Welcome to Nguyen Tung's Blog ^_^

Chào tất cả mọi người!


Welcome to WordPress.com. This is your first post. Edit or delete it and start blogging!

10.10.2010 Posted by | Khác | %(count) bình luận

Chúc bạn sử dụng 8 giờ làm việc hiệu quả


Chúng ta có 24 giờ mỗi ngày.

 8 giờ để ngủ

 8 giờ để ăn, lái xe, chơi thể thao, shopping, vui chơi giải trí, giành cho gia đình, …

 8 giờ để làm việc

Sẽ ảnh hưởng sức khỏe nếu bạn dùng giờ ngủ để làm việc hoặc vui chơi.

Cuộc sống sẽ ngắn đi nếu bạn lấy giờ vui chơi, thư giản để ngủ hoặc để làm việc.

Và bạn sẽ không tiến bộ được, thậm chí không duy trì được việc vui chơi nếu lấy giờ làm việc để vui chơi hay để ngủ.

Chúc bạn sử dụng 8 giờ làm việc hiệu quả!

Thân mến,

27.08.2010 Posted by | blog | Bạn nghĩ gì về bài viết này?

Những bài học xương máu


Bài học thứ 1 :

Ông chồng đi tắm sau khi vợ vừa mới tắm
xong, đúng lúc chuông cửa reo. Vợ vội quấn khăn tắm vào và chạy xuống mở
cửa. Cửa mở thì ra là ông hàng xóm A. Chị vợ chưa kịp nói gì thì A. bảo
:
– Tôi sẽ biếu chị một nghìn USD nếu chị buông cái khăn tắm kia ra .

Suy
nghĩ một chút, rồi chị vợ mở khăn tắm, đứng trần truồng trước mặt ông
A.

Sau vài giây ngắm nghía, ông A. đưa một nghìn USD cho chị vợ
rồi đi. Chị vợ quấn khăn tắm lại vào người rồi trở vào nhà. Vào đến
phòng tắm, ông chồng hỏi :
– Ai đấy em ?
– Ông A. hàng xóm !

Tốt….! Thế hắn có nói gì đến số tiền một nghìn USD của hắn ta nợ anh
không ?

** Bài học xương máu :
Nếu anh trao đổi thông tin
tín dụng với cổ đông của mình kịp thời thì anh đã có thể ngăn được sự
"phơi bày".

Bài học thứ 2 :

Một tu sĩ
nam ngỏ ý mời tu sĩ nữ đi chung xe. Người nữ chui vào xe , ngồi bắt chéo
chân để lộ một bên bắp chân. Người nam suýt nữa thì gây tai nạn.

Sau
khi điều chỉnh lại tay lái, người nam thò tay mùi mẫm lên đùi người nữ.
Người nữ nói :
– Xin Ngài…..! hãy nhớ điều răn 1293………
Người
nam liền bỏ tay ra.
Nhưng sau khi vào số , nam lại tiếp tục sờ soạng
chân người nữ tiếp. Một lần nữa người nữ lại nói :
– Xin Ngài …..
hãy nhớ điều răn 1293.
Người tu sĩ nam then quá :
– Xin lỗi nữ..!
Tôi trần tục quá !
Đến nơi, tu sĩ nữ thở dài và bỏ đi. Vừa đến nhà tu
, tu sĩ nam vội vã chạy vào thư viện tra cứu ngay lập tức điều răn
1293, thấy ghi như sau :
– Hãy tiến lên, tìm kiếm, xa hơn nữa, con sẽ
tìm thấy hào quang……..
.

** Bài học xương máu :
Nếu
anh không nắm rỏ thông tin trong công việc của mình, anh sẽ bỏ lở một cơ
hội to lớn.

Bài học thứ 3 :

Một nam
nhân viên bán hàng, một nữ thư ký hành chánh và một sếp quản lý, cùng đi
ăn trưa với nhau, họ bắt được một cây đèn dầu thật là xưa…..
Họ
xoa tay vào đèn và thần đèn hiện lên. Thần đèn bảo :
– Ta cho các con
mỗi đứa một điều ước. Nên nhớ chỉ duy nhất một điều mà thôi.
Tôi
trước…..! Tôi trước….! Nữ thư ký hành chính nhanh lẹ nói :
– Tôi
muốn được du lịch nơi Las Vegas để quên hết sự đời….. cô thư ký biến
mất.
Đến lượt tôi….! anh nhân viên bán hàng nói :
– Tôi muốn ở
Hawaii nằm dài trên bãi biển có nhân viên massage riêng và hưởng hạnh
phúc với người tình trăm năm…. anh nhân viên bán hàng biến mất.
OK !
Đến lượt anh . Thần đèn nói với ông quản lý . Ông quản lý nói :

Tôi muốn hai đứa đó … có mặt ở văn phòng đầu giờ trưa nay ….

**
Bài học xương máu :
Luôn luôn để "Xếp" phát biểu trước……nhớ nghe
!

Bài học thứ 4 :

Một con đại bàng
đang đậu trên cây nghỉ ngơi, chẳng làm gì cả . Một con thỏ con nhìn thấy
thế hỏi :
– Tôi có thể ngồi không và chẳng làm gì giống anh được
không ?
Đại bàng trả lời :
– Được chứ sao không !
Thế là con
thỏ ngồi xuống nghỉ ngơi. Bổng nhiên một con cáo xuất hện, vồ lấy ăn
thịt con thỏ.

** Bài học xương máu :
Để được ngồi không
chẳng làm gì ? Anh phải ngồi trên cao…..thật là cao lắm
ý……………….

Bài học thứ 5 :

Một
con chim nhỏ bay về phương nam tránh rét. Trời lạnh quá con chim đông
cứng lại và rơi xuống một cánh đồng lớn. Trong lúc nó nằm đấy, Một con
bò đi ngang qua ỉa vào người nó. Com chim nằm giữa đống phân bò, nhận ra
rằng người nó đang ấm dần. Đống phân ấy đã ủ ấm cho nó.

Nó nằm
đấy thấy ấm áp và hạnh phúc, nó bắt đầu cất tiếng hót yêu đời. Một con
mèo đi ngang qua, nghe tiếng chim hót, lần theo âm thanh con mèo phát
hiện ra con chim nằm dưới đống phận, nó liền bới con chim ra ăn thịt.

**
Bài học xương máu :
1.- Không phải thằng nào ỉa vào mình cũng là kẻ
thù của mình.
2.- Không phải thằng nào kéo mình ra khỏi đống phân cũng
là bạn mình.
3.- Và khi đang ngập ngụa trong đống phân thì hay và tốt
nhất là ngậm cái mồm lại nhé….
Nguồn:
http://forum.vietyo.com/topic/nhung-bai-hoc-xuong-mau-64738.html
 

15.06.2010 Posted by | Giải trí | Bạn nghĩ gì về bài viết này?

SMS CHÚC NGỦ NGON HAY


[ENG]: Somewhere out there beneath the pale moon light someone thinkin
of u somewhere out there where dreams come true… nitenite & sweet
dreams 2 u

[VIE]: Ở đâu đó ngoài kia dưới ánh trăng bạc, có một
người đang nghĩ về em! Ở đâu đó ngoài kia nơi những giấc mơ sẽ trở
thành sự thật… ngủ ngon và mơ đẹp em nhé!!

—————————————————–
[ENG]: As nite
falls upon the land, it is time 2 Zz again. With the moon hangin in the
starlit sky, i’m here 2 wish U NiteNite! Sweet dreams, cover blanket
tight tight.

[VIE]: Đêm đã rơi xuống, đã đến lúc phải đi ngủ
rồi. Trăng đang treo lơ lửng sáng rực trên bầu trời, anh ngồi nhắn tin
chúc em ngủ ngon. Mơ về anh nhé và trùm chăn
thật chặt vào!!

—————————————————–
[ENG]: On this
cold cold nite,in My small small rOOm,i Look At The Brite Brite StArS
iN tHe DaRk DaRk sKy & DrEaM of uR sWeet sWeet SmiLe on ur CuTe CuTe
FaCe! GdNiTe!

[VIE]: Trong đêm lành lạnh này, trong cằn phòng
nho nhỏ này, anh nhìn lên những ngôi sao sang sáng trên bầu trời tôi tối
và mơ về nụ cười ngọt ngọt trên gương mặt xinh xinh của em. Chúc ngủ
ngon!
—————————————————–

[ENG]: Wash your face and wash your feet! Now itz time 2 fall asleep.
Yours eyes are weak N mouth can’t speak so hope tis nite shall b nice
and sweet. Good Nite.

[VIE]: Đi rửa mặt và đi rửa chân! Đến giờ
đi ngủ, đừng lần chần. Đôi mắt trĩu nặng và đôi môi câm lặng, vì thế
chỉ mong đêm sẽ dịu dàng và ngọt ngào đưa đến những giấc mơ hồng. Chúc
ngủ ngon!

—————————————————–
[ENG]: Stars light Stars bright u’re the only Star I see tonite. I wish
I may. I wish I might be there guarding ur dreams tonite, gd nite sweet
dreams.

[VIE]: Những vì sao sáng, những vì sao lấp lánh nhưng
em là vì sao duy nhất anh nhìn thấy hôm nay. Anh muốn được là "lão" vệ
sĩ đứng canh cho những giấc mơ của em đêm nay. Chúc ngủ ngon!

—————————————————–
[ENG]: I was
looking out the windows thinking about the person I care most & the
person that came into my mind is U so juz wanna wish u good nite…….

[VIE]: Em đang nhìn ra ngoài cửa sổ nghĩ về người mà em quan tâm
nhất và người mà đang ở trong tâm trí em. Đó là anh! Vì thế em chỉ muốn
chúc anh ngủ ngon thôi!!

—————————————————–
[ENG]: da
starz r out, da moon is up, 1 more HUG, 1 more smile, KISS u once, KISS u
twice, now itz time 4 bed. Close ur @@, n sleep tite!

[VIE]:
Nhưng sao đã tắt, chị Hằng đã mở mắt. Ôm 1 lần nữa, cười một lần nữa,
hôn một lần nữa, hôn hai lần nữa. Đã đến giờ đi ngủ, nhắm @@ vào em nhé,
ngủ ngon!!
—————————————————–
[ENG]: No matter the sky is black or blue, no matter there’s stars or
moon, as long as ur heart is true, sweet dreams will always be wif u. Gd
Nite!

[VIE]: Cho dù bầu trời màu xanh hay màu xám, cho dù bầu
trời có trăng hay có sao, miễn là trái tim em chân thành, những giấc mơ
ngọt ngào sẽ luôn ở bên em. Chúc ngủ ngon!!

—————————————————–
[ENG]: In tis
lovely nite, I pray 2 the blue moon 2 protect U thru the nite, the wind 2
blow away ur stress N the twinkle stars 2 guide U the way, sweet dreams
Gd Nite.

[VIE]: Trong đêm tuyệt vời này, anh cầu nguyện ánh
trăng xanh hãy che chở cho em, ngọn gió thơm hãy thổi đi những ưu phiền
và những ngôi sao lấp lánh dẫn đường cho em đến những giấc mơ ngọt ngào.
Ngon giấc nhé bé yêu!!

—————————————————–
[ENG]: ThinGs 2
TaKe NoTe WheN u SleeP: 1st-MiSS Me, 2nd-ThInk oF Me, 3rd-HuG Me,
4th-LoVE mE. TrY 2 SlEEp NoW & ClOSe Ur EyeS. Get PrePaReD 2 DrEaM
oF mE! Gd NiTe!

[VIE]: Những việc em phải nhớ khi em đi ngủ: 1 –
Nhớ anh; 2 – Nghĩ về anh ; 3- Ôm anh; – 4- Yêu anh; 5- Nhắm mắt vào và
ngủ ngay đi. Chuẩn bị mơ về anh nhé! Chúc ngủ ngon!

—————————————————–
[ENG]: LyinG
oN mY BeD, LoOkiN @ ThE CloCk, I nOe tAt iTs timE 2 zzz. I WonDeR HoW
hAv U bEEn todaY… HopE Tat EveryTHinG is FInE.. WiSh u sweeT dReaMz n
Sleep TiGhT!

[VIE]: Nằm trên giường và nhìn đồng hồ, anh biết
rằng đã đến giờ đi ngủ. Nhưng anh vẫn phân vân không biết hôm nay em thế
nào?? Mong rằng mọi chuyện đều ổn. Chúc em có những giấc mơ ngọt ngào
và ngon giấc.
—————————————————–
[ENG]: FreNz r 4-evER liKE E starS taT kePt blinkin In E sky. THoUgh we
MighT b Far Apart.. BUt I noE taT u r Still Near 2 Me WhnEveR I look
up… Gd nite N sleep TiTE

[VIE]: Tình bạn mãi mãi như ngôi sao
sáng lấp lánh trên bầu trời. Mặc dù chúng ta có cách xa nhau nhưng mình
luôn biết bạn vẫn luôn ở gần bên mình mỗi khi mình cần đến bạn. Chúc
ngủ ngon ban yêu!

