Trong thực tế, khi truy cập các trang web, người dùng có thể gặp những vấn đề đơngiản như nhiễm virus hoặc phức tạp như lộ thông tin bảo mật cá nhân dẫn đến hệquả nghiêm trọng như bị lợi
Ẩn danh trên mạng Internet
Mạng Internet hiện nay là một hệ thống phân tán toàn cầu, kết nối nhiều mạng địa phương với các mạng lớn hơn như mạng của các trường đại học, công ty và các nhà cung cấp dịch vụ.
Mạng Internet có nhiệm vụ chính là cung cấp phương tiện để thông tin điện tử di chuyển từ nguồn phát đến đích cần thiết, thông qua một tuyến đường phù hợp và hình thức vận chuyển thích hợp.
Mạng máy tính nội bộ, hay còn gọi là LAN (Local Area Network), kết nối nhiều máy tính và thiết bị điện tử trong cùng một địa điểm LAN có khả năng kết nối với các mạng khác thông qua router, giúp quản lý luồng thông tin Các máy tính trong mạng LAN có thể giao tiếp trực tiếp để chia sẻ tập tin, máy in và chơi game trực tuyến Mặc dù mạng LAN đã mang lại nhiều lợi ích khi hoạt động độc lập, việc kết nối với thế giới bên ngoài còn mở ra nhiều tiện ích hơn nữa.
Hình 1.1 Hoạt động của mạng Internet
Các nhà mạng, hay ISP (Internet Service Provider), là những tổ chức quản lý và cung ứng dịch vụ kết nối các mạng với nhau Chức năng chính của nhà mạng là đảm bảo thông tin được chuyển đến đúng nơi bằng cách chuyển tiếp dữ liệu tới một bộ định tuyến khác gần với điểm đến Để thực hiện điều này, nhà cung cấp dịch vụ có thể mua lại dịch vụ truy cập Internet từ các nhà cung cấp lớn hơn, như công ty cấp quốc gia Một số quốc gia chỉ có một nhà cung cấp dịch vụ Internet toàn quốc, trong khi các quốc gia khác có nhiều công ty viễn thông tư nhân cạnh tranh Các nhà cung cấp dịch vụ cấp quốc gia thường nhận kết nối từ các công ty đa quốc gia điều hành và quản lý các máy chủ và đường kết nối lớn, được gọi là xương sống (backbone) của mạng Internet.
Xương sống của Internet bao gồm các thiết bị mạng lớn và kết nối quốc tế qua cáp quang hoặc vệ tinh, cho phép giao tiếp thông tin giữa người dùng ở các quốc gia và lục địa khác nhau Các nhà cung cấp dịch vụ có kết nối tới hạ tầng cốt lõi thông qua các cổng mạng (Gateway), nơi các mạng khác nhau có thể kết nối và giao tiếp Các cổng mạng này cũng là nơi lưu lượng và nội dung thông tin Internet có thể bị giám sát Khi duyệt web, trình duyệt ghi nhận thông tin của trang web vào cookie, giúp tiết kiệm thời gian khi truy cập lại, đồng thời lưu giữ các form đã nhập và mật khẩu.
Khi sử dụng máy tính chung, người khác có thể biết các trang web mà chúng ta đã truy cập và thậm chí suy luận ra mật khẩu từ tên đăng nhập Mặc dù trình duyệt có thể được thiết lập để không ghi nhận thông tin, nhưng các thiết lập này vẫn không đủ mạnh để đảm bảo an toàn tuyệt đối cho thông tin cá nhân của chúng ta.
Hiện nay, tất cả các trình duyệt đều cung cấp chế độ ẩn danh, hay còn gọi là web riêng tư, giúp người dùng duyệt web mà không lưu lại thông tin cá nhân Sử dụng chế độ này đảm bảo rằng mọi hoạt động trực tuyến của bạn sẽ không được ghi nhớ.
Các trình duyệt như Safari, Chrome, Firefox, Opera và IE đều có chế độ duyệt ẩn danh, không lưu lại lịch sử duyệt web của người dùng Tuy nhiên, chúng vẫn ghi lại nhật ký duyệt web và thông tin tìm kiếm Điều này có nghĩa là nếu bạn tìm thấy một chiếc áo đẹp nhưng không nhớ trang web bán nó, trình duyệt sẽ lưu lại thông tin để bạn có thể dễ dàng tìm lại.
Trình duyệt lưu trữ cookies từ website, giúp ghi nhớ thói quen duyệt web của người dùng Khi người dùng truy cập lại một website đã đăng nhập trước đó, trình duyệt sẽ nhớ trang đã mở và hiển thị quảng cáo phù hợp, đó là chức năng của cookies.
Khi sử dụng chế độ ẩn danh, trình duyệt tự động xóa lịch sử duyệt web, lịch sử tìm kiếm, cookies và các thông tin khác để bảo vệ tính riêng tư của người dùng Điều này có nghĩa là khi truy cập vào một trang web, lịch sử duyệt web sẽ không lưu lại, giúp người dùng tránh bị theo dõi bởi những người khác sử dụng chung máy tính.
Chế độ ẩn danh không đảm bảo an toàn cho thông tin người dùng trước các nhà cung cấp dịch vụ Internet và các trang web đã truy cập Mặc dù việc duyệt web ẩn danh không ghi lại các trang web mà người dùng đã ghé thăm, địa chỉ IP vẫn cung cấp nhiều thông tin quan trọng Địa chỉ IP cho biết vị trí, danh tính và mạng kết nối của người dùng Mỗi thiết bị cần có địa chỉ IP để truy cập Internet, và địa chỉ này luôn đi kèm khi người dùng sử dụng bất kỳ dịch vụ nào trên mạng.
Bất kỳ ai có khả năng giám sát địa chỉ IP đều có thể xác định danh tính người dùng và người nhận Đây là nguyên lý cơ bản trong chương trình thu thập dữ liệu của NSA, nơi họ thu thập thông tin từ các kết nối này.
IP để lần ra mạng lưới khủng bố.
Địa chỉ IP của máy tính giống như số nhà và tên phố, giúp xác định vị trí của máy trên mạng Nó bao gồm bốn số, mỗi số từ 0 đến 255, được phân cách bởi dấu chấm (ví dụ: 123.123.23.2) Mỗi website và thiết bị kết nối Internet đều cần có một địa chỉ IP duy nhất, và không có hai thiết bị nào có thể cùng sở hữu một địa chỉ IP tại cùng một thời điểm.
Nếu kẻ gửi thư rác hoặc hacker biết địa chỉ IP của chúng ta, họ có thể tấn công máy tính bằng virus hoặc xâm nhập để đánh cắp dữ liệu cá nhân Mặc dù chúng ta có thể cài đặt tường lửa và phần mềm diệt virus, nhưng hacker vẫn có khả năng xâm nhập vào máy tính nếu có đủ thời gian và tài nguyên Vì vậy, việc bảo vệ địa chỉ IP là rất quan trọng.
IP của mình cẩn thận như là việc đảm bảo an toàn bí mật tên và địa chỉ của chúng ta.
Chế độ ẩn danh của trình duyệt chỉ che giấu lịch sử duyệt web mà không ẩn được địa chỉ IP của người dùng, khiến thông tin vẫn có thể bị truy cập bởi nhà cung cấp dịch vụ mạng, lực lượng thi hành pháp luật và các trang web Hơn nữa, mọi tập tin tải về và bookmark trong phiên làm việc ẩn danh đều được lưu lại trên máy tính, tồn tại trên ổ cứng và việc xóa hoàn toàn dấu vết này là rất tốn thời gian cho người dùng.
Các công nghệ ẩn danh
Proxy server
Proxy là một hệ thống máy tính hoặc Router tách biệt, hoạt động như một cầu nối giữa người gửi và người nhận Nó thực hiện chức năng chuyển tiếp giữa máy khách và máy chủ, giúp ngăn chặn các kẻ tấn công xâm nhập vào mạng nội bộ Ngoài ra, proxy còn là một công cụ quan trọng trong việc xây dựng tường lửa cho các tổ chức cần truy cập Internet.
Proxy là hành động đại diện cho một người khác, và proxy server thực hiện điều này bằng cách đại diện cho cả máy khách và máy chủ Tất cả yêu cầu từ máy khách đến Internet đều phải đi qua proxy, nơi nó kiểm tra và quyết định xem yêu cầu có được phép hay không trước khi chuyển tiếp đến máy chủ cung cấp dịch vụ Tương tự, proxy cũng xử lý phản hồi từ Internet và chuyển chúng đến máy khách Do đó, cả máy khách và máy chủ đều nghĩ rằng chúng giao tiếp trực tiếp với nhau, nhưng thực tế chỉ giao tiếp thông qua proxy.
Proxy là một hệ thống máy tính hoặc Router tách biệt, đóng vai trò kết nối giữa người gửi và người nhận Nó có địa chỉ IP và một cổng truy cập cố định.
Ví dụ: 77.71.0.149:8080 Địa chỉ IP của proxy trong ví dụ là 77.71.0.149 và cổng truy cập là 8080.
Proxy server là máy chủ hoạt động như một trung gian giữa người dùng và Internet, cho phép các máy khách kết nối đến các địa chỉ mạng một cách gián tiếp Thông qua Proxy server, các chương trình client của người sử dụng có thể giao tiếp mà không cần trực tiếp kết nối với máy chủ thực tế.
Proxy server là một trung gian giữa máy khách và máy chủ, xác định và quyết định xem có đáp ứng yêu cầu từ máy khách hay không Nếu yêu cầu được chấp nhận, Proxy server sẽ kết nối với máy chủ thật và chuyển tiếp các yêu cầu từ máy khách đến máy chủ, đồng thời gửi phản hồi từ máy chủ trở lại máy khách.
Proxy server là một trung tâm chứa các proxy, hoạt động như cầu nối giữa máy tính của người dùng và tài nguyên internet Khi người dùng yêu cầu dữ liệu, yêu cầu đó sẽ được gửi đến proxy trước, sau đó proxy sẽ truyền dữ liệu đến người dùng và ngược lại.
Hình 1.2 Hoạt động của Proxy server
1 User agent liên hệ với proxy để lấy địa chỉ thực của Web server.
2 Proxy đánh giá yêu cầu của User agent rồi đưa ra quyết định cho phép hay từ chối.
3 Proxy thay User agent gửi yêu cầu cho Web server.
4 Web server hồi đáp lại proxy mà không biết về sự tồn tại của User agent
5 Proxy gửi hồi đáp lại cho User agent.
Nguyên tắc hoạt động cơ bản của Proxy server là xác định và xử lý các yêu cầu từ máy khách Khi nhận được yêu cầu, Proxy server sẽ quyết định có đáp ứng hay không Nếu được chấp nhận, Proxy server sẽ kết nối với máy chủ thực thay cho máy khách, chuyển tiếp yêu cầu từ máy khách đến máy chủ và ngược lại, đáp ứng các yêu cầu từ máy chủ đến máy khách.
Các hệ thống Proxy server được chia làm 2 loại:
* Dạng kết nối trực tiếp
Phương pháp đầu tiên trong kỹ thuật proxy yêu cầu người dùng kết nối trực tiếp đến Firewall Proxy thông qua địa chỉ tường lửa và cổng proxy, chẳng hạn như 221.7.197.130:3128 Sau đó, proxy sẽ yêu cầu người dùng cung cấp địa chỉ của host mà họ muốn truy cập Đây là một phương pháp brute force dễ dàng bị tường lửa phát hiện, và chính vì lý do này, nó không phải là phương pháp tối ưu.
Để sử dụng tường lửa, người dùng cần biết địa chỉ của nó và nhập hai địa chỉ cho mỗi kết nối: địa chỉ tường lửa và địa chỉ đích Tường lửa sẽ ngăn chặn các ứng dụng hoặc nguyên bản trên máy tính của người dùng tạo ra kết nối, vì chúng không thể điều khiển các yêu cầu đặc biệt cho việc truyền thông với proxy.
Phương pháp sử dụng Proxy setup yêu cầu người dùng cài đặt các ứng dụng đặc biệt trên máy tính của họ để tạo kết nối qua tường lửa Những ứng dụng này hoạt động như các ứng dụng không sửa đổi, với người dùng cung cấp địa chỉ của host đích Các ứng dụng này nhận biết địa chỉ tường lửa từ file config cục bộ, thiết lập kết nối đến ứng dụng proxy và truyền địa chỉ do người dùng cung cấp Mặc dù phương pháp này rất hiệu quả trong việc che giấu danh tính người dùng, nhưng việc cần cài đặt một ứng dụng máy khách cho mỗi dịch vụ mạng là một nhược điểm đáng lưu ý.
1.2.1.3 Ưu điểm và nhược điểm của Proxy server a Ưu điểm
Proxy server có ba chức năng chính: lừa đảo và lọc, chia sẻ kết nối, và lưu trữ tạm Từ ba chức năng này, cùng với các phân tích trước đó, chúng ta có thể nhận thấy những ưu điểm vượt trội khi sử dụng Proxy server.
Tường lửa và tính lọc ứng dụng là công cụ quan trọng đối với các nhà cung cấp dịch vụ internet Để quản lý lượng thông tin khổng lồ trên internet, các nhà cung cấp sử dụng kỹ thuật tường lửa kết hợp với proxy để tạo ra bộ lọc Firewall proxy Bộ lọc này giúp ngăn chặn thông tin độc hại hoặc không phù hợp với thuần phong mỹ tục của từng quốc gia, chủng tộc hay địa phương Khi khách hàng yêu cầu truy cập vào một website, địa chỉ đó sẽ được kiểm tra qua bộ lọc; nếu không bị cấm, yêu cầu sẽ được gửi đến các máy chủ DNS của nhà cung cấp dịch vụ Tường lửa proxy thực hiện việc lọc tất cả thông tin từ internet đến máy của khách hàng và ngược lại.
Chia sẻ kết nối với Proxy server
Trong những năm gần đây, nhiều sản phẩm phần mềm cho phép chia sẻ kết nối trên mạng gia đình đã xuất hiện Tuy nhiên, đối với các mạng có kích thước lớn và trung bình, máy chủ Proxy vẫn là giải pháp tối ưu cho việc mở rộng và hiệu quả trong truy cập Internet Thay vì gán mỗi máy khách một kết nối Internet trực tiếp, tất cả các kết nối nội bộ có thể được chuyển qua một hoặc nhiều máy chủ Proxy để kết nối ra bên ngoài.
Caching của các trang web cải thiện chất lượng dịch vụ mạng bằng ba cách chính Đầu tiên, nó giúp bảo tồn băng thông và tăng khả năng mở rộng Thứ hai, caching cải thiện tốc độ phản hồi cho người dùng, như khi sử dụng HTTP proxy cache, giúp trang web tải nhanh hơn Cuối cùng, các proxy server cache đảm bảo rằng các trang web vẫn có thể truy cập được ngay cả khi nguồn gốc hoặc liên kết mạng trung gian bị tắt.
Mặc dù proxy server có nhiều ưu điểm nổi bật, nhưng cũng không thể phủ nhận rằng nó đi kèm với nhiều nhược điểm Dưới đây là phân tích chi tiết về các nhược điểm của proxy server.
SOCKS
Proxy server có nhiều loại, trong đó SOCKS proxy server được xem như một tường lửa đơn giản, kiểm tra các gói dữ liệu và ẩn đi địa chỉ IP thật của ứng dụng Đây là một dạng proxy cao cấp, đặc biệt hỗ trợ SSL, điều này rất quan trọng cho các trang web có giao dịch thương mại trực tuyến, vì 90% trong số đó đều sử dụng SSL Do đó, khi làm việc với các website thương mại điện tử, việc sử dụng SOCKS proxy là lựa chọn tốt hơn so với các loại proxy khác.
SOCKS, derived from the term "SOCKetS," was primarily developed by NEC and later standardized by the IETF as an Internet protocol, as defined in RFC 3089 (Request for Comments).
Nhiệm vụ của SOCKS là cầu nối trung gian giữa một đầu của SOCKS server đến đầu kia của SOCKS client:
CLIENT🡺 IN – SOCKS SERVER – OUT 🡺 SERVER
SOCKS được dùng chủ yếu trong công nghệ Proxy server và tường lửa.
Hiện nay, có hai phiên bản SOCKS là SOCKS4 và SOCKS5 SOCKS5 là phiên bản nâng cấp, cung cấp thêm tính năng ủy quyền và hỗ trợ giao thức UDP, trong khi SOCKS4 chỉ hỗ trợ TCP.
SOCKS4 cung cấp một cơ chế cho TCP, cho phép thực hiện kết nối minh bạch tới máy chủ ứng dụng thông qua cổng SOCKS, dựa trên lưu lượng truy cập mạng.
Dựa trên địa chỉ nguồn và địa chỉ đích, các máy chủ ứng dụng được cấp số cổng truy cập tương ứng Việc chứng thực chỉ được thực hiện thông qua định danh.
Có 2 nhược điểm trong việc thực thi SOCKS4 là:
• Không có xác thực hoặc xác thực yếu.
• Để người dùng thực thi ứng dụng socksified cần biên dịch lại thư viện SOCKS4 Đối với SOCKS5 thì có thêm các cải tiến mới như:
• Hỗ trợ thêm các gói tin UDP.
SOCKS4 là một bộ lọc gói tin cho phép truy cập dựa trên danh sách điều khiển truy cập (ACL) theo IP và số cổng Phiên bản SOCKS5 mở rộng tính năng với các phương pháp xác thực người dùng khác, cho phép người dùng truyền các phương thức hỗ trợ Máy chủ sẽ quyết định cho phép hay không dựa trên chính sách bảo mật của nó.
Trước khi SOCKS4 thực hiện, việc phân giải tên miền diễn ra tại máy khách, trong khi các máy chủ không thể truy cập tên miền tại máy địa phương Tuy nhiên, với SOCKS5, người dùng có thể sử dụng tên miền để SOCKS server thực hiện việc phân giải, cho phép các SOCKS server yêu cầu máy chủ tên miền của mình.
Trước khi có SOCKS5, các gói tin UDP không được hỗ trợ và bị loại ra Hiện nay, các ứng dụng sử dụng UDP như DNS và NFS có khả năng giao tiếp với máy chủ proxy SOCKS.
Máy chủ SOCKS lắng nghe trên cổng mặc định 1080, và các ứng dụng muốn sử dụng máy chủ này cần thông qua các SOCKS client Các client này sẽ thay thế các yêu cầu bằng các yêu cầu SOCKS, dẫn đến việc tất cả luồng dữ liệu ra ngoài được chuyển hướng tới máy chủ SOCKS trên cổng 1080 Máy chủ SOCKS sẽ đánh giá yêu cầu ban đầu và chuyển tiếp đến các máy chủ tương ứng nếu được chấp nhận Địa chỉ nguồn sẽ được thay thế bằng máy chủ SOCKS, trong khi cổng nguồn sẽ được chọn ngẫu nhiên từ cổng mức cao của máy chủ SOCKS.
Hình 1.3 Hoạt động của SOCKS
1.2.2.3 Ưu điểm và nhược điểm của SOCKS a Ưu điểm
Máy chủ SOCKS thường lắng nghe trên cổng mặc định 1080, được sử dụng cho tất cả các ứng dụng socksified, nhằm tạo điều kiện thuận lợi cho việc quản lý và giám sát lưu lượng mạng.
Việc thiết lập một phiên SOCKS mới qua TCP tương ứng với giao thức UDP, kết hợp với xác thực người dùng, nâng cao tính toàn vẹn Nhiều giải pháp xác thực người dùng độc lập, thiết lập phiên tương tự như xác thực máy khách tại tường lửa Mỗi máy khách kết nối tương đương với một tường lửa đã được xác thực Sau khi trao đổi thành công tên người dùng và mật khẩu, người sử dụng sẽ được cấp quyền truy cập theo đặc quyền của mình Các tường lửa thường mở đường dẫn vào địa chỉ IP của người dùng để cung cấp quyền truy cập đã được cấp, và việc đi qua đường dẫn này dễ hơn so với một phiên SOCKS Các giải pháp độc lập nên xác thực người dùng liên quan đến việc thiết lập phiên làm việc trong một quá trình duy nhất.
Việc sử dụng SOCKS server không phụ thuộc vào ứng dụng, cho phép các ứng dụng mới hoạt động ngay lập tức mà không cần tùy chỉnh Tuy nhiên, một số ứng dụng có thể gặp khó khăn khi chạy socksified, thường xảy ra khi không tuân thủ các tiêu chuẩn như bỏ qua ngăn xếp giao thức TCP.
Cơ chế kiểm soát truy cập sử dụng bộ lọc gói tin để giới hạn kết nối của máy khách với máy chủ qua địa chỉ IP Khi kết hợp với xác thực người dùng, cơ chế này có thể hạn chế quyền truy cập của từng người dùng cụ thể Nó xác định rõ ràng máy chủ và dịch vụ nào được phép kết nối với máy khách, đồng thời ghi lại tất cả các hoạt động này.
Máy chủ SOCKS cung cấp khả năng kết nối mà các proxy Internet thông thường không có, với quy trình thiết lập kết nối ra ngoài thông qua lệnh CONNECT Khi máy khách kết nối với máy chủ SOCKS, nó gửi yêu cầu CONNECT kèm theo địa chỉ đích và số cổng Máy chủ SOCKS sẽ xem xét yêu cầu và tạo kết nối nếu được phép Sau khi kết nối thành công, các máy chủ nhà mạng có thể cần kết nối trực tiếp với máy khách, điều này được thực hiện qua lệnh BIND Máy khách sẽ gửi yêu cầu BIND đến máy chủ SOCKS, bao gồm địa chỉ IP và số cổng của máy chủ Internet Nếu được chấp thuận, máy chủ SOCKS sẽ giữ một socket và tạo kết nối, giúp lưu lượng truy cập giữa máy chủ Internet và máy khách trở nên rõ ràng hơn.
Một số SOCKS server có thể hoạt động ở dạng chuỗi hoặc chế độ chuỗi SOCKS Gói socksified thường không được bọc và gửi trực tiếp đến các máy chủ ứng dụng Khi quy tắc trên SOCKS server chỉ định rằng đích đến chỉ có thể đạt được qua SOCKS server, gói sẽ được chuyển hướng đến các SOCKS server thử hai Các gói tin vẫn được bọc và sử dụng giao thức SOCKS5 SOCKS có thể hoạt động như một VPN thông qua mã hóa chuỗi SOCKS Tuy nhiên, vẫn tồn tại một số nhược điểm.
Mạng riêng ảo
Mạng riêng ảo (VPN) là một công nghệ tạo ra một đường hầm an toàn để truyền tải dữ liệu giữa hai hệ thống qua Internet VPN giúp bảo vệ thông tin bằng cách mã hóa các gói tin, ngăn chặn các bên trung gian nhận diện và can thiệp vào lưu lượng mạng.
Một ứng dụng phổ biến của VPN là tạo ra một kênh an toàn từ đầu mạng, cho phép các văn phòng chi nhánh, văn phòng từ xa và nhân viên làm việc từ xa truy cập tài nguyên công ty một cách bảo mật Điều này giúp họ sử dụng Internet một cách thoải mái, giống như khi làm việc trên máy tính cục bộ trong mạng công ty.
Các thiết bị đầu mạng hỗ trợ mạng riêng ảo bao gồm switch, router và firewall Những thiết bị này có thể được quản lý bởi công ty hoặc các nhà cung cấp dịch vụ như ISP.
VPN tạo ra một liên kết riêng tư qua mạng chung như Internet, cho phép người dùng giả vờ sử dụng đường dây thuê bao hoặc quay số điện thoại trực tiếp để truyền thông tin Tính riêng tư của VPN đến từ việc sử dụng mã hóa, đảm bảo an toàn cho các trao đổi mạng diễn ra trên nền tảng công cộng.
“mạng” (network) IP để trao đổi.
VPN cho phép các máy tính kết nối trực tiếp với nhau qua kết nối địa lý mà không cần thuê đường truyền Điều này giúp đơn giản hóa cấu trúc mạng và thúc đẩy sự phát triển mạng mà không cần thiết kế lại mạng LAN hoặc gián đoạn kết nối.
VPN hỗ trợ nhiều loại kết nối như thuê đường truyền, ADSL, Ethernet và PSTN Các giải pháp mạng có thể dễ dàng điều chỉnh để đáp ứng nhu cầu của từng khách hàng, bao gồm việc mở rộng các tùy chọn kết nối Dữ liệu, điện thoại và ứng dụng video có thể hoạt động trên các mạng riêng mà không cần kênh và phần cứng đặc biệt.
Dịch vụ của VDC cung cấp các giải pháp tối ưu cho ngân hàng, công ty bảo hiểm, ngành công nghiệp, lĩnh vực xuất khẩu và phần mềm.
VPN là một công nghệ cho phép người dùng truy cập mạng riêng từ xa thông qua Internet Nó tạo ra một kết nối an toàn giữa người sử dụng và mạng trung tâm, giúp bảo vệ dữ liệu với các biện pháp bảo mật cao Dịch vụ VPN cũng hỗ trợ kết nối trực tiếp giữa các khu vực khác nhau, giảm chi phí thông qua ISP và các dịch vụ thuê đường truyền.
Có 2 dạng mạng riêng ảo phổ biến hiện nay là VPN truy cập từ xa và VPN điểm nối điểm Đầu tiên là một VPN truy cập từ xa có thể kết nối người dùng từ xa tới mạng Thứ hai là VPN điểm nối điểm, các mạng VPN có thể kết nối hai mạng với nhau, được biết đến như một mạng kết nối LAN tới LAN VPN hay mạng kết nối Site to Site
*VPN truy cập từ xa (Remote Access)
Một máy khách truy xuất từ xa thiết lập kết nối VPN theo mô hình một – một, cho phép nhân viên từ xa, như những người đi công tác, truy cập vào mạng riêng của công ty VPN truy nhập từ xa, hay còn gọi là mạng riêng ảo quay số (VPDN), được thiết kế để hỗ trợ những nhân viên này Trước đây, các tổ chức thường sử dụng hệ thống quay số để kết nối với nhân viên từ xa, nhưng giải pháp này không hiệu quả về chi phí, đặc biệt khi thực hiện cuộc gọi quốc tế.
Hình 1.4 VPN truy cập từ xa
Với sự phát triển của VPN truy cập từ xa, nhân viên có thể dễ dàng kết nối vào mạng công ty từ bất kỳ đâu chỉ với một máy tính cá nhân có Internet VPN này mở rộng từ các mạng quay số truyền thống, cung cấp một kết nối an toàn như một đường hầm cho tổ chức Việc sử dụng cuộc gọi nội hạt giúp giảm chi phí, đồng thời cho phép kết nối an toàn thông qua việc sử dụng mật mã.
*VPN diem-noi-diem (site-to-site)
Một router thực hiện kết nối VPN site-to-site, sự kết nối này nỗi hai thành phần của một mạng riêng.
VPN site-to-site được sử dụng để kết nối các mạng ở những vị trí khác nhau trong một tổ chức Trước đây, việc kết nối này yêu cầu thuê kênh truyền riêng hoặc frame relay, nhưng hiện nay, nhiều tổ chức đã chuyển sang sử dụng Internet VPN điểm-nối-điểm đã trở thành giải pháp thay thế hiệu quả cho các kênh thuê riêng truyền thống Đây là sự mở rộng của mạng WAN, với hai ví dụ điển hình là VPN Intranet và VPN Extranet.
VPN Intranet là các kết nối giữa các vị trí trong cùng một tổ chức, cho phép người dùng truy cập dễ dàng hơn so với VPN Extranet, với ít hạn chế hơn.
VPN Extranet là các kết nối an toàn giữa tổ chức và đối tác kinh doanh, cho phép người dùng truy cập giữa các vị trí được quản lý chặt chẽ.
Hầu hết các VPN sử dụng kỹ thuật Tunneling để thiết lập một mạng riêng trên Internet Quá trình này bao gồm việc đóng gói toàn bộ dữ liệu vào trong một lớp header, cho phép thông tin được truyền qua các mạng trung gian qua những "đường ống" riêng biệt.
HOẠT ĐỘNG CỦA MẠNG ẨN DANH TOR 35 Khả năng triển khai
Kiến trúc – các thành phần trong mạng ẩn danh Tor
2.1.1 Kiến trúc mạng ẩn danh Tor
Onion Routing là một kỹ thuật bảo mật thông tin, giúp ẩn danh và ngăn chặn việc theo dõi trên mạng máy tính Thay vì thiết lập kết nối trực tiếp giữa máy gửi và máy nhận, kỹ thuật này sử dụng nhiều máy chủ dẫn đường (onion router) được chọn ngẫu nhiên để kết nối gián tiếp Tại máy gửi, các gói tin được mã hóa thành nhiều lớp, mỗi lớp sử dụng khóa công khai của một bộ định tuyến, tạo thành cấu trúc giống như củ hành, từ đó có tên gọi là onion.
Khi gói tin đến router A, router này sử dụng khóa bí mật của mình để giải mã thông tin dành cho router B và chuyển tiếp gói tin Tại router B, quá trình tương tự diễn ra, cho phép gói tin tiếp tục được gửi đi.
C Quá trình truyền tin trả lời cũng làm tương tự theo thứ tự ngược lại.
Mỗi router chỉ nhận biết router trước đó và router tiếp theo mà nó phải chuyển tiếp tin nhắn Chỉ router đầu tiên biết địa chỉ máy gửi, trong khi router cuối cùng biết địa chỉ máy nhận Hơn nữa, mỗi router chỉ giải mã thông tin dành riêng cho nó và không thể giải mã các lớp thông tin khác được mã hóa bằng các khóa khác.
Hình 2.2 Mã hóa trong Tor
Kỹ thuật này giống như việc gửi một bức thư qua nhiều lớp phong bì lồng nhau, với mỗi người đưa thư mở một lớp để chuyển tiếp thông tin đến người nhận cuối cùng Ưu điểm của phương pháp này là ngay cả khi một số router trung gian bị theo dõi, kẻ xâm nhập cũng không thể xem được nội dung gói tin và địa chỉ gửi, nhận do không thể giải mã các lớp mã khóa mà không có chìa khóa Nhờ đó, gói tin được truyền đi một cách nặc danh và bảo mật, chỉ khi theo dõi toàn bộ các router thì mới có thể xác định được nơi gửi và nơi nhận.
Chúng ta không cần phải phụ thuộc vào các router như cách chúng ta tin cậy vào proxy Do đó, máy tính của chúng ta có thể trở thành một onion router nếu muốn Số lượng router càng nhiều thì độ an toàn của mạng càng được nâng cao.
Trong mỗi phiên liên lạc, các router lại được chọn ngẫu nhiên từ rất nhiều router có trên mạng Vì vậy rất khó theo dõi.
2.1.2 Các thành phần trong mạng ẩn danh Tor
Hình 2.3 Thành phần trong mạng ẩn danh Tor
Hình 2.3 là mô hình của mạng ẩn danh Tor, dữ liệu từ một Anonymous User bất kỳ bắt đầu hành trình trong mạng thì nó sẽ đi qua:
Nút đầu (Entry node): Đây là nút đầu tiên trong hành trình của dữ liệu trong mạng.
Node, hay còn gọi là nút ở giữa, là các nút chuyển tiếp trong mạng, đóng vai trò quan trọng trong việc tạo ra đường kết nối từ người dùng đến đích mong muốn.
Nút thoát (Exit node) là điểm cuối cùng trong hành trình của dữ liệu trên mạng Tor, nơi dữ liệu rời khỏi mạng mã hóa và tiếp tục đến đích trên Internet Tại nút này, dữ liệu có thể bị nghe lén hoặc thay đổi.
Cầu nối (Bridges): là nút không có tên trong danh sách công khai của Tor nhằm tránh những trạm này bị ngăn chặn.
