Trước đây, phòng Kỹ thuật của một Doanh nghiệp chỉ có một máy tính chạy Windows Server 2003 tên SERVER1. Người quản trị thường sử dụng Remote Desktop để điều hành máy này từ nhà anh ta. Doanh nghiệp trang bị thêm cho Phòng Kỹ thuật 10 máy tính và dùng máy SERVER1 chia sẻ kết nối internet bằng SecureNAT. Sau khi chia sẻ kết nối internet thành công, người quản trị không còn sử dụng Remote Desktop để điều hành máy SERVER1 từ nhà được nữa. Giải pháp tối ưu nhất để khắc phục vấn đề này:

Câu 49:

Trường Đào tạo CNTT iSPACE dự tính triển khai kết nối VPN Site-to-Site giữa các Chi nhánh nhưng vẫn còn lo ngại về độ an toàn của dữ liệu khi truyền trên hạ tầng internet. Là người quản trị mạng tại trường, bạn chọn giải pháp nào dưới đây để khắc phục khó khăn trên?

Lời giải:

Đáp án đúng: A

Câu hỏi đề cập đến việc bảo vệ dữ liệu khi truyền qua VPN Site-to-Site trên môi trường Internet không an toàn. Trong các lựa chọn đưa ra:

Phương án A (Đúng): Sử dụng IPSec (Internet Protocol Security) là một giao thức bảo mật được thiết kế để cung cấp tính bảo mật, tính toàn vẹn và xác thực cho các gói tin IP. Khi kết hợp với L2TP (Layer 2 Tunneling Protocol), IPSec sẽ mã hóa dữ liệu, đảm bảo rằng dữ liệu được bảo vệ trong quá trình truyền qua Internet. Đây là một giải pháp phổ biến và hiệu quả cho VPN Site-to-Site an toàn.
Phương án B (Sai): Yêu cầu ISP mã hóa dữ liệu là không thực tế và không khả thi. ISP thường chỉ cung cấp dịch vụ truyền dẫn, không can thiệp vào nội dung dữ liệu. Việc mã hóa dữ liệu là trách nhiệm của người gửi và người nhận.
Phương án C (Sai): EFS (Encrypting File System) là một hệ thống mã hóa tập tin được tích hợp trong Windows. Mặc dù EFS có thể mã hóa các tập tin, nhưng nó không bảo vệ dữ liệu khi truyền qua VPN. Dữ liệu vẫn có thể bị chặn và giải mã nếu VPN không được bảo mật đúng cách.
Phương án D (Sai): Đặt mật khẩu mạnh cho Dial-In User chỉ tăng cường bảo mật cho quá trình xác thực người dùng, chứ không bảo vệ dữ liệu truyền qua VPN.

Câu 50:

Khi xây dựng VPN Server bằng dịch vụ RRAS trên Windows Server 2003, người quản trị của một Doanh nghiệp cần phải xác định trước dãy IP address sẽ cấp phép cho các máy VPN Client đăng nhập vào hệ thống. Dãy IP này phải là:

Lời giải:

Đáp án đúng: B

Khi xây dựng VPN Server bằng RRAS (Routing and Remote Access Service) trên Windows Server, việc xác định dãy IP address cho VPN Client là rất quan trọng. Dãy IP này phải đảm bảo các client có thể truy cập vào mạng nội bộ của doanh nghiệp thông qua VPN một cách an toàn và không gây xung đột địa chỉ IP.

* Phương án A: Không chính xác. Chỉ cần số lượng đủ cho client là chưa đủ, quan trọng là dãy IP phải khác với mạng nội bộ của client để tránh xung đột.
* Phương án B: Đây là phương án đúng. Dãy IP được cấp cho VPN client phải thuộc cùng một network ID với mạng bên trong VPN Server của doanh nghiệp để đảm bảo khả năng định tuyến (routing) giữa VPN client và mạng nội bộ. Đồng thời, nó phải khác network ID với mạng nội bộ của VPN client để tránh xung đột địa chỉ IP và đảm bảo quá trình định tuyến chính xác.
* Phương án C: Không chính xác. Nếu dãy IP này cùng Net.ID với mạng nội bộ của VPN Client sẽ gây ra xung đột IP khi VPN Client kết nối vào VPN Server.
* Phương án D: Không chính xác. “Exclusive IP addresses” của DHCP Scope có thể được sử dụng, nhưng nó không phải là điều kiện bắt buộc. Quan trọng hơn là dãy IP này cần tuân thủ các nguyên tắc về Net.ID như đã giải thích ở phương án B.

Do đó, đáp án B là đáp án chính xác nhất, vì nó đảm bảo khả năng kết nối và tránh xung đột IP giữa VPN Client và mạng nội bộ của doanh nghiệp.

Câu 1:

X800 là một:

Lời giải:

Đáp án đúng: B

X.800 là một tiêu chuẩn an ninh do ITU-T (trước đây là CCITT) phát triển. Tiêu chuẩn này cung cấp một khuôn khổ để mô tả và phân loại các dịch vụ và cơ chế an ninh khác nhau. Vì vậy, đáp án C là chính xác nhất.

Câu 2:

Timestamp trong message

Lời giải:

Đáp án đúng: B

Timestamp trong message (tin nhắn, bản tin) được sử dụng để ghi lại thời điểm tin nhắn đó được tạo hoặc gửi đi. Nó có thể được dùng để xác định thời gian hết hạn (ví dụ, một tin nhắn chỉ có giá trị trong một khoảng thời gian nhất định), hoặc để cho phép giao dịch (ví dụ, một giao dịch chỉ được phép thực hiện trong một khoảng thời gian nhất định sau khi timestamp được tạo). Vì vậy, đáp án D (Tất cả đều đúng) là chính xác nhất.

Câu 3:

Trong các thư mục tấn công RSA được lưu ý, không có:

Lời giải:

Đáp án đúng: C

Câu hỏi yêu cầu xác định loại tấn công *không* thuộc các thư mục tấn công RSA đã được lưu ý.

* Tấn công tính toán thời gian (Timing attack): Dựa vào thời gian thực thi các phép tính toán trong quá trình giải mã hoặc mã hóa RSA để suy ra khóa bí mật. Đây là một kiểu tấn công phổ biến vào RSA.
* Tấn công toán học: Nhằm vào việc phân tích các yếu tố toán học của RSA, ví dụ như phân tích số nguyên lớn thành thừa số nguyên tố. Đây là nền tảng của nhiều phương pháp tấn công RSA.
* Tấn công bản rõ (Known-plaintext attack): Kẻ tấn công có được một số cặp bản rõ và bản mã tương ứng, từ đó cố gắng suy ra khóa bí mật. RSA có thể bị tấn công theo cách này nếu việc padding không được thực hiện cẩn thận.
* Tấn công brute force: Thử tất cả các khóa có thể cho đến khi tìm ra khóa đúng. Tuy nhiên, vì không gian khóa của RSA rất lớn, tấn công brute force thường không khả thi trừ khi khóa được chọn quá yếu.

Trong các phương án trên, tấn công brute force ít được xem là một thư mục tấn công RSA cụ thể vì nó là một phương pháp tấn công chung có thể áp dụng cho nhiều thuật toán mã hóa khác nhau, chứ không đặc thù cho RSA. Do đó, đáp án phù hợp nhất là D.

Câu 4:

Khoá riêng có đặc điểm

Lời giải: