trac-nghiem-security-device

1. Phần 1: Bảo mật Management Plane & các dịch vụ

Câu hỏi 1: Mục tiêu chính của việc bảo mật Control Plane trên một router là gì?
A: Tăng tốc độ chuyển tiếp gói tin của người dùng.
B: Bảo vệ CPU của router khỏi các cuộc tấn công DoS và đảm bảo các giao thức định tuyến hoạt động ổn định.
C: Mã hóa toàn bộ dữ liệu người dùng.
D: Ngăn chặn người dùng trái phép cắm dây vào cổng switch.

2. Bảo mật Management Plane tập trung vào việc gì?

A: Lọc các gói tin dữ liệu của người dùng.
B: Bảo vệ quyền truy cập và quản lý thiết bị, ví dụ như qua SSH, Telnet, SNMP.
C: Đảm bảo các giao thức định tuyến không bị tấn công.
D: Tăng tốc độ cho các ứng dụng web.

3. Phương pháp nào được xem là an toàn nhất để truy cập quản lý router từ xa?

A: Telnet
B: HTTP
C: SSH (Secure Shell).
D: Console

4. Để tăng cường bảo mật cho các đường VTY, ngoài việc dùng SSH, người quản trị nên làm gì?

A: Tăng tốc độ của các đường VTY.
B: Sử dụng một Access Control List (ACL) để giới hạn các địa chỉ IP được phép kết nối.
C: Bật giao thức CDP trên các đường VTY.
D: Đặt mật khẩu giống nhau cho tất cả các đường VTY.

5. Tại sao việc đồng bộ thời gian bằng giao thức NTP (Network Time Protocol) lại quan trọng đối với bảo mật?

A: NTP giúp router chạy nhanh hơn.
B: Nó đảm bảo các file log và các sự kiện bảo mật từ nhiều thiết bị khác nhau có cùng một mốc thời gian chính xác, giúp cho việc điều tra và phân tích sự cố trở nên khả thi.
C: NTP tự động chặn các cuộc tấn công DoS.
D: NTP mã hóa tất cả lưu lượng quản lý.

6. Khi cấu hình SNMP để giám sát thiết bị, phiên bản nào cung cấp khả năng xác thực và mã hóa, được xem là an toàn nhất?

A: SNMPv1
B: SNMPv2c.
C: SNMPv3.
D: SNMPv4

7. Chuỗi "community string" trong SNMPv2c hoạt động tương tự như thành phần nào?

A: Tên người dùng.
B: Một mật khẩu dạng plaintext.
C: Khóa mã hóa.
D: Tên miền.

8. Tại sao nên tắt các dịch vụ không cần thiết trên router/switch (ví dụ: HTTP server, finger, CDP)?

A: Để tiết kiệm bộ nhớ RAM cho thiết bị.
B: Để giảm bề mặt tấn công, vì mỗi dịch vụ đang chạy là một điểm tiềm tàng có thể bị khai thác.
C: Để tăng tốc độ khởi động của thiết bị.
D: Để tuân thủ các quy định về tiết kiệm năng lượng.

9. Mục đích của việc sử dụng một interface Loopback làm nguồn cho các gói tin quản lý (syslog, SNMP, NTP) là gì?

A: Interface Loopback có tốc độ cao hơn các interface vật lý.
B: Để cung cấp một địa chỉ nguồn ổn định và luôn ở trạng thái "up", ngay cả khi một interface vật lý bị lỗi.
C: Để mã hóa các gói tin quản lý.
D: Vì interface Loopback không thể bị tấn công.

10. Khi cấu hình syslog, việc giới hạn mức độ nghiêm trọng (severity level) của các thông điệp được gửi đến máy chủ log có lợi ích gì?

A: Giảm tải cho CPU của router.
B: Giúp máy chủ log không bị quá tải bởi các thông điệp không quan trọng (ví dụ: debug) và giúp người quản trị tập trung vào các cảnh báo thực sự.
C: Làm cho các thông điệp log được gửi đi nhanh hơn.
D: Tăng cường bảo mật cho máy chủ log.

11. Phần 2: Bảo mật Data Plane tại Layer 2

Câu hỏi 11: Mục đích chính của tính năng Port Security trên một switch là gì?
A: Để mã hóa dữ liệu trên một cổng cụ thể.
B: Để giới hạn số lượng địa chỉ MAC được phép học và sử dụng trên một cổng, nhằm ngăn chặn các kết nối trái phép.
C: Để tự động gán VLAN cho thiết bị.
D: Để tăng tốc độ của cổng switch.

12. Khi một vi phạm Port Security xảy ra, chế độ shutdown (mặc định) sẽ làm gì?

A: Gửi một cảnh báo đến người quản trị nhưng vẫn cho phép lưu lượng đi qua.
B: Chỉ chặn lưu lượng từ địa chỉ MAC vi phạm.
C: Đặt cổng vào trạng thái err-disabled và chặn tất cả lưu lượng trên cổng đó.
D: Xóa địa chỉ MAC vi phạm khỏi bảng MAC.

13. Chế độ vi phạm Port Security nào chỉ loại bỏ các gói tin từ địa chỉ MAC không hợp lệ mà không gửi thông báo log hay tắt cổng?

A: restrict
B: protect.
C: shutdown
D: disable

14. Sự khác biệt giữa chế độ vi phạm restrict và shutdown trong Port Security là gì?

A: restrict tắt cổng, shutdown chỉ gửi log.
B: restrict gửi log và tăng bộ đếm vi phạm nhưng không tắt cổng, trong khi shutdown sẽ tắt cổng (err-disabled).
C: Không có sự khác biệt nào.
D: restrict chỉ hoạt động với MAC tĩnh, shutdown hoạt động với MAC động.

15. Tính năng "sticky MAC address" trong Port Security có tác dụng gì?

A: Cho phép cấu hình thủ công một địa chỉ MAC tĩnh duy nhất cho cổng.
B: Tự động học địa chỉ MAC của thiết bị kết nối vào cổng và chuyển nó thành một mục cấu hình MAC an toàn trong running-config.
C: Giúp địa chỉ MAC không bao giờ hết hạn trong bảng MAC.
D: Ngăn chặn tất cả các địa chỉ MAC trừ một địa chỉ MAC "dính".

16. Để khôi phục một cổng bị đưa vào trạng thái err-disabled do vi phạm Port Security, người quản trị cần làm gì?

A: Khởi động lại switch.
B: Rút cáp ra và cắm lại.
C: Vào interface đó, thực hiện lệnh shutdown sau đó là no shutdown.
D: Cổng sẽ tự động khôi phục sau 60 giây.

17. Mục đích của DHCP Snooping là gì?

A: Để tăng tốc độ cấp phát IP của DHCP.
B: Để ngăn chặn các máy chủ DHCP giả mạo (rogue DHCP servers) và các cuộc tấn công DHCP starvation.
C: Để mã hóa các gói tin DHCP.
D: Để giúp các máy khách tìm thấy máy chủ DHCP nhanh hơn.

18. Trong cấu hình DHCP Snooping, một cổng được cấu hình là "trusted" có ý nghĩa gì?

A: Đây là cổng kết nối đến các máy khách (PC, laptop).
B: Đây là cổng được tin tưởng để các gói tin trả lời của máy chủ DHCP (DHCP Offer, ACK) có thể đi qua.
C: Cổng này sẽ bị khóa nếu có gói tin DHCP đi qua.
D: Cổng này chỉ cho phép các gói tin DHCP Discover.

19. DHCP Snooping giúp giảm thiểu cuộc tấn công DHCP Starvation bằng cách nào?

A: Bằng cách giới hạn số lượng gói tin DHCP được phép nhận trên mỗi giây từ một cổng không tin cậy (untrusted port).
B: Bằng cách mã hóa tất cả các yêu cầu DHCP.
C: Bằng cách chỉ cho phép một địa chỉ MAC duy nhất trên mỗi cổng.
D: Bằng cách lưu lại tất cả các địa chỉ IP đã cấp.

20. Thông tin nào được lưu trong bảng DHCP Snooping binding?

A: Chỉ có địa chỉ IP và tên máy khách.
B: Chỉ có địa chỉ MAC và VLAN.
C: Địa chỉ MAC, địa chỉ IP, thời gian thuê, loại, VLAN và interface.
D: Mật khẩu của người dùng.

