Đề thi triển khai an toàn Mạng
Trang 1[ei DE THI LY THUYET MON TRIEN KHAI AN TOAN MANG - ¥CE Cli
Hệ thống mạng Domain ma ban quan ly co may ISA2006 cai dat ISA Firewall Server 2006
Doanh nghiép muén trién khai mét chinh sach trén ISA2006 yêu cầu ngươi dùng trên Internet được chưng thực trược khi truy cập vao Web Server của công ty
Bạn cần cấu hình publish VVeb Server trên ISA2D0B theo yêu cầu chính sách của công ty nêu trên
Vậy bạn cần phải làm gì?
© Al) Tao mét Web publishing rule Cu hinh rule để yêu cầu user chưng thực |}
© B Tao mét Web publ
© C Tao mét HTTP server publishing rule.Cấu hình rule đễ chỉ đến cac users trong LAN truy cấp đến IS/A2006
ho cac user trong mạng LAN truy cập được VVeb Server
ing rule C4u hinh rule
© D Tao mét HTTP access rule C4u hinh rule cho phep cac két ndi truy cap tu mang External vao Internal
Một máy tính kết nối internet bằng công nghệ ADSL khi kết nối internet thành công, ISP sế cấp một địa chỉ IP Trong trường hợp không có một sự can t
hãy chọn phát biểu chính xác:
© A Địa chỉ IP đó được cấp cho máy tính của người dùng
© B Bia chi IP đó được cấp cho card mạng giao tiếp intenet trên máy người dùng
€© C.[Đia chi IP đó được câp cho thiết bị mạng giao tiếp cong RJ-11 trong ADSL modem
© D Địa chỉ IP đó được cấp cho thiết bị mạng giao tiếp cũng R.-45 trên ADSL modem
Trang 2
[6] DE THI LY THUYET MON TRIEN KHAI AN TOAN MANG - ¥CE Cl
Item 3 of 50
Hệ thống VPN cơ tấc dụng gỉ trong doanh nghiệp?
€ A Chia se dữ liệu qua mạng Internet
© Bl) Tao ra một hệ tỉ
ec
g mạng LAN áo thông qua môi trương Internet, đăm bảo an toàn thông tin
thống bao mật thông tin
Để phòng chẳng đánh cắp tài khoăn bằng #eyfog một cách hữu hiệu, người dùng phải:
© A Cài đặt một chương trình Anti Keyfogger
€8 ÍT Admin thường xuyên giám sát mạng để phát hiện các S/M7P traffc gỡi theo một chu kỳ nhất định
© C kiểm tra kỹ các tập tin thực thi (*.exe, *“.com, ) tãi về từ internet
c p[ ren Ï
Trang 3Users trén ISA Server duoc bao vé yéu c4u truy cap voi cac giao thuc PPTP va L2TP théng qua IPSec VPN servers trén Internet
Quan trí viên cổng ty ABC cấu hình tất ca các may tính mạng con bên trong truy xuất ra mang ngoai, ngoai tr ISA2DB, vơi ca Web Proxy va Firewall clients Ban tao
access rule trén ISA2006 dé cho phep kết Internet bằng cách sử dụng cac giao thc PPTP Client, IPSec NAT Traversal (NAT-T) Client va IKE Client Tuy nhién ban phất hiện ra rằng các user khơng thế kết nối ra PPTP va L2TP thơng qua IPSec VPN servers trén Internet
© B._G@ bo cau hinh Firewall client cua cac may tinh trong mang LAN
€ CÏCấu hình các may trong mang LAN bang SecureNAT clients [)
h năng Web Proxy client cac may tinh trong mang LAN
© D Cau hinh cac may tinh trong mang LAN su dung ché dé duwong ham IPSec
Ban quan trí hệ thống mạng máy tính cho trương Cao Đẳng Nghé i iSPACE co Firewall ISA May tinh cai ISA Server 2006 co dên la ISA2006, tat ca cac may tinh trong
LAN su’ dung Firewall client va Web Proxy client Ban tao cho phong marketing access rule đễ truy cập mail server bên ngồi
aterprise Policy Rules Applied Before Array Firewall Policy
rewall Policy Rules
3 [f]1 Array POPS and SMTP for Marketing w ỤPOP3 — <a Internal @esternal #?,Makeing
ÄsmTP
Tuy nhiên nhân viên phong Marketing sử dụng Microsoft Outlook để kết nối đến mail server bên ngoai dé gui nhận mail thì nhận được thơng bao lỗi Bạn truy cập đến
ISA2006 xem cac logs va phat hiện ISA200B cấm cac kết nối POP3 va SMTP tư các may tính client
Vậy bạn cần phai lam gì?