—————————————————–
Ở đâu đó ngoài
kia dưới ánh trăng bạc, có một người đang nghĩ về em! Ở đâu đó ngoài
kia nơi những giấc mơ sẽ trở thành sự thật… ngủ ngon và mơ đẹp em nhé
!!
—————————————————–
Những
vì sao sáng, những vì sao lấp lánh nhưng em là vì sao duy nhất anh nhìn
thấy hôm nay. Anh muốn được là “lão” vệ sĩ đứng canh cho những giấc mơ
của em đêm nay quá, chúc em ngủ ngon!

—————————————————–
Em đang nhìn
ra ngoài cửa sổ nghĩ về người em quan tâm nhất và là người mà đang ở
trong tâm trí em, đó là anh. Chúc anh ngủ ngon…

—————————————————–
Trong đêm
tuyệt vời này, anh cầu nguyện ánh trăng xanh hay che chở cho em, ngon
gió thơm hay thổi đi những ưu phiền và những những ngôi sao lấp lánh dẫn
đường cho những giấc mơ ngọt ngào. Ngon giấc nhé bé yêu!

—————————————————–
Lạnh quá, ngủ
hông được, nhớ em quá nhắn 1 tin cũng là có tội à . Ngủ ngon nhé, đắp chăn
cho kín kẻo bị lạnh đấy.

—————————————————–
Anh bít giờ
này em đã ngủ rồi! anh đã muốn nhắn tin cho em từ rất sớm nhưng anh muốn
anh là người cuối cùng chúc em ngủ em!!!hãy ngủ ngon trong vòng tay của
anh nhé!!! anh sẽ sưởi ấm cho trái tim em!!! yên tâm ở cạnh anh thì ko
thằng nào dám……!!!!! heheheh

—————————————————–
Bây giờ là 2h
sáng. Em ơi đã ngủ chưa, ciòn anh giờ này đang say giấc nồng, nhưng bất
chợt nhớ em quá nên phải mò dậy kiếm con dê cụ ủa lộn kiếm con dế cụ của
anh mà nhắn tin cho em, chúc em ngủ ngon mặc dù lúc luc1h45 anh đã chúc
rùi. thôi chúc em ngủ ngon lần nữa, anh ngủ đây.

—————————————————–
Sau mỗi ngày
dài mệt mỏi, Anh phải hứa với em rằng sẽ luôn quẳng mọi muộn phiền, lo
lắng trước khi đặt mình lên giường, hãy để lại duy nhất những điều ngọt
ngào theo Anh vào giấc ngủ thôi nhé!

—————————————————–
Chắc ấy đang
ngủ ngon lắm nhỉ. Người ta không ngủ được. Nhớ đằng ấy quá. Mong tới
sáng để được gặp ấy quá. Hix. Miss U. Ngu ngon nhé đằng ấy!

—————————————————–
Em à ! em đã
ngủ chưa? Trời lạnh quá em nhỉ ! Chiếc gối
sưởi ấm của em có còn ấm không. Có lẽ sẽ chẳng ấm như tình
yêu
của anh dành cho em đâu……..Yêu và nhớ em nhiều nhiều. Good
night!

—————————————————–
Tự nhiên anh nghĩ rằng em đang lạnh, và em sắp có những giấc mơ không
đẹp. Vì vậy anh ước gì là tấm chăn dày để sưởi ấm em, anh ước gì được
là con bạch mã để đưa em đến một lâu đài và gặp được một hoàng tử. Sáng
mai thức dậy đọc được tin này hãy nhắn tin trả lời anh là em có bớt
lạnh hay không, em có gặp giấc mơ xấu không?

—————————————————–
Ngủ ngoan nhé,
ko được đạp chăn ra đâu, lạnh lắm đấy! Anh ngủ đây

—————————————————–

Sắp hết
một ngày rồi em ạ . Kô biết anh có phải là người cuối cùng nhắn tin cho
em kô ? Anh nhắn tin để chúc em ngủ ngon trước khi sang ngày mới dù anh
biết em còn thức rất khuya …

12.06.2010 Posted by | blog | Bạn nghĩ gì về bài viết này?

Nếu đường bạn đi không mang tên Đại Học


Cho dù với trường hợp nào, bạn thi rớt hay vì
hoàn cảnh nên chưa thể bước chân vào đại học, điều đó không hề ngăn cản
bạn tìm thấy và nắm lấy cơ hội của mình. Và cơ hội ấy mang tên Dấn
Thân
Lập Nghiệp.

Cơ hội không nhất thiết là mình phải đạt
được những thứ giống người khác đạt được. Không vì người ta đỗ đại học,
mình cũng phải đỗ đại học mới gọi là có cơ hội. Phần lớn do quan niệm
của xã hội, áp lực bởi kỳ vọng của cha mẹ và sự hướng nghiệp chưa đầy đủ
của nhà trường nên chúng ta hoang mang khi phải lập nghiệp trên con
đường không mang tên đại học. Tuy nhiên dù hoàn cảnh thế nào, chúng ta
vẫn có thể có cơ hội để vươn lên nếu chúng ta không tự làm mình gục ngã.
Nếu con đường bạn sẽ đi không mang tên là đại học, nếu bạn không có kế
hoạch ôn luyện để thi lại (vài) lần nữa, bạn vẫn còn có nhiều cơ hội
khác để chọn lựa, đừng phân vân, một trong số những con đường ấy mang
tên: Dấn ThânLập Nghiệp.

Đại học (ĐH) không phải là con đường duy
nhất để đến thành công. Bạn hoàn toàn có thể gầy dựng nên sự nghiệp mà
không cần đến tấm bằng ĐH. Sự thành công trên ghế nhà trường (tức chuyện
học hành) không đảm bảo cho sự thành công trong sự nghiệp. Nói cách
khác, không phải cứ học giỏi, bằng cấp cao là sẽ thành công trong công
việc, sự nghiệp. Điều này, bạn hoàn toàn có thể thấy ngoài thực tế rằng
có rất nhiều người đỗ ĐH, có bằng cấp, học lực tốt nhưng vẫn khó xin
việc, khi đi làm thì lại rất chật vật với công việc và mức thu nhập
không cao. Bên cạnh đó, bạn cũng có thể thấy hàng trăm, hàng ngàn tỉ
phú, triệu phú, những vị giám đốc không có bằng ĐH, thậm chí là trình độ
học vấn rất thấp trên khắp thế giới cũng như ngay ở Việt Nam nhưng đã
thành công. Vậy, những gì bạn cần chỉ là cháy bỏng ước mơ và sự nỗ lực
để khai phá tiềm năng của bạn.

Trượt ĐH hay học hành kém cỏi không có
nghĩa là bạn cũng kém cỏi. Mỗi một con người có một tố chất riêng và một
trong những tố chất đó là có phù hợp với con đường học hành hay không?
Người nào có tố chất dễ thành công trong học hành, họ có thể trở thành
nhà khoa bảng, nhiều bằng cấp; bạn không có tố chất học hành, bạn có thể
làm doanh nhân và đi thuê những người có bằng cấp về làm việc cho mình.

Hãy biến ước mơ thành sự thật, kiên trì
với quyết tâm và thật sự nỗ lực bạn sẽ thành công. Không thành danh cũng
thành nhân, đừng phân biệt sang hèn cao thấp mà chọn nghề; nên tùy nghi
theo hoàn cảnh thực tế, khả năng thật sự và sở thích của mình để vững
bước trên con đường đã chọn.

Không ai là người vô dụng, nhưng để tìm
ra và phát huy điểm mạnh của mình bạn hãy sẵn sàng cố gắng và dám thất
bại, bạn sẽ khống chế được nỗi sợ hãi của mình. Bạn sẽ trưởng thành bất
kể những gì bạn làm dù là thành công hay thất bại. Nếu đã chọn lựa, bạn
hãy vững tin bước đi trên con đường lập nghiệp, bạn hãy chọn và “sống”
với nghề không chỉ là để kiếm tiền mà nó còn chính là cơ hội để bạn học
hỏi kinh nghệm cho thành công sau này.

Con đường Dấn ThânLập
Nghiệp
sẽ không có “lá me bay”, sẽ không có “hoa hồng lãng
mạn”; nó là con đường nhiều thử thách, lắm chông gai nhưng có con đường
thành công nào là con đường bằng phẳng? “Ví thử đường đời bằng phẳng cả,
anh hùng hào kiệt có hơn ai?” (Nguyễn Công Trứ).

ĐH chỉ là một trong rất nhiều con đường
đi đến đích thành công chứ không phải là duy nhất. Nếu bạn có ước mơ, có
khao khát, sẵn sàng nổ lực để hoàn thiện bản thân và quyết tâm đeo đuổi
đam mê của mình thì bạn hoàn toàn có thể đặt chân lên đỉnh vinh quang
mà không cần phải học ĐH.

Có nhiều con đường, con đường chọn nghề
để lập nghiêp sẽ là một lựa chọn của bạn? Vậy bạn có tin tưởng vào bản
thân mình không? Ngoài kia dưới bầu trời lồng lộng, con đường dẫn đến
thành công vẫn đang vẫy gọi…

(Theo dân trí)

27.05.2010 Posted by | blog | Bạn nghĩ gì về bài viết này?

Hệ thống chứng chỉ Cisco


Cisco Systems là tập đoàn cung cấp giải pháp công nghệ mạng và sản xuất
thiết bị mạng lớn nhất trên thế giới. Theo thống kê thì ngày nay có tới
hơn 80% hệ thống mạng doanh nghiệp và nhà cung cấp dịch vụ trên thế giới
đang ứng dụng sản phẩm và công nghệ mạng của Cisco.

Bên cạnh việc liên tục đầu tư nghiên cứu và phát triển công nghệ mới,
Cisco cũng chú trọng tới khâu đào tạo kiến thức và kỹ năng cho chuyên
viên công nghệ mạng. Các học viện mạng của Cisco đã được mở ra tại hơn
100 nước trên thế giới và nhiều trường Đại học lớn đã đưa chương trình
đào tạo của Cisco thành môn học bắt buộc đối với sinh viên. Theo đánh
giá của Certification Magazine là tạp chí CNTT uy tín hàng đầu của Mỹ,
thì các chứng chỉ của Cisco luôn lọt vào tốp 10 chứng chỉ nghề nghiệp
tốt nhất trên thế giới trong nhiều năm qua. Trên các trang thông tin
tuyển dụng nhân sự chuyên môn về Mạng máy tính, các chứng chỉ của Cisco
luôn là một trong những lợi thế và đôi khi còn là yêu cầu bắt buộc phải
có đối với ứng viên.

Hệ thống chứng chỉ của Cisco được phân cấp như sau:

* Cấp độ chuyên viên (Associate):

CCNA (Cisco Certified Network Associate): chuyên về cấu hình và
quản trị mạng

CCDA (Cisco Certified Design Associate): chuyên về thiết kế mạng

* Cấp độ chuyên gia (Professional):

CCNP (Cisco Certified Network Professional): cấu hình và quản trị mạng
mức cao

CCDP (Cisco Certified Design Professional): thiết kế mạng mức cao

CCSP (Cisco Certified Security Professional): bảo mật trên mạng

CCVP (Cisco Certified Voice Professional): dịch vụ thoại trên mạng

CCIP (Cisco Certified Internetwork Professional): các giải pháp mạng
lõi

* Cấp độ chuyên gia cao cấp (Expert):

Chứng chỉ CCIE – Niềm mơ ước của mọi chuyên gia Mạng máy tính
Chứng chỉ thuộc cấp độ này gọi là CCIE (Cisco Certified Internetwork
Expert), đây được coi là một trong những chứng chỉ nghề CNTT có giá trị
nhất trên thế giới và cũng là chứng chỉ khó đạt nhất trong hệ thống
chứng chỉ của Cisco.

CCIE được chia ra thành các lĩnh vực chuyên môn sau:

-Routing and Switching (Định tuyến và chuyển mạch)

-Security (Bảo mật trên mạng)

-Voice (Dịch vụ thoại trên mạng)

-Service Provider (Hệ thống mạng của nhà cung cấp dịch vụ)

-Storage (Hệ thống mạng lưu trữ)

15.05.2010 Posted by | Cisco | Bạn nghĩ gì về bài viết này?

Tổng quan về Firewall


Firewall là gì ?
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng
để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là
một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái
phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhâp
không mong muốn vào hệ thống. Firewall được miêu tả như là hệ phòng thủ
bao quanh với các “chốt” để kiểm soát tất cả các luồng lưu thông nhập
xuất. Có thể theo dõi và khóa truy cập tại các chốt này.

Các mạng riêng nối với Internet thường bị đe dọa bởi những kẻ tấn công.
Để bảo vệ dữ liệu bên trong người ta thường dùng firewall. Firewall có
cách nào đó để cho phép người dùng hợp đi qua và chặn lại những người
dùng không hợp lệ.
Firewall có thể là thiết bị phần cứng hoặc chương trình phần mềm chạy
trên host bảo đảm hoặc kết hợp cả hai. Trong mọi trường hợp, nó phải có
ít nhất hai giao tiếp mạng, một cho mạng mà nó bảo vệ, một cho mạng bên
ngoài. Firewall có thể là gateway hoặc điểm nối liền giữa hai mạng,
thường là một mạng riêng và một mạng công cộng như là Internet. Các
firewall đầu tiên là các router đơn giản.

Chức năng của Firewall
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa
Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa
mạng bên trong (Intranet) và mạng Internet.
• Cho phép hoặc cấm những dịch vụ truy cập ra ngoài.
• Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong.
• Theo dõi luồng dữ liệu mạng giữa Internet và Intranet
• Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập
• Kiểm soát người sử dụng và việc truy cập của người sử dụng. Kiểm soát
nội dung thông tin lưu chuyển trên mạng.
Một firewall khảo sát tất cả các luồng lưu lượng giữa hai mạng để xem nó
có đạt chuẩn hay không. Nếu nó đạt, nó được định tuyến giữa các mạng,
ngược lại nó bị hủy. Một bộ lọc firewall lọc cả lưu lượng ra lẫn lưu
lượng vào. Nó cũng có thể quản lý việc truy cập từ bên ngoài vào nguồn
tài nguyên mạng bên trong. Nó có thể được sử dụng để ghi lại tất cả các
cố gắng để vào mạng riêng và đưa ra cảnh báo nhanh chóng khi kẻ thù hoặc
kẻ không được phân quyền đột nhập. Firewall có thể lọc các gói dựa vào
địa chỉ nguồn, địa chỉ đích và số cổng của chúng. Điều này còn được gọi
là lọc địa chỉ. Firewall cũng có thể lọc các loại đặc biệt của lưu lượng
mạng. Điều này được gọi là lọc giao thức bởi vì việc ra quyết định cho
chuyển tiếp hoặc từ chối lưu lượng phụ thuộc vào giao thức được sử dụng,
ví dụ HTTP, FTP hoặc Telnet. Firewall cũng có thể lọc luồng lưu lượng
thông qua thuộc tính và trạng thái của gói.
Một số firewall có chức năng thú vị và cao cấp, đánh lừa được những kẻ
xâm nhập rằng họ đã phá vỡ được hệ thống an toàn. Về cơ bản, nó phát
hiện sự tấn công và tiếp quản nó, dẫn dắt kẻ tấn công đi theo bằng tiếp
cận “nhà phản chiếu” (hall of mirrors). Nếu kẻ tấn công tin rằng họ đã
vào được một phần của hệ thống và có thể truy cập xa hơn, các hoạt động
của kẻ tấn công có thể được ghi lại và theo dõi.
Nếu có thể giữ kẻ phá hoại trong một thời gian, người quản trị có thể
lần theo dấu vết của họ. Ví dụ, có thể dùng lệnh finger để theo vết kẻ
tấn công hoặc tạo tập tin “bẫy mồi” để họ phải mất thời gian truyền lâu,
sau đó theo vết việc truyền tập tin về nơi của kẻ tấn công qua kết nối
Internet.

Nguyên lý hoạt động của Firewall
Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm
việc theo thuật tón chia nhỏ các dữ liệu nhận được từ các ứng dụng trên
mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức
(Telnet, SMTP, DNS, SMNP, NFS …) thành các gói dữ liệu (data packets)
rồi gán cho các packet này những địa chỉ có thể nhận dạng, tái lập lại ở
đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến
các packet và những con số địa chỉ của chúng.
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm
tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn
một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc
packet này là dựa trên các thông tin ở đầu mỗi packet (header), dùng để
cho phép truyền các packet đó ở trên mạng. Bao gồm:
• Địa chỉ IP nơi xuất phát (Source)
• Địa chỉ IP nơi nhận ( Destination)
• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)
• Cổng TCP/UDP nơi xuất phát
• Cổng TCP/UDP nơi nhận
• Dạng thông báo ICMP
• Giao diện packet đến
• Giao diện packet đi
Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì
packet đó được chuyển qua, nếu không thỏa thì sẽ bị loại bỏ. Việc kiểm
soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết
nối nhất định được phép mới vào được hệ thống mạng cục bộ. Cũng nên lưu ý
là do việc kiểm tra dựa trên header của các packet nên bộ lọc không
kiểm soát được nội dụng thông tin của packet. Các packet chuyển qua vẫn
có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại
của kẻ xấu. Trong các phần sau chúng ta sẽ cùng tìm hiểu các kỹ thuật để
vượt tường lửa.

Firewall trong các mô hình mạng OSI và TCP/IP
Firewall hoạt động ở các lớp khác nhau sử dụng các chuẩn khác nhau để
hạn chế lưu lượng. Lớp thấp nhất mà firewall hoạt động là lớp 3. Trong
mô hình OSI đây là lớp mạng. Trong mô hình TCP/IP đây là lớp IP
(Internet Protocol). Lớp này có liên quan tới việc định tuyến các gói
tới đích của chúng. Ở lớp này, một firewall có thể xác định rằng một gói
từ một nguồn đáng tin cậy, nhưng không xác định gói chứa những gì. Ở
lớp transport, firewall biết một ít thông tin về gói và có thể cho phép
hoặc từ chối truy cập dựa vào các tiêu chuẩn. Ở lớp ứng dụng, firewall
biết nhiều về những gì đang diễn ra và có sự lựa chọn trong việc gán
quyền truy cập.

IP spoofing (sự giả mạo IP)
Nhiều firewall nghiên cứu các địa chỉ IP nguồn của các gói để xác nhận
nếu chúng hợp lý. Một firewall có thể cho phép luồng lưu thông nếu nó
đến từ một host đáng tin cậy. Một cracker giả mạo địa chỉ IP nguồn của
các gói gửi tới firewall. Nếu firewall nghĩ rằng các gói đến từ một host
tin cậy, nó có thể cho chúng đi qua trừ khi một vài chuẩn khác không
thỏa. Tất nhiên cracker muốn tìm hiểu về luật của firewall để khai thác
vào điểm yếu này.
Một biện pháp hiệu quả chống lại sự giả mạo IP là việc sử dụng giao thức
mạng riêng ảo (Virtual Private Network – VPN) như là IPSec. Biện pháp
này đòi hỏi việc mã hóa dữ liệu trong các gói cũng như địa chỉ nguồn.
Phần mềm hoặc phần sụn VPN giải mã gói và địa chỉ nguồn để tiến hành một
cuộc kiểm tra (checksum). Nếu cả dữ liệu lẫn địa chỉ nguồn đã bị giả
mạo thì gói sẽ bị hủy.

IPSec
IPSec có vai trò rất quan trọng trong việc giải quyết các vấn đề mà
chúng ta cố giải quyết nó với firewall.
IPSec (IP Security) đề ra một tập các chuẩn được phát triển bởi Internet
Engineering Tast Force (IETF). IPSec giải quyết hai vấn đề gây hại cho
bộ giao thức IP: Sự xác thực host-to-host (cho các host biết là chúng
đang nói chuyện với nhau mà không phải là sự giả mạo) và việc mã hóa
(ngăn chặn những kẻ tấn công xem dữ liệu trong luồng lưu lượng giữa hai
máy).
Đây là các vấn đề mà firewall cần giải quyết. Mặc dù firewall có thể làm
giảm nguy cơ tấn công trên Internet mà không cần sự xác thực và mã hóa,
nhưng vẫn còn hai vấn đề lớn ở đây: tính toàn vẹn và sự riêng tư của
thông tin đang truyền giữa hai host và sự giới hạn trong việc đặt ra các
loại kết nối giữa các mạng khác nhau. IPSec giúp giải quyết các vấn đề
này.
Có vài khả năng đặc biệt khi chúng ta xem xét sự kết hợp giữa các
firewall với các host cho phép IPSec. Cụ thể là, VPN, việc lọc gói tốt
hơn (lọc những gói mà có tiêu đề xác thực IPSec), và các firewall lớp
ứng dụng sẽ cung cấp sự xác minh host tốt hơn bằng cách sử dụng tiêu đề
xác thực IPSec thay cho “just trusting” địa chỉ IP hiện tại.

Lợi ích của firewall
Bất kỳ ai chịu trách nhiệm cho mạng riêng kết nối với mạng công cộng đều
cần sự bảo vệ của firewall. Ngoài ra, bất kỳ ai kết nối máy tính với
Internet thông qua modem nên có phần mềm firewall cá nhân. Nhiều người
dùng Internet thông qua việc quay số tin tưởng rằng tình trạng nặc danh
sẽ bảo vệ họ. Họ nghĩ rằng không có sự xâm nhập nguy hiểm nào làm hại
máy tính của họ. Những người dùng quay số trở thành những nạn nhân của
các cuộc tấn công nguy hiểm, đôi khi họ phải cài lại hệ điều hành. Những
kẻ chơi khăm có thể dùng các robot tự động quét các IP ngẫu nhiên và
tấn công bất cứ khi nào thời cơ đến với nó.
Firewall bảo vệ các mạng cục bộ từ những kẻ tấn công từ Internet.
Firewall cho phép các nhà quản trị mạng đề ra nhiều loại truy cập tới
các dịch vụ Internet để các user LAN lựa chọn. Sự lựa chọn này là một
phần cốt yếu của bất kỳ chương trình quản trị thông tin nào, và không
chỉ bảo vệ thông tin riêng mà còn biết được những ai đã truy cập và đã
làm gì.

Các kiểu khác nhau của firewall
Firewall được thiết kế theo hai tiếp cận:
• Strip search (khám xét tận đáy): Khi người dùng muốn đăng nhập vào hệ
thống đều phải qua strip search.
• Proxy service (dịch vụ ủy thác): Trong trường hợp gắt gao hơn, người
quản trị không muốn cho hệ thống tiếp xúc trực tiếp với người dùng, khi
đó người quản trị giả lập một hệ thống tương tự như cũ để tiếp xúc trực
tiếp với khách hàng. Hệ thống giả lập này chuyển tin qua lại giữa hai
bên và làm dịch vụ ủy thác. Proxy service hoạt động như là người đại
diện cho những người dùng cần truy cập hệ thống ở phía bên kia firewall.
Firewall lọc gói (packet-filtering) dùng phương pháp strip search. Các
gói dữ liệu trước hết được kiểm tra, sau đó được trả lại hoặc cho phép
đi vào theo một số điều kiện nhất định.
Còn một phương pháp thứ ba gọi là giám sát trạng thái (stateful
inspection). Phương pháp này nhớ các đặc trưng của bất cứ người nào rời
khỏi hệ thống và chỉ cho phép quay trở lại theo những đặc trưng này.

Firewall logs
Có rất nhiều thông tin quan trọng trong Firewall’s log.
Luồng lưu lượng di chuyển qua firewall là một phần của một kết nối. Một
kết nối có 2 thành phần cơ bản: một cập địa chỉ IP và một cập cổng. Địa
chỉ IP nhận dạng mỗi máy. Số cổng nhận dạng các dịch vụ hoặc các ứng
dụng được sử dụng.
Ví dụ, khi chúng ta kết nối tới www.igate.vn, sẽ có một log entry trong firewall
log. Khi đó, địa chỉ IP của chúng ta là địa chỉ nguồn và địa chỉ IP của www.igate.vn là địa chỉ

đích. Số cổng đích sẽ là cổng 80 (cổng chuẩn được sử dụng cho http).
Biết được số cổng kết hợp với các dịch vụ giúp nhận dạng hành động hiểm
độc gây ra trên firewall.
Với sự hiểu biết tốt về các cổng và các ứng dụng kết hợp với chúng, đã
đến lúc bắt đầu nhìn vào firewall logs cho các hoạt động cụ thể. Laura
Taylor đề ra các mục chung để tìm kiếm trong một firewall’s logs:
• Địa chỉ IP bị loại bỏ.
• Các login không thành công.
• Hoạt động hướng ngoại từ các server bên trong. Nếu có lưu lượng từ một
server bên trong, việc hiểu biết hoạt động thông thường trên server đó
sẽ giúp người quản trị xác định rằng server đó đã được thỏa hiệp.
• Các gói định tuyến nguồn. Nó ám chỉ rằng một ai đó đang cố gắng truy
cập vào mạng nội bộ.

Các dạng Firewall
Bất cứ thiết bị nào điều khiển luồng dữ liệu trên mạng vì lý do an toàn
đều được gọi là firewall. Có nhiều người, nhiều tài liệu vì những lý do
khác nhau mà phân chia firewall ra thành nhiều loại khác nhau. Từ sự tìm
hiểu các tài liệu đó, ở đây xin chia firewall làm ba loại dùng các
chiến lược khác nhau để bảo vệ tài nguyên trên mạng.
Thiết bị firewall cơ bản nhất được xây dựng trên các bộ định tuyến và
làm việc ở các tầng thấp hơn trong ngăn xếp giao thức mạng. Chúng lọc
các gói dữ liệu và thường được gọi là bộ định tuyến kiểm tra (screening
router). Các cổng proxy server ở đầu cuối trên (high-end) vận hành ở mức
cao hơn trong ngăn xếp giao thức. Firewall loại ba dùng kỹ thuật giám
sát trạng thái.
Các bộ định tuyến thường được dùng cùng với các gateway để tạo nên hệ
thống phòng thủ nhiều tầng. Riêng với các sản phẩm firewall thương mại
có thể cung cấp tất cả các chức năng tùy theo nhu cầu.

Bộ định tuyến kiểm tra (Lọc theo gói – Packet Filtering)
Firewall lọc gói hoạt động ở lớp mạng của mô hình OSI, hoặc lớp IP của
TCP/IP. Chúng thường là một phần của router. Router là thiết bị nhận gói
từ một mạng và chuyển gói tới mạng khác. Trong firewall lọc gói, mỗi
gói được so sánh với tập các tiêu chuẩn trước khi nó được chuyển tiếp.
Dựa vào gói và tiêu chuẩn, firewall có thể hủy gói, chuyển tiếp hoặc gởi
thông điệp tới nơi tạo gói. Các luật bao gồm địa chỉ IP, số cổng nguồn
và đích và giao thức sử dụng. Hầu hết các router đều hỗ trợ lọc gói.

Tất cả các luồng lưu thông trên Internet đều ở dạng gói. Một gói là một
lượng dữ liệu có kích thước giới hạn, đủ nhỏ để điều khiển dễ. Khi lượng
lớn dữ liệu được gửi liên tục, dễ xảy ra tình trạng hỏng trong việc
truyền và tái hợp ở nơi nhận.
Một gói là một chuỗi số cơ bản truyền đạt các thứ sau:
• Dữ liệu, kiến thức, yêu cầu hoặc dòng lệnh từ hệ thống bắt đầu
• Địa chỉ IP và cổng của nguồn
• Địa chỉ IP và cổng của đích
• Thông tin về giao thức (tập các luật) điều khiển gói
• Thông tin kiểm tra lỗi
• Có vài sự sắp xếp thông tin về kiểu và tình trạng của dữ liệu đang
được gửi
• Và còn vài thứ khác…
Trong packet filtering, chỉ protocol và thông tin địa chỉ của mỗi gói
được kiểm tra. Nội dung và ngữ cảnh (mối liên hệ với các gói khác) của
nó bị bỏ qua.
Filtering chứa các gói vào ra và cho phép hoặc không cho phép việc lưu
thông của chúng hoặc chấp nhận dựa trên một tập luật nào đó, được gọi là
chính sách (policies).
Các chính sách lọc gói có thể căn cứ trên các điều sau:
• Cho phép hoặc không cho phép gói dựa vào địa chỉ IP nguồn
• Cho phép hoặc không cho phép gói dựa vào cổng đích
• Cho phép hoặc không cho phép gói dựa theo giao thức.
Bộ định tuyến kiểm tra nhìn vào thông tin liên quan đến địa chỉ cứng
(hardwired) của máy tính, địa chỉ IP của nó (lớp mạng) và loại kết nối
(lớp transport), và sau đó lọc các gói dữ liệu dựa trên những thông tin
này. Bộ định tuyến kiểm tra có thể là thiết bị định tuyến độc lập hoặc
máy tính gắn hai card mạng. Bộ định tuyến nối giữa hai mạng và thực hiện
lọc gói dữ liệu để điều khiển luồng lưu thông giữa các mạng. Người quản
trị lập trình cho thiết bị với các luật xác định cách lọc gói dữ liệu.
Ví dụ, bạn có thể thường xuyên ngăn các gói của một dịch vụ nào đó như
FTP (File Transfer Protocol) hay HTTP (HyperText Transfer Protocol). Tuy
vậy, các luật bạn xác định cho bộ định tuyến có thể không đủ để bảo vệ
tài nguyên trên mạng. Những luật này có thể rất khó cài đặt và dễ có
lỗi, tạo nên những lỗ hỏng trong hệ thống phòng thủ.
Đây là kiểu cơ bản nhất của firewall.
Ưu điểm:
• Tương đối đơn giản và tính dễ thực thi.
• Nhanh và dễ sử dụng
• Chi phí thấp và ít ảnh hưởng đến performance của mạng.
• Rất hiệu quả trong việc đóng khối các kiểu riêng biệt của lưu lượng,
và đôi khi nó là một phần của hệ thống firewall tổng quan. Ví dụ, telnet
có thể dễ dàng được đóng khối bằng cách áp dụng một filter để đóng khối
TCP cổng 23 (telnet).
Yếu điểm:
• Thông tin địa chỉ trong một gói có thể bị xuyên tạc hoặc bị đánh lừa
bởi người gửi
• Dữ liệu hoặc các yêu cầu chứa trong một gói cho phép có thể có điều
không mong muốn xảy ra, một hacker khai thác một chỗ sai sót trong một
chương trình Web server hoặc sử dụng một mật mã bất chính để thu được
quyền điều khiển hoặc truy cập.
• Packet Filter không thể thực hiện việc xác thực người dùng.

Các Proxy Server Gateway
Gateway là các thiết bị mức ứng dụng, cung cấp nhiều cơ hội hơn để theo
dõi và điều khiển truy cập mạng. Một fireware gateway hoạt động như
người trung gian, chuyển tiếp các thông điệp giữa khách/dịch vụ nội và
ngoại.
Dịch vụ ủy thác (proxy service) có thể “biểu diễn” người dùng nội trên
internet bằng cách thay đổi địa chỉ IP của khách trong các gói dữ liệu
sang địa chỉ IP của riêng nó. Kỹ thuật này về cơ bản che dấu hệ thống
nội và bảo đảm rằng những người dùng nội không kết nối trực tiếp với hệ
thống bên ngoài. Proxy server có thể đánh giá và lọc tất cả các gói dữ
liệu đến hoặc ngăn các gói dữ liệu đi ra.
Một số proxy server được thiết kế để cho phép chỉ những người dùng nội
truy cập internet và không cho phép bất cứ người dùng ngoại nào trong
mạng. Vì mọi yêu cầu đến internet server đều tạo ra phản hồi, proxy
server phải cho phép luồng giao thông quay về, nhưng nó thực hiện điều
này bằng cách chỉ cho phép luồng lưu thông là một phản hồi nào đó của
người dùng nội. Các loại proxy server khác cung cấp dịch vụ chuyển tiếp
an toàn theo cả hai chiều.
Proxy server còn có thể cung cấp dịch vụ cache cho người dùng nội. Nó
lưu trữ thông tin về các nơi (site) để người dùng truy cập nhanh hơn.
Khi người dùng truy cập đến những nơi này, thông tin được lấy từ vùng
cache đã lưu trữ trước đó.
Có hai loại proxy server: mức bản mạch và mức ứng dụng

1. Gateway mức-MẠNG
Còn được gọi là “Circuit Level Gateway”, đây là hướng tiếp cận firewall
thông qua kết nối trước khi cho phép dữ liệu được trao đổi.
Circuit Level Gateway (CLG) hoạt động ở lớp session của mô hình OSI,
hoặc lớp TCP của mô hình TCP/IP. Chúng giám sát việc bắt tay TCP (TCP
handshaking) giữa các gói để xác định rằng một phiên yêu cầu là phù hợp.
Thông tin tới máy tính từ xa thông qua một CLG, làm cho máy tính ở xa
đó nghĩ là thông tin đến từ gateway. Điều này che dấu được thông tin về
mạng được bảo vệ. CLG thường có chi phí thấp và che dấu được thông tin
về mạng mà nó bảo vệ. Ngược lại, chúng không lọc các gói.

Firewall không chỉ cho phép (allow) hoặc không cho phép (disallow) gói
mà còn xác định kết nối giữa hai đầu cuối có hợp lệ theo các luật hay
không, sau đó mở một session (phiên làm việc) và cho phép luồng lưu
thông và có sự giới hạn thời gian. Một kết nối được xem là hợp lệ phải
dựa vào các yếu tố sau:
• Địa chỉ IP và/hoặc cổng đích
• Địa chỉ IP và/hoặc cổng nguồn
• Thời gian trong ngày (time of day)
• Giao thức (protocol)
• Người dùng (user)
• Mật khẩu (password)
Mỗi phiên trao đổi dữ liệu đều được kiểm tra và giám sát. Tất cả các
luồng lưu lượng đều bị cấm trừ khi một phiên được mở.
Loại proxy server này cung cấp kết nối (có điều khiển) giữa các hệ thống
nội và ngoại. Có một mạch ảo giữa người dùng nội và proxy server. Các
yêu cầu internet đi qua mạch này đến proxy server, và proxy server
chuyển giao yêu cầu này đến internet sau khi thay đổi địa chỉ IP. Người
dùng ngoại chỉ thấy địa chỉ IP của proxy server. Các phản hồi được proxy
server nhận và gởi đến người dùng thông qua mạch ảo. Mặc dù luồng lưu
thông được phép đi qua, các hệ thống ngoại không bao giờ thấy được hệ
thống nội. Loại kết nối này thường được dùng để kết nối người dùng nội
“được ủy thác” với internet.
Circuit Level Filtering có ưu điểm nổi trội hơn so với Packet Filter. Nó
khắc phục được sự thiếu sót của giao thức UDP đơn giản và dể bị tấn
công.
Bất lợi của Circuit Level Filtering là hoạt động ở lớp Transport và cần
có sự cải tiến đáng kể của việc cài đặt để cung cấp các chức năng truyền
tải (chẳng hạn như Winsock).

2.Gateway Mức-Ứng-Dụng (Application Gateway)
Các gateway mức ứng dụng, còn được gọi là các proxy, tương tự như các
gateway mức mạng ngoại trừ việc chỉ định các ứng dụng. Chúng có thể lọc
gói ở lớp ứng dụng của mô hình OSI. Các gói vào hoặc ra không thể truy
cập các dịch vụ mà không có proxy. Một gateway mức ứng dụng được cấu
hình như một web proxy sẽ không cho bất kỳ ftp, gopher, telnet hoặc lưu
lượng khác xuyên qua. Bởi vì chúng kiểm tra các gói ở lớp ứng dụng,
chúng có thể lọc các dòng lệnh chỉ định ứng dụng như httpost và get, etc. Điều này không
thể được thực hiện với firewall lọc gói và firewall mức mạch, cả hai
điều không biết gì về thông tin lớp ứng dụng. Các gateway mức ứng dụng
còn có thể được sử dụng để ghi lại các hoạt động và các login của user.
Chúng đề ra cấp độ bảo mật cao, và có sự tác động mạnh về performance
của mạng. Bởi vì sự thay đổi ngữ cảnh mà làm chậm mạng truy cập một cách
đột ngột. Chúng không dễ thực hiện (transparent) ở đầu cuối người dùng
và yêu cầu sự cấu hình thủ công ở mọi máy client.