21. Dynamic ARP Inspection (DAI) được sử dụng để ngăn chặn loại tấn công nào?

A: Tấn công từ chối dịch vụ (DoS).
B: Tấn công VLAN hopping.
C: Tấn công ARP spoofing và ARP poisoning (đầu độc ARP).
D: Tấn công DHCP starvation.

22. Dynamic ARP Inspection (DAI) dựa vào cơ sở dữ liệu nào để xác minh tính hợp lệ của một gói tin ARP?

A: Bảng định tuyến của router.
B: Bảng MAC address của switch.
C: Bảng DHCP Snooping binding.
D: Cơ sở dữ liệu của máy chủ DNS.

23. Khi triển khai DAI, cổng kết nối đến một router khác (uplink) nên được cấu hình là trusted hay untrusted?

A: Untrusted, vì router không phải là máy khách.
B: Trusted, vì các gói tin ARP từ router là hợp lệ và cần được cho phép.
C: Không cần cấu hình gì cả.
D: Phải đặt ở chế độ restrict.

24. Lệnh ip arp inspection validate src-mac thực hiện việc kiểm tra nào?

A: Kiểm tra xem địa chỉ IP nguồn trong gói ARP có khớp với địa chỉ IP trong bảng DHCP Snooping không.
B: Kiểm tra xem địa chỉ MAC nguồn trong header của gói Ethernet có khớp với địa chỉ MAC người gửi trong nội dung gói tin ARP không.
C: Kiểm tra xem địa chỉ MAC nguồn có phải là địa chỉ multicast không.
D: Kiểm tra xem địa chỉ IP nguồn có hợp lệ trên mạng không.

25. Phần 3: Bảo mật VLAN và Spanning Tree

Câu hỏi 25: Tại sao việc không sử dụng VLAN 1 cho bất kỳ mục đích nào (dữ liệu, quản lý, native) được coi là một phương pháp bảo mật tốt?
A: Vì VLAN 1 có tốc độ chậm hơn các VLAN khác.
B: Vì VLAN 1 là VLAN mặc định cho nhiều giao thức điều khiển và là mục tiêu phổ biến của các cuộc tấn công như VLAN hopping.
C: Vì VLAN 1 không hỗ trợ trunking.
D: Vì VLAN 1 không thể bị xóa.

26. Lệnh nào sau đây giúp vô hiệu hóa giao thức DTP (Dynamic Trunking Protocol) trên một cổng access để ngăn chặn tấn công VLAN hopping?

A: switchport mode trunk
B: switchport mode dynamic auto
C: switchport mode access.
D: switchport enable dtp

27. Để ngăn chặn các thiết bị không mong muốn kết nối vào các cổng switch đang không được sử dụng, phương pháp hardening nào là hiệu quả nhất?

A: Tăng tốc độ các cổng đó lên tối đa.
B: Đặt tất cả chúng vào Voice VLAN.
C: Tắt (shutdown) các cổng đó và đưa chúng vào một "black hole" VLAN không sử dụng.
D: Bật Port Security với maximum 100.

28. Tấn công "double-tagging VLAN hopping" lợi dụng đặc điểm nào của switch?

A: Lỗ hổng trong giao thức DTP.
B: Cách switch xử lý frame trên Native VLAN.
C: Lỗi tràn bộ đệm trên switch.
D: Giao thức STP bị tắt.

29. Lệnh service password-encryption có tác dụng gì?

A: Mã hóa mạnh tất cả mật khẩu, bao gồm cả enable secret.
B: Mã hóa yếu (obfuscation) các mật khẩu được lưu dưới dạng văn bản thuần túy (plaintext) trong file cấu hình, như mật khẩu VTY.
C: Bắt buộc người dùng phải đặt mật khẩu phức tạp.
D: Yêu cầu xác thực hai yếu tố cho tất cả các mật khẩu.

30. Tại sao việc tắt các giao thức không cần thiết như CDP trên các cổng đối mặt với bên ngoài (mạng không tin cậy) lại được khuyến khích?

A: Vì CDP tiêu tốn rất nhiều băng thông.
B: Vì CDP có thể làm lộ thông tin chi tiết về phiên bản IOS và mô hình thiết bị, giúp kẻ tấn công thu thập thông tin.
C: Vì CDP thường gây ra lỗi tương thích với thiết bị của hãng khác.
D: Vì CDP ngăn cản STP hoạt động.

