Skip to content

NETWORK SECURITY¤

1. KIẾN TRÚC INTERNET¤

Thành phần cốt lõi¤

  • End systems (hosts): clients & servers (thường ở datacenter)
  • Packet switches: routers, switches - chuyển tiếp packets
  • Communication links: fiber, copper, radio, satellite (băng thông khác nhau)
  • Networks: tập hợp devices, routers, links do 1 tổ chức quản lý
  • Internet = "network of networks": các ISP kết nối với nhau

Protocols quan trọng¤

  • Application: HTTP, SMTP, DNS
  • Transport: TCP, UDP
  • Network: IP, routing protocols
  • Link: Ethernet, WiFi (802.11)
  • Standards: RFC (Request for Comments), IETF

2. PACKET SWITCHING¤

2 chức năng chính¤

Forwarding (Switching) - Cục bộ: - Chuyển packet từ input link → output link phù hợp - Dùng local forwarding table

Routing - Toàn cục: - Xác định đường đi từ source → destination - Dùng routing algorithms

Delay & Loss¤

4 nguồn delay:

Text Only
d_nodal = d_proc + d_queue + d_trans + d_prop
- d_proc (processing): kiểm tra bit errors, xác định output link (< μs) - d_queue (queueing): chờ đợi truyền, phụ thuộc mức độ tắc nghẽn - d_trans (transmission): L/R (L=packet length bits, R=link rate bps) - d_prop (propagation): d/s (d=chiều dài link, s=tốc độ lan truyền ~2×10⁸ m/s)

Packet loss: xảy ra khi buffer đầy

3. PROTOCOL STACK¤

Tại sao phân lớp?¤

  • Dễ bảo trì, cập nhật
  • Thay đổi 1 layer không ảnh hưởng layer khác
  • Modular design

Internet Protocol Stack (5 layers)¤

Text Only
Application  → Messages (M)
Transport    → Segments [Ht|M]
Network      → Datagrams [Hn|Ht|M]
Link         → Frames [Hl|Hn|Ht|M]
Physical     → Bits

Encapsulation¤

  • Mỗi layer thêm header vào data từ layer trên
  • Application: Message M
  • Transport: thêm Ht → Segment
  • Network: thêm Hn → Datagram
  • Link: thêm Hl → Frame

OSI 7 layers (thêm 2 layer)¤

  • Presentation: encryption, compression, format
  • Session: synchronization, checkpointing
  • Internet stack KHÔNG có 2 layer này → app tự implement nếu cần

4. NETWORK SECURITY - CIA TRIAD¤

4 mục tiêu bảo mật¤

  1. Confidentiality: chỉ sender/receiver hiểu nội dung
  2. Encryption/Decryption
  3. Authentication: xác minh danh tính
  4. Message Integrity: đảm bảo message không bị thay đổi
  5. Digital signatures
  6. Access & Availability: dịch vụ luôn khả dụng

5. CÁC KIỂU TAN CÔNG¤

Packet Sniffing¤

  • Đọc/ghi lại tất cả packets trên broadcast media (Ethernet, WiFi)
  • Promiscuous mode
  • Tools: Wireshark, tcpdump, scapy

IP Spoofing¤

  • Giả mạo source address trong packet
  • Inject packet với địa chỉ nguồn giả

Denial of Service (DoS)¤

  1. Chọn target
  2. Xâm nhập nhiều hosts (tạo botnet)
  3. Gửi bogus traffic từ các hosts này → làm quá tải tài nguyên

Man-in-the-Middle (MITM)¤

  • Trudy đứng giữa Alice-Bob
  • Giả danh cả 2 bên
  • Chặn, đọc, sửa messages

6. AUTHENTICATION PROTOCOLS¤

ap1.0: "I am Alice"¤

Fail: Trudy tự xưng là Alice

ap2.0: "I am Alice" + IP address¤

Fail: IP spoofing

ap3.0: "I am Alice" + password¤

Fail: Playback attack (Trudy ghi lại packet, replay sau)

