BÁO cáo môn học kỹ THUẬT lập TRÌNH đề tài tìm HIỂU về TOR NETWORK 1

Trong thực tế, khi truy cập các trang web, người dùng có thể gặp những vấn đề đơngiản như nhiễm virus hoặc phức tạp như lộ thông tin bảo mật cá nhân dẫn đến hệquả nghiêm trọng như bị lợi

HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA AN TOÀN THÔNG TIN

BÁO CÁO MÔN HỌC

KỸ THUẬT LẬP TRÌNH

ĐỀ TÀI TÌM HIỂU VỀ TOR NETWORK

Giáo viên hướng dẫn: ThS Bùi Việt Thắng

Sinh viên thực hiện: Nguyễn Thị Phương – AT170538

Tống Xuân Mạnh – AT170633 Nguyễn Đình Sinh – AT170643

Chu Quang Đạt – AT170610

Lớp: L07

MỤC LỤC

CHƯƠNG 1 TỔNG QUAN VỀ ẨN DANH TRÊN INTERNET 9

1.1 Ẩn danh trên mạng Internet 9

1.2 Các công nghệ ẩn danh 12

1.2.1 Proxy server 12

1.2.2 SOCKS 17

1.2.3 Mạng riêng ảo 21

1.2.4 Mạng ẩn danh TOR 28

CHƯƠNG 2 HOẠT ĐỘNG CỦA MẠNG ẨN DANH TOR 35 Khả năng triển khai 35

Khả năng sử dụng 35

Tính linh hoạt 35

Thiết kế đơn giản 35

Khả năng ẩn danh 36

2.1 Kiến trúc – các thành phần trong mạng ẩn danh Tor 36

2.1.1 Kiến trúc mạng ẩn danh Tor 36

2.1.2 Các thành phần trong mạng ẩn danh Tor 38

2.2 Cơ chế hoạt động của mạng ẩn danh Tor 42

2.2.1 Thuật toán lựa chọn OR 43

2.2.2 Tránh trùng lặp các node trong cùng một mạch 45

2.2.3 Xây dựng mạch 47

2.2.4 Mở và đóng các kênh 49

2.2.5 Kiểm tra tích hợp trên các luồng 50

2.3 Các tấn công lên mạng ẩn danh Tor 51

2.3.1 Các hình thức tấn công bị động 51

2.3.2 Các hình thức tấn công chủ động 53

CHƯƠNG 3 THỬ NGHIỆM TRUY CẬP ẨN DANH MẠNG ẨN DANH TOR 57 3.1 Giới thiệu Tor Project 57

3.2 Thử nghiệm truy cập ẩn danh sử dụng mạng ẩn danh Tor 57

3.2.1 Truy cập ẩn danh sử dụng mạng ẩn danh Tor 57

3.2.2 Truy cập ẩn danh sử dụng mạng ẩn danh Tor và CyberGhost VPN 64

3.2.3: Truy cập ẩn danh sử dụng mạng ẩn danh Tor với tùy chọn Tor Bridge 68

DANH MỤC CÁC TỪ VIẾT TẮT

LAN Local Area Network

ISP Internet Service Provider

NSA National Security Agency

IP Internet Protocol

HTTP HyperText Transfer Protocol

FTP File Transfer Protocol

SSL Secure Sockets Layer

IETF Electrical and Electronics Engineers

RFC Request for Comment

UDP User Datagram Protocol

TCP Transmission Control Protocol

ACL Access Control List

VPN Virtual Private Network

ADSL Asymmetric Digital Subscriber Line

PSTN Public Switched Telephone Network

VDC Vietnam Data Communication Company

GRE Generic Routing Encapsulation

L2F Layer 2 Forwarding

PPTP Point-to-Point Tunneling Protocol

L2PT Layer 2 Tunneling Protocol

IPX Internetwork Packet Exchange

NAS Network Attached Storage

NAT Network Address Translation

EFF Electronic Frontier Foundation

NGO Non-governmental organization

Hình 2.3 Thành phần trong mạng ẩn danh Tor 38 Hình 2.4 Cấu trúc cell và chi tiết về cấu trúc cell 39 Hình 2.5 Alice xây dựng mạch hai node 47 Hình 3.1 Mô hình thử nghiệm truy cập ẩn danh sử dụng mạng ẩn danh Tor 58

Hình 3.3 Download Tor Network trên trang chủ 59 Hình 3.4.1: Cài đặt Tor trên Ubuntu 1 60 Hình 3.4.2: Cài đặt Tor trên Ubuntu 2 60 Hình 3.4.3: Cài đặt Tor trên Ubuntu 3 61 Hình 3.4.4: Cài đặt Tor trên Ubuntu 4 61 Hình 3.4.5: Cài đặt Tor trên Ubuntu 5 62 Hình 3.4.6: Cài đặt Tor trên Ubuntu 6 62 Bảng 3.1 Kết quả thực nghiệm khi truy cập một số trang web sử dụng mạng ẩn danh Tor và

Hình 3.24 Thực hiện lấy obfs4 trên trang chủ 3 73 Hình 3.25 Thực hiện lấy obfs4 trên trang chủ 4 73 Bảng 3.3 Kết quả thực nghiệm truy cập Tor và Bridge 74

LỜI NÓI ĐẦU

Ngày nay, Internet đã trở thành một công cụ phổ biến Đối tượng sử dụng Internetngày càng đa dạng và tăng không ngừng về số lượng Theo thống kê, gần như tất

cả người dùng Internet tại Việt Nam đều ít nhiều có nhu cầu truy cập các trang web

để thực hiện công việc, giải trí, đọc tin tức, tìm kiếm thông tin, chơi game hay nhucầu trao đổi và mua bán trực tuyến qua các trang web thương mại điện tử

Trong thực tế, khi truy cập các trang web, người dùng có thể gặp những vấn đề đơngiản như nhiễm virus hoặc phức tạp như lộ thông tin bảo mật cá nhân dẫn đến hệquả nghiêm trọng như bị lợi dụng thông tin để lừa đảo, chiếm đoạt tài sản, thôngtin của người dùng từ quá trình họ truy cập các trang web, tham gia mạng xã hội,…Bằng cách này hay cách khác, những kẻ tấn công sẽ tấn công chiếm đoạt thông tincủa người dùng mà họ không hề hay biết Những thông tin của người dùng sẽ bịnhững kẻ tấn tông phục vụ mục đích cá nhân cũng nhu sử dụng bất hợp pháp gây

ra nhiều tổn thất cho mỗi người dùng, mỗi công ty, mỗi tổ chức

Một dạng nguy cơ ít được để ý tới nhưng lại rất nguy hiểm đối với người dùng, và

đã thể hiện sự có mặt trong xã hội Những thông tin trên mạng khi truy cập cáctrang web cũng có thể trở thành nguy cơ ngoài đời thực Sự thật là đã có những vụ

án xảy ra do hay xích mích trên thế giới ảo, những vụ lừa đảo thông tin trên mạng

xã hội thậm chí là gây ra những vụ án vô cùng nghiêm trọng như cướp của, giếtngười

Địa chỉ IP của máy tính của người dùng được Internet sử dụng để gửi trang web

mà người dùng muốn xem (chứ không phải một máy tính cách nửa vòng trái đất).Địa chỉ IP của mỗi người dùng thường bao gồm một số thông tin về Nhà cung cấpdịch vụ Internet (ISP) và vị trí của mỗi người dùng để các trang web có thể sửdụng để đoán áng chừng vị trí của họ (thường đến mức thành phố, nhỏ như mãzip) Việc này hữu ích vì nó cho phép các trang web đoán ngôn ngữ mà người dùngmuốn đọc trang hoặc cung cấp cho người dùng nội dung có liên quan đến vị trí của

họ Tuy nhiên đây cũng là hiểm họa khi những kẻ tân công có thể dễ dàng có đượcnhững thông tin này Do vậy cần nghiên cứu đến việc làm thế nào vừa đảm bảo sựriêng tư của mỗi người dùng khi tham gia trên mạng bằng các giải pháp ẩn danhtrước những kẻ tân công, vừa phải đảm bảo được ba tính chất an toàn thông tin khi

sử dụng các giải pháp ẩn danh đó để trao đổi thông tin trên mạng

Bài báo cáo gồm những chương sau:

Chương 1 Tổng quan về ẩn danh trên mạng Internet

Chương này trình bày về vấn đề ẩn danh trên Internet, giới thiệu một số công nghệ

ẩn danh tiêu biểu hiện nay

Chương 2 Hoạt động của mạng ẩn danh Tor

Chương này trình bày chi tiết về kiến trúc, thành phần, cơ chế hoạt động của mạng

ẩn danh Tor và các hình thức tấn công lên mạng ẩn danh Tor

Chương 3 Thử nghiệm truy cập ẩn danh sử dụng mạng ẩn danh Tor

Chương này trình bày các mô hình, các giải pháp truy cập vào mạng ẩn danh Tor

và đưa ra đánh giá sau khi tiến hành thử nghiệm sử dụng trình duyệt Tor để truycập ẩn danh trên mạng

CHƯƠNG 1 TỔNG QUAN VỀ ẨN DANH TRÊN INTERNET

Mạng Internet ngày nay đã trở thành một mạng lưới phân tán toàn cầu baogồm nhiều mạng địa phương cùng với các mạng khác lớn hơn như mạng cáctrường đại học hay công ty, và các mạng của những nhà cung cấp dịch vụ

Nhiệm vụ căn bản của mạng Internet là tạo phương tiện cho thông tin điện

tử di chuyển từ nơi phát xuất tới nơi cần đến, theo một tuyến đường phủ hợp vớimột hình thức chuyên chở thích ứng

Các mạng máy tính tại một địa phương hay nội bộ, thường gọi tắt là LAN(Local Area Network), là mạng kết nối một số máy tính và thiết bị điện tử khácnhau trong cùng một địa điểm Các mạng này cũng lại có thể kết nối với các mạngkhác, thông qua các thiết bị định tuyến (Router) có chức năng quản trị luồng thôngtin giữa các mạng Các máy tính trong mạng LAN có thể liên lạc với nhau trực tiếp

để chia sẻ tập tin, máy in hoặc phục vụ các trò chơi nhiều người qua mạng Mộtmạng LAN đã có nhiều lợi ích ngay cả khi chưa kết nối với thế giới bên ngoài,nhưng khi kết nối ra ngoài thì còn mang lại nhiều tiện ích hơn nữa

Hình 1.1 Hoạt động của mạng Internet

Những tổ chức quản lý và cung ứng dịch vụ kết nối các mạng như vậy vớinhau được gọi là các nhà mạng, hay ISP (Internet Service Provider) Chức năngcủa một nhà mạng là làm sao để thông tin được chuyển đến đúng nơi, thường làbằng cách chuyển tiếp dữ liệu tới một bộ định tuyến khác (gọi là “trạm kế tiếp")gần với điểm đến Thông thường trạm kế tiếp như đang nói ở trên cũng lại chính làmột nhà cung cấp dịch vụ.

Để làm được việc này, nhà cung cấp dịch vụ có thể mua lại dịch vụ truy cậpInternet từ nhà cung cấp dịch vụ lớn hơn, ví dụ như một công ty cấp quốc gia (Một

số nước chỉ có một nhà cung cấp dịch vụ Internet toàn quốc, có thể là một công tynhà nước hay liên hệ đến nhà nước, trong khi đó các quốc gia khác có thể có nhiềucông ty, có thể là các công ty viễn thông tư nhân cạnh tranh trong thương trường).Các nhà cung cấp dịch vụ cấp quốc gia thường nhận được các kết nối từ một trongcác công ty đa quốc gia điều hành và quản lý các máy chủ và đường kết nối lớnthường được gọi là xương sống (backbone) của mạng Internet

Xương sống của Internet được cấu thành bởi các tổ hợp thiết bị mạng lớn vàcác kết nối quốc tế thông qua mạng cáp quang hay vệ tinh viễn thông Những kếtnối này cho phép thông tin được giao tiếp giữa những người sử dụng Internet ở cácnước hay lục địa khác nhau Các nhà cung cấp dịch vụ cấp quốc gia hay quốc tế cócác kết nối tới hạ tầng cấu trúc cốt lõi qua các bộ định tuyến lớn thường được gọi

là cổng mạng (Gateway), đây là nơi mà các mạng tách bạch có thể kết nối và liênlạc với nhau Các cổng mạng này tương tự như các bộ định tuyến, có thể chính lànhững nơi mà lưu lượng và nội dung thông tin Internet bị giám sát hay kiểm soát

Ở chế độ duyệt web bình thường, khi truy cập vào một trang web trình duyệt

sẽ ghi nhận lại một số thông tin của trang web đó vào một tập tin được gọi làcookie, sau này mỗi lần truy cập lại vào trang web đó, trình duyệt sẽ lấy các thôngtin đã lưu trong cookie để sử dụng, điều này giúp tránh việc mất thời gian để phângiải thông tin Ngoài ra, tập tin này còn lưu giữ lại các form đã nhập, mật khẩu

Khi một người nào đó sử dụng máy tính của chúng ta (hoặc máy tính côngcộng mà ta đã sử dụng), họ có thể biết được chúng ta đã ghé thăm những trang webnào, và đôi khi họ còn có thể biết được tên đăng nhập một số dịch vụ mà chúng ta

đã sử dụng rồi suy luận ra mật khẩu Mặc định thị trình duyệt sẽ làm những điềunhư thế, tuy nhiên chúng ta vẫn có thể sử dụng trình duyệt ở chế độ bình thường

mà không ghi nhận lại thông tin bằng một số thiết lập trong phần cài đặt của trình

duyệt Tuy nhiên, những thiết lập đó vẫn chưa đủ mạnh để đảm bảo thông tin củamỗi chúng ta được an toàn tuyệt đối

Hiện nay, các trình duyệt đều có chế độ ẩn danh với người dùng bất kỳ, cònđược gọi là web riêng tư Khi sử dụng chế độ này sẽ đảm bảo không lưu lại mọithông tin trong quá trình lướt Web

Safari, Chrome, Firefox, Opera và IE đều có chế độ duyệt ẩn danh và khônglưu lại lịch sử duyệt web của người dùng Tuy nhiên, trình duyệt vẫn ghi lại nhật

ký mỗi khi chúng ta duyệt web cũng như những thông tin mà chúng ta đã tìm kiếmtrong quá trình sử dụng Và do vậy, nếu như có tìm thấy một chiếc áo vừa vặn vàbắt mắt trên mạng mà chúng ta cũng không thể nhớ nổi website bán nó, trình duyệt

sẽ ghi lại những thông tin giúp bạn có thể tìm lại dễ dàng

Trình duyệt cũng lưu lại cookies từ website Chúng là những gối tin nhỏ lưutrữ những thông tin giúp trình duyệt học những thói quen duyệt web của mỗi ngườidùng Bất cứ khi nào người dùng truy cập vào một website mà họ đã đăng nhậptrước đó, trình duyệt sẽ nhớ trang mà người dùng đã mở lần truy cập trước hayhiển thị những quảng cáo mà nó cho là thích hợp với người dùng, đó là cách hoạtđộng của cookies

Khi người dùng sử dụng chế độ ẩn danh, trình duyệt sẽ tự động xóa lịch sửduyệt web, lịch sử tìm kiếm, cookies và toàn bộ các thông tin khác nhằm đảm bảotính riêng tư khi người dùng sử dụng Internet Do vậy, khi người dùng truy cập vàotrang web nào đó, lịch sử duyệt web của họ sẽ trống trơn khiến không có ai dùngchung máy tính với họ biết được họ đã truy cập website nào

Tuy nhiên chế độ ẩn danh không giữ thông tin của người dùng an toàn trướcnhững nhà cung cấp dịch vụ Internet và chính website mà người dùng đã truy cập.Cho dù duyệt web ẩn danh không ghi lại website mà người dùng đã ghé vào, địachỉ IP của người dùng sẽ đem đến rất nhiều thông tin Chúng cho biết người dùng

ở đâu, người dùng là ai, hay người dùng đang kết nối ở mạng nào Bất kì một thiết

bị nào đều cần đến địa chỉ IP để truy cập vào Internet, mỗi khi người dùng sử dụngbất kỳ một dịch vụ nào trên Internet thì địa chỉ IP của người dùng số luôn luônđược đi kèm

Và bởi lý do đó, bất kỳ ai với khả năng giám sát địa chỉ IP đến và đi đều cóthể tìm ra người dùng bất kỳ ở đầu và người nhận của họ là ai Đó cũng là nguyên

lý cơ bản của chương trình thu thập dữ liệu của NSA Họ thu thập các thông tin và

IP để lần ra mạng lưới khủng bố

Giống như số nhà và tên phố, địa chỉ IP của một máy tính cho người khácbiết làm thế nào để có thể tìm thấy máy tính đó trên mạng Định danh này gồm cóbốn số, mỗi số có giá trị từ 0 đến 255, cách nhau bởi một dấu chấm (ví dụ123.123.23.2) Mỗi Website và mỗi thiết bị điện tử kết nối Internet đều phải có mộtđịa chỉ IP duy nhất, tại một thời điểm thì không thể có hai thiết bị nào có cùng địachỉ IP

