1. Home
  2. /
  3. Phi Tiểu Thuyết
  4. /
  5. An ninh mạng(hokage222)
  6. /
  7. An ninh mạng(hokage222)

An ninh mạng(hokage222)

Trước Sau
Màu nền
Font chữ
Font size
Chiều cao dòng

Câu 1. Trình bày về DMZ, vẽ sơ đồ mô hình DMZ trong mô hình mạng công ty thông dụng. Nêu giải pháp trong mô hình DMZ để che dấu tài nguyên mạng.

-         DMZ được coi như là một trong các lá chắn bảo vệ của hệ thống phòng thủ nhiều lớp (defense in depth) cho mạng nội bộ của tổ chức. Nhưng cũng giống như các lá chắn khác, nó vẫn có khả năng bị phá hủy và việc giữ gìn sự lành lặn của lá chắn này đòi hỏi bạn cần cài đặt, cấu hình, giám sát hoạt động đầy đủ và thường xuyên cho các firewall và server trong DMZ.

-         DMZ là một mạng tách biệt với mạng internal vì DMZ sử dụng đường mạng (hoặc có subnet) khác với mạng internal. Và các server như Web, Mail, FTP, VoIP… là các dịch vụ tổ chức mong muốn người dùng có thể truy cập và sử dụng thông qua các mạng ngoài như Internet được đặt trong vùng DMZ. Còn các server phục vụ cho các mục đích nội bộ như DNS, DHCP, File/Print… vẫn được đặt trong vùng internal. 

Giữa DMZ và mạng external ta có thể đặt một firewall để cho phép các kết nối từ external chỉ đến được DMZ mà thôi. Còn giữa mạng internal và DMZ ta có thể đặt thêm một firewall khác để kiểm soát các lưu lượng từ DMZ đi vào internal. 

Như vậy, cũng giống với vùng DMZ trong quân sự, DMZ ở đây đã tạo ra sự phân tách giữa hai bên đối nghịch nhau: mạng internal và mạng external. Và có thể nói rằng DMZ đã bổ sung thêm một lớp bảo vệ cách ly cho mạng internal khi mà hacker từ mạng ngoài chỉ có thể tiếp cận tới các máy nằm trong DMZ mà thôi. 

-        

-          

Kiến trúc xây dựng DMZ

-         DMZ được tạo nên bởi hai thành phần cơ bản là: các địa chỉ IP và các firewall. Có hai đặc điểm nhận dạng quan trọng của DMZ mà bạn cần nhớ là:

1. Nó có một network ID khác so với mạng internal.

2. Nó bị phân tách khỏi mạng Internet và cả mạng internal bởi (các) firewall.

Dưới đây tôi sẽ nói rõ hơn về hai đặc điểm này của DMZ

1. Địa chỉ IP dùng trong DMZ

Tùy vào kiến trúc của DMZ và cấu hình trên firewall mà một DMZ có thể sử dụng public IP hoặc private IP cho các server trong DMZ.

2. Các Firewall

Có nhiều cách khi thiết kế một hệ thống mạng có sử dụng DMZ. Hai mô hình cơ bản và thường gặp nhất là: single firewall (hay three legged firewall) và dual firewall. Dưới đây tôi sẽ nói sơ qua về phương thức hoạt động cũng như ưu khuyết điểm của hai mô hình này.

a) Với single firewall

Bạn sẽ chỉ cần tới một thiết bị có ba NIC (network interface card). Trong đó, một NIC nối với mạng external, NIC thứ hai nối với mạng DMZ, và NIC còn lại nối với mạng internal

b) Với dual firewall

Bạn sẽ cần tới hai thiết bị firewall, mỗi firewall có hai NIC và được bố trí như sau:

-   Firewall thứ nhất (được gọi là front-end firewall) có một NIC nối với mạng external (external interface) và NIC còn lại nối với DMZ (internal interface). Front-end firewall này có nhiệm vụ kiểm soát traffic từ Internet tới DMZ và mạng internal.

-   Firewall thứ hai (được gọi là back-end firewall) có một NIC nối với DMZ (external interface) và NIC còn lại nối với mạng internal (internal interface). Back-end firewall này có nhiệm vụ kiểm soát traffic từ DMZ và Internet tới mạng internal.