ap3.1: "I am Alice" + encrypted password¤

Fail: Playback attack vẫn works (không cần decrypt)

ap4.0: Nonce-based¤

Text Only
Bob → Alice: R (nonce - number used once)
Alice → Bob: K_AB(R) (encrypt R với shared key)
✅ Chống playback (R chỉ dùng 1 lần) ⚠️ Cần shared symmetric key

ap5.0: Public key + nonce¤

Text Only
Alice → Bob: "I am Alice"
Bob → Alice: R (nonce)
Alice → Bob: K_A^-(R) (sign với private key)
Bob verify: K_A^+(K_A^-(R)) = R
Fail: MITM attack (Trudy thay public key)

7. PUBLIC KEY INFRASTRUCTURE (PKI)¤

Vấn đề: Làm sao tin public key?¤

  • Trudy có thể gửi public key giả mạo

Certification Authority (CA)¤

Vai trò: - Ràng buộc public key với entity (person/website/router) - Entity chứng minh identity với CA - CA tạo certificate = {E's info + K_E^+} signed by CA

Certificate structure:

Text Only
[Bob's ID | K_B^+ | CA's signature]
Signature = K_CA^-(hash(Bob's ID | K_B^+))

Verification:

Text Only
Alice nhận cert của Bob
→ Dùng K_CA^+ để verify signature
→ Lấy được K_B^+ đáng tin cậy

8. PHÒNG THỦ (Lines of Defense)¤

  1. Authentication: SIM card (cellular), password, certificates
  2. Confidentiality: Encryption
  3. Integrity: Digital signatures
  4. Access control: VPN với password
  5. Firewalls:
  6. Filter incoming packets
  7. Restrict senders/receivers/applications
  8. Off-by-default
  9. DoS detection & reaction

GHI NHỚ NHANH¤

Delay formula: Proc + Queue + Trans + Prop
Trans vs Prop: KHÁC NHAU HOÀN TOÀN (L/R vs d/s)
Encapsulation: App→Trans→Net→Link (mỗi bước +1 header)
CIA: Confidentiality, Integrity, Availability (+Authentication)
3 attack chính: Sniffing, Spoofing, DoS
Playback attack: ghi lại packet → replay sau
MITM: đánh lừa cả 2 bên, thay public key
CA solution: ký digital signature để xác thực public key
Nonce: số dùng 1 lần duy nhất để chống replay

CÂU HỎI THI NETWORK SECURITY - CÓ ĐÁP ÁN¤

PHẦN 1: KIẾN TRÚC INTERNET & PACKET SWITCHING¤

Câu 1: Internet được định nghĩa là gì?

A. Một mạng cục bộ LAN quy mô lớn

B. Network of networks - mạng lưới các mạng kết nối với nhau

C. Một hệ thống máy tính độc lập

D. Chỉ là tập hợp các web servers

Đáp án: B

Câu 2: Packet switch thực hiện chức năng gì?

A. Chỉ lưu trữ packets

B. Chỉ routing packets

C. Forwarding và routing packets

D. Chỉ mã hóa packets

Đáp án: C - Forwarding (local): chuyển packet từ input → output link - Routing (global): xác định đường đi toàn bộ

Câu 3: Forwarding khác Routing như thế nào?

A. Giống nhau hoàn toàn

B. Forwarding là hành động cục bộ, Routing là quyết định toàn cục

C. Forwarding chậm hơn Routing

D. Routing không dùng forwarding table

Đáp án: B - Forwarding: local action, dùng forwarding table - Routing: global action, dùng routing algorithms

Câu 4: Công thức tính nodal delay là gì?

A. d_nodal = d_trans + d_prop

B. d_nodal = d_queue + d_trans

C. d_nodal = d_proc + d_queue + d_trans + d_prop

D. d_nodal = d_proc + d_trans

Đáp án: C

Câu 5: Transmission delay (d_trans) được tính bằng công thức nào?