Mạng ẩn danh Tor là một hệ thống che phủ, trong đó mỗi onion router (OR) hoạt động như một tiến trình người dùng thông thường mà không cần quyền đặc biệt Mỗi OR duy trì các kết nối TLS với các OR khác mà nó đã giao tiếp Người dùng sử dụng phần mềm cục bộ gọi là onion proxy (OP) để thiết lập các mạch trên mạng và xử lý kết nối từ các ứng dụng Các OP này cho phép truyền tải các luồng TCP và nhân chúng trên khắp các mạch.
Mỗi OR giữ một khóa định danh dài hạn và một khóa onion ngắn hạn Khóa định danh dùng để đánh dấu các chứng chỉ TLS và mô tả thiết bị của OR, bao gồm các thông tin như khóa, địa chỉ, băng thông, chính sách thoát và các yếu tố khác Trong khi đó, khóa onion được sử dụng để mã hóa các yêu cầu từ người dùng nhằm tạo ra một mạch và đàm phán với các khóa tạm thời.
Giao thức TLS thiết lập một khóa liên kết ngắn hạn trong quá trình giao tiếp giữa các OR, với các khóa này được thay đổi định kỳ và độc lập nhằm giảm thiểu tác động từ các khóa bị thỏa hiệp.
Các OR giao tiếp với nhau và với các OP của người dùng thông qua các kết nối TLS, giúp bảo vệ dữ liệu trong quá trình truyền tải Việc sử dụng TLS không chỉ ngăn chặn các cuộc tấn công chỉnh sửa dữ liệu mà còn bảo vệ chống lại việc mạo danh một OR Hầu hết lưu lượng qua các liên kết này được chia thành các cell có kích thước cố định, mỗi cell có kích thước 512 byte, bao gồm cả header và payload.
Hình 2.4 Cấu trúc cell và chi tiết về cấu trúc cell
Phần header chứa một bộ xác định mạch (CircID) để tham chiếu đến các cell, với một lệch mô tả cách xử lý payload của cell Các cell kích cỡ cố định có khả năng chống phân giải lưu lượng nhưng không hiệu quả, dẫn đến việc sử dụng cell điều khiển chiều dài khả biến để tăng cường bảo mật Cell kích cỡ cố định làm giảm tính ngẫu nhiên của kích thước gói tin trong Tor, trái với mục tiêu chống giao thức dấu vân tay Do đó, cell đệm chiều dài khả biến đã được giới thiệu để che đậy kích thước gói tin, mặc dù chưa được áp dụng.
Dựa trên lệnh của chúng, các cell được giải thích bởi node nhận, trong khi các cell chuyển tiếp và các cell chuyển tiếp sớm hoạt động như nhau nhưng được phân biệt để thực hiện các đường có chiều dài tối đa.
Các cell quản lý kích thước cố định có các mệnh lệnh quan trọng như padding, được sử dụng để duy trì sự tồn tại và hỗ trợ đệm liên kết; create hay created, dùng để tạo thành một mạch mới; create fast hay created fast, cho phép tạo mạch mới tới node đầu tiên mà không cần tính toán khóa công khai; netinfo, giúp các node xác định thời gian và địa chỉ của chính mình; và destroy, dùng để phá bỏ một mạch.
Common length control cells include commands such as versions for link protocol communication, vpadding for variable length padding, and certs Additionally, they involve authentication challenges to authenticate and authorize, which are used for determining OR-OR and OP-OR.
Cơ chế hoạt động của mạng ẩn danh Tor
Tor (The Onion Routing) cung cấp khả năng giao tiếp ẩn danh qua các ứng dụng sử dụng giao thức TCP Người dùng có thể chọn một mạch định tuyến từ các Tor router (hay Tor relay) thông qua việc truy vấn các thư mục có thẩm quyền Sau khi mạch được thiết lập, dữ liệu được truyền qua mạch này bằng cách sử dụng sơ đồ mã hóa lớp của mạng Tor Mỗi Tor router sẽ thêm hoặc loại bỏ một lớp mã hóa khi nhận được một gói tin cố định (cell), tùy thuộc vào hướng di chuyển của cell.
Ban đầu, Tor sử dụng cơ chế lựa chọn các nút OR một cách ngẫu nhiên, nhưng điều này đã ảnh hưởng đến khả năng cân bằng tải trong mạng ẩn danh Hiện nay, Tor đã cải thiện khả năng cân bằng tải bằng cách lựa chọn mạch dựa trên băng thông thực tế của từng nút.
Mạng Tor sử dụng các nhà cung cấp băng thông tin cậy để đánh giá khả năng của từng nút OR Đồng thời, mạng ẩn danh này cũng xem xét khả năng chống lại các cuộc tấn công có thể xảy ra trong quá trình lựa chọn các nút OR Các nghiên cứu gần đây đã đề xuất các thuật toán lựa chọn kết hợp sự tin tưởng của người dùng trên các phần khác nhau của mạng.
2.2.1 Thuật toán lựa chọn OR
Thuật toán Tor: Thuật toán lựa chọn các OR dựa trên trọng số của các OR.
Các trọng số tương ứng với băng thông của các nút trong mạng Phương pháp này không chỉ giúp cân bằng tải hiệu quả mà còn bảo vệ quyền riêng tư của người dùng Tuy nhiên, Tor áp dụng một chiến lược phức tạp hơn, cho phép loại bỏ các nút OR không ổn định và thêm các nút mới vào các mạch đã sử dụng Ngoài ra, việc lựa chọn các guard relay, entry point và exit relay cũng được điều chỉnh dựa trên vị trí địa lý.
Thuật toán Snader/Borisov cho phép người dùng điều chỉnh mức độ lựa chọn giữa băng thông và khả năng ẩn danh thông qua hàm: \$$f_s(x) = 1 - 2sx\$$
Tham số \( s \) thể hiện mối quan hệ giữa khả năng ẩn danh và hiệu suất Thuật toán Snader/Boriow (SB) lựa chọn các OR dựa trên danh sách đã được sắp xếp theo băng thông, sử dụng chỉ số \( [n.fs(x)] \).
- x được chọn ngẫu nhiên từ [0,1) và n là chỉ số của OR Ký hiệu thuật toán SB với một số giá trị cố định s là SB-s.
Thuật toán Tor không trọng số cho phép người dùng tự do lựa chọn các nút OR mà không cần dựa vào các gợi ý có sẵn trong mạng ẩn danh Tor Người dùng sẽ chọn con đường tùy ý phù hợp với chính sách đầu ra và các hạn chế khác của mạng này.
Thuật toán tọa độ do Sherr đề xuất nhằm lựa chọn OR dựa trên độ trễ của đường truyền Trong phương pháp này, OR tham gia vào một hệ thống phối hợp nhúng ảo, với quy định rằng không phải tất cả người dùng hay địa chỉ đều được phép tham gia để bảo vệ khả năng ẩn danh Khoảng cách Euclide giữa các tọa độ ảo của hai OR được sử dụng như một chỉ số cho độ trễ giữa các cặp OR Bằng cách tổng hợp các khoảng cách ảo này, người dùng có thể ước lượng thời gian trễ của mạch ẩn danh trước khi khởi tạo.
Thực hiện hai phương án dựa trên định tuyến Tọa độ, trong đó người dùng lựa chọn con đường k với các OR được chọn bằng phương pháp Tor không trọng số Người dùng sẽ tính toán độ trễ dự kiến của mỗi OR trong trường hợp k và chọn con đường k có độ trễ ước tính thấp nhất.
Tác giả giới thiệu một thuật toán lai kết hợp giữa thuật toán Tor và thuật toán Tọa độ Người dùng có thể chọn k đường dựa trên phương pháp lựa chọn băng thông mặc định Sau đó, thuật toán sẽ tính toán thời gian trễ dự kiến cho các đường k và lựa chọn tuyến đường có độ trễ dự kiến thấp nhất.
Một đánh giá cho thấy, với k = 3 sẽ cho hiệu suất tính toán và thời gian xác định đường đi tốt nhất.