31. Lệnh spanning-tree bpduguard enable trên một interface có PortFast sẽ gây ra hành động gì nếu nó nhận được một gói tin BPDU?

A: Nó sẽ chuyển cổng sang chế độ trunk.
B: Nó sẽ gửi một cảnh báo nhưng vẫn xử lý BPDU.
C: Nó sẽ đặt cổng vào trạng thái err-disabled.
D: Nó sẽ bỏ qua gói tin BPDU đó.

32. Mục đích của tính năng Spanning Tree Root Guard là gì?

A: Để bảo vệ root bridge không bị tấn công DoS.
B: Để ngăn chặn một cổng trở thành root port, từ đó bảo vệ vị trí của root bridge hiện tại trong mạng.
C: Để mã hóa các gói tin BPDU.
D: Để cho phép nhiều root bridge cùng tồn tại.

33. BPDU Filter khác với BPDU Guard như thế nào?

A: BPDU Filter tắt cổng, BPDU Guard chỉ bỏ qua BPDU.
B: BPDU Filter ngăn chặn cổng gửi và xử lý BPDU (tắt STP trên cổng đó), trong khi BPDU Guard sẽ tắt cổng nếu nhận được BPDU.
C: BPDU Filter chỉ hoạt động trên cổng trunk.
D: Không có sự khác biệt nào.

34. Nên kích hoạt Root Guard trên các cổng nào trong một topo mạng phân cấp?

A: Trên các cổng của access switch kết nối đến máy tính.
B: Trên các cổng của distribution switch kết nối xuống các access switch.
C: Trên các cổng của core switch kết nối đến distribution switch.
D: Trên tất cả các cổng của tất cả các switch.

35. Tại sao phải tắt DTP trên các cổng access?

A: Để tăng tốc độ cổng.
B: Để ngăn chặn một kẻ tấn công giả mạo làm switch và thương lượng một đường trunk, từ đó có thể truy cập vào nhiều VLAN.
C: Vì DTP không tương thích với PortFast.
D: Vì DTP gây ra xung đột địa chỉ IP.

36. Phần 4: Các câu hỏi tổng hợp và kịch bản

Câu hỏi 36: Một quản trị viên muốn đảm bảo rằng chỉ có laptop của giám đốc (MAC: AAAA.BBBB.CCCC) mới có thể kết nối vào cổng G0/1. Nếu một thiết bị khác cắm vào, cổng phải bị tắt ngay lập tức. Cấu hình nào đáp ứng yêu cầu này?
A: DHCP Snooping với limit rate 1.
B: Port Security với maximum 1, violation shutdown, và cấu hình MAC tĩnh là AAAA.BBBB.CCCC.
C: Dynamic ARP Inspection.
D: ACL trên cổng G0/1.

37. Một PC không nhận được địa chỉ IP từ máy chủ DHCP. Switch ở giữa đã bật DHCP Snooping. Cổng kết nối đến PC là untrusted. Cổng kết nối đến máy chủ DHCP là trusted. Nguyên nhân nào sau đây KHÔNG phải là lý do gây ra sự cố?

A: Cổng kết nối đến PC đang bị err-disabled bởi một tính năng khác.
B: Cổng kết nối đến máy chủ DHCP bị cấu hình sai thành untrusted.
C: Tính năng limit rate trên cổng của PC được đặt quá thấp.
D: PC đang chạy hệ điều hành Windows 11.

38. Bạn nhận thấy trong log có thông báo "PSECURE_VIOLATION" trên cổng Fa0/5. Bạn kiểm tra và thấy cổng đang ở trạng thái "Secure-shutdown". Điều này có nghĩa là gì?

A: Cổng đang hoạt động bình thường nhưng được bảo mật.
B: Cổng đã bị tính năng Port Security vô hiệu hóa do có vi phạm.
C: Cổng đang chờ xác thực 802.1X.
D: Cổng đang bị STP chặn.

39. Để chống lại tấn công giả mạo router quảng bá RA (Router Advertisement) trong mạng IPv6, người quản trị nên sử dụng tính năng nào?