€ A Cấu hình DNS cho phân giải tên miền của Mail Sewer bên ngội
© B Cac may tính client trong phong Marketing thiết lập Default Gateway về may ISA2006
© © Trên may ISA200B bật tính năng Outlook trong phan thiét lap Firewall client
© D Trén may ISA2006 tao Computer Sets chu’a cac may tinh phong Marketing
Trang 4
[ele THI LY THUYET MON TRIEN KHAI AN TOAN MANG - ¥CE Client = 18) xi
_mị
IP Security Policy duoc Windows cau hình với 3 Policies mặc định Trong đó Policy có tên "Secure Server (Request Security)" mang ý nghĩa:
cr
ltem 8 of 60
Cache la mat ving dia cứng dùng lưu trứ các dứ liệu đi ngang qua lSA Serer Sau khi cai dat ISA Server 2006, na sé:
© A Chity déng cache sau khi ngudi dling Enable Cache trén ISA Server
© C Chity déng cache sau khi ngudi dling dinh nghia Cache trén ISA Server (Define cache)
€ D Tự động cache tắt cả dữ liệu di ngang qua nó ngay sau khi cài đặt ISA
Trang 5
[G{DE THILY THUYET MON TRIEN KHAT AN TOAN MANG = WCE
Vai trở của Proxy:
© A Cho cac may néi bé ra mang ngoai, Block URL, Block va Filter n6i dung
© B Cho các mấy mạng ngoải truy cập trực tiếp vảo các mấy mạng nội bộ
€ C Kiểm tra quyển các user
Bạn là người quãn tị mạng tại trưởng CÐ iSPACE Máy Server ISA dat tai CN Phú Nhuận, máy ISA2 đặt tại CN Biên Hòa Bạn dang triển khai kết nổi VPN kiéu Site-
to-Sile giữa 2 Chỉ nhánh với giao thức L2TP/IPSec và dùng phương thức chứng thực Pre-shared Key Ban mé "Routing and Remote Access" va nhap Pre-shared Key
vào trong hộp thoại Properties cia RRAS Server Kết nói Siteto-Site thành cổng Bạn khỡi động lại ISA Server va thir lai thì thất bại Bạn sẽ giải quyết van dé
này bằng cách
© A, Nhap lai Pre-shared Key trén c4 2 ISA Server Dm bao ding ting ky tu, con sé
© B Gỡ bỏ tất c các Certiicates trén ISA Server & c& 2 Chi nhánh
© Cen TSA Sener a ca 2 Chi nhành: xGa bo Pre-shared Key trong "Routing and Remote Access” va nhap lai Pre-shared Key trong hop thoal “VEN Properties” trang
ISA Management Console”
© D Cai dat lai cac Certificates trén ISA Server ở cả 2 Chỉ nhánh Dong thoại kích hoạt phương thức chứng thực EAP trên hộp thoại “Authenticaties” trong ISA
End Exam
Trang 6"ôi thiết lập dia chi IP cho các máy client trong mạng nội b6 cia hé thống mạng cơ Firewall ISA Server như sau:
Connect ing
[BE ANGPOETFeetyFOEese - vaucm ml setnr ansgred anata yu nek pets
‘thes capably Otherase, you need to ask your network admerestrator for
——
T
hà ceecem vee teledenbgeelÏ Oo ae
© Use the leloning IP adeters:
(tain DNS serve >ddees automaticaly © GIÁ SERVER
© Use the foloveng ONS server Pretened DNS server:
Hệ thống mạng tại iSPACE có một máy Web Server phục vụ cho các người dùng internet Tên miễn www.ispace.edu.vn phân giải về địa chỉ Đubiic ÉP tại máy
SecureNAT Server Máy Web Server này đã giao tiếp được intemet qua SecureNAT Server Tuy nhiên, người dùng intemet bên ngoài lại không thể truy câp Web cla Sewer này bằng tên miền wwwispace.edu.vn Nguyên nhân
€ A._ Do người quản tị iSPACE không thiết lập may Web Server trữ thành một internet Gateway
€ B Do người quản hrị chưa mỡ potttrên $ecureNAT Server chuyễn hướng các HTTP trafïc (từ internet đi vàn mạng) tới máy Web Server
€ C- Do SecureMAT Seer đã kích hoat chirc n’ng "Basic Firewal"
© DJ Do tén mign www.ispace.edu.vn, không được phân giải về địa chỉ IP của Web Server |
Trang 7
T8jDE Trí Ly THUYET EN ESS ele
r
Item 13 of 50
‘VPN la tư viết tất của cum tu nao sau day?