Một proxy server là cách để tập trung các dịch vụ ứng dụng thông qua một
máy đơn lẻ. Nó hoạt động như một trung gian giữa một client và một
server, và được thi hành như một ứng dụng đang chạy cùng chung với một
hệ điều hành đa năng (general-purpose OS). Một máy đơn lẻ (bastion host)
hoạt động như một proxy server với nhiều giao thức (Telnet, SMTP, FTP,
HTTP,etc.) nhưng cũng có một máy đơn lẻ chỉ hoạt động với mỗi một dịch
vụ. Thay vì kết nối trực tiếp với server bên ngoài, client kết nối với
proxy server, proxy server kết nối với server bên ngoài.
Proxy server mức ứng dụng cung cấp tất cả các chức năng cơ bản của proxy
server, cho phép các cuộc trao đổi dữ liệu với hệ thống từ xa nhưng hệ
thống này không thấy được máy ở bên trong firewall.
Nó còn phân tích các gói dữ liệu. Khi các gói từ bên ngoài đến cổng này,
chúng được kiểm tra và đánh giá để xác định chính sách an toàn có cho
phép gói này đi vào mạng nội bộ hay không. Proxy server không chỉ đánh
giá địa chỉ IP, nó còn nhìn vào dữ liệu trong gói để ngăn những kẻ đột
nhập cất dấu thông tin trong đó.
Với các proxy server, các chính sách an toàn mạnh hơn và mềm dẻo hơn
nhiều vì tất cả thông tin trong các gói được người điều hành sử dụng để
ghi các luật xác định cách xử lý các gói. Có thể giám sát dễ dàng mọi
việc xảy ra trên proxy server.
Các gateway mức ứng dụng được xem là loại an toàn nhất của firewall.
Chúng có những khả năng tinh vi nhất.
Firewall mức ứng dụng có khuynh hướng cung cấp các report chi tiết và có
khuynh hướng an toàn hơn các firewall mức mạng.
Tuy nhiên, việc cài đặt rất phức tạp, yêu cầu sự quan tâm chi tiết các
ứng dụng riêng lẻ sử dụng gateway.

Stateful Multilayer Inspection Firewall
Các firewall kiểm tra nhiều lớp kết hợp hình thức của ba loại firewall
(lọc gói, mức mạng và mức ứng dụng). Chúng lọc các gói ở lớp mạng, xác
định các gói phù hợp và đánh giá nội dung các gói tại lớp ứng dụng.
Chúng cho phép kết nối trực tiếp giữa client và host, làm giảm vấn đề do
transparent gây ra ở các gateway mức ứng dụng. Chúng dựa vào các thuật
toán để nhận ra và xử lý dữ liệu lớp ứng dụng thay cho việc chạy các
proxy chỉ định ứng dụng. Stateful multilayer inspection firewalls đề ra
cấp độ bảo mật cao, performance tốt và transparent đối với đầu cuối
người dùng. Tuy nhiên, chi phí rất đắt, và độ phức tạp của nó có thể làm
giảm độ an toàn hơn so với các loại firewall thông thường nếu như không
được quản trị bởi đội ngũ thành thạo.

Kỹ thuật kiểm tra trạng thái
Một trong các vấn đề với proxy server là nó phải đánh giá một lượng lớn
thông tin trong một lượng lớn các gói dữ liệu. Ngoài ra, phải cài đặt
từng proxy cho mỗi ứng dụng. Điều này ảnh hưởng đến hiệu suất và làm
tăng chi phí. Với kỹ thuật kiểm tra trạng thái, các mẫu bit của gói dữ
liệu được so sánh với các gói “tin cậy” đã biết, do đó làm tăng hiệu
suất.
Ví dụ, khi bạn truy cập một dịch vụ bên ngoài, proxy server sẽ nhớ mọi
thứ về yêu cầu ban đầu, như số hiệu cổng, địa chỉ nguồn và đích. Cách
“nhớ” này được gọi là lưu trạng thái. Khi hệ thống bên ngoài phản hồi
yêu cầu của bạn, firewall so sánh các gói nhận được với trạng thái đã
lưu để xác định chúng được phép vào hay không.

Tổng kết
Tất cả các loại firewall có điểm chung rất quan trọng: chúng nhận, kiểm
tra và ra quyết định tất cả các dữ liệu đến trước khi chuyển qua hệ
thống hoặc mạng. Chúng điều khiển các gói có được vào hệ thống hoặc mạng
hay không. Chúng điều chỉnh dữ liệu ra được tốt. Các loại và các khả
năng của firewall về cơ bản được định nghĩa bởi:
• Chúng cư trú bên trong mạng phân cấp (stack);
• Cách chúng phân tích và cách chúng điều chỉnh dòng dữ liệu (packet);
• Và các chức năng thiết thực có liên quan đến bảo mật. Vài chức năng đó
là:
o Dữ liệu có thể được mã hóa/giải mã bởi firewall cho việc truyền được
an toàn trên mạng xa
o Firewall có thể làm cho việc truyền thông được thuận tiện hơn giữa các
mạng không tương thích nhau.

Các khái niệm liên quan khác

Proxy là gì ?
Có một số khái niệm về proxy như sau:
• Proxy là một thiết bị cho phép kết nối vào Internet, nó đứng giữa các
workstation trong một mạng và internet, cho phép bảo mật kết nối, chỉ
cho phép một số cổng và protocol nào đó, ví dụ: TCP, HTTP, Telnet trên
các cổng 80, 23 …. Khi một client yêu cầu một trang nào đó, yêu cầu này
sẽ được chuyển đến proxy server, proxy server sẽ chuyển tiếp yêu cầu đến
site đó. Khi yêu cầu được đáp trả, proxy sẽ trả kết quả này lại cho
client tương ứng. Proxy server có thể được dùng để ghi nhận việc sử dụng
internet và ngăn chặn những trang bị cấm.
• Proxy server là một server đứng giữa một ứng dụng của client, như web
browser, và một server ở xa. Proxy server xem xét các request xem nó có
thể xử lý bằng cache của nó không, nếu không thể, nó sẽ chuyển yêu cầu
này đến remote server.
• Proxy server là một server đứng giữa một ứng dụng client, như một web
browser, và một server thực. Nó chặn tất cả các yêu cầu đến các server
thực để xem xem nó có khả năng đáp ứng được không, nếu không thể, nó sẽ
chuyển yêu cầu này đến các server thực.
• Proxy server là một loại buffer giữa máy tính của chúng ta và tài
nguyên trên mạng internet mà chúng ta đang truy cập, dữ liệu bạn yêu cầu
sẽ đến proxy trước, sau đó mới được chuyển đến máy của bạn.

Mục đích của proxy
• Tăng tốc kết nối: các proxy có một cơ chế gọi là cache, có chế cache
cho phép lưu trữ lại những trang được truy cập nhiều nhất, điều này làm
cho việc truy cập của bạn sẽ nhanh hơn, vì bạn được đáp ứng yêu cầu một
cách nội bộ mà không phải lấy tin trực tiếp từ internet.
• Mọi truy cập đều phải thông qua proxy nên việc bảo mật được thực hiện
tốt hơn. Thêm danh sách điều khiển truy cập vào các giao thức, yêu cầu
các user hoặc các hệ thống cung cấp vài cấp độ xác thực trước khi gán
quyền truy cập. Các proxy servser thông minh hơn, thỉnh thoảng được gọi
là gateway mức ứng dụng (Application Layer Gateway – ALGs), có thể được
hiểu được các giao thức đặc biệt và có thể được cấu hình để đóng khối
chỉ các tiểu khu của giao thức. Ví dụ, một ALG cho FTP có thể phân biệt
sự khác nhau giữa lệnh “put” và lệnh “get”; một tổ chức có thể cho phép
các user “get” các file từ Internet, nhưng không thể “put” các file bên
trong trên một server từ xa.
• Lọc và ngăn cản các truy cập không được cho phép như các trang đồi
trụy, các trang phản động …
• Proxy servers cũng có thể được cấu hình để mã hóa luồng dữ liệu dựa
vào các tham số khác nhau. Một tổ chức có thể sử dụng tính năng này để
cho phép các kết nối được mã hóa giữa hai địa điểm mà các điểm truy cập
của chúng đều trên Internet.

Các bất lợi và những phát sinh từ việc sử dụng proxy server
• Các client trên mạng được bảo vệ phải được modify một cách đặc biệt.
Điều này làm phức tạp việc cấu hình và thêm vào việc quản trị mạng to
tát.
• Proxy server hoạt động như một hệ điều hành đa năng (general-purpose
OS), chúng bị tấn công vào các lỗ hỏng bảo mật mà hệ điều hành có thể
có.
• Performance (throughput) của hệ thống xuống cấp khi số lượng các kết
nối proxy tăng lên bởi vì gia tăng các tiến trình có liên quan mà hệ
điều hành cần điều khiển.
• Proxy server có nhiều latency (độ trễ) bởi vì hai kết nối TCP riêng lẻ
phải được thiết lập trước khi bất kỳ dữ liệu nào có thể được truyền.
Các kết nối mới phải mất thời gian thiết lập kết nối cao do phụ thuộc
vào “process” của một proxy. Mỗi kết nối yêu cầu một tiến trình riêng.
• Rất nhiều địa chỉ trên mạng do một lý do nào đó mà bị cấm truy cập đối
với người dùng như là các trang web đồi trụy, các trang phản động, có
nội dung không lành mạnh… nhưng bằng việc sử dụng proxy thì các client
có thể truy cập tới các site này.
• Các truy cập vượt qua hệ thống phòng thủ qua HTTP proxy và web-based
proxy. Chúng ta sẽ thảo luận thêm về vấn đề này khi tìm hiểu sâu vào các
kỹ thuật vượt firewall trong các phần sau.

Socks
SOCKS là chuẩn IEEE, là giao thức proxy điều khiển luồng lưu thông giữa
các hệ thống TCP/IP. SOCKS về cơ bản xác định cách cài đặt và cung cấp
các dịch vụ firewall, cũng như các dịch vụ kiểm toán, quản lý. Máy chủ
SOCKS được cài đặt giữa mạng nội và Internet. Nó cho phép người dùng nội
bộ truy cập Internet nhưng ngăn cản người dùng ngoại tìm cách truy cập
mạng nội bộ. Bằng cách này, nó cung cấp dịch vụ firewall một chiều. Một
thành phần quan trọng của SOCKS là khả năng “ngu hóa” người dùng nội và
máy chủ ngoại bằng cách cho chúng tin rằng họ đang nói chuyện trực tiếp
với nhau. Thật tế, người dùng nói chuyện với máy chủ SOCKS và máy chủ
SOCKS nói chuyện với máy chủ khác ở mạng bên ngoài.
Ba thao tác quan trọng của SOCKS là:
• Cung cấp cách để người dùng yêu cầu kết nối ngoài từ proxy server. Yêu
cầu này chứa địa chỉ của máy chủ (đích) và các thông tin thích hợp
khác.
• Thiết đặt mạch giữa khách và proxy server. Một khi mạch được thiết
lập, người dùng nghĩ rằng họ đang truy cập trực tiếp Internet.
• Chuyển tiếp dữ liệu giữa mạng bên ngoài và mạng bên trong.

Bức tường lửa High-end
Một kết nối internet dựa trên bộ định tuyến cho phép kết nối điểm-điểm
giữa khách trên mạng nội bộ và máy chủ internet. Vì các kết nối như thế
nói chung không an toàn, người điều hành mạng phải chuyển sang sử dụng
các firewall đầu cuối trên (high-end).
Gateway mức ứng dụng cung cấp các proxy điều khiển truy cập qua firewall
theo một cách duy nhất. Chúng hiểu rõ các giao thức của ứng dụng được
phép vận hành qua lại thông qua gateway, và quản lý toàn bộ luồng lưu
thông vào ra, trong trường hợp không thể dùng bộ định tuyến kiểm tra.
Dịch vụ FTP là ví dụ tốt minh họa về cách proxy server mức ứng dụng cung
cấp kỹ thuật lọc cao cấp. Nó cho phép người dùng từ ngoài truy cập máy
chủ FTP, nhưng vẫn nhìn trong mỗi gói và ngăn chặn những gói chứa lệnh
PUT đối với một số người dùng. Điều này giúp tránh việc ghi các tập tin
vào máy chủ.
Một đặc điểm quan trọng của các máy chủ mức ứng dụng là kiểm tra tính
hợp lệ. Bạn có thể cho phép chỉ những người dùng nhất định qua được
firewall trên cơ sở những đặc quyền của họ. Điều này rất hữu ích đối với
những người dùng di động hoặc những người thuộc chi nhánh cần truy cập
đến một số hệ thống trên mạng của bạn.
Firewall cũng có thể che dấu địa chỉ mạng nội bộ từ internet. Điều này
cho phép bạn cài đặt bất cứ sơ đồ địa chỉ IP mà không cần đăng ký với
các tổ chức internet. Đặc điểm này ngày càng hữu ích vì các địa chỉ IP
đang trở nên hiếm hoi.