Câu 2. Trình bày khái niệm Proxy Server

-         Proxy là một Internet server làm nhiệm vụ chuyển tiếp thông tin và kiểm soát tạo sự an toàn cho việc truy cập Internet của các máy khách, còn gọi là khách hàng sử dụng dịch vụ internet. Trạm cài đặt proxy gọi là proxy server. Proxy hay trạm cài đặt proxy có địa chỉ IP và một cổng truy cập cố định. Ví dụ: 123.234.111.222:80.[1] Địa chỉ IP của proxy trong ví dụ là 123.234.111.222 và cổng truy cập là 80.

Câu 3. Trình bài về kỹ thuật Subnetting

-         là kỹ thuật phân chia không gian địa chỉ của một lớp mạng cho trước thành nhiều lớp mạng nhỏ hơn bằng cách lấy một số bit ở phần Host Address (Host ID). Minh họa sau với lớp B

net

work

subnet

host

Prefix length: Là đại lượng chỉ số bit dùng làm địa chỉ mạng. Chẳng hạn lớp A có prefix length là 8, lớp B là 16, lớp C là 24. Với một địa chỉ IP tiêu chuẩn prefix length là giá trị sau dấu /. Chẳng hạn 192.168.1.1 /24

Default Mask (Network Mask): là giá trị trần của mỗi lớp mạng A, B, C (D, E không xét đến) và là giá trị thập phân cao nhất (khi tất cả các bit ở Network Address bằng 1 và các bit ở Host Address bằng 0). Như vậy Default Mask của lớp A là 255.0.0.0, của lớp B là 255.255.0.0 và C là 255.255.255.0

Subnet Mask: Giá trị trần của mạng con, là giá trị thập phân tính khi tất cả các bit của prefix length bằng 1 và phần còn lại bằng 0. Chẳng hạn địa chỉ IP 172.16.1.46 /26 có Subnet Mask là 255.255.255.192 (11111111.11111111.11111111.11000000)

Địa chỉ mạng con (Subnet Address) của một địa chỉ IP cho trước là giá trị nhỏ nhất của dải địa chỉ mạng con mà IP đó thuộc về. Các thiết bị định tuyến dựa vào địa chỉ này để phân biệt các mạng con với nhau. Giá trị của địa chỉ mạng có thể được tính bằng nhiều cách. Cách cơ bản nhất là dùng phép AND giữa địa chỉ Subnet Mask và IP dưới dạng nhị phân. Chẳng hạn với địa chỉ 172.16.1.250 /26

Subnet Mask

11111111

11111111

11111111

11000000

IP Address

10101100

00010000

00000001

11111010

AND

10101100

00010000

00000001

11000000

Subnet Address

172

16

1

192

 Sau này khi làm nhiều bài tập về phân chia mạng con ta sẽ có nhiều cách để tính Subnet address nhanh hơn.

Địa chỉ quảng bá (Broadcast Address) của một mạng con là địa chỉ IP cao nhất của mạng đó. Subnet Address và Broadcast Address không dùng để gán cho máy chủ. Do đó mới có công thức tính số IP khả dụng là 2n – 2 với n là số bit dùng cho Host Address.

Khái niệm cuối cùng và quan trọng nhất trong ứng dụng phân chia mạng con thực tiễn là VLSM (Variable Length Subnet Mask) là kỹ thuật sử dụng các Subnet Mask khác nhau để tạo ra các Subnet có lượng IP khác nhau. Với kỹ thuật này quản trị viên có thể chia mạng con với lượng IP phù hợp nhất với yêu cầu từng mạng, dễ dàng mở thêm các mạng con về sau này.

Câu 4. Nếu sử dụng mạng riêng ảo trong mô hình công ty thì dùng chứng chỉ số mấy ? Tại sao ?

 

Câu 1. Nêu khái niệm và các loại firewall

FireWall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thông của một số thông tin khác không mong muốn.

Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet:

-         Có mấy loại Firewall?

Firewall được chia làm 2 loại, gồm Firewall cứng và Firewall mềm:
Firewall cứng: Là những firewall được tích hợp trên Router. 