A. d_trans = d/s (d: chiều dài link, s: tốc độ)

B. d_trans = L/R (L: packet length bits, R: link rate bps)

C. d_trans = R/L

D. d_trans = s/d

Đáp án: B

Câu 6: Propagation delay (d_prop) được tính như thế nào?

A. d_prop = L/R

B. d_prop = R/L

C. d_prop = d/s (d: chiều dài physical link, s: tốc độ lan truyền)

D. d_prop = s/d

Đáp án: C - s ≈ 2×10⁸ m/s (tốc độ ánh sáng trong môi trường)

Câu 7: Transmission delay và Propagation delay có mối quan hệ gì?

A. Bằng nhau

B. Tỉ lệ thuận

C. Rất khác nhau, độc lập với nhau

D. Propagation luôn lớn hơn

Đáp án: C - d_trans phụ thuộc L, R (đặc tính packet & link) - d_prop phụ thuộc khoảng cách vật lý

Câu 8: Packet loss xảy ra khi nào?

A. Khi delay quá lớn

B. Khi buffer (memory) để giữ queued packets bị đầy

C. Khi routing sai

D. Khi có lỗi bit

Đáp án: B

Câu 9: Queueing delay phụ thuộc vào yếu tố nào?

A. Chiều dài packet

B. Tốc độ link

C. Mức độ tắc nghẽn (congestion) của router

D. Khoảng cách vật lý

Đáp án: C

PHẦN 2: PROTOCOL STACK & ENCAPSULATION¤

Câu 10: Tại sao cần phân lớp (layering) trong thiết kế mạng?

A. Để tăng tốc độ truyền

B. Để dễ bảo trì, cập nhật; thay đổi 1 layer không ảnh hưởng layer khác

C. Để giảm chi phí

D. Để tăng bảo mật

Đáp án: B - Modular design - Dễ identify, maintain

Câu 11: Internet Protocol Stack có bao nhiêu layers?

A. 3 layers

B. 4 layers

C. 5 layers

D. 7 layers

Đáp án: C - Application, Transport, Network, Link, Physical

Câu 12: OSI model có bao nhiêu layers?

A. 5 layers

B. 6 layers

C. 7 layers

D. 8 layers

Đáp án: C - Thêm Presentation và Session layer so với Internet stack

Câu 13: Layer nào xử lý routing of datagrams?

A. Application layer

B. Transport layer

C. Network layer

D. Link layer

Đáp án: C - Network layer: IP, routing protocols

Câu 14: TCP và UDP thuộc layer nào?

A. Application layer

B. Transport layer

C. Network layer

D. Link layer

Đáp án: B

Câu 15: HTTP, DNS, SMTP thuộc layer nào?

A. Application layer

B. Transport layer

C. Network layer

D. Presentation layer

Đáp án: A

Câu 16: Encapsulation là gì?

A. Mã hóa data

B. Mỗi layer thêm header vào data từ layer trên

C. Nén data

D. Routing data

Đáp án: B

Câu 17: Thứ tự encapsulation từ Application → Physical là gì?

A. Message → Datagram → Segment → Frame → Bits

B. Message → Segment → Datagram → Frame → Bits

C. Message → Frame → Segment → Datagram → Bits

D. Segment → Message → Datagram → Frame → Bits

Đáp án: B - App: M - Transport: [Ht|M] = Segment - Network: [Hn|Ht|M] = Datagram - Link: [Hl|Hn|Ht|M] = Frame - Physical: Bits

Câu 18: Transport layer thêm header gì vào Message?

A. Hn

B. Hl

C. Ht

D. Ha

Đáp án: C - Ht (transport header)

Câu 19: 2 layer nào có trong OSI nhưng KHÔNG có trong Internet stack?

A. Application và Transport

B. Presentation và Session

C. Network và Link

D. Physical và Link

Đáp án: B - Presentation: encryption, compression, format - Session: synchronization, checkpointing - Internet stack: app tự implement nếu cần

Câu 20: Segment là đơn vị dữ liệu của layer nào?

A. Application layer

B. Transport layer

C. Network layer

D. Link layer

Đáp án: B

PHẦN 3: NETWORK SECURITY FUNDAMENTALS¤

Câu 21: CIA trong network security là viết tắt của gì?