A: DHCPv6 Snooping
B: RA Guard.
C: Port Security
D: Source Guard

40. Lệnh switchport protected (Private VLAN Edge) có tác dụng gì?

A: Nó mã hóa tất cả lưu lượng trên cổng.
B: Nó cách ly lưu lượng giữa các cổng được bảo vệ (protected ports) trên cùng một switch và cùng một VLAN.
C: Nó bật tính năng Port Security.
D: Nó chỉ cho phép lưu lượng từ một VLAN duy nhất.

41. Một quản trị viên cấu hình aging time 10 và aging type inactivity cho Port Security trên một cổng. Điều gì sẽ xảy ra?

A: Tất cả các địa chỉ MAC an toàn sẽ bị xóa sau đúng 10 phút.
B: Một địa chỉ MAC an toàn sẽ bị xóa nếu không có lưu lượng nào từ địa chỉ đó được nhìn thấy trong vòng 10 phút.
C: Cổng sẽ bị tắt sau 10 phút không hoạt động.
D: Switch sẽ chỉ học các địa chỉ MAC trong 10 phút đầu tiên.

42. Khi bật DAI, tại sao một thiết bị có IP tĩnh có thể gặp vấn đề khi giao tiếp?

A: Vì DAI chỉ cho phép lưu lượng DHCP.
B: Vì gói tin ARP của nó sẽ bị DAI loại bỏ do không có mục tương ứng trong bảng DHCP Snooping binding.
C: Vì IP tĩnh không được phép trong mạng doanh nghiệp.
D: Vì DAI làm chậm tất cả các gói tin ARP.

43. Mục đích của một "black hole" VLAN là gì?

A: Là một VLAN đặc biệt dùng để giám sát tất cả lưu lượng mạng.
B: Là một VLAN không sử dụng, được gán cho các cổng chưa được dùng đến để cô lập bất kỳ thiết bị nào kết nối trái phép vào đó.
C: Là VLAN có tốc độ cao nhất trên switch.
D: Là nơi lưu trữ các bản backup cấu hình.

44. Lệnh nào dùng để khôi phục một cổng từ trạng thái err-disabled?

A: reset interface
B: Cần phải rút cáp ra và cắm lại.
C: Cần vào interface đó, dùng lệnh shutdown và sau đó là no shutdown.
D: clear err-disabled interface

45. Lệnh nào sau đây sẽ ngăn một cổng trunk tự động thương lượng bằng DTP?

A: switchport mode trunk
B: switchport mode access
C: switchport nonegotiate.
D: dtp disable

46. Khi nào thì nên sử dụng tính năng Storm Control trên một switch?

A: Khi bạn muốn tăng băng thông cho lưu lượng broadcast.
B: Khi bạn muốn ngăn chặn tình trạng các gói tin broadcast, multicast, hoặc unknown-unicast tràn ngập mạng và làm tê liệt switch.
C: Khi bạn cần giám sát các cơn bão ngoài đời thực.
D: Khi bạn muốn bật STP.

47. Việc định kỳ thay đổi mật khẩu truy cập thiết bị thuộc về khía cạnh nào của bảo mật?

A: Bảo mật Control Plane.
B: Bảo mật Management Plane.
C: Bảo mật Data Plane.
D: Bảo mật Vật lý.

48. Lệnh nào sẽ hiển thị chi tiết các vi phạm Port Security đã xảy ra trên một cổng, bao gồm cả địa chỉ MAC vi phạm cuối cùng?

A: show mac address-table
B: show interface status
C: show port-security interface .
D: show running-config

49. Một công ty sử dụng địa chỉ IP tĩnh cho các máy in. Tính năng nào sẽ gây ra sự cố cho các máy in này nếu không được cấu hình đúng cách?

A: Port Security
B: Spanning Tree Protocol
C: Dynamic ARP Inspection (DAI).
D: VTP

50. Sự khác biệt cơ bản giữa việc bảo mật Control Plane và Data Plane là gì?

A: Control Plane bảo vệ CPU của router, trong khi Data Plane bảo vệ lưu lượng của người dùng.
B: Control Plane chỉ liên quan đến IPv6, Data Plane chỉ liên quan đến IPv4.
C: Bảo mật Control Plane dùng ACL, bảo mật Data Plane dùng Port Security.
D: Không có sự khác biệt nào.

Bài trắc nghiệm kiến thức