© AJ Minual Private Network
© B Visual Private Network
© C Virtual Protect Network
© D Verify Private Network
g6 trén Metasploit khong diroc thi hank Nguyén nhân là do:
© , Do không kểt ni được tới máy nạn nhên
© B [Do rnan mem Anti Virus trén chay Metasploit da khda (blocked khéng cho thi hành)
Trang 8Select the best choice
| Previous Review End Exam
© A Add mét dia chi IP cho card mang extemal én ISPACE_ISA2
© B Thay đối cau hinh IPSec trén ISPACE_ISA1 va ISPACE_ISA2 dé sir dung thuat toan MDS
OC Tao mat access rufe để cho phép TCP port 80 outbound
BS dung NAT gira har van phòng
Select the best choice
Trang 9© ¢ Dat mat kau
€ D Tìm một phần mềm má hóa mật khdu manh
BDE Trí Ly THUYET MƠN TRIEN KHAT AN TOAN MANG - ¥CE Client BEE
ISA2006 được cấu hình chỉ đễ chấp nhận chưng thực EAP cho các may VPN client Tất cả các may VPN client được cấp phát các giấy phép chưng thực ngươi dừng
tư hệ thống chưng thực Certiication Authority (CA)
Tuy nhiên ngươi dùng thông bao lä họ không thể kết nổi vao trong mạng Thông bao lỗi như sau:
Error 691: Access was denied because the username and/or password was invalid for the domain
Vậy bạn cần lam gì để cấu hình cho ngươi dũng VPN co thể kết nổi vao mạng
€© A Thực hiện gia nhập ISA206 vao hệ thống mạng Domain doanh nghiệp
€ B [Đặt CA cenincate vao trong kho lưu trừ VPN chenle Trusted Root Certification Authorities
‘© C.” Cho phen quyên remote access cho VPN user accounts trong Active Directory
Trang 10internet cho tắt cả các user của trung tâm truy cập intemet Tắt cã các máy tính trong mạng cầu hình như là SecureNAT client Ban tao mét access rule trên
ISPACE _ISA1 để cho phép tất cả các user truy cập được tắt cã các protocol trên External network
Ban xem Firewall log và WWeb Proxy filter log trên ISPACE_ISAI thì nhận thấy rằng tat cã các URL của các Website mà các user truy cập không hiển thị
Bạn cần làm gì để chắc chắn rằng tắt cã các Website mà user truy cập đều hiễn thị & log file của ISPACE_ISA1?
© A Céu hinh tất cả các máy tính như là Firewall client
© B Cấu hình ISPACE_ISA1 để chứng thực cho Web
© Of Cau hinh tt c& cac may tinh nhu la Web Proxy client
© D Cau hinh ISPACE_ISAT dé chirng thye cho tat ca cac protocol
© A Ghi nhận thông tin cac may bị tấn công
© B Pha huy phần mềm hệ thống may bị tấn công
© © Gián điệp, giam sat
a
Trang 11
ISA Server 2006 duoc cai dat trén may Windows Server 2003 Sau khi cấu hình VPN trén “ISA Management Console", nguéi quan tri mé chương trình “Routing and Remote Access" (trang "Administrative Tools’) thi thay dich vu này đang được hoạt động (Enable) Chọn một phát biểu đúng dưới đây
€ A không được Disable "Routing and Remote Access" cla Windows SA Server sử dụng RRAS cũa Windows
cla Windows ma hệ thang VPN vấn hoạt động tốt
| Ereseus Next Review
Những nhân viên muốn truy cap VPN vao may VPN Server dat tai Chỉ nhánh (4 Server này lại không hé trợ phương thức chứng thực CA cho các VPN Connection
Bạn phải thiệt lập môi quan hệ kiểu ROUTE giữa Internal va External network Bạn phải làm gì dé dam bão rằng người dùng có thê truy cập vào VPN Server Chỉ nhánh 4?