A. Central Intelligence Agency

B. Confidentiality, Integrity, Availability

C. Cryptography, Internet, Authentication

D. Certificate, Identity, Access

Đáp án: B

Câu 22: Confidentiality đạt được bằng cách nào?

A. Dùng firewall

B. Dùng encryption/decryption

C. Dùng digital signature

D. Dùng access control

Đáp án: B - Chỉ sender và intended receiver hiểu message

Câu 23: Message Integrity đảm bảo điều gì?

A. Message được mã hóa

B. Message truyền nhanh

C. Message không bị thay đổi trong quá trình truyền

D. Message được định tuyến đúng

Đáp án: C - Dùng digital signatures

Câu 24: Authentication trong network security là gì?

A. Mã hóa data

B. Xác minh danh tính sender và receiver

C. Kiểm tra lỗi

D. Định tuyến packets

Đáp án: B

Câu 25: 4 mục tiêu của network security là gì?

A. Speed, Cost, Efficiency, Reliability

B. Confidentiality, Authentication, Integrity, Availability

C. Encryption, Decryption, Hashing, Signing

D. Routing, Switching, Forwarding, Filtering

Đáp án: B

PHẦN 4: CÁC KIỂU TẤN CÔNG¤

Câu 26: Packet sniffing là gì?

A. Mã hóa packets

B. Đọc/ghi lại tất cả packets đi qua trên broadcast media

C. Lọc packets độc hại

D. Nén packets

Đáp án: B - Promiscuous network interface - Tools: Wireshark, tcpdump, scapy

Câu 27: IP spoofing là gì?

A. Mã hóa IP address

B. Thay đổi routing table

C. Giả mạo source address trong packet

D. Che giấu destination address

Đáp án: C - Injection of packet with false source address

Câu 28: Denial of Service (DoS) attack hoạt động như thế nào?

A. Đánh cắp password

B. Làm quá tải tài nguyên bằng bogus traffic

C. Giả mạo IP

D. Sniffing packets

Đáp án: B - Overwhelm resource (server, bandwidth) - Dùng botnet

Câu 29: Các bước thực hiện DoS attack là gì?

A. Chọn target → Phân tích → Attack

B. Sniff → Spoof → Attack

C. Chọn target → Break into hosts (botnet) → Gửi packets từ compromised hosts

D. Encrypt → Send → Decrypt

Đáp án: C

Câu 30: Man-in-the-Middle (MITM) attack là gì?

A. Sniffing packets ở giữa mạng

B. Kẻ tấn công đứng giữa và giả danh cả 2 bên

C. Routing packets sai đường

D. Chặn packets ở router

Đáp án: B - Trudy poses as Alice to Bob AND as Bob to Alice

Câu 31: Playback attack là gì?

A. Phát lại video

B. Ghi lại packet hợp lệ của victim và replay lại sau

C. Backup packets

D. Retry gửi packet bị mất

Đáp án: B - Ví dụ: ghi lại encrypted password, replay sau

Câu 32: Tool nào dùng để packet sniffing?

A. Nmap

B. Metasploit

C. Wireshark

D. Burp Suite

Đáp án: C - Cũng có: tcpdump, scapy

PHẦN 5: AUTHENTICATION PROTOCOLS¤

Câu 33: Protocol ap1.0 "I am Alice" bị tấn công gì?

A. Trudy có thể tự xưng là Alice

B. Playback attack

C. MITM attack

D. DoS attack

Đáp án: A - Không có cơ chế xác minh

Câu 34: Protocol ap2.0 thêm IP address vẫn fail vì sao?

A. IP address bị encrypt

B. IP spoofing - Trudy có thể giả mạo source IP

C. IP address dễ đoán

D. IP address quá dài

Đáp án: B

Câu 35: Protocol ap3.0 gửi password (even encrypted) vẫn bị tấn công gì?