So sánh các tính năng của Firewall

Host-based firewall so với network firewall
Host-based firewalls (còn được gọi là các firewall cá nhân) là đơn giản,
các chương trình hoặc các thiết bị chi phí thấp, được dùng để bảo vệ
một máy đơn lẻ. Ví dụ: ZoneAlarm, Norton Personal Firewall, và Internet
Connection Firewall (ICF) được xây dựng cho Windows XP.
Network firewall có thể bảo vệ nhiều máy. Tuy nhiên, không phải tất cả
các network firewall đều như nhau. Có vài thiết bị hoặc chương trình mà
giá của nó chỉ đắt hơn một chút so với firewall cá nhân.
Các enterprise firewall dùng cho mục đích kinh doanh, chúng được thiết
kế cho các mạng rộng lớn và phức tạp. Chúng điều khiển nhiều user, có
thông lượng cao, và có nhiều tính năng tiên tiến, như là:
• Hợp nhất với các VPN gateway
• Khả năng quản lý nhiều firewall trung tâm
• Cơ chế giám sát và báo cáo tinh vi
• Có thể được mở rộng thông qua các add-on module hoặc plug-in
• Khả năng điều khiển truy cập thông qua các chính sách và áp dụng các
chính sách khác nhau cho các user khác nhau
• Có nhiều cơ chế xác thực tinh vi
• Rất tốt trong việc cân bằng tải và khả năng chịu lỗi cao
Chi phí cho host-based firewall thường là $100 hoặc thấp hơn. Enterprise
firewall có thể trên $25,000. Các firewall dùng cho mục đích kinh doanh
mức trung bình chi phí khoảng từ $1500 tới $5000.

Các firewall phần cứng so với các firewall phần mềm
Firewall phần cứng có thể được phân chia thành những thứ chuyên dùng cho
các PC với các đĩa cứng và những thiết bị bán dẫn xây dựng trên kiến
trúc ASIC (Application Specific Integrated Circuit).
Firewall phần mềm bao gồm Microsoft ISA Server, CheckPoint FW-1 và
Symantec Enterprise Firewall dùng cho cả cấp độ xí nghiệp lẫn các
firewall cá nhân. ISA Server chạy trên Windows 2000/2003, và FW-1 chạy
trên Windows NT/2000, Solaris, Linux, và AIX. Symantec EF chạy trên
Windows và Solaris.
Firewall phần cứng bao gồm Cisco PIX, Nokia, SonicWall, NetScreen,
Watchguard,…

15.05.2010 Posted by | Firewall | Bạn nghĩ gì về bài viết này?

GIẢI PHÁP VPN : IPSEC VPN & SSL VPN


Nhu cầu ngày càng tăng về việc truyền tải dữ liệu an toàn
(data security) trong một tổ chức, công ty dẫn đến nhu cầu về các giải
pháp mạng riêng ảo VPN (Virtual Private Network). Thêm vào đó, khuynh
hướng làm việc qua mạng từ xa, phân tán của các doanh nghiệp công ty có
nhiều chi nhánh và sự phát triển của lượng nhân viên di động cũng làm
gia tăng nhu cầu cho việc truy cập tài nguyên thông tin của công ty.
Bài viết muốn trao đổi về việc tìm kiếm, lựa chọn các giải pháp bảo mật
mạng máy tính an toàn dữ liệu sử dụng công nghệ VPN và có so sánh hai
giải pháp về VPN, đó là giải pháp VPN truyền thống dựa trên IPSec
(Internet Protocol Security) và giải pháp SSL (Secure Socket Layer) giúp
cho việc quyết định lựa chọn giải pháp VPN phù hợp.
IPSec VPN là gì?
IPSec VPN (Internet Protocol Security) là giao thức mạng về bảo mật
(security) và thường được liên kết với VPN (tất nhiên bạn hoàn toàn có
thể dùng IPSec ở trong mạng cục bộ LAN). IPSec VPN cho phép việc truyền
tải dữ liệu được mã hóa an toàn ở lớp mạng (Network Layer) theo mô hình
OSI thông qua các router mạng công cộngInternet được cung cấp phổ biến
hiện nay như: ADSL router, FTTH router.v.v. VPN (ở lớp mạng-Network) đề
cập đến những thách thức trong việc sử dụng Internet như là một môi
trường truyền và đưa các dữ liệu đa giao thức và nhạy cảm.

Việc thiết lập một đường hầm IPSec VPN (IPSec tunnel) giữa hai nơi,
trước tiên, phải thỏa thuận về chính sách an ninh (security policy),
giải thuật mã hóa (encryption algorithm), kiểu xác thực (authentication
method) sẽ được dùng để tạo kênh đường hầm IPSec VPN. Trong IPSec tất cả
dịch vụ mạng như TCP, UDP, SNMP, HTTP, POP, SMTP…đều được mã hóa một
khi kênh IPSec được thiết lập trong mô hình mạng máy tính chuẩn OSI.

SSL VPN LÀ GÌ?
Thuật ngữ SSL VPN được dùng để chỉ một dòng sản phẩm VPN mới và phát
triển nhanh chóng dựa trên giao thức SSL. Cũng cần nói rõ là bản thân
giao thức SSL không mới nhưng tích hợp giao thức SSL với công nghệ VPN
lại là một mô hình mới. Sử dụng SSL VPN để kết nối giữa người dùng từ xa
vào tài nguyên mạng công ty thông qua kết nối HTTPS ở lớp ứng dụng thay
vì tạo “đường hầm” ở lớp mạng như giải pháp IPSec đã nói ở trên. Vậy
SSL VPN cũng là một giải pháp VPN dưới dạng là một ứng dụng (application
based VPN)

Lựa chọn SSL VPN hay IPSec VPN?
Trước tiên, cần phải khẳng định là SSL VPN và IPSec VPN không phải là
hai công nghệ loại trừ lẫn nhau. Thường thì hai công nghệ này đồng thời
được triển khai trong cùng một công ty. Việc xem xét các khía cạnh lựa
chọn trên liên quan đến chi phí/lợi nhuận (cost/benefit) cũng như các
vấn đề công nghệ mà hai giải pháp SSL và IPSec đề cập giúp cho việc lựa
chọn triển khai VPN sẽ trở nên dễ dàng hơn. Chúng ta xem xét vấn đề dưới
các mặt sau đây:

Kiểu kết nối, kiểu truy cập: IPSec VPN phù hợp cho các kết nối theo kiểu
site-to-site. Nó là sự lựa chọn tốt nhất cho các mạng LAN từ xa kết nối
với nhau hay kết nối với mạng trung tâm. Các kết nối yêu cầu băng thông
rộng, hiệu suất cao, dữ liệu lớn, kết nối liên tục (always on), cố định
là đối tượng cung cấp của giải pháp IPSec VPN truyền thống này. Tuy
nhiên, khi được dùng cho mục đích truy cập tài nguyên tập trung từ các
vị trí phân bố rải rác khắp nơi, hay khi người dùng di động từ xa từ các
vị trí công cộng ít tin cậy như sân bay, nhà ga, khách sạn, tiệm cà phê
internet muốn truy cập vào tài nguyên của công ty họ thì giải pháp
IPSec VPN tỏ ra nhiều bất cập và đó chính là ưu điểm của SSL VPN.

Có thể lấy một ví dụ điển hình việc triển khai SSL VPN của Bưu Điện
Thành Phố Hồ Chí Minh (VNPT POST) đã được trình bày trong hội thảo về
Bảo Mật Mạng với O2 SECURITY do PNET-nhà phân phối sản phẩm bảo mật mạng
Firewall O2 SECURITY tại TP. Hồ Chí Minh. Giải pháp SSL VPN của
Firewall O2SECURITY dựa trên dòng sản phẩm SSL VPN Succendo và Sifoworks
UTM phù hợp với nhu cầu của các công ty trong cả nước có nhu cầu kết
nối mạng riêng ảo từ xa như đã trình bày ở trên.
Công nghệ IPSec VPN đã được Bưu Điện Thành Phố Hồ Chí Minh (VNPT POST)
đã được triển khai để kết nối các Bưu Điện Trung Tâm lại với nhau (dạng
site-to-site) qua môi trường Internet là một ví dụ về ứng dụng IPSec VPN
thông qua giải pháp Firewall O2 SECURITY.

Phần mềm khách (Client software): IPSec VPN yêu cầu cần phải có phần mềm
Client cài đặt tại các máy tính để bàn hoặc máy tính xách tay. Điều này
làm hạn chế tính linh động của người dùng vì không thể kết nối VPN nếu
không có phần mềm IPSec Client đã được cài đặt sẵn. Trong khi với giải
pháp SSL VPN, chỉ cần hệ điều hành có một trình duyệt (browser) bất kỳ
hỗ trợ giao thức SSL là có thể thực hiện ngay được một kết nối an toàn,
dễ dàng vào bảo mật (security). Sự có mặt khắp nơi của trình duyệt trên
tất cả các thiết bị từ máy tính đến PDA, điện thoại thông minh.v.v. đã
làm cho công nghệ VPN dựa trên SSL dễ triển khai hơn.

Do cần phải cài đặt phần mềm IPSec Client trên các thiết bị truy cập từ
xa, nên chính điều này đã làm tăng thêm chi phí quản trị, cấu hình.v.v.
Với một công ty có hàng trăm, thậm chí hàng ngàn người dùng từ xa
(remote access) thì việc cài đặt, quản lý, hỗ trợ người dùng trong giải
pháp IPSec là công việc tốn nhiều thời gian, công sức, tài nguyên và
tiền bạc của công ty và nhân viên quản trị mạng IT Admintrator. Vì thế
SSL VPN thật sự là giải pháp hiệu quả trong trường hợp này.

Mức độ an toàn của thiết bị truy cập hay kết nối mạng từ xa: Với IPSec
VPN (Virtual Private Network), người dùng từ xa (mobile user) hay mạng
LAN từ xa (remote network) kết nối đến công ty có thể dễ dàng truy cập
đến toàn bộ tài nguyên mạng (FTP, Email, Web, CRM, ERP..v.v. ) như thể
họ đang ngồi làm việc tại công ty. Vì vậy, các thiết bị Firewall hỗ trợ
VPN hay mạng từ xa (remote network) phải đáng tin cậy (trusted). Tuy
nhiên, mọi việc trở nên khó khăn nếu như chúng ta cung cấp giải pháp này
cho người dùng từ xa không có độ tin cậy tương tự và các thiết bị truy
cập đa dạng như PDA, điện thoại thông minh (smart phone) không do chúng
ta quản lý hay tự cài đặt cấu hình IPSec Client đã được kiểm tra (bằng
tay).

Quản lý và kiểm soát truy cập từ xa bằng IPSec VPN(Access Control):
IPSec VPN được thiết kế để mở rộng phạm vi của mạng LAN. Người dùng ở
các chi nhánh văn phòng cũng muốn truy cập không hạn chế tài nguyên mạng
một cách hiệu quả, đòi hỏi các chính sách an ninh (security policy) của
mạng từ xa cũng phải an toàn tương tự như của mạng tại công ty. Do đó
các giải pháp IPSec được áp dụng rất hiệu quả cho mô hình site-to-site.
Mọi việc sẽ khác đi nếu chúng ta cho phép các nhân viên thường xuyên di
chuyển (mobile user, telecom user.v.v), các đại lý, các nhà cung cấp,
nhà thầu, các đối tác thương mại .v.v. kết nối vào mạng chúng ta từ xa
(remote access). Lúc này thì giải pháp SSL VPN là một lựa chọn hợp lý
nhất nhằm giảm thiểu tất cả các nguy cơ đến từ các kết nối từ xa này nhờ
cơ chế kiểm soát đến từng chi tiết (granular access control) sẽ được
minh hoạ như sau:

Còn mức độ bảo mật (security) thì sao?: Khi so sánh SSL VPN và IPSec VPN
thường mọi người có câu hỏi được đặt ra là “Giao thức IPSec VPN và SSL
VPN thì cái nào an toàn hơn?”. Thật ra, cả hai giao thức bảo mật này đều
bảo mật tốt cho hệ thống. Chúng đều cung cấp một phương pháp trao đổi
khóa an toàn (secure key exchange) và phương pháp mã hóa mạnh
(encrytion). Mặc dù cả hai công nghệ thì khác nhau và tiến hành thiết
lập, triển khai trên các hệ thống theo các phương thức khác nhau, thế
nhưng chúng đều chia sẻ chung một số đặc trưng cơ bản đó là cơ chế mã
hóa mạnh, dùng khóa phiên (session key), khả năng xác thực sử dụng các
phương pháp, công nghệ như: Triple DES, 128-bit RC4, MD5, SHA1, RADIUS,
Active Directory, LDAP, X.509.