Nếu những kẻ gửi thư rác hoặc là các hacker biết được địa chỉ IP của chúng

ta, chúng có thể tấn công máy tính của ta bằng các loại virus hay thậm chỉ còn xâmnhập trực tiếp vào bên trong để đánh cắp các dữ liệu cá nhân Chúng ta có thể càiđặt các tường lửa hoặc phần mềm và các chương trình diệt virus trên mỗi nútmạng, nhưng nếu có đủ thời gian và đủ tài nguyên máy tính, hacker vẫn có thể xâmnhập được vào hầu như là bất cứ máy tính nào Do đó, chúng ta nên bảo vệ địa chỉ

IP của mình cẩn thận như là việc đảm bảo an toàn bí mật tên và địa chỉ của chúngta

Chế độ ẩn danh của trình duyệt có thể che giấu lịch sử duyệt web của ngườidùng nhưng nó không thể che giấu được IP của họ Các nhà cung cấp dịch vụmạng, các lực lượng thi hành pháp luật hay bất cứ website nào bạn vào đều có thểtiếp cận thông tin đó Mặt khác bất kỳ tập tin nào được tải về, bất kỳ bookmark nàođược đánh dấu trong phiên làm việc ẩn danh đều được ghi lại trong máy tính củangười dùng Các tập tin đó tồn tại trong ổ cứng và mỗi người dùng trong chúng ta

sẽ rất mất thời gian để xóa hoàn toàn dấu vết đó ra khỏi ổ cứng của mình

Một số biện pháp ẩn danh thường được sử dụng hiện nay như: sử dụng cácproxy ấn danh công cộng, sử dụng các trình duyệt ẩn danh, sử dụng hệ điều hành

ẩn danh, sử dụng các máy tính hoặc các kết nối công cộng, sử dụng VPN

1.2 Các công nghệ ẩn danh

Hiện nay có bốn công nghệ ẩn danh thường được sử dụng trong thực tế, đó

là Proxy, SOCKS, VPN và TOR Trong phần này sẽ lần lượt trình bày hoạt độngcủa từng công nghệ

1.2.1 Proxy server

Proxy: Chỉ một hệ thống máy tính hoặc một Router tách biệt kết nối, giữangười gửi và người nhận Nó đóng vai trò là một hệ thống chuyển tiếp giữa hai đối

tượng: máy khách và máy chủ Nhờ chức năng chuyển tiếp (trung chuyển có kiểmsoát) này, các hệ thống proxy được sử dụng để giúp ngăn chặn những kẻ tấn côngxâm nhập vào mạng nội bộ và các proxy cũng là một trong những công cụ được sửdụng để xây dựng tường lửa trong mạng của các tổ chức có nhu cầu truy cậpInternet.

Proxy còn có nghĩa “hành động nhân danh một người khác" và thực sựProxy server đã làm điều đó, nó hành động nhân danh cho máy khách và cả máychủ Tất cả các yêu cầu từ máy khách ra mạng Internet trước hết phải đi đến proxy,proxy kiểm tra yêu cầu nếu được phép, sẽ chuyển tiếp có kiểm soát yêu cầu raInternet đến máy chủ cung cấp dịch vụ (Internet hosts) Và cũng tương tự sẽ phảnhồi hoặc khởi hoạt các yêu cầu đã được kiểm tra từ Internet và chuyển yêu cầu nàyđến máy khách Cả máy khách và máy chủ nghĩ rằng chúng nói chuyện trực tiếpvới nhau nhưng thực sự chỉ “nói” trực tiếp với proxy

Tóm lại hiểu một cách đơn giản và trực quan nhất proxy chỉ một hệ thốngmáy tính hoặc một Router tách biệt kết nối, giữa người gửi và người nhận proxy cóđịa chỉ IP và một cổng truy cập cố định

Ví dụ: 77.71.0.149:8080 Địa chỉ IP của proxy trong ví dụ là 77.71.0.149 vàcổng truy cập là 8080

1.2.1.1 Khái niệm Proxy server

Proxy server là một máy chủ đóng vai trò cài đặt proxy làm trung gian giữangười dùng trạm (workstation user) và Internet Với Proxy server, các máy kháchtạo ra các kết nối đến các địa chỉ mạng một cách gián tiếp Những chương trìnhclient của người sử dụng sẽ qua trung gian Proxy server thay thế cho máy chủ thật

sự mà người sử dụng cần giao tiếp

Proxy server xác định những yêu cầu tử máy khách và quyết định đáp ứnghay không đáp ứng, nếu yêu cầu được đáp ứng, Proxy server sẽ kết nối với máychủ thật thay cho máy khách và tiếp tục chuyển tiếp đến những yêu cầu từ máykhách đến máy chủ, cũng như đáp ứng những yêu cầu của máy chủ đến máykhách Vì vậy Proxy server giống cầu nổi trung gian giữa máy chủ và máy khách

Hiểu một cách đơn giản Proxy server là một trung tâm cài đặt các proxy Màcác proxy này nằm giữa máy tính và tài nguyên internet (bộ đệm) mà ta đang truynhập Dữ liệu mà ta yêu cầu đến proxy trước, rồi sau đó nó mới truyền dữ liệu cho

ta và ngược lại

1.2.1.2 Hoạt động của proxy

Hình 1.2 Hoạt động của Proxy server

1 User agent liên hệ với proxy để lấy địa chỉ thực của Web server

2 Proxy đánh giá yêu cầu của User agent rồi đưa ra quyết định cho phép hay từchối

3 Proxy thay User agent gửi yêu cầu cho Web server

4 Web server hồi đáp lại proxy mà không biết về sự tồn tại của User agent

5 Proxy gửi hồi đáp lại cho User agent

Nguyên tắc hoạt động cơ bản của Proxy server là: Proxy server xác địnhnhững yêu cầu từ phía máy khách và quyết định đáp ứng hay không đáp ứng, nếuyêu cầu được đáp ứng, Proxy server sẽ kết nối tới máy chủ thật thay cho máykhách và tiếp tục chuyển tiếp đến những yêu cầu từ máy khách đến máy chủ, cũngnhư đáp ứng những yêu cầu của máy chủ đến máy khách

Các hệ thống Proxy server được chia làm 2 loại:

* Dạng kết nối trực tiếp

Phương pháp đầu tiên được sử dụng trong kỹ thuật proxy là cho người sửdụng kết nối trực tiếp đến Firewall Proxy, sử dụng địa chỉ của tường lửa và số cổngcủa proxy (ví dụ proxy 221.7.197.130:3128 cổng của proxy là 3128), sau đó proxyhỏi người sử dụng cho địa chỉ của host hướng đến, đó là một phương pháp bruteforce (vét cạn) sử dụng bởi tường lửa một cách dễ dàng Và đó cũng là một vàinguyên nhân tại sao nó là phương pháp ít thích hợp.