A. Brute force

B. Dictionary attack

C. Playback attack

D. SQL injection

Đáp án: C - Trudy ghi lại encrypted password, replay lại - Không cần decrypt

Câu 36: Nonce là gì?

A. Mật khẩu ngẫu nhiên

B. Number used only once-in-a-lifetime

C. Encryption key

D. Digital signature

Đáp án: B - Dùng để chống playback attack

Câu 37: Protocol ap4.0 dùng nonce hoạt động như thế nào?

A. Bob gửi nonce R, Alice trả về R

B. Alice gửi nonce, Bob verify

C. Bob gửi nonce R, Alice trả về K_AB(R) encrypted với shared key

D. Cả hai trao đổi nonce

Đáp án: C - Chứng minh Alice "live" và có shared key

Câu 38: Nhược điểm của ap4.0 là gì?

A. Không chống được playback

B. Cần shared symmetric key giữa mọi cặp entities

C. Quá chậm

D. Dễ bị sniff

Đáp án: B - Khó scale

Câu 39: Protocol ap5.0 dùng public key cryptography hoạt động ra sao?

A. Bob gửi R, Alice trả về K_A^-(R) signed bằng private key

B. Alice gửi public key trực tiếp

C. Bob encrypt message bằng public key

D. Dùng symmetric key

Đáp án: A - Bob verify: K_A+(K_A-(R)) = R

Câu 40: ap5.0 vẫn bị tấn công gì?

A. Playback attack

B. DoS attack

C. Man-in-the-Middle attack (Trudy thay public key)

D. Brute force

Đáp án: C - Trudy gửi public key của mình thay vì Alice's public key

PHẦN 6: PUBLIC KEY INFRASTRUCTURE (PKI)¤

Câu 41: Vấn đề chính khi dùng public key cryptography là gì?

A. Quá chậm

B. Không biết public key có thực sự thuộc về đúng entity không

C. Không đủ mạnh

D. Khó implement

Đáp án: B - MITM có thể thay thế public key

Câu 42: Certification Authority (CA) làm gì?

A. Mã hóa messages

B. Ràng buộc public key với entity và ký certificate

C. Routing packets

D. Tạo private keys

Đáp án: B

Câu 43: Certificate chứa thông tin gì?

A. Chỉ public key

B. Chỉ entity's identity

C. Entity's identity + public key + CA's digital signature

D. Private key và public key

Đáp án: C

Câu 44: CA ký certificate bằng cách nào?

A. Dùng public key của CA

B. Dùng private key của CA

C. Dùng symmetric key

D. Không ký

Đáp án: B - Signature = K_CA^-(hash(Bob's info + K_B^+))

Câu 45: Alice verify certificate của Bob như thế nào?

A. Dùng private key của Alice

B. Dùng public key của Bob

C. Dùng public key của CA

D. Dùng symmetric key

Đáp án: C - K_CA^+ để decrypt CA's signature - Nếu valid → K_B^+ đáng tin cậy

Câu 46: Trong PKI, ai giữ private key của entity?

A. CA giữ

B. Entity đó giữ (chỉ mình nó biết)

C. Public - ai cũng biết

D. Tất cả users

Đáp án: B - Private key PHẢI bí mật

Câu 47: Certificate giải quyết vấn đề gì của ap5.0?

A. Tốc độ chậm

B. Man-in-the-Middle attack (xác thực public key thuộc đúng entity)

C. Playback attack

D. DoS attack

Đáp án: B

PHẦN 7: PHÒNG THỦ (DEFENSE)¤

Câu 48: Firewall hoạt động theo nguyên tắc nào?

A. Allow-by-default

B. Off-by-default: filter incoming packets

C. Encrypt tất cả traffic

D. Chỉ block DoS

Đáp án: B - Restrict senders, receivers, applications

Câu 49: Digital signature dùng để đảm bảo điều gì?

A. Confidentiality

B. Message integrity và authentication

C. Availability

D. Anonymity

Đáp án: B

Câu 50: VPN (Virtual Private Network) cung cấp tính năng gì?