Vấn đề tương thích với Firewall, tính năng NAT: Việc kết nối IPSec thông
qua Firewall cũng là một khó khăn. IPSec VPN dùng các giao thức AH
(Authenticated Header) hoặc/và ESP (Encapsulating Security Payload). Nếu
Firewall của ISP ngăn không cho hai nghi thức này đi qua hoặc ngăn cổng
UDP mà IKE (Internet Key Exchange) dùng để trao đổi các thông số bảo
mật (security) trước khi kết nối thì IPSec VPN không thể thực hiện được.
Một thách thức khác là sự không tương thích của IPSec với việc chuyển
đổi địa chỉ mạng bằng tính năng NAT (Network Address Translation). Trong
khi đó, giải pháp SSL VPN tương thích hoàn toàn với Firewall, NAT
hayserver proxy.

Còn về ứng dụng: IPSec VPN hỗ trợ tất cả các ứng dụng trên nền tảng IP.
Một khi kênh IPSec được thiết lập, tất cả các dịch vụ ứng dụng từ các
ứng dụng truyền thống như web, thư điện tử, truyền file đến các ứng dụng
khác như ICMP, VoIP, SQL.v.v các ứnh dụng đa dịch vụ IPTV, MyTVVideo
Server… đều cho phép đi ngang qua kênh này. Đây là một ưu điểm của IPSec
VPN, nhất là IPSec VPN có thể cung cấp kết nối an toàn cho các ứng dụng
không dựa trên nền Web (non Web-based applications). Vì vậy, các máy
khách (Client) dùng IPSec thực hiện kết nối VPN được gọi là Fat-Client
do khả năng cung ứng nhiều dịch vụ và ứng dụng. Còn SSL VPN cung cấp các
ứng dụng trên nền Web (Web-based application), các ứng dụng e-mail
(POP3/IMAP/SMTP). Các máy khách (Client) chỉ cần dùng trình duyệt
(browser) có hỗ trợ SSL thực hiện kết nối VPN mà không cần cài đặt phần
mềm Client nên được gọi là Clientless hoặc Thin-Client, SSL VPN còn hỗ
trợ cả các ứng dụng trên nền TCP sử dụng chương trình chuyển tiếp cổng
(port forwarding applet) như Terminal Services (RDP protocol) hoặc ứng
dụng chia sẻ file CIFS (Common Internet File Service), Citrix ICA… (các
dòng sản phẩm SSL VPN Succendo của hãng O2SECURITY đều hỗ trợ rất tốt
cho các ứng dụng và với độ bảo mật cao là 1 ví dụ).

15.05.2010 Posted by | Hacking & Security | Bạn nghĩ gì về bài viết này?

Xác định hệ thống bị tấn công bằng các lệnh Windows


Các máy tính Windows
là những máy tính bị tấn công nhiều nhất. Chính vì vậy mà Microsoft đã
xây dựng rất nhiều công cụ trong hệ điều hành Windows để các quản trị
viên và một số người dùng có thể phân tích nhằm xác định xem máy tính
của họ hiện có bị thỏa hiệp hay không. Trong hướng dẫn gồm hai phần này,
phần đầu tiên chúng tôi sẽ giới thiệu cho các bạn về 5 công cụ dòng
lệnh hữu dụng trong Windows để thực hiện một hành động phân tích đó.

1. WMIC

Windows Management Instrumentation
Command-line (WMIC) không chỉ đơn thuần là một lệnh mà có rất nhiều tính
năng khác. Công cụ này có một giao diện dòng lệnh cho Windows
Management Instrumentation API bên trong Windows. WMIC cho phép quản lý
người dùng truy cập các thông tin chi tiết trên máy tính Windows, gồm có
các thuộc tính chi tiết của hàng ngàn các thiết lập và đối tượng. WMIC
được xây dựng bên trong Windows XP Professional, Windows 2003 và Windows
Vista. Để sử dụng nó, người dùng phải khởi chạy chương trình bằng cách
chạy lệnh WMIC, theo sau là phần mà người dùng quan tâm (thường được gọi
là các alias bên trong hệ thống). Cho ví dụ, để biết về các quá trình
đang chạy trên máy tính, người dùng có thể chạy lệnh:

C:\> wmic process 
Phần đầu ra của lệnh này có vẻ khá khó đọc
vì định không được chỉ định. Tuy nhiên với WMIC, đầu ra mà công cụ này
cung cấp được định dạng hoàn toàn khác, trong đó phần "list full"
sẽ hiển thị các thông tin chi tiết cho mỗi lĩnh vực mà người dùng quan
tâm, còn phần "list brief" sẽ cung cấp một dòng đầu ra cho mỗi
một mục báo cáo dưới sạng danh sách các mục, chẳng hạn như các quá trình
đang chạy, các chương trình tự động khởi chạy và những chia sẻ hiện
hữu.

Cho ví dụ, chúng
ta có thể quan sát mọi quá trình đang chạy trên máy tính bằng cách chạy
lệnh:

C:\>
wmic process list brief

Lệnh trên sẽ hiển thị tên, ID của quá trình và quyền ưu tiên
của mỗi quá trình đang chạy cũng như các thuộc tính khác. Để nhận thêm
các thông tin chi tiết hơn, chạy lệnh:

C:\> wmic process list full
Lệnh này sẽ hiển thị tất cả các thông tin
chi tiết, gồm có đường dẫn của file thực thi có liên kết với quá trình
và lệnh triệu gọi dòng lệnh của nó. Khi nghiên cứu một máy tính có bị
tiêm nhiễm hay không, quản trị viên cần phải xem xét từng quá trình để
xác định xem các quá trình này có hợp lệ trên máy tính hay không, sau đó
nghiên cứu các quá trình lạ hoặc không mong đợi bằng cách sử dụng các
cỗ máy tìm kiếm.

Ngoài
các alias về các quá trình, người dùng có thể thay thế startup để nhận
danh sách các chương trình tự động khởi chạy trên máy tính, gồm có các
chương trình khởi chạy khi hệ thống khởi động hoặc người dùng đăng nhập,
đây là những chương trình được định nghĩa bởi một auto-start
registry key
 hoặc thư mục:

C:\> wmic startup list full
Rất nhiều malware có thể tự động chạy trên
máy tính bằng cách thêm một mục auto-start bên cạnh các mục hợp lệ khác
có bên trong các công cụ antivirus hay các chương trình system tray.
Người dùng có thể quan sát các thiết lập khác trên máy tính với WMIC
bằng cách thay thế "startup" bằng "QFE" (cụm chữ cái viết
tắt cho Quick Fix Engineering) để thấy được mức vá của một hệ thống,
bằng "share" để xem danh sách các file chia sẻ trên Windows hoặc
bằng "useraccount" để thấy được các thiết lập tài khoản chi tiết
của người dùng.

Một
tùy chọn khác bên trong WMIC là khả năng chạy một lệnh để thu thập thông
tin trên trên một chu kỳ nào đó bằng cách sử dụng cú pháp "/every:[N]"
sau phần còn lại của lệnh WMIC. [N] ở đây là một số nguyên, chỉ thị
rằng WMIC sẽ chạy lệnh trên cứ [N] giây một lần. Bằng cách đó, người
dùng có thể tìm kiếm các thay đổi trong các thiết lập của hệ thống theo
thời gian, cho phép khảo sát một cách kỹ lưỡng đầu ra. Sử dụng chức năng
này để kéo toàn bộ các thông tin về quá trình trong 5 giây một lần,
người dùng có thể chạy:

C:\> wmic process list brief /every:1
Nhấn CTRL+C sẽ dừng chu kỳ.
2. Lệnh net 
Giới thiệu ở trên, WMIC là một lệnh tương
đối mới, tuy nhiên còn có một số lệnh khác không phải là mới nhưng khá
hữu dụng đó là lệnh "net". Các quản trị viên có thể sử dụng lệnh
này để hiển thị tất cả các thông tin hữu dụng.

Cho ví dụ, lệnh "net user" sẽ hiển
thị tất cả các tài khoản người dùng được định nghĩa nội bộ trên máy
tính. Lệnh "net localgroup" sẽ hiển thị các nhóm, lệnh "net
localgroup administrators
" sẽ hiển thị thành viên của nhóm quản trị
viên và lệnh "net start" hiển thị các dịch vụ đang chạy.

Các hacker thường đưa người dùng vào một hệ
thống hoặc đặt các tài khoản của họ vào một nhóm quản trị viên, vì vậy
chúng ta luôn phải kiểm tra đầu ra của các lệnh này để xem liệu hacker
đã sửa đổi các tài khoản trên máy tính hay chưa. Thêm vào đó, một số
hacker có thể tạo các dịch vụ xấu trên máy tính, vì vậy người dùng nên
cần thận với chúng.

3. Openfiles
Nhiều quản trị viên Windows không quen với
việc sử dụng các lệnh openfileslsof phổ biến cho Linux và
Unix, nó cũng thể hiện cho các quản trị viên tất cả các file đang mở
trên máy tính, cung cấp tên quá tình và đường dẫn hoàn chỉnh cho mỗi
file. Tuy nhiên không giống như lsof, nó không cung cấp nhiều
thông tin chi tiết, chẳng hạn như số ID của quá trình, số người dùng
hoặc các thông tin khác.
 mạnh có trong Windows. Mặc dù vậy, như
tên ngụ ý của nó, lệnh này sẽ hiển thị tất cả các file được mở trong máy
tính, chỉ thị tên quá trình đang tương tác với mỗi file. Nó được xây
dựng trong các phiên bản Windows đời mới, từ XP Pro đến Vista. Giống như
lệnh 

Xem xét phân vùng
thông tin mà nó thu thập được, bạn sẽ không hề ngạc nhiên rằng lệnhopenfiles thực
sự tiêu hao rất nhiều hiệu suất. Chính vì vậy, thông thường các quá
trình có liên quan đến openfiles bị tắt mặc định, nghĩa là người
dùng không thể kéo bất cứ dữ liệu nào từ lệnh này cho tới khi bật nó.
Chức năng này có thể được kích hoạt bằng cách chạy lệnh:

C:\> openfiles /local on
Người dùng sẽ cần phải khởi động lại và khi
hệ thống hoạt động trở lại, họ sẽ có thể chạy lệnh openfiles như
dưới đây:

C:\>
openfiles /query /v


Lệnh này sẽ hiển thị đầu ra một cách chi
tiết, gồm có tài khoản người dùng mà quá trình cho một file mở đang chạy
bên trong. Từ đó có thể nhận biết được malware gì đã được cài đặt, hoặc
tấn công gì có thể đang được thực hiện trên máy tính, người dùng nên
tìm kiếm các file dị thường hoặc các file không mong đợi, đặc biệt các
file có liên quan đến những người dùng nội bộ không mong đợi trên máy
tính.

Khi kết thúc
với lệnh openfiles, chức năng tính toán của nó có thể được tắt bỏ
và hệ thống sẽ trở lại với tình trạng hiệu suất bình thường bằng cách
chạy lệnh dưới đây và khởi động lại máy tính:

C:\> openfiles /local off

4. Netstat

Lệnh netstat trong Windows có thể
hiển thị hành vi mạng, tập trung vào TCP và UDP mặc định. Vì malware
thường truyền thông trong toàn mạng, nên người dùng có thể tìm kiếm các
kết nối không bình thường trong đầu ra của netstat, chạy lệnh dưới đây:

C:\> netstat -nao
Tùy chọn –n sẽ thông báo cho netstat hiển
thị các số trong đầu ra của nó, trừ tên máy và giao thức mà thay vì đó
sẽ hiển thị các địa chỉ IP và TCP hoặc số cổng UDP. –a chỉ thị
hiển thị tất cả các kết nối và các cổng đang lắng nghe. Tùy chọn –o thông
báo cho netstat hiển thị số processID của mỗi chương trình đang
tương tác với cổng TCP hoặc UDP. Nếu thay vì TCP và UDP, bạn chỉ quan
tâm đến ICMP, khi đó bạn có thể chạy lệnh netstat như dưới đây:

C:\> netstat –s –p icmp
Lệnh trên chỉ thị rằng nó sẽ trả về thống
kê (-s) của giao thức ICMP. Mặc dù không thể hiện nhiều chi tiết bằng
TCP và UDP nhưng người dùng có thể thấy được liệu máy tính có đang gửi
lưu lượng ICMP không mong đợi trên mạng hay không. Tuy nhiên một số
backdoor và một số malware khác có thể truyền thông bằng cách sử dụng
tải trọng của các thư ICMP Echo.