€ A Tạo môt Access Rule cho phép truy cập ra ngoài đối với những Client ding IPSec vai phuong thirc bao mat Encapsulation Security Payload (ESP)
€ BỊ Tạo mot Access Rule cho phep truy cap ra ngoài đôi với những Client dùng phương thức báo mật
© C Tao mét Access Rule cho phép truy cap ra ngo những Client ding giao thức PP
© D Tạo môt Access Ruls_ cho phép truy cập ra ngoài đồi với những Client dùng giao thức L2TP
Trang 12[cPãmmmmmr
r
iSPACE có nhu cầu triển khai hé théng Firewall bang ISA Server 2006 Tai iSPACE hién cé mét hé thdng mang Active Directory vai mét DC va mét File Server cling vi
50 may Client La người quan trị mạng tại iSPACE, bạn chọn giải pháp nào?
AÀ Xây dựng hệ thống Firewall kiéu Three-Leg (Three-Homed), dura may DC va FS vao DMZ Network
© B Ray dung hệ thông Firewall kiểu @ack-End Firewall, da may DC, FS cac Client vao Internal Network ƒ
© © Xay dung he thong Firewall kigu Back-End Firewall, dua may DC va FS vao DMZ Network
€ D Xây dựng hệ thống Firewall kiểu Three-Leg (Three-Homed), đưa may Client vao DMZ Network
ect the best choice
iSPACE hign c6 mét hé théng Firewall kiéu Three-Homed vdi Firewall Server Ia may ISAT May Web Sewer duoc dat trong DMZ Network và đá được Publishing cho
người dùng internet truy cập Các người dùng nội bộ báo lại rằng: họ không truy cập được bất kỳ trang Web nào, kể cả trang Web của iSPACE, Là người quản trị
mạng, Bạn sẽ giải quyết van để này bằng cách
© A, Tao thém mét Access Rule cho phép HTTP trafic tir Internal dén External va DMZ
© © Tao marmot Network Rule vr quan Mỹ Kiểu MAT,
€ D Tạo mới một Network Rule với quan hệ giữa DMZ và External kiểu ROUTE
gitra Internal
Trang 13
Phương thực tấn công tư chối dich vụ phân tan DDoS Vậy tư DDoS viết tất của:
© A Disk Denial of Service
© B Disagreed Denial of Sevice
© C Difference Denial of Service
Bạn là người quản trị mạng tại trung tâm iSPACE Máy Server ISA1 cung cấp giao met cho tat c& may trong mạng Để đãm bão an toàn cho tất cã Client, Bạn
quyết định triển khai giao tiếp Internet cho Client kiéu Web Client Proxy Triển khai van để này, ISA1 phãi được cấu hình như là một Proxy Server, béing cach:
© A Trén may ISA1, trong nhénh "Networks": Properties của "Local Host” vào tab "Web Proxy" và chọn “Enable Proxy”
© B Trén may ISA1, trong “Intemet Options” chon tab “Connection” chon n
LAN Settings" va chon "Use a Proxy Server"
a ° Tên máy lSA1, trong nhánh "Newotks~ Properties cua "fnfernaaf vào tạb "Web Proxy" và chon “Enable Web Proxy Client”
Trang 14E THI LY THUYET MON TRIEN KHAI AN TOAN MAN
CD Định nghĩa một Protocol mi ó tên RDP- dung TCP port 12345 lam inbound
ID Bo Tao mol Server, ing rule st dang Tượng
ÍT C Định nghĩa một Protocol mới có tên RDP-x, sử dụng TCP port 12345 làm owfbound
I D Tạo một AccessRufe sir dung RDP-x Protocol