A. Chỉ tăng tốc độ

B. Access restriction với confidentiality

C. Chỉ routing

D. Chỉ firewall

Đáp án: B - Password-protected - Encryption

Câu 51: Để chống DoS attack, cần làm gì?

A. Chỉ dùng firewall

B. Detection và reaction mechanisms

C. Chỉ dùng encryption

D. Tắt server

Đáp án: B - Firewall filtering - Rate limiting - Traffic analysis

Câu 52: Nonce giúp chống được attack nào?

A. MITM attack

B. DoS attack

C. Playback attack

D. Sniffing attack

Đáp án: C - Number chỉ dùng 1 lần

PHẦN 8: TỔNG HỢP NÂNG CAO¤

Câu 53: Trong encapsulation, router xử lý đến layer nào?

A. Physical layer only

B. Đến Network layer (Hn)

C. Đến Transport layer (Ht)

D. Đến Application layer (M)

Đáp án: B - Router làm việc ở Network layer - Switch làm việc ở Link layer

Câu 54: End-to-end encryption xảy ra giữa layers nào?

A. Physical và Link

B. Network và Transport

C. Application và Application (giữa 2 end systems)

D. Link và Link

Đáp án: C

Câu 55: Tại sao Internet stack không có Presentation layer?

A. Không cần thiết

B. Application tự implement encryption, compression nếu cần

C. Quá phức tạp

D. Chưa phát triển

Đáp án: B

Câu 56: Symmetric key cryptography có vấn đề gì?

A. Quá chậm

B. Cần chia sẻ key an toàn giữa các bên; khó scale

C. Không đủ mạnh

D. Không có vấn đề

Đáp án: B - n entities cần n(n-1)/2 keys

Câu 57: Public key cryptography giải quyết vấn đề gì của symmetric key?

A. Tốc độ

B. Không cần chia sẻ secret key; dễ scale hơn

C. Độ bảo mật

D. Chi phí

Đáp án: B - Mỗi entity chỉ cần 1 cặp (public, private) key

Câu 58: Kết hợp symmetric và asymmetric cryptography trong thực tế như thế nào?

A. Chỉ dùng symmetric

B. Chỉ dùng asymmetric

C. Dùng asymmetric để trao đổi symmetric key, sau đó dùng symmetric để encrypt data

D. Dùng ngẫu nhiên

Đáp án: C - Asymmetric: chậm nhưng an toàn cho key exchange - Symmetric: nhanh cho bulk data

Câu 59: Botnet trong DoS attack là gì?

A. Một loại malware

B. Tập hợp các compromised hosts bị điều khiển để tấn công

C. Một công cụ phòng thủ

D. Một routing protocol

Đáp án: B

Câu 60: RFC (Request for Comments) là gì?

A. Phần mềm network

B. Internet standards documents

C. Một loại protocol

D. Network device

Đáp án: B - IETF xuất bản RFCs

GHI NHỚ QUAN TRỌNG¤

Công thức phải thuộc:¤

  • d_nodal = d_proc + d_queue + d_trans + d_prop
  • d_trans = L/R
  • d_prop = d/s

Thứ tự encapsulation:¤

M → [Ht|M] → [Hn|Ht|M] → [Hl|Hn|Ht|M] → Bits

CIA + Authentication:¤

  • Confidentiality: Encryption
  • Integrity: Digital signature
  • Availability: DoS prevention
  • Authentication: Prove identity

3 attacks chính:¤

  1. Sniffing: đọc packets
  2. Spoofing: giả mạo source
  3. DoS: làm quá tải

Evolution of authentication:¤

  • ap1.0: ❌ (no proof)
  • ap2.0: ❌ (IP spoofing)
  • ap3.0: ❌ (playback)
  • ap4.0: ✅ nonce + symmetric (nhưng cần shared key)
  • ap5.0: ❌ (MITM - fake public key)
  • PKI/CA: ✅ certificate giải quyết MITM

Layers:¤

  • 5: Application, Transport, Network, Link, Physical
  • 7 (OSI): + Presentation, Session