+ Đặc điểm của Firewall cứng:

- Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm quy tắc như firewall mềm)
- Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng Transport)
- Firewall cứng không thể kiểm tra được nột dung của gói tin.
+ Ví dụ Firewall cứng: NAT (Network Address Translate).
Firewall mềm: Là những Firewall được cài đặt trên Server.

+ Đặc điểm của Firewall mềm: 

- Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.
- Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)
- Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa).
-
+ Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall…

Câu 2. Nêu khái niệm VLAN và NAT

VLAN là cụm từ viết tắt của virtual local area network (hay virtual LAN) hay còn được gọi là mạng LAN ảo. VLAN là một kỹ thuật cho phép tạo lập các mạng LAN độc lập một cách logic trên cùng một kiến trúc hạ tầng vật lý. Việc tạo lập nhiều mạng LAN ảo trong cùng một mạng cục bộ (giữa các khoa trong một trường học, giữa các cục trong một công ty,...) giúp giảm thiểu vùng quảng bá (broadcast domain) cũng như tạo thuận lợi cho việc quản lý một mạng cục bộ rộng lớn. VLAN tương đương như mạng con (subnet)

NAT

là một cơ chế dịch đổi địa chỉ mạng được cài đặt trong một bộ định tuyến. Trong mạng máy tính, khi một máy con thực hiện kết nối hoặc gởi dữ liệu tới một máy tính nào đó trên internet, dữ liệu sẽ được gởi tới NAT, sau đó NAT sẽ thay thế địa chỉ IP riêng của máy con đó rồi gửi gói dữ liệu đi với địa chỉ IP của NAT. NAT ghi lại bảng thông tin của những máy tính đã gởi những gói tin đi ra ngoài trên mỗi cổng dịch vụ và gởi những gói tin nhận được về đúng máy tính đó. Ngoài ra cơ chế NAT cùng được dùng để kết nối giữa hai mạng IPv4 và IPv6.

I. Khái quát về NAT

NAT hay còn gọi là Network Address Translation là một kĩ thuật được phát minh lúc khởi đầu dùng để giải quyết vấn đề IP shortage, nhưng dần dần nó chứng tỏ nhiều ưu điểm mà lúc phát minh ra nó người ta không nghĩ tới, một trong những lợi điểm của NAT ngày nay được ứng dụng nhiều nhất là NAT cho phép

- Chia sẽ kết nối internet với nhiều máy bên trong LAN với một địa chỉ IP của WAN

- Một lợi điểm nữa của NAT là nó có thể làm việc như một Firewall, nó giúp dấu tất cả IP bên trong LAN với thế giới bên ngoài, tránh sự dòm ngó của hackers.

- Tính linh hoạt và sự dễ dàng trong việc quản lý

NAT giúp cho các home user và các doanh nghiệp nhỏ có thể tạo kết nối với internet một cách dễ dàng và hiệu quả cũng như giúp tiết kiệm vốn đầu tư.

NAT cũng có nhiều loại hay hình thức khác nhau, chúng ta sẽ nói sơ lược qua các dạng NAT

 

Câu 3. Vẽ sơ đồ và nêu khái niệm ARP Poisoning

Khái niệm: ARP Poisoning là một kĩ thuật theo đó kẻ tấn công sẽ gửi thông điệp giả mạo ( Address Resolution Protocol (ARP)) vào một mạng nội bộ, nói chung mục đích của kẻ tấn công là liên kết địa chỉ MAC và địa chỉ IP của máy chủ (ví dụ như các cổng). khi đó lưu lượng dữ liệ sẽ được gửi đến địa chỉ IP của kẻ tấn công thay vì máy đích.

ARP spoofing có thể cho phép kẻ tấn công để đánh chặn khung dữ liệu trên một mạng LAN, điều chỉnh thông tin, hoặc ngăn chặn giao thông hoàn toàn. Thường thì các cuộc tấn công được sử dụng như một mở màn cho cuộc tấn công khác, chẳng hạn như từ chối dịch vụ(DDOS)

câu 4. Vẽ sơ đồ mạng riêng ảo

 

Bạn đang đọc truyện trên: Truyen2U.Pro

Trước Sau
#hokage222