác lỗ hổng trong đoạn mã đó
SQL thành công khi hệ quản trị CSDL có truy vấn SQL
Bản chất SQLi không phải dựa trên lỗi của câu lệnh mà nó tận dụng 1
truy vấn SQL hợp lệ (tiêm các đoạn mã vào những câu truy vấn và thực
hiện ở phía server)
Format string => có thể có
Trình bày khái niệm VPN, phân loại VPN, trình bày các giao thức con và
chế độ làm việc của bộ giao thức IPSec có vẽ hình minh họa (6 hình minh
họa: AH (2), ESP (2), AH + ESP (2))
Giải thích được các yếu tố của VPN trước khi nói về khái niệm VPN. Thế
nào là 1 mạng riêng ảo
VPN
o Riêng => mạng LAN (Chỉ có công ty thiết lập nên nó mới sử dụng
được)
o Ảo (Kênh truyền riêng trên mạng Internet)
Phân loại VPN
o Gateway-gateway
o Host-gateway
VPN không có nghĩa là mật mã => bộ giao thức của VPN là IPSec
IPSec
o AH (giao thức xác thực tiêu đề) => không có mã
o ESP => có mã hóa
2 chế độ làm việc (hình vẽ + mô tả)
o Transport
o Tunnel