10 nguyên nhân khiến IPsec VPN thất bại Trong suốt thời gian thảo luận xung quanh vấn đề triển khai IPsec VPN, tôi đã nghe được một ý kiến như sau: "Chúng tôi có một IPsec VPN, và nó đư
Trang 110 nguyên nhân khiến IPsec VPN thất bại
Trong suốt thời gian thảo luận xung quanh vấn đề triển khai IPsec VPN, tôi đã
nghe được một ý kiến như sau: "Chúng tôi có một IPsec VPN, và nó được cấu hình để sử dụng các thuật toán mã hóa Vì thế nó tuyệt đối an toàn, và bạn có thể dành thời gian cho các phần tử khác của mạng hơn là tiêu phí thời gian khảo sát VPN" Điều này đôi khi là quá tự mãn và tin tưởng vào sự phổ biến rộng rãi đáng
ngạc nhiên của VPN IPsec, đặc biệt khi sử dụng các thuật toán mã hóa mạnh mẽ như AES rất an toàn mà không cần bận tâm tới việc thiết kế và cấu hình chính xác
Cho đến bây giờ, hầu như mọi người đều biết rằng không phải là một ý tưởng hay khi sử dụng các giải thuật toán yếu như 56- bít DES trên IPsec VPN
Nhưng vẫn có những thứ đôi khi không thể giải thích được đó là dù một IPsec VPN sử dụng các giải thuật tương đối mạnh như AES, thì mọi sức mạnh và sự bảo
vệ được đề xuất bởi những giải thuật này có thể bị suy yếu bởi thiết kế IPsec VPN
và cấu hình xấu
Vì thế, nếu bạn có một IPsec VPN và không chắc chắn về cấu hình của nó thì đây
có thể là một ý tưởng tốt để gấp đôi sự kiểm tra xem bạn đã sử dụng các giải thuật đúng hay chưa ngoài ra còn xem xét xem VPN cũng được thiết kế và cấu hình đúng chưa
Dưới đây là mười yếu điểm cần phải được kiểm tra khi truy cập VPN Ipsec:
1 Sử dụng các khóa chia sẻ yếu
Trang 22 Sử dụng phương thức tấn công IKE/ISAKMP không thích hợp (khóa chia sẻ yếu)
3 Phương pháp chứng thực không thích hợp (khóa chia sẻ khi chữ ký điện tử [certificate] dựa trên chứng thực có thể thích hợp hơn)
4 Sử dụng nhóm các khóa hay wildcard không thích hợp (sử dụng nhiều giải pháp
sẽ khả quan hơn)
5 Sử dụng khóa chia sẻ đồng nhất với nhiều thiết bị tương đương (tương tự #4)
6 Sử dụng không thích hợp chứng thực mở rộng (XAuth, dễ bị tổn thương khi được sử dụng với khóa chia sẻ và IKE/ ISAKMP)
7 Tính dễ bị tổn thương của NTP hoặc CRLs/ OCSP được PKI sử dụng cho cuộc tấn công DOS (liên quan khi sử dụng chứng thực chữ ký điện tử)
8 Bảo mật yếu nơi lưu trữ khóa chính CA
9 Lưu trữ các tập tin cấu hình cổng vào IPsec VPN chứa các chữ màu khóa chia
sẻ
10 Sử dụng mã hóa không có chứng thực
Mười yếu điểm trên mời chi mới bắt đầu Vì thế, cần có sự đề phòng tốt cho đến khi bạn đã bao quát mọi cơ sở và tuyệt đối thỏa mãn rằng VPN IPsec đã thật sự an toàn
Và nếu bạn cần nhiều thông tin thêm về mười điểm tôi đã liệt kê ở trên thì Google
Trang 3là một công cụ tìm kiếm tốt Nếu Google không thực hiện được điều này thì có thể tham khảo trên một số sách trên Amazon