FE Master 2026

DAY 75🇯🇵 インフラセキュリティ

Hạ tầng & Tổng ôn An toàn thông tin

75%

Quảng cáo • Advertisement

📢 Sponsor Ad

Google AdSense

🎯 Mục tiêu bài học

Xây dựng pháo đài số bảo vệ hệ thống.

1. Firewall (Tường lửa)

Loại	Hoạt động	Ưu/Nhược
Packet Filtering (Stateless)	Check IP/Port nguồn đích. (Vd: Cấm IP Trung Quốc).	Nhanh. Nhưng dễ bị qua mặt (IP Spoofing).
Stateful Inspection	Theo dõi trạng thái kết nối (Biết gói này thuộc kết nối đã mở hay mới tinh).	An toàn hơn. Chuẩn mực hiện tại.
WAF (Web App Firewall)	Layer 7. Hiểu HTTP. Chặn được SQLi, XSS.	Chuyên dụng cho Web. (Vd: Cloudflare WAF).

graph LR H[Hacker] -- SQL Injection --> FW{Firewall L3/L4} FW -- Cho qua (Vì đúng port 80) --> WAF{WAF L7} WAF -- Chặn (Phát hiện SQLi) --> H U[User] -- Request sạch --> FW --> WAF --> Server

2. IDS vs IPS

IDS (Intrusion Detection System): Camera quan sát. Thấy trộm thì hú còi (Gửi mail cảnh báo Sysadmin). Không can thiệp. (Vd: Snort).
IPS (Intrusion Prevention System): Bảo vệ gác cửa. Thấy trộm là đấm (Drop gói tin) luôn. Rủi ro: Chặn nhầm User thật (False Positive).

3. DMZ (Demilitarized Zone) - Vùng phi quân sự

Mô hình mạng an toàn:

Internet (Vùng nguy hiểm).
DMZ (Vùng đệm): Chứa Web Server (Public). Ai cũng vào được. Nếu bị hack cũng không sao.
Internal Network (Vùng nội bộ): Chứa Database, App Server. Chỉ có Web Server từ DMZ mới được chui vào đây. Internet không được vào thẳng.

4. VPN (Virtual Private Network)

Tạo một đường hầm mã hóa (Tunnel) qua Internet công cộng.

Site-to-Site: Nối 2 văn phòng ở Hà Nội và Sài Gòn thành 1 mạng LAN. (Dùng IPSec).
Remote Access: Nhân viên làm ở nhà kết nối vào công ty. (Dùng SSL VPN/OpenVPN).

5. Zero Trust Architecture (ZTA) - "Niềm tin là xa xỉ"

Mô hình cũ: "Tin tưởng mạng nội bộ" (Castle-and-Moat). Vào được VPN là coi như người nhà.

Mô hình mới (Zero Trust): "Giả định mạng nội bộ đã bị hack".

Luôn xác thực mọi request (dù đến từ Admin hay Server bên cạnh).
Vi mô hóa phân quyền (Micro-segmentation).
Phương châm: "Never Trust, Always Verify".

📝 Lab 17: Server Hardening Checklist

Khi mới mua VPS, phải làm ngay:

Đổi port SSH mặc định (22 -> 2222) để né tool scan auto.
Cấm root login (PermitRootLogin no).
Chỉ cho phép Login bằng Key Pair (Tắt Password Authentication).
Cài Fail2Ban (Login sai 5 lần IP bị ban vĩnh viễn).
Bật UFW (Uncomplicated Firewall): Chỉ mở port 80, 443, 2222. Cấm hết còn lại.

Q: Salt trong mật khẩu có chống được Dictionary Attack không?

A: Bớt được một phần, nhưng chủ yếu Salt chống Rainbow Table (Bảng tra cứu Hash tính sẵn). Còn Dictionary Attack (Thử từng từ điển) vẫn có thể thành công nếu Pass quá yếu. Để chống Bruteforce/Dictionary, cần dùng thuật toán Hash chậm (như bcrypt, Argon2) hoặc giới hạn số lần thử.

6. Quy trình ứng phó sự cố (NIST Incident Response)

Preparation: Chuẩn bị quy trình, tool, training.
Detection & Analysis: Phát hiện dấu hiệu bị hack.
Containment, Eradication & Recovery: Khoanh vùng lỗ hổng, tiêu diệt mã độc, khôi phục hệ thống.
Post-Incident Activity: Họp rút kinh nghiệm (Lessons Learned).

📝 Luyện tập Part B (Exam Drills):

Câu hỏi: Trong 4 bước trên, bước nào quan trọng nhất để ngăn lỗi tương tự lặp lại?
Đáp án
Post-Incident Activity (Rút kinh nghiệm).
Câu hỏi: Site-to-Site VPN thường dùng giao thức gì?
Đáp án
IPSec.