LASTor là một thuật toán tối ưu hóa hệ thống chọn OR nhằm giảm xác suất xuất hiện của một hệ thống tự trị trên cả hai mặt của mạch ẩn danh, đồng thời giảm thời gian trễ của tuyến đường bằng cách sử dụng khoảng cách địa lý làm ước lượng cho độ trễ Hệ thống này sử dụng dịch vụ GeoIP để lập bản đồ địa chỉ mạng đến các vị trí vật lý, từ đó lựa chọn các đường dẫn có trọng số dựa trên khoảng cách, với tuyến đường có trọng số thấp nhất được chọn LASTor tổ chức các OR thành các mạng lưới ô vuông dựa trên vĩ độ và kinh độ, và tính toán các đường dẫn thông qua các mạng lưới này Hơn nữa, LASTor còn sử dụng bộ dữ liệu iPlane để tránh việc chọn các đường có khả năng tương quan dữ liệu giữa hai đầu của mạch ẩn danh.
Thuật toán lựa chọn tắc nghẽn thấp (Congestion – aware selection) :
Thuật toán do Wang đề xuất tập trung vào việc chọn mạch Tor thông minh nhằm giảm thiểu tắc nghẽn Tắc nghẽn được đo bằng cách lấy thời gian phản hồi trên mạch hiện tại trừ đi thời gian phản hồi thấp nhất Cả mạch và kết nối ứng dụng đều được sử dụng để đo tắc nghẽn mà không gây tràn Dựa trên số lượng tắc nghẽn, Wang đưa ra phương pháp chọn OR, trong đó (a) ngẫu nhiên chọn ba mạch có sẵn và chọn mạch có thời gian tắc nghẽn thấp nhất, và (b) nếu tắc nghẽn đo được lớn hơn 0.5 giây tại bất kỳ điểm nào trong mạch, sẽ chuyển sang mạch khác.
2.2.2 Tránh trùng lặp các node trong cùng một mạch
Các thiết kế Onion Routing trước đây dựa vào giả định rằng các node là đồng dạng, dẫn đến việc khách hàng chọn các Onion Routers (OR) một cách ngẫu nhiên Tuy nhiên, phương pháp này gây ra tình trạng tắc nghẽn băng thông nghiêm trọng, khi một OR không giới hạn lưu lượng mạng mà không kiểm tra sự trùng lặp của các mạch, dẫn đến quá tải cho các OR có băng thông thấp và sử dụng không hiệu quả các OR có băng thông cao.
Tor đánh giá việc lựa chọn các node dựa trên băng thông của máy chủ Máy chủ có băng thông lớn sẽ kết nối với nhiều mạng hơn, dẫn đến việc có nhiều luồng dữ liệu hơn.
Việc đánh giá các OR thông qua băng thông là một phương pháp tối ưu, do sự không đồng nhất trong các lựa chọn đường Nếu node A có thể sử dụng tại bất kỳ điểm nào trong mạch, trong khi node B chỉ phù hợp với các node ở giữa, thì node A có khả năng được chọn gấp 3 lần node B Khi hai node có cùng băng thông, node A sẽ bị chọn nhiều hơn, dẫn đến tình trạng quá tải so với node B Phiên bản 0.2.2.10-alpha đã cải tiến cách tiếp cận này, khi các node được lựa chọn dựa trên băng thông của chúng, thông qua một thuật toán tối ưu hóa nhằm cân bằng tải giữa các node với khả năng khác nhau.
Các tấn công lên mạng ẩn danh Tor
2.3.1 Các hình thức tấn công bị động
Quan sát mô hình lưu lượng người dùng giúp phân tích các mẫu lưu lượng gửi và nhận mà không tiết lộ mục đích hay dữ liệu cụ thể của người dùng Để hiểu rõ hơn về hành vi của người dùng, cần thực hiện các quy trình tiếp theo, vì các ứng dụng có thể hoạt động đồng thời hoặc tuần tự qua cùng một mạch.
Tấn công quan sát nội dung người dùng xảy ra khi nội dung đến tay người dùng cuối bị mã hóa, dẫn đến việc các kết nối tới người hồi đáp có thể không cần thiết Việc lọc nội dung không phải là mục đích chính của Onion Routing Tor có khả năng sử dụng trực tiếp proxy và các dịch vụ lọc liên quan đến các luồng dữ liệu ứng dụng ẩn danh.
Tấn công khả năng phân biệt lựa chọn (Option distinguishability) xảy ra khi các máy khách có thể tùy chỉnh các yêu cầu của mình Chẳng hạn, những máy khách ưu tiên khả năng kết nối có thể thay đổi mạch nhiều hơn so với những người chú trọng vào khả năng ẩn danh Việc cho phép lựa chọn này có thể dẫn đến sự xuất hiện của những người dùng với các yêu cầu khác nhau, nhưng đồng thời cũng có thể làm giảm khả năng ẩn danh của họ, vì mạch của họ có thể trở nên khác biệt do quá trình tối ưu hóa.
Tấn công trong quan thời gian (Timing correlation) cho thấy Tor chỉ ẩn giấu tối thiểu các mối tương quan Kẻ tấn công có thể nhận thấy sự tương quan giữa lưu lượng tại người bắt đầu và người hồi đáp Để bảo vệ tốt nhất chống lại thông tin tương quan, cần ẩn giấu liên kết giữa OP và node Tor đầu tiên bằng cách chạy OP trên node Tor hoặc dưới một tường lửa Cách tiếp cận này yêu cầu một bộ quan sát để phân rõ lưu lượng có nguồn gốc.
Một bộ quan sát tổng thể có khả năng đo lưu lượng đi qua OR, tuy nhiên, nó có thể gặp phải một số giới hạn trong khả năng quan sát.
Tấn công trong quan kích cỡ (Size correlation) cho phép xác nhận các điểm cuối của luồng dữ liệu thông qua việc đếm gói tin đơn lẻ Tuy nhiên, nếu không can thiệp vào nội dung, vẫn có khả năng bảo vệ khi cấu trúc mạch dữ liệu rò rỉ, dẫn đến việc một số gói tin có thể đi tới một điểm cuối và sau đó ra ở điểm khác Đánh dấu vân tay Website (Website fingerprinting) là một hình thức tấn công xác minh lưu lượng, không nằm trong mục tiêu thiết kế ban đầu Cuộc tấn công này có thể hiệu quả hơn việc nghiên cứu các kết nối để tính thời gian và mối tương quan dung lượng, cho phép kẻ tấn công tạo ra cơ sở dữ liệu chứa kích thước tập tin và mô hình truy cập cho các website bị nhắm tới Kẻ tấn công có thể xác định kết nối của người dùng tới một trang web bằng cách truy vấn cơ sở dữ liệu Kiểu tấn công này đã chứng tỏ hiệu quả với SafeWeb, nhưng có thể ít hiệu quả hơn với Tor do các kênh được nhận lên bên trong một mạch và dấu vân tay bị hạn chế tới các cell.
Để tăng cường tính ẩn danh, có thể mở rộng kích thước cell và tổ chức các sơ đồ nhóm website thành các nhóm lớn thông qua việc sử dụng các liên kết dài.
2.3.2 Các hình thức tấn công chủ động
Tấn công làm lộ khóa (Compromise key) cho phép kẻ tấn công truy cập vào khóa trình tự TLS, từ đó có thể xem các cell quản lý và cell chuyển tiếp đã được mã hóa trong liên kết Việc nắm giữ khóa phiên của mạch giúp kẻ tấn công mở lớp mã hóa, trong khi việc biết khóa riêng TLS của OR hoặc mạo danh càng làm tăng nguy cơ bị tấn công.
Trong thời gian sống của khóa TLS, kẻ tấn công cần biết khóa onion để giải mã các cell create Việc thay đổi khóa định kỳ giúp hạn chế cơ hội tấn công Hơn nữa, nếu kẻ tấn công nắm giữ khóa định danh của node, họ có thể thay thế nhận dạng của node bằng cách gửi mô tả giả mạo tới các máy chủ thư mục.
Tấn công làm lộ các node (Iterated compromise) cho phép kẻ tấn công xác định các OR và tìm điểm cuối Để thành công, kiểu tấn công này phải được thực hiện trong khoảng thời gian sống của mạch, nếu không, các OR sẽ xóa thông tin cần thiết trước khi kẻ tấn công có thể hoàn thành Một ví dụ điển hình là dự án Java Anon Proxy, khi các node tại Đức buộc phải thêm một backdoor.
Kẻ tấn công có thể giả mạo một người nhận bằng cách điều khiển một máy chủ web, từ đó nắm bắt được cấu trúc thời gian của người dùng kết nối Nếu kẻ tấn công có thể dẫn dụ người dùng tới máy chủ của mình, việc tấn công sẽ trở nên dễ dàng hơn, vì họ có thể thu thập thông tin về điểm cuối của người dùng Điều này cho thấy sự nguy hiểm tiềm tàng từ các giao thức ứng dụng và chương trình liên quan, có thể làm lộ thông tin cá nhân của người dùng Để giải quyết vấn đề này, Tor sử dụng Privoxy và các giao thức làm sạch tương tự.
Chạy một onion proxy (OP) là điều cần thiết để người dùng cuối có thể duy trì kết nối an toàn Tuy nhiên, trong một số trường hợp, việc chạy proxy từ xa là cần thiết, đặc biệt trong các tổ chức muốn giám sát hoạt động kết nối Việc thỏa hiệp một OP có thể gây nguy hiểm cho tất cả các kết nối trong tương lai thông qua nó.
Tấn công DoS vào các node không bị theo dõi trong mạng Tor có thể làm giảm độ tin cậy của chúng và khiến người dùng nghi ngờ về tính an toàn Kẻ theo dõi có khả năng quan sát một số node có thể tấn công các node này để tắt chúng đi Để bảo vệ trước những cuộc tấn công này, tính bền vững của hệ thống là yếu tố quan trọng nhất.
Chạy một OR thủ địch có thể tạo ra các mạch qua chính nó hoặc thay đổi cấu trúc lưu lượng, ảnh hưởng đến các node khác Một node thù địch cần phải liền kề với cả hai điểm cuối để đe dọa tính ẩn danh của mạch Nếu kẻ tấn công có thể vận hành nhiều OR và làm cho máy chủ thư mục tin rằng chúng là đáng tin cậy và độc lập, một số người dùng sẽ chọn các OR này để bắt đầu hoặc làm điểm cuối của mạch Điều này cho phép kẻ tấn công kiểm soát băng thông tổng thể.
Băng thông trung bình của mạng có thể tương quan với tỷ lệ (m/N) của các mạch Tuy nhiên, một kẻ tấn công có thể làm giảm đáng kể lưu lượng bằng cách thực hiện một cuộc tấn công OR với chính sách cho phép loại bỏ, hoặc bằng cách làm giảm độ tin cậy của các bộ định tuyến khác.
Giới thiệu Tor Project
Mạng ẩn danh Tor, ra đời vào năm 2004, là thế hệ thứ hai của mạng Onion Routing Tor được xem là phần mềm tự do giúp bảo vệ quyền tự do và riêng tư cá nhân, đồng thời ngăn chặn các hoạt động giám sát trên mạng, như phân tích lưu lượng (traffic analysis), điều này rất quan trọng cho các hoạt động và quan hệ kinh doanh cần sự kín đáo cũng như an ninh quốc gia.
Mã nguồn của Tor được phát hành dưới giấy phép nguồn mở BSD, cho phép mọi người tham gia và phát triển Mạng ẩn danh Tor là một mạng mở, bao gồm các máy chủ Tor tự nguyện, hoạt động như các bộ dẫn đường trung gian kiểu "củ hành" (onion router) Hiện tại, có khoảng 1500 máy chủ Tor đang hoạt động trên toàn mạng Internet.
Kỹ thuật truyền thông onion routing đảm bảo tính bảo mật của toàn mạng, ngay cả khi một số máy chủ bị hỏng, bị kiểm soát hoặc có ý đồ xấu.
Vì vậy mạng ẩn danh Tor có thể mở cho mọi máy chủ tham gia
Kỹ thuật giám sát "phân tích lưu lượng" cho phép theo dõi và thống kê sự lưu thông của các gói tin trên mạng mà không cần đọc nội dung Chỉ cần xác định địa chỉ gửi, địa chỉ nhận, tần suất, số lượng và dung lượng gói tin để suy luận thông tin cần thiết Kỹ thuật này thường được áp dụng trong lĩnh vực quân sự, tình báo và phản gián.
Tor hoạt động dựa trên giao thức TCP, cho phép các ứng dụng sử dụng TCP như duyệt web, email, tin nhắn và chat có thể kết nối với Tor Ngoài ra, Tor có thể được cài đặt và sử dụng trên các hệ điều hành Windows, Mac OS và Linux.
Thử nghiệm truy cập ẩn danh sử dụng mạng ẩn danh Tor
3.2.1 Truy cập ẩn danh sử dụng mạng ẩn danh Tor
Mô hình này sẽ được trình bày để kiểm tra thực nghiệm tính ẩn danh và độ trễ khi sử dụng trình duyệt truy cập Internet trong thực tế.
Hình 3.1 Mô hình thử nghiệm truy cập ẩn danh sử dụng mạng ẩn danh Tor
Trong mô hình này, một máy tính cá nhân được sử dụng để thử nghiệm, với khu vực chứa nhiều node nằm trong vùng tối được gọi là zone Tor, và website đại diện cho máy chủ được truy cập.
3.2.1.2 Cài đặt trình duyệt Tor
Trình duyệt Tor là một công cụ ẩn danh cho người dùng, có thể cài đặt trên cả Windows và Linux Bài viết này sẽ hướng dẫn chi tiết cách cài đặt trình duyệt Tor trên hệ điều hành Ubuntu thông qua phần mềm tạo máy ảo VMware Đầu tiên, bạn cần cấu hình các thiết lập của Ubuntu.
Hình 3.2 Cấu hình của Ubuntu
Sau khi truy cập vào địa chỉ https://www.torproject.org/download/ trên Firefox hoặc các trình duyệt tương tự, bạn có thể tải xuống chương trình cài đặt trình duyệt Tor.
Hình 3.3 Download Tor Network trên trang chủ
Thực hiện cài đặt theo các bước sau:
Bước 1: Mở file vừa download về
Hình 3.4.1: Cài đặt Tor trên Ubuntu 1
Bước 2: Thực hiện “Extract” file vừa tải về
Hình 3.4.2: Cài đặt Tor trên Ubuntu 2
Bước 3: Copy sang folder “Document” hoặc bất kỳ folder nào bạn muốn và thực hiện đặt tên.
Hình 3.4.3: Cài đặt Tor trên Ubuntu 3
Bước 4: Mở Terminal đi vào directory như hình và run command line:
Hình 3.4.4: Cài đặt Tor trên Ubuntu 4
Bước 5: Thực hiện “Add to Favorites”
Hình 3.4.5: Cài đặt Tor trên Ubuntu 5
Bước 6: Giao diện của Tor Network.
Hình 3.4.6: Cài đặt Tor trên Ubuntu 6
3.2.1.3 Tiến hành thử nghiệm sử dụng trình duyệt Tor để truy cập vào
Tor là giải pháp truy cập ẩn danh hiệu quả nhất hiện nay, nhưng tốc độ truy cập cũng là một yếu tố quan trọng đối với người dùng Internet Dưới đây là kết quả thử nghiệm so sánh tốc độ truy cập giữa trình duyệt Tor và Firefox trên cùng một cấu hình máy.
Bảng 3.1 Kết quả thực nghiệm khi truy cập một số trang web sử dụng mạng ẩn danh Tor và
Thời gian truy cập trung bình Tor
Thời gian truy cập trung bình Firefox
Viet Nam – FPT Online JSC
IP Location: Ha Noi – Viet
3.2.2 Truy cập ẩn danh sử dụng mạng ẩn danh Tor và CyberGhost VPN
Cyber VPN là một công cụ thiết lập mạng riêng ảo khi kết nối Internet, giúp ẩn địa chỉ IP thật và kết nối đến máy chủ ẩn danh Chỉ cần cài đặt và chạy phần mềm, người dùng có thể truy cập trực tuyến một cách an toàn và bảo mật, đảm bảo sự riêng tư khi lướt web ở bất kỳ đâu.
Mô hình này sẽ được sử dụng để kiểm tra thực nghiệm tính ẩn danh và độ trễ khi sử dụng trình duyệt Tor kết hợp với CyberGhost VPN để truy cập internet trong thực tế.
Hình 3.10 Truy cập ẩn danh sử dụng mạng ẩn danh Tor kết hợp CyberGhost VPN
Trong mô hình này, người dùng ẩn danh sử dụng máy tính cá nhân để thử nghiệm Khu vực chứa nhiều node trong vùng màu tối đại diện cho zone Tor, trong khi Server là máy chủ web được truy cập Trước khi kết nối với mạng ẩn danh Tor, người dùng ẩn danh sẽ thay đổi địa chỉ IP bằng phần mềm CyberGhost VPN.
Tải CyberGhost từ trang: https://www.cyberghostvpn.com/en_US/apps/windows-vpn
Nhấp chuột vào tập tin vừa tải về và tiến hành cài đặt.
Hình 3.11 Cài đặt CyberGhost VPN
Trước khi mở phần mềm, chúng ta sẽ kiểm tra IP thật trên máy bằng cách truy cập đường dẫn: https://whatismyipaddress.com/
Hình 3.12 Địa chỉ IP thật
Khi khởi động phần mềm, màn hình chính cho phép người dùng chọn địa chỉ IP của các quốc gia để kết nối Để đạt được tốc độ máy chủ cao hơn và lướt web nhanh hơn, người dùng nên lựa chọn các quốc gia gần với vị trí địa lý của mình.
Để áp dụng địa chỉ IP mới cho máy tính, bạn chỉ cần nhấp vào biểu tượng kết nối ở góc phải màn hình Nếu quá trình thành công, biểu tượng sẽ chuyển sang màu vàng và hiển thị dòng chữ “Connected to …”.
Hình 3.14 Chuyển đổi IP thành công
Truy cập vào đường dẫn https://whatismyipaddress.com/ để kiểm tra IP hiện tại.
Hình 3.15 Địa chỉ IP mới
3.2.2.3 Tiến hành thử nghiệm sử dụng trình duyệt Tor kết hợp với
CyberGhost VPN để truy cập vào internet
CyberGhost VPN là một trong những ứng dụng VPN hàng đầu hiện nay, cho phép người dùng giả mạo IP sang quốc gia khác với tốc độ truy cập vượt trội Phần mềm này tạo ra một kết nối VPN an toàn, mã hóa dữ liệu bằng thuật toán AES-128 bit và xóa sạch dấu vết truy cập khi phiên làm việc kết thúc Để kiểm chứng tốc độ truy cập của Tor khi kết hợp với CyberGhost VPN, đã tiến hành thử nghiệm truy cập một số trang web và thu được kết quả đáng chú ý.
Bảng 3.2 Kết quả thực nghiệm khi truy cập một số trang web sử dụng mạng ẩn danh Tor kết hợp với CyberGhost VPN
TT Địa chỉ Thời gian truy cập trung bình
IP Location: Tokyo – Japan – Google LLC
IP Location: Dong Nai – Viet Nam – FPT
IP Location: Hong Kong – Hong Kong –
IP Location: Quebec – Canada – OVH
IP Location: Ha Noi – Viet Nam – Shopee
3.2.3: Truy cập ẩn danh sử dụng mạng ẩn danh Tor với tùy chọn Tor Bridge
Bridge replays, hay còn gọi là “bridges”, là các Tor relays không có tên trong danh sách công khai của Tor, giúp chúng tránh bị ngăn chặn Dù các trạm công khai của Tor có thể bị các dịch vụ Internet chặn, nhưng không chắc chắn rằng tất cả các bridge replays của Tor đều bị ngăn cản.
Hình 3.16 Truy cập ẩn danh sử dụng mạng ẩn danh Tor với tùy chọn Tor bridge
3.2.3.2 Thiết lập cài đặt Tor Bridge
Mở trình duyệt Tor và click vào “Configure Connection”:
Hình 3.17 Cài đặt Tor với tùy chọn Tor bridge 1
Trong cửa sổ Settings, chọn Connection và kéo xuống mục Bridges sau đó chọn
Hình 3.17 Cài đặt Tor với tùy chọn Tor bridge 2
Sau đó chọn một obfs4 bridge bất kì và copy nó:
Hình 3.18 Cài đặt Tor với tùy chọn Tor bridge 3
Tiếp đến chọn “Add a Bridge Manually”:
Hình 3.19 Cài đặt Tor với tùy chọn Tor bridge 4
Tiếp đến chọn “Add a Bridge Manually”:
Hình 3.20 Cài đặt Tor với tùy chọn Tor bridge 5
Cuối cùng connect lại Tor:
Hình 3.21 Cài đặt Tor với tùy chọn Tor bridge 6
Note: Ngoài cách lấy thông tin bridge như trên, thì có thể làm theo cách sau
- Truy cập vào trang web: https://bridges.torproject.org/
- Sau đó làm theo các bước sau:
Hình 3.22 Thực hiện lấy obfs4 trên trang chủ 1
Hình 3.23 Thực hiện lấy obfs4 trên trang chủ 2
Hình 3.24 Thực hiện lấy obfs4 trên trang chủ 3
Hình 3.25 Thực hiện lấy obfs4 trên trang chủ 4
Để đảm bảo việc sử dụng Tor liên tục, người dùng nên thêm nhiều bridge thay vì chỉ sử dụng một bridge duy nhất Điều này giúp duy trì khả năng truy cập vào Tor ngay cả khi bridge đầu tiên không còn khả dụng.
3.2.3.3 Tiến hành thử nghiệm sử dụng trình duyệt Tor đã được cài đặt bridge để truy cập Internet Ở nhiều nơi, việc truy cấp và sử dụng mạng ẩn danh Tor bị hạn chế, do đó các ISP phải dựa vào danh sách ngăn chặn Khi các node Tor đã công khai bị chặn thì người dùng vẫn có thể vượt qua rào chắn này bằng cách thiết lập bridge Tuy nhiên, số bridges chưa công khai thực sự không nhiều như các trạm đã được công khai, và dẫn đến việc các điểm kết nối thường rất xa nhau Bảng kết quả dưới đây thử nghiệm tốc độ truy cập khi sử dụng thiết lập bridge để vượt qua sự chặn bắt của ISP.
Kết quả thực nghiệm khi truy cập một số trang web sử dụng mạng ẩn danh Tor kết hợp với Bridge
Bảng 3.3 Kết quả thực nghiệm truy cập Tor và Bridge
T Địa chỉ Thời gian truy cập trung bình
IP Location: California – United States – Google LLC
IP Location: Dong Nai – Viet Nam – FPT Online JSC
IP Location: California – United States – Facebook INC
IP Location: Bayern – Germany – The Tor Project
IP Location: Ha Noi – Viet Nam – Shopee Company
Tốc độ của Tor chậm hơn so với các trình duyệt khác do yêu cầu đảm bảo truy cập ẩn danh Các trang web có máy chủ tại Mỹ và một số nước Châu Âu có tốc độ truy cập nhanh, trong khi các trang web tại Việt Nam lại chậm hơn nhiều Nguyên nhân chủ yếu là do đường truyền internet không ổn định và sự phân bố của các máy chủ proxy của Tor chủ yếu ở Châu Âu và Mỹ Khi sử dụng Tor kết hợp với CyberGhost VPN, người dùng có thể duy trì tính ẩn danh và tốc độ lướt web ổn định nhờ vào việc giả mạo IP và tạo đường truyền riêng đến VPN Gateway Sử dụng Tor bridge cũng giúp người dùng truy cập ẩn danh, nhưng việc tìm kiếm các bridges khác nhau có thể tốn thời gian do một số bridges bị chặn Do đó, việc kết hợp Tor với CyberGhost VPN là lựa chọn tối ưu hơn.