Trước tiên, yêu cầu người sử dụng biết địa chỉ của tường lửa, kế tiếp nó yêucầu người sử dụng nhập vào hai địa chỉ cho mỗi sự kết nối: địa chỉ của tường lửa

và địa chỉ của địch hướng đến Cuối cùng nó ngăn cản những ứng dụng hoặcnhững nguyên bản trên máy tính của người sử dụng điều đó tạo ra sự kết nối chongười sử dụng, bởi vì chúng sẽ không biết như thế nào điều khiển những yêu cầuđặc biệt cho sự truyền thông với proxy

* Dạng thay đổi Client

Phương pháp kế tiếp sử dụng Proxy setup phải thêm vào những ứng dụng tạimáy tính của người sử dụng Người sử dụng thực thi những ứng dụng đặc biệt đóvới việc tạo ra sự kết nối thông qua tường lửa Người sử dụng với ứng dụng đóhành động chỉ như những ứng dụng không sửa đổi Người sử dụng cho địa chỉ củahost đích hướng tới Những ứng dụng thêm vào biết được địa chỉ tường lửa từ fileconfig (file thiết lập) cục bộ, cài đặt sự kết nối đến ứng dụng proxy trên tường lửa,

và truyền cho nó địa chỉ cung cấp bởi người sử dụng Phương pháp này rất có hiệuquả và có khả năng che giấu người sử dụng, tuy nhiên, cần có một ứng dụng máykhách thêm vào cho mỗi dịch vụ mạng là một đặc tính trở ngại

1.2.1.3 Ưu điểm và nhược điểm của Proxy server

a Ưu điểm

Proxy server gồm 3 chức năng chính: tưởng lừa và filtering, chia sẻ kết nối,caching Và từ 3 chức năng này cùng với các phân tích ở trên chúng ta sẽ thấyđược ưu điểm tuyệt vời khi sử dụng Proxy server

Tường lửa và filtering (Tính lọc ứng dụng)

Đối với các nhà cung cấp dịch vụ đường truyền internet: Do internet cónhiều lượng thông tin mà theo quan điểm của từng quốc gia, từng chủng tộc hayđịa phương mà các nhà cung cấp dịch vụ internet khu vực đó sẽ phối hợp sử dụngproxy với kỹ thuật tường lửa để tạo ra một bộ lọc gọi là Firewall proxy nhằm ngănchặn các thông tin độc hại hoặc trái thuần phong mỹ tục đối với quốc gia, chủng

tộc hay địa phương đó Địa chỉ các website mà khách hàng yêu cầu truy cập sẽđược lọc tại bộ lọc này, nếu địa chỉ không bị cấm thì yêu cầu của khách hàng tiếptục được gửi đi, tới các máy chủ DNS của các nhà cung cấp dịch vụ Tường lửaproxy sẽ lọc tất cả các thông tin từ Internet gửi vào máy của khách hàng và ngượclại

Chia sẻ kết nối với Proxy server

Nhiều sản phẩm phần mềm dành cho chia sẻ kết nối trên các mạng gia đình

đã xuất hiện trong một số năm gần đây Mặc dù vậy, trong các mạng kích thướclớn và trung bình, Proxy server vẫn là giải pháp cung cấp sự mở rộng và hiệu quảtrong truy cập Internet Thay cho việc gán cho mỗi máy khách một kết nối Internettrực tiếp thì trong trường hợp này, tất cả các kết nổi bên trong đều có thể được choqua một hoặc nhiều proxy và lần lượt kết nổi ra ngoài

Proxy servers và Caching

Caching của các trang web có thể cải thiện chất lượng dịch vụ của một mạngtheo 3 cách Thứ nhất, nó có thể bảo tồn băng thông mạng, tăng khả năng mở rộng.Tiếp đến, có thể cải thiện khả năng đáp trả cho các máy khách Ví dụ, với mộtHTTP proxy cache, trang web có thể tải nhanh hơn trong trình duyệt web Cuốicùng, các Proxy server cache có thể tăng khả năng phục vụ Các trang web hoặccác dòng khác trong cache vẫn còn khả năng truy cập thậm chí nguồn nguyên bảnhoặc liên kết mạng trung gian bị tắt

Tuy nhiên, ngoài những ưu điểm vượt trội của mình, chúng ta cũng thấyđược việc đi đối với nhiều ưu điểm cũng sẽ kèm theo rất nhiều nhược điểm Sauđây là phần trình bày phân tích các nhược điểm của Proxy server

Đôi khi cần một proxy khác nhau cho mỗi nghi thức, bởi vì Proxy serverphải hiểu nghi thức đó để xác định những gì được phép và không được phép, Đểthực hiện nhiệm vụ như là máy khách đến máy chủ thật và máy chủ thật đến proxy

máy khách, sự kết hợp, install và config tất cả những máy chủ khác nhau đó có thểrất khó khăn.

Mặc dù phần mềm proxy có hiệu quá rộng rãi, những dịch vụ lâu đời và đơngiản như FTP và Telnet, những phần mềm mới và ít được sử dụng rộng rãi thìhiếm khi thấy Thường đó chính là sự chậm trễ giữa thời gian xuất hiện một dịch

vụ mới và proxy cho dịch vụ đó, khoảng thời gian phụ thuộc vào phương phápthiết kế proxy cho dịch vụ đó, điều này cho thấy khá khó khăn khi đưa dịch vụ mớivào hệ thống khi chưa có proxy cho nó thì nên đặt bên ngoài tường lửa, bởi vì nếuđặt bên trong hệ thống thì đó chính là yếu điểm

Nếu chúng ta "chịu khó" bỏ qua những khuyết điểm của Proxy server, vànhững hiệu quả của Proxy server mang lại thì chúng ta sẽ có một lá chắn tốt chonhững hệ thống của chúng ta

1.2.2 SOCKS

1.2.2.1 Khái niệm

Proxy server có nhiều loại, và một trong số đó là SOCKS proxy server Nógần như một tường lửa đơn giản vì nó kiểm tra những gói dữ liệu đến/đi và ẩn đi IP(fake IP) của ứng dụng Nôm na nó là một dạng proxy cao cấp Vì đơn cử một điều

là nó hỗ trợ SSL Những trang web mà có giao dịch thương mại online thì 90% đều

có SSL Vì thế, khi sử dụng cho các website thương mại điện tử ta nên dùngSOCKS hơn là proxy

SOCKS được tạo ra bởi chữ SOCKetS và được phát triển chủ yếu bởi NEC,cũng như được IETF đưa thành một chuẩn của Internet, được định nghĩa trongRFC 3089 (Request for comment)

Nhiệm vụ của SOCKS là cầu nối trung gian giữa một đầu của SOCKSserver đến đầu kia của SOCKS client:

CLIENT🡺 IN – SOCKS SERVER – OUT 🡺 SERVER

SOCKS được dùng chủ yếu trong công nghệ Proxy server và tường lửa.Hiện nay có version SOCKS4 và SOCKS5, SOCKS5 là bản phát triển saunên có thêm tính năng để ủy quyền và có thể sử dụng UDP (SOCKS4 chỉ có TCP)

SOCKS4 cung cấp cơ chế cho TCP dựa trên lưu lượng truy cập mạng đểthực hiện một kết nối minh bạch tới máy chủ ứng dụng thông qua cổng SOCKS

Dựa trên địa chỉ nguồn và địa chỉ đích tương ứng có số cổng truy cập vào các máychủ ứng dụng được cấp Việc chứng thực chỉ được áp dụng bằng định danh.

Có 2 nhược điểm trong việc thực thi SOCKS4 là:

• Không có xác thực hoặc xác thực yếu

• Để người dùng thực thi ứng dụng socksified cần biên dịch lại thư việnSOCKS4

Đối với SOCKS5 thì có thêm các cải tiến mới như:

• Xác thực người dùng

• Phân giải tên

• Hỗ trợ thêm các gói tin UDP

SOCKS4 hoạt động như một bộ lọc gói tin cho phép truy cập bằng các danhsách điều khiển truy cập (ACL) dựa trên IP và số cổng Ngoài phiên bản SOCKS5cung cấp các phương pháp xác thực người dùng khác Người dùng truyền cácphương thức hỗ trợ và máy chủ quyết định và lựa chọn cho phép hay không dựatrên chính sách bảo mật của nó

Trước khi SOCKS4 thực hiện, việc phân giải tên đã được thực hiện ở máykhách Các máy chủ không thể phân giải tên miền tại máy địa phương và không thểtruy cập bằng tên miền Trong SOCKS5 đã cải tiến lại, chúng ta có thể sử dụng tênmiền cho SOCKS server giải quyết thay cho người dùng Các SOCKS server sau

đó sẽ yêu cầu máy chủ tên miền của mình

Trước khi có SOCKS5 các gói tin UDP không được hỗ trợ, tức là các gói tinUDP bị loại ra Hiện nay, các ứng dụng dựa trên UDP như DNS và NFS có thểgiao tiếp với SOCKS server proxy

1.2.2.3 Hoạt động của SOCKS

SOCKS server lắng nghe trên cổng mặc định là 1080 Ứng dụng muốn sửdụng SOCKS server cần thông qua các socksified Các SOCKS client sẽ thay thếcác request bằng các SOCKS request Điều này có nghĩ là tất cả luồng dữ liệu đi ra

sẽ được chuyển hướng tới các SOCKS server ở cống 1080 SOCKS server đánhgiá request ban đầu và chuyển nó đến các máy chủ tương ứng nếu được chấp nhận.Địa chỉ nguồn sẽ được thay thế bằng các SOCKS server và cổng nguồn sẽ đượcchọn ngẫu nhiên bởi cổng mức cao của SOCKS server