Giống như WMIC, lệnh netstat cũng cho phép chúng ta
chạy nó theo một chu kỳ lặp đi lặp lại. Tuy nhiên thay vì sử dụng cú
pháp "/every:[N]" như WMIC, người dùng chỉ cần thêm sau lệnh
triệu gọi netstat dấu cách và số nguyên. Như vậy, để liệt kê các
cổng TCP và UDP đang sử dụng trên máy tính cứ sau 2 giây một lần, người
dùng có thể chạy:

C:\>
netstat –na 2

5. Find
Hầu hết các lệnh mà chúng tôi đã giới thiệu
cho đến đây đều hiển thị rất nhiều đầu ra trên màn hình, điều này đôi
khi làm khó người dùng trong việc quan sát toàn bộ để tìm ra một mục nào
đó mà họ quan tâm. Tuy nhiên Windows có một công cụ khác có thể giúp
bạn khắc phục điều này. Người dùng có thể tìm kiếm trong toàn bộ đầu ra
của mỗi lệnh bằng cách sử dụng lệnh findstr và find trong
Windows. Lệnh find sẽ tìm kiếm các chuỗi đơn giản, trong khi đó
lệnh findstr sẽ hỗ trợ cho các từ ngữ thông thường, một cách phức
tạp hơn để phân biệt các mẫu tìm kiếm. Do các từ ngữ thông thường được
hỗ trợ bởi findstrvượt ra ngoài phạm vi của bài viết này, nên
chúng tôi chỉ tập trung vào lệnh find. Mặc định lệnh find sẽ
phân biệt giữa chữ hoa và chữ thường, tuy nhiên bằng cách sử dụng tùy
chọn/i bạn có thể làm mất đi sự phân biệt này.
Lệnh find cũng
có khả năng đếm. Được triệu gọi với lệnh /c, nó sẽ đếm số dòng
của đầu ra gồm có chuỗi đã cho. Nếu người dùng muốn đếm số lượng dòng
trong đầu ra của lệnh để biết được số lượng quá trình đang chạy, số
lượng mục startup đang hiện diện, hoặc một loạt các hành động khác trên
máy. Để đếm số dòng đầu ra, người dùng có thể dẫn đầu ra của họ qua find
/c /v "". Lệnh này sẽ đếm (/c) số dòng trừ dòng trống.

Lúc này, với lệnh find, người dùng có thể
quan sát đầu ra của mỗi một lệnh mà chúng tôi đã giới thiệu cho đến đây
để tìm ra những điều thú vị riêng. Cho ví dụ, để xem thông tin mỗi giây
về các quá trình cmd.exe đang chạy trên máy tính, bạn hãy đánh:

C:\> wmic process list brief /every:1
| find "cmd.exe"

Để
đếm số file mở trên máy tính khi openfiles được kích hoạt, bạn chỉ cần
đánh:

C:\>
openfiles /query /v | find /c /v ""

Dù có đếm các mục theo một cách nào đi nữa,
các bạn cần nhớ trừ đi số dòng được liên kết với header cột. Ví dụ, để
xem với độ chính xác theo mỗi giây khi cổng TCP 2222 bắt đầu được sử
dụng trên máy tính, cùng với process ID đang sử dụng trên cổng, chạy:

C:\> netstat –nao 1 | find "2222"
Nghiên cứu đầu ra
Với 5 công cụ này, người dùng có thể xử lý
các thông tin về cấu hình, trạng thái bảo mật của mỗi một máy tính
Windows. Mặc dù vậy để sử dụng mỗi lệnh trong việc nhận diện sự thỏa
hiệp, người dùng cần phải so sánh các thiết lập hiện hành củ máy tính bị
nghi ngờ với máy tính bình thường.

Có ba cách có thể thiết lập sự so sánh này. Đầu tiên, nếu
người dùng là một “thợ săn” malware đã có kinh nghiệm thì anh ta có thể
nhận biết về những gì đúng và những gì sai với máy tính, nhận ra những
vấn đề không bình thường dựa trên kinh nghiệm. Cách thứ hai, so sánh này
có thể được thực hiện với một máy không bị tiêm nhiễm nếu có. Nếu không
có một máy tính “sạch”, người dùng có thể dựa vào tùy cách thứ ba – tìm
kiếm các file, tên quá trình, tên file và số cổng cụ thể được nhận biết
bởi các lệnh này và tìm kiếm chúng online nhằm xác định xem chúng có
phải là các file thông thường cho máy tính và phần mềm mà nó đã cài đặt
hay có liên quan tới một số loại malware.

Trong phần này, chúng tôi đã giới thiệu cho
các bạn 5 lệnh rất mạnh trong Windows. Trong phần tiếp theo của loạt bài
này, chúng tôi sẽ giới thiệu tiếp cho các bạn 5 lệnh hữu dụng khác từ
dòng lệnh.


(Techtarget)

15.05.2010 Posted by | Hacking & Security | Bạn nghĩ gì về bài viết này?

Steps to CISA


Những thông tin này hy vọng giúp ích cho các bạn đang, sẽ và sắp có ý
định học và thi lấy chứng chỉ CISA (Certified Information Systems
Auditor).

Bước 1: Tìm
hiểu thông tin
Cũng giống như thi lấy các chứng chỉ khác, việc đầu
tiên khi bạn muốn lấy một chứng chỉ CXX nào đó là phải biết đủ thông tin
về nó. Trước tiên là CXX là chứng chỉ gì? có giá trị gì? có đem lại lợi
ích gì cho mình không? Sau đó là CXX gồm những nội dung kiến thức gì?
cần những điều kiện gì? thi thế nào? thi ở đâu? khi nào? tốn bao nhiêu
tiền? khó hay dễ …

Các bạn có thể tìm hiểu thông tin mới nhật
về chứng chỉ CISA trên website của ISACA: http://isaca.org/cisa. Một bài viết
tiếng Việt tóm tắt các thông tin cần thiết về chứng chỉ CISA có thể đọc ở
đây
(06/2009 – cập nhật 02/2010).

Bạn có thể làm một bài thi thử ở
đây: http://isaca.org/cisasamplequestions
để biết kiến thức hiện tại của mình đến đâu. Có thể bạn chỉ đạt dưới
50%.

Bước 2: Thuyết phục
và cam kết
Khi đã có đủ thông tin bạn phải tự thuyết phục chính mình
việc thi và lấy chứng chỉ là cần thiết cho mình và cam kết thực hiện nó.
Nếu bạn thấy chưa cần thiết phải thi lấy chứng chỉ CISA lúc này, bạn
không nên thử. Tự thuyết phục và cam kết với mình giúp bạn có thể thuyết
phục những người khác có cùng mục đích để cùng học tập. Kỳ thi CISA chỉ
tổ chức mỗi năm 2 lần, do đó bạn có rất nhiều thời gian để chuẩn bị,
cân nhắc để đạt kết quả ngay lần thi đầu tiên. CISA là bài thi khó,
nhiều người phải thi đến lần 2-3 là chuyện bình thường, tuy nhiên chờ
đợi đến 6 tháng sau có thể làm bạn lỡ các kế họach khác.

Bước 3: Lập nhóm tự học
Một nhóm
nhỏ 5-7 người là phù hợp với những chứng chỉ cao như CISSP, CISA. Nhóm
nhỏ cũng dễ quản lý, thống nhất, gần gũi và cam kết cao hơn. Các thành
viên trong nhóm cần cam kết mục tiêu chung về việc dự thi. Nếu muốn mở
địa điểm thi mới ISACA cần có ít nhất 5 người đăng ký tham gia và đóng
tiền sớm đầy đủ, do đó các thành viên phải thực hiện cam kết này.
Khi
đã tập hợp được một nhóm, cần thống nhất kế họach học tập và thực hiện
nó. Thường thì một kế hoạch bắt đầu ít nhất 3 tháng trước khi thi là phù
hợp với số đông. Nhóm phải thống nhất:

  • Lịch trình các nội
    dung học
  • Thời gian, địa điểm thảo luận
  • Tài liệu tham
    khảo

Yếu tố quan trọng nhất để nhóm tự học thành công là
các thành viên tham gia phải tích cực và chủ động. Nếu phải đóng tiền
tham gia một khóa học luyện thi chẳng hạn thì mọi người sẽ cảm thấy có
ràng buộc, sức ép để đọc tài liệu, làm bài test, tham gia nhóm tự học
thì không bị ràng buộc nên có thể "lười" hơn. Càng chủ động, tích cực
khi tham gia nhóm, cơ hội thành công của bạn và cả nhóm càng cao.

Bước 4: Đăng ký dự thi
Cách tốt
nhất là đăng ký trực tuyến và đăng ký sớm để tiết kiệm chi phí. Nếu bạn
chưa có credit (debit) card thì hãy làm sẵn một cái và chuẩn bị đủ tiền
để đăng ký. Trình tự đăng ký NÊN như sau:

  • Đăng ký ISACA
    membership: phí 130 USD (sẽ được giảm lại khi đăng ký thi). Membership
    có nhiều quyền lợi hữu ích như truy cập thư viện sách điện tử, đọc các
    bài cũ trên tạp chí của ISACA, download các tài liệu tham khảo như
    COBIT, ITAF, …, mua sách, tài liệu với giá ưu đãi.
  • Đăng ký
    thi: lệ phí 415 USD (dành cho member). Nếu địa điểm thi không có trong
    danh sách đăng ký (ví dụ đợt tháng 06/2010 có Vietnam trong danh sách
    với địa điểm 9727-HoChiMinh), cả nhóm sẽ đăng ký cùng một địa điểm thi
    trong khu vực (ví dụ Singapore) sau đó ISACA sẽ chuyển cả nhóm sang địa
    điểm mới ở VN nếu đủ 5 người trở lên.

Bước 5: Tự học
Học nhóm dù sao cũng tốt hơn là phải tự
học một mình, có kế hoạch sẵn, có người trao đổi sẽ giúp bạn tự tin
hơn. Tùy vào khả năng và kinh nghiệm của từng ngưòi, việc đọc tài liệu
có thể lâu hay mau, một lần hay nhiều lần, tuy nhiên đây là một số kinh
nghiệm phổ biến:

  • Đọc kỹ tài liệu CRM (CISA Review Manual) ít
    nhất một lần. Đây là "kinh" của CISA và là tài liệu chính để học. Ngoài
    ra các bạn có thể tham khảo thêm Wikipedia, COBIT, và các tài liệu khác
    trên site ISACA. Nhưng CRM vẫn là tài liệu chính.
  • Thực hành các
    câu hỏi trong CISA Review Questions, Answers and Explanations Manual
    (QA&E) vài lần. Lần đầu chỉ cần xem đáp án, giải thích cho những câu
    trả lời sai, những lần sau cần xem cả cách giải thích cho những câu trả
    lời đúng. Đôi khi bạn "đoán" đúng nhưng cách lý giải của ISACA lại
    khác. Điều quan trọng là hiểu cách lý giải của đáp án. Nhiều câu hỏi của
    CISA đòi hỏi bạn phải "phán xét" nên bạn phải có cơ sở giải thích được
    đáp án mình chọn.
  • Có nhiều câu hỏi là kiểm tra kiến thức nhưng
    câu hỏi sẽ hoàn toàn mới do đó nắm vững các khái niệm là cần thiết (rất
    nhiều thuật ngữ). Số câu hỏi trong QA&E có thể gặp lại trong bài thi
    (200 câu) chỉ đếm trên đầu ngón tay, tuy nhiên bạn nên thực hành
    QA&E đạt từ 85% trở lên.

Bước 6: Thi
Bạn đã chuẩn bị ròng rã nhiều tháng cho kỳ
thi CISA, một
số tips
làm bài thi có thể giúp bạn làm bài tốt hơn. Quay lại làm
bài thi thử ở đây: http://isaca.org/cisasamplequestions,
lần này nếu bạn không đạt trên 85% thì nguy đấy.

Quan trọng nhất
vẫn là khả năng tập trung lúc thi. Trong khoảng 1h-1h30 đầu tiên bạn
còn rất khỏe khoắn, tỉnh táo, nhạy bén và tập trung cao độ nên hãy có
gắng làm nhanh và nhiều trong khoảng thời gian này. Sau đó hãy tìm cách
nào để lấy lại sự tỉnh táo, rửa mặt chẳng hạn. Nên làm từ đầu đến cuối
và đánh dấu tất cả những gì có thể vào tập đề thi, bạn đã bỏ hơn 500 USD
để được viết lên đó :).

Bước 7:
Sau khi thi
Khoảng 8 tuần sẽ có kết quả thi, lúc này bạn gần như
quên béng nó rồi nên sẽ ít nhiều bất ngờ.

  • Nếu đậu: chúc mừng
    bạn, bước cuối cùng là nộp đơn để được cấp chứng chỉ, khá đơn giản so
    với việc học.
  • Nếu chưa đậu: quay lại Bước 1 và chúc bạn thành công lần tới, đừng bỏ cuộc.

(Theo cisavietnam)

27.04.2010 Posted by | Certificate | Bạn nghĩ gì về bài viết này?