Hình 1.3 Hoạt động của SOCKS

1.2.2.3 Ưu điểm và nhược điểm của SOCKS

a Ưu điểm

Thông thường SOCKS server lắng nghe trên một cổng mặc định là 1080, Nóđược sử dụng chung cho tất cả các ứng dụng socksified Nhằm để tìm kiếm mộtcổng thuận tiện cho việc quản lý và giám sát lưu lượng mạng

Sự thiết lập của một phiên SOCKS mới theo TCP tương ứng với giao thứcUDP Kết hợp với việc xác thực người dùng đã làm gia tăng tính toàn vẹn lên mức

độ cao hơn hẳn Có nhiều giải pháp khác mà xác thực người dùng được thực hiệnmột cách độc lập, thiết lập phiên giống như xác thực máy khách tại tường lửa Mỗimáy khách kết nối lại tương đương với một bức tường lửa được xác thực Sau khitên người dùng và mật khẩu được trao đổi thành công thì người sử dụng sẽ đượccấp quyền truy cập tùy theo đặc quyền của mình Các tường lửa thường mở ra mộtđường dẫn vào địa chỉ IP của người dùng để cung cấp sự truy cập đã được cấp Điqua đường dẫn này thì dễ hơn là đi qua một phiên SOCKS Các giải pháp độc lậpđược mô tả là nên xác thực người dùng trong mối liên quan với sự thiết lập phiênlàm việc trong một quá trình duy nhất

Việc sử dụng các SOCKS server là độc lập với ứng dụng do các phươngpháp tiếp cận chung của SOCKS Các ứng dụng mới có thể chạy ngay lập tức màkhông cần bất cứ yêu cầu tùy chỉnh nào Có một số ứng dụng có thể gặp vấn đề khichạy socksified Nhưng điều này thường chỉ diễn ra khi không dùng các tiêu chuẩncho sẵn, ví dụ như bỏ qua ngăn xếp giao thức TCP

Cơ chế kiểm soát truy cập được áp dụng bằng phương tiện của các bộ lọcgói tin Sự kết nối của máy khách mà được phép kết nối với máy chủ qua IP có thể

bị giới hạn Kết hợp với xác thực người dùng thì nó có thể hạn chế được một ngườidùng duy nhất Các cơ chế kiểm soát truy cập xác định rõ máy chủ và dịch vụ nàodành riêng cho máy khách được phép kết nối Tất cả các hoạt động này có thể đượclưu lại

SOCKS server cung cấp khả năng kết nối cho một cái gì đó mà Internetproxy không cung cấp Các hoạt động để thiết lập kết nối ra ngoài là CONNECT.Máy khách kết nối với SOCKS server và gửi gửi một yêu cầu CONNECT với địachỉ đích và số cổng Các SOCKS server xem xét yêu cầu này và tạo ra một kết nốinếu được phép Có thể sau khi kết nối thành công các máy chủ nhà mạng sẽ cầnphải kết nối trực tiếp đến máy khách Điều này sẽ được xử lý trên SOCKS serverbằng một lệnh tên là BIND Máy kháchs kết nối lại với SOCKS server và gửi mộtyêu cầu BIND, bao gồm cả địa chỉ IP và số cổng của máy chủ Internet Nếu chophép các SOCKS server được giữ một socket và đại kết nối đến thì tất cả các lưulượng truy cập giữa máy chủ Internet và máy khách sẽ trở nên rõ ràng hơn

Một số SOCKS server có thể được dùng ở dạng chuỗi hoặc ở chế độ chuỗiSOCKS Gói socksified đến một SOCKS server thì thường không được bọc và bị

gửi trực tiếp đến các máy chủ ứng dụng Khi một quy tắc trên SOCKS server chobiết đích đến mục tiêu chỉ có thể đạt được thông qua SOCKS server, gói này sẽđược chuyển hướng đến các SOCKS server thử hai Các gói tin vẫn được bọc vàgiao thức sử dụng là SOCKS5 Nó có thể được dùng như một VPN bằng cách ápdụng mã hóa chuỗi SOCKS.

b Nhược điểm

Khi quyết định sử dụng SOCKS server thì một môi trường SOCKS phảiđược thiết lập Tất cả máy khách phải được tùy chỉnh Các tập tin cấu hình phảiđược duy trì Bản giới thiệu phải được lên kế hoạch tỉ mỉ

Giống như tất cả các Proxy server, các SOCKS proxy phải đối mặt với sựyếu kém, sự kiểm soát truy cập sẽ giới hạn được địa chỉ IP, số cổng và xác thựcngười dùng Proxy mức ứng dụng không thể đánh giá được nội dung của một góitin Điều này có thể sử dụng để lợi dụng một SOCKS server, ví dụ như bằng cáchdùng cổng đích HTTP và gửi các lưu lượng khác nhau mà sẽ bị chặn ở các cổngkhác

1.2.3 Mạng riêng ảo

1.2.3.1 Khái niệm

Mạng riêng ảo - Virtual Private Network, gọi tắt là VPN, là một đường hầmvận chuyển giao thông mạng riêng từ một hệ thống ở đầu này đến hệ thống ở đầukia qua mạng chung như là mạng Internet mà không thể nhận biết trong luồng giaothông có những hộp trung gian giữa hai đầu, hoặc không để cho những hộp trunggian nhận biết chúng đang chuyển những gói tin mạng đã được mã hóa đi quađường hầm

Một ứng dụng điển hình của VPN là cung cấp một kênh an toàn từ đầu mạnggiúp cho những văn phòng chi nhánh hoặc văn phòng ở xa hoặc những người làmviệc từ xa có thể dùng Internet truy cập tài nguyên công ty một cách bảo mật vàthoải mái như đang sử dụng máy tính cục bộ trong mạng công ty

Những thiết bị ở đầu mạng hỗ trợ cho mạng riêng ảo là switch, router vàfirewall Những thiết bị này có thể được quản trị bởi công ty hoặc các nhà cung cấpdịch vụ như ISP

Phần “ảo” (virtual) của VPN bắt nguồn từ yếu tố ta đang tạo một liên kếtriêng qua mạng chung (như là mạng Internet) VPN cho phép ta giả vờ như ta đang

dùng đường dây thuê bao hoặc quay số điện thoại trực tiếp để truyền thông tin giữahai đầu VPN là “riêng" (private) vì sự mã hóa được dùng để đạt sự bảo mật mộttrao đổi mạng riêng mặc dù trao đổi này xảy ra trên mạng chung VPN cũng dùng

“mạng” (network) IP để trao đổi

VPN cho phép những máy tính kết nối trực tiếp tới những máy khác thôngqua sự kết nối địa lý, mà không cần phải thuê đường đường truyền Điều này làmđơn giản hóa những tùy chọn cấu trúc mạng và làm tăng sự phát triển mạng màkhông phải thiết kế lại mạng LANs hoặc gián đoạn sự kết nối

Hơn nữa, VPN hỗ trợ những sự kết nối khác nhau, bao gồm thuê đườngtruyền, điều chỉnh sự tiếp nối, ADSL, Ethernet và PSTN Những giải pháp mạng

có thể được đưa ra dễ dàng để thích hợp cho những đòi hỏi của những máy máykhách riêng lẻ, bao gồm tăng những tùy chọn cho những loại kết nối mở rộng Dữliệu, phone và những ứng dụng video cũng có thể chạy trên những mạng riêng lẻ,

mà không cần cho những kênh riêng lẻ và phần cứng đặc biệt

Tương tự VDC, dịch vụ cung cấp những giải pháp phù hợp nhất cho cácngân hàng, các công ty bảo hiểm, hoạt động công nghiệp, lĩnh vực xuất khẩu vàphần mềm

VPN là một nhánh của kỹ thuật liên lục riêng lẻ, được đưa lên từ mạngchung chẳng hạn như Internet Người sử dụng có thể truy xuất tới mạng dù ở nhàhay ở xa, thông qua sự kết nối cục bộ tới ISP VPN thiết lập một sự kết nổi bao mặtgiữa người sử dụng và mạng trung tâm Dịch vụ này cũng có thể thiết lập sự kếtnối trực tiếp giữa những khu vực khác nhau thông qua ISP, qua ISP giá thành giảmtrong kết nối qua quay số và những dịch vụ thuê đường truyền Dữ liệu truyền đithi được bảo đảm với kỹ thuật bảo mật cao

Có 2 dạng mạng riêng ảo phổ biến hiện nay là VPN truy cập từ xa và VPNđiểm nối điểm Đầu tiên là một VPN truy cập từ xa có thể kết nối người dùng từ xatới mạng Thứ hai là VPN điểm nối điểm, các mạng VPN có thể kết nối hai mạngvới nhau, được biết đến như một mạng kết nối LAN tới LAN VPN hay mạng kếtnối Site to Site

*VPN truy cập từ xa (Remote Access)

Một máy khách truy xuất từ xa thực hiện một kết nối VPN theo một mạngriêng (theo quan hệ một – một) VPN truy nhập từ xa hay mạng riêng ảo quay số(Virtual private dial-up network VPDN) được triển khai, thiết kế cho những nhân

viên riêng lẻ từ rất nhiều địa điểm ở xa như những nhân viên đang đi công tác vàmuốn liên hệ về mạng riêng của công ty Trước đây, các tổ chức, tập đoàn hỗ trợcho những nhân viên từ xa theo những hệ thống quay số Đây không phải là mộtgiải pháp kinh tế, đặc biệt khi một người gọi lại theo đường truyền quốc tế.

Hình 1.4 VPN truy cập từ xa

Với sự ra đời của VPN truy cập từ xa, một nhân viên di động gọi điện nội

hạt cho nhà cung cấp dịch vụ Internet (ISP) để truy nhập vào mạng tập đoàn của họchỉ với một máy tính cá nhân được kết nối Internet cho dù họ đang ở bất kỳ đâu.VPN truy cập từ xa là sự mở rộng những mạng quay số truyền thống Trong hệthống này, phần mềm PC cung cấp một kết nối an toàn – như một đường hầm củamột tổ chức Bởi vì những người sử dụng chỉ thực hiện các cuộc gọi nội hạt nênchi phí giảm và loại VPN này cũng cho phép các kết nối an toàn bằng việc sử dụngmật mã

các vị trí này thì cần thuê một kênh truyền riêng hay frame relay Tuy nhiên, ngàynay hầu hết các tổ chức, đoàn thể, tập đoàn đều sử dụng Internet với việc sử dụngtruy nhập Internet, VPN điểm-nối-điểm có thể thay thế kênh thuê riêng truyềnthống và frame relay VPN điểm-nối-điểm là sự mở rộng và kế thừa có chọn lọcmạng WAN Hai ví dụ sử dụng VPN điểm- nối-điểm là VPN Intranet và VPNExtranet.

Hình 1.5 VPN Intranet

VPN Intranet có thể xem là những kết nối giữa các vị trí trong cùng một tổchức, người dùng truy cập các vị trí này ít bị hạn chế hơn so với VPN Extranet

Hình 1.6 VPN Extranet

VPN Extranet có thể xem như những kết nối giữa một tổ chức và đối táckinh doanh của nó, người dùng truy cập giữa các vị trí này được các bên quản lýchặt chẽ tại các vị trí của mình

1.2.3.2 Hoạt động

Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạngriêng trên nền Internet, về bản chất, đây là quá trình đặt toàn bộ gói tin vào trongmột lớp header (tiêu để) chứa thông tin định tuyển có thể truyền qua hệ thốngmạng trung gian theo những “đường ống" riêng (tunnel)

Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đếncác máy trạm cuối cùng cần nhận dữ liệu Để thiết lập kết nối Tunnel, máy khách

và máy chủ phải sử dụng chung một giao thức (tunnel protocol)

Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối có thểnhận biết Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface),nơi gói tin đi vào và đi ra trong mạng

Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:

• Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng

có thông tin đang đi qua

• Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE,IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc

• Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc đượctruyền đi (như IPX, NetBeui, IP)

Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trênInternet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet Hoặc

là họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong mộtgói khác dùng địa chỉ IP chung (định tuyển) để mở rộng một mạng riêng trênInternet

Kỹ thuật Tunneling trong mạng VPN site-to-site

Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic RoutingEncapsulation) cung cấp cơ cấu “đóng gói” giao thức gói tin (Passenger Protocol)

để truyền đi trên giao thức truyền tải (Carrier Protocol) Nó bao gồm thông tin vềloại gói tin mã hóa và thông tin về kết nối giữa máy chủ với máy khách NhưngIPSec trong cơ chế Tunnel, thay vì dùng GRE thì đôi khi lại đóng vai trò là giaothức mã hóa IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa vàđiểm-nối-điểm Tất nhiên, nó phải được hỗ trợ ở cả hai đầu Tunnel

Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chínhqua máy chủ truy cập, tới router (tại đây giao thức mã hóa GRE diễn ra), quaTunnel để tới máy tính của văn phòng từ xa

Kỹ thuật Tunneling trong mạng VPN truy cập từ xa

Với loại VPN này, Tunneling thường dùng giao thức điểm nối điểm PPP(Point-to-Point Protocol) Là một phản của TCP/IP, PPP đóng vai trò truyền tải chocác giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa.Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP

Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP vàdùng trong mạng VPN truy cập từ xa

• L2F (Layer 2 Forwarding) được Cisco phát triển L2F dùng bất kỳ cơ chếthẩm định quyền truy cập nào được PPP hỗ trợ

• PPTP (Point-to-Point Tunneling Protocol) được tập đoàn PPTP Forum pháttriển Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ cơ chế thẩm địnhquyền truy cập nào được PPP hỗ trợ L2TP (Layer 2 Tunneling Protocol) là sảnphẩm của sự hợp tác giữa các thành viên PPTP Forum, Cisco và IETF Kết hợp cáctính năng của cả PPTP và L2R, L2TP cũng hỗ trợ đầy đủ IPSec L2TP có thể được

sử dụng làm giao thức Tunneling cho mạng VPN điểm nối điểm và VPN truy cập

từ xa Trên thực tế, L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS

và router, router và router So với PPTP thì L2TP có nhiều đặc tính mạnh và antoàn hơn

1.2.3.3 Ưu điểm và nhược điểm của VPN

a Ưu điểm

- Bảo mật: VPN mã hóa tất cả dữ liệu trên đường hầm VPN

- Tiết kiệm chi phí: Sự xuất hiện của VPN đã làm cho những cuộc quay số đườngdài tốn kém hay đường dây thuê bao không còn cần thiết nữa đổi với những tổchức sử dụng VPN “đóng gói" dữ liệu một cách an toàn qua mạng Internet

- Nhanh chóng: Những tổ chức có văn phòng chi nhánh hay những người làm việc

từ xa có thể truy cập dữ liệu của văn phòng công ty chính từ bất kỳ địa điểm nàotrên thế giới mà không phải tốn kém nhiều bằng cách kết nối vào mạng Internetthông qua nhà cung cấp dịch vụ địa phương

- Có nhiều lý do cho việc thiết lập VPN cho việc truy xuất từ xa, nhưng đặc biệthấp dẫn nhất với những người quan tâm là khả năng tiết kiệm giá thành

- Trong những tổ chức lớn, điều nảy gây ra một sự khác biệt to lớn về giả thành.Khi một tổ chức đưa công ty lên mạng của mình, số lượng đường truyền thuê sẽtăng theo số mô Trong mạng WAN truyền thống, điều này có thể giới hạn tínhlinh hoạt cho sự phát triển, VPN thì không

- Sử dụng VPN, các khách hàng nhận được sự thiết lập kết nối Internet tốc độ cao

và thiết lập cấu hình trong thời gian ngắn hơn những dịch vụ tương tự

- Số lượng kết nối đồng thời lớn

- Băng thông không bị hạn chế, chỉ phụ thuộc vào tốc độ đường truyền Internet sửdụng

b Nhược điểm

- Yêu cầu về chuẩn Cả hai đầu đường hầm phải dùng cùng một thiết bị để đảm bảokhả năng liên vận hành (interoperability)

- Khó thiết lập và quản trị: Những máy khách từ xa cần được cấu hình với nhữngthông số bảo mật đúng Thêm vào đó, những đường hầm bảo mật giữa máy khách

và đường hầm phải được tích hợp với firewall (firewall hỗ trợ NAT) VPN không

dễ dàng vận hành cùng với những thiết bị NAT vì NAT sử dụng địa chỉ IP riêng

mà thiết bị của VPN không nhận ra

- Mọi luồng dữ liệu đi qua VPN đều được mã hóa bất chấp nhu cầu có cần mã hóahay không Việc này có chiều hướng gây nên hiện tượng tắc nghẽn cổ chai

- Không cung cấp sự bảo vệ bên trong mạng – VPN kết thúc ở đầu mạng

- Một khi nhân viên đã vào bên trong mạng, dữ liệu không còn được mã hóa nữa.Hơn nữa, các VPN không thể giới hạn nhân viên khỏi sự truy cập thoải mái bất kỳmáy chủ nào trên mạng nội bộ

1.2.4 Mạng ẩn danh TOR

1.2.4.1 Khái niệm

Tor là một phần mềm mã nguồn mở miễn phí Tor, được biết đến trước đâyvới cái tên The Onion Router, là một mạng đặc biệt cho phép người dùng lướt webmột cách ẩn danh nhờ định tuyến lưu lượng sử dụng qua một chuỗi máy tính trướckhi thực sự kết nối đến điểm cuối Với cách hoạt động này, chỉ có người dùng mới

là người duy nhất thực sự biết điểm đầu và điểm cuối kết nối Hệ thống này là công

cụ giúp những người sử dụng vượt tường lửa và truy cập Internet một cách vôdanh Lúc khởi đầu, dự án Tor được phòng thí nghiệm và nghiên cứu hải quân Hoa

Kỳ thực hiện Vào năm 2004, dự án Tor chính thức trở thành một dự án của TổChức Biên Giới Điện Tử (Electronic Frontier Foundation, viết tắt là EFF) Từtháng 11 năm 2005, tổ chức EFF chính thức tài trợ thành lập trung chủ của dự án

Tor là một mạng lưới đường hầm ảo cho phép người sử dụng bảo vệ được sựriêng tư của mình và an toàn khi sử dụng Internet Nó còn cho phép các nhà pháttriển phần mềm tạo ra các công cụ giao tiếp mới với các tính năng được tích hợpsẵn bên trong Tor cung cấp nền tảng cho một loạt các ứng dụng cho phép các tổchức và các cá nhân chia sẻ thông tin qua các mạng công cộng mà không ảnhhưởng tới tính riêng tư của họ

Các cá nhân sử dụng Tor để ngăn cản các trang web mà họ truy cập theo dõi

họ và các thành viên khác trong gia đình hoặc để truy cập vào các trang web tintức, dịch vụ nhắn tin tức thời hoặc những thứ tương tự khi chúng bị chặn bởi cácnhà cung cấp Internet địa phương Các dịch vụ ẩn của Tor cho phép người dùngxuất bản các trang web và các dịch vụ khác mà không cần phải để lộ vị trí củatrang web Các cá nhân cũng sử dụng Tor cho cộng đồng xã hội với những vấn đềnhạy cảm như các phòng chat, diễn đàn, các trang web về nạn nhân bị lạm dụngtình dục, hiếp dâm, hay những người có bệnh tật không muốn tiết lộ danh tính củamình

Các nhà bảo sử dụng Tor để giao tiếp với những cơ quan, tổ chức có liênquan một cách an toàn hơn khi họ viết bài tố cáo Các tổ chức phi chính phủ(NGOs) sử dụng Tor để cho phép nhân viên của họ để kết nối đến trang chủ khi họđang ở nước ngoài mà không bị lộ là họ đang làm việc với tổ chức đó

Các nhóm như Indymedia khuyên nhân viên của mình nên sử dụng Tor đểbảo vệ sự riêng tư trực tuyến và đảm bảo an ninh Nhóm các nhà hoạt động xã hộinhư Electronic Frontier Foundation (EFF) khuyên chúng ta nên sử dụng Tor như làmột cơ chế để duy trì quyền tự do dân chủ trực tuyến Các công ty sử dụng Tor như

là một cách an toàn để tiến hành phân tích cạnh tranh và để bảo vệ các mô hìnhmua sắm nhạy cảm từ những kẻ rình mò khác Họ cũng sử dụng Tor để thay thếVPN truyền thống vì VPN luôn để lộ chính xác số lượng và thời gian giao tiếp.Một chi nhánh của Hải quân Mỹ sử dụng Tor để thu thập thông tin tỉnh báo nguồn

mở và mới đây, một trong những đội này đã sử dụng Tor khi triển khai ở TrungĐông Lực lượng cảnh sát sử dụng Tor để truy cập vào các trang web bị giám sát

mà không để lộ địa chỉ IP chính phủ

Sự đa dạng của những người sử dụng Tor thực sự khiến nó trở nên rất antoàn Tor che dấu bạn khỏi những người dùng khác trên mạng, do đó người dùngTor cũng đồng và càng đa dạng, danh tính của bạn sẽ càng được bảo vệ tốt hơn

Việc sử dụng Tor bảo vệ bạn chống lại một hình thức giám sát phổ biến trênInternet được gọi là "phân tích lưu lượng” Phân tích lưu lượng có thể được sửdụng để tìm ra người nào đó đang nói chuyện với ai trên mạng công cộng Biếtđược nguồn và đích của lưu lượng truy cập Internet cho phép những người khác cóthể theo dõi hành vi và sở thích của người dùng Điều này có thể ảnh hưởng tới sổséc của người dùng; ví dụ việc một trang web thương mại điện tử sẽ bán hàng vớicác mức giá khác nhau dựa vào quốc gia của người dùng Điều này thậm chí còn

có thể đe dọa tới công việc của người dùng và cả sự an toàn thể chất của họ khi vịtrí của họ bị tiết lộ Ví dụ, nếu chúng ta đang đi du lịch ở nước ngoài và chúng takết nối với máy tính của nhà sử dụng lao động để kiểm tra thư điện tử hoặc gửimail, mỗi chúng ta có thể sẽ vô tình để lộ quốc tịch của mình và các liên kết khácvới bất cứ ai đang theo dõi mạng, ngay cả khi kết nối được mã hóa

1.2.4.2 Hoạt động

Tor có chức năng xóa dấu vết và che giấu địa chỉ IP xuất xứ của máy truycập Internet khi gửi hay nhận thông tin qua mạng Internet Các thông tin trao doiqua Tor được mã hóa và truyền qua nhiều máy chủ trung gian khác nhau Nếu mộtmáy trung gian Tor bị truy cập trộm, kẻ trộm cũng không thể đọc được các thôngtin của người sử dụng do các thông tin đã được mã hóa

Tor thực hiện việc đảm bảo nặc danh bằng cách định tuyến kết nối qua nhiềumạng máy chủ tình nguyện phân tán khắp nơi trên thế giới Điều này giúp ngăn cảnnhững kẻ muốn theo dõi kết nối Internet để giám sát các trang web được truy cậpđến, cũng như tránh việc các trang web ta truy cập biết được vị trí kết nối Đối vớicác máy chủ Tor, một số có thể biết ta đang sử dụng Tor, một số khác có thể biếtđịa chỉ trang web được truy cập, nhưng không máy chủ nào biết được cả hai thôngtin trên

Tor có thể giúp ngụy trang những kết nối của chúng ta tới các trang web phổbiến, nhưng nó không giúp bảo vệ nội dung thông tin liên lạc Do vậy, đây là mộtlớp bảo vệ thêm để sử dụng cùng với những dịch vụ liên lạc báo mặt khác, ví dụnhư RiseUp và Gmail, nhưng không nên sử dụng công cụ này khi truy cập các máychủ thư điện tử không bảo mật như Hotmail hay Yahoo, hay những trang web cókết nối không bảo mật hợp khí phải nhập thông tin mật khẩu

Hình 1.7 Alice tập hợp danh sách các Tor node trên máy chủ

Tor giảm thiểu những rủi ro từ việc phân tích lưu lượng truy cập bằng cáchphân tán các truy cập của người sử dụng đến nhiều nơi khác nhau trên internet, do

đó không có một điểm kết nối cố định nào đến đích truy cập Ý tưởng được đưa ra

là sử dụng những kết nối theo đường vòng làm cho người theo dõi khó có thể tiếpcận và xác định được người truy cập, sau đó Tor sẽ xoá dấu vết theo định kỳ Thay

vì việc sử dụng một kết nối trực tiếp từ nguồn đến đích để trao đổi các gói dữ liệutrên mạng thì Tor sử dụng các kết nối ngẫu nhiên thông qua việc chuyển tiếp dữliệu để không ai có thể biết được việc chuyển tiếp dữ liệu từ đâu đến đâu

Để tạo một đường mạng riêng với Tor, phần mềm của người dùng sẽ từngbước xây dựng một mạch kết nối được mã hóa thông qua các quá trình chuyển tiếptrên mạng Mạch kết nối đó được mở rộng ngẫu nhiên theo từng điểm, và chỉ nómới biết được dữ liệu sẽ được chuyển đi đến điểm nào tiếp theo, không một cánhân nào biết được đường truyền của dữ liệu cả Khách hàng tự tạo ra một bộ khóa

mã cho mỗi điểm dọc theo mạch chuyển tiếp để có thể đảm bảo rằng mỗi điểmkhông thể theo dõi các kết nối khi chúng đi qua

Hình 1.8, Alice chọn một đường ngẫu nhiên tới máy chủ đích

Khi mạch chuyển tiếp đã được thiết lập, nhiều kiểu dữ liệu có thể truyền qua

và nhiều kiểu ứng dụng có thể được khai thác qua mạng ẩn danh Tor Do mỗichặng chuyển tiếp (node) không có quá một bước chuyển trong mạch chuyển tiếp,nên cả những kẻ nghe lén lẫn những điểm nút đã bị khác đều không thể sử dụngphương pháp phản tích lưu lượng để tìm tới nguồn gửi và đích đến của dữ liệuđược Tor chỉ được sử dụng trên giao thức TCP và có thể được sử dụng bởi bất kỳứng dụng nào với sự hỗ trợ từ SOCKS

Hình 1.9 Alice truy cập tới site khác, đường đi được reset ngẫu nhiên tới máy chủ đích

Để tăng hiệu quả, phần mềm Tor sử dụng cùng một kiểu mạng lưới cho cáckết nối diễn ra trong vòng khoảng 10 phút Những truy vấn sau thời gian đó sẽnhận được một mạch kết nối khác, giúp ẩn hoàn toàn những hành động đã diễn ratrước đó với các hành động được thực hiện sau này

1.2.4.3 Ưu điểm và nhược điểm của Tor

a Ưu điểm

Tor có hiệu quả cao để giúp ta ẩn danh và vượt tường lửa Cách mã hoá củaTor sẽ ngăn ngừa người điều hành mạng lưới biết nội dung thông tin, che dấu tungtích của đầu đối thoại bên kia cũng như trang mạng ta đang truy cập Khi sử dụngđúng chức năng, nó sẽ bảo vệ ta nhiều hơn là một proxy đơn lẻ

Torbutton Torbutton tắt một số plugin và đổi dấu vết của trình duyệt để nó trônggiống như các ứng dụng Torbutton khác Tor không thể bảo vệ người dùng nếu họkhông thiết kế các ứng dụng chạy qua Tor Một số plugin và đoạn mã (script) lờ đicác cấu hình proxy địa phương và qua đó có thể làm lộ địa chỉ IP.

Ngoài ra, nếu không dùng thêm các phương pháp mã hoá, thì thông tin cóthể bị lộ ở trạm cuối của mạng ẩn danh Tor (exit node) Điều này có nghĩa là chủnhân của trạm Tor chót và của dịch vụ ISP đứng giữa trạm đỏ với trang web đến cóthể thấy các thông tin của ta

CHƯƠNG 2 HOẠT ĐỘNG CỦA MẠNG ẨN DANH TOR

Là giải pháp ẩn danh với độ trễ thấp, Tor thực hiện việc kết nối các bên lênliên lạc hoặc từ việc kết nối đa liên lạc tới hoặc từ một người dùng Tuy nhiên cần

có sự cân nhắc khi phát triển mạng ẩn danh Tor

Khả năng triển khai

Thiết kế phải được triển khai và sử dụng trong thực tế Do đó việc triển khaiphải không quá tốn kém (VD: cần nhiều băng thông hơn nhưng chi phí không quálớn), không được đặt gánh nặng xử lý lên người điều hành và không quá khó trongviệc nâng cấp (VD: yêu cầu các bản vá lỗi, hay các proxy riêng biệt cho các giaothức)

Khả năng sử dụng

Một hệ thống khó sử dụng sẽ có ít người dùng hơn và vì hệ thống ẩn danhTor ẩn danh các người dùng với nhau và tính ẩn danh của hệ thống với ít người íthơn so với khi có nhiều người dùng Khả năng sử dụng vì vậy không chỉ thuận tiệnkhi sử dụng mà với mạng ẩn danh Tor nó còn là yêu cầu bảo mật Tor vì vậy cầnkhông yêu cầu điều chỉnh các ứng dụng phổ biến , không được tạo ra độ trễ quálớn và phải yêu cầu chỉnh sử ít nhất có thể Cuối cùng Tor phải dễ dàng nâng cấptrong tất cả các nền tảng thông thường: không yêu cầu người dùng thay đổi hệ điềuhành để trở nên ẩn danh (Tor hiện đang chạy trên Win31, Linux, Solaris, BSD-style Unix, MacOS X và một vài hệ điều hành khác)

Thiết kế đơn giản

Thiết kế của giao thức và các thông số phải bảo mật và dễ hiểu Những tínhnăng mở rộng áp đặt triển khai và chi phí thấp, việc thêm các thuật toán chưa đượcchứng minh trong thiết kế đe dọa tới tính triển khai, khả năng đọc và dễ phân tíchbảo mật Tor nhắm tới việc triển khai 1 hệ thống đơn giản và ổn định thích hợp cácphương thức tiếp cận được chấp nhận tốt nhất để bảo vệ tính ẩn danh

Khả năng ẩn danh

Rất nhiều người dùng sẽ sử dụng hệ thống giao tiếp ẩn danh vì họ truy cậpvào các website có thể không được cho phép theo từng vùng Do đó người dùng cóthể lựa chọn truy cập vào mạng ẩn danh Tor để đạt được mục đích của họ về việctruy nhập các trang web Tor có thể chống lại việc chặn theo IP hay chặn như 1 kếtquả của giao thức dấu vân tay

2.1 Kiến trúc – các thành phần trong mạng ẩn danh Tor

2.1.1 Kiến trúc mạng ẩn danh Tor

Onion Routing là kỹ thuật thông tin ẩn danh, chống xem trộm trên một mạngmáy tính Thay vì kết nối trực tiếp giữa máy gửi tin và nhận tin, hai máy đó đượckết nối gián tiếp qua nhiều máy chủ dẫn đường đặc biệt (onion router) chọn ngẫunhiên Tại máy gửi tin, các gói tin được mã hóa thành nhiều lớp theo thứ tự các bộdẫn đường đã được chọn, mỗi lớp dùng khóa công khai (public key) của một bộđịnh tuyến (router) Vì vậy mỗi gói tin gồm nhiều lớp giống như củ hành do vậy cótên gọi là onion

Khi gói tin đó truyền đến một router A, router đó dùng khóa bí mật của mình(private key) giải mã lớp thông tin dành cho nó có địa chỉ router B tiếp theo và gửi

H

gói tin tới đó Tại router B, quá trình trên lặp lại và gói tin được gửi tiếp đến router

C Quá trình truyền tin trả lời cũng làm tương tự theo thứ tự ngược lại

Như vậy, mỗi router chỉ biết router trước đó gửi tin cho nó và router tiếp sau

mà nó phải chuyển tiếp tin tới đó Chỉ có router đầu tiên biết địa chỉ máy gửi vàrouter cuối cùng biết địa chỉ máy nhận Mỗi router cũng chỉ giải mã được phầnthông tin dành cho nó mà không giải mã được các lớp thông tin khác được mã hóabằng các khóa mã khác

Hình 2.2 Mã hóa trong Tor

Kỹ thuật này tương tự như việc cho một bức thư vào nhiều lớp phong bìlồng nhau, rồi gửi từ nơi gửi đến nơi nhận qua nhiều người đưa thư theo từngchặng Mỗi người đưa thư mở một lớp phong bì để đọc địa chỉ người đưa thư tiếptheo và chuyển thư cho người đó, cứ thế cho đến người nhận cuối cùng

Ưu điểm của kĩ thuật này là nếu một số router trung gian bị khống chế, theodõi bởi kẻ xem trộm cũng không thể xem được nội dung gói tin và địa chỉ nơi gửi,nơi nhận vì không thể giải mã được hết các lớp mã khóa khác do không biết khóa

mã Gói tin vẫn được truyền đi nặc danh và bảo mật Chỉ khi nào theo dõi đượctoàn bộ các router mới có thể tìm được nơi gửi và nơi nhận

Vì vậy chúng ta không cần phải tin cậy vào các router như phải tin cậy vàoproxy Và do đó, máy của chúng ta cũng có thể tham gia làm một onion router nếumuốn Càng nhiều router thì mức độ an toàn của mạng càng cao

Trong mỗi phiên liên lạc, các router lại được chọn ngẫu nhiên từ rất nhiềurouter có trên mạng Vì vậy rất khó theo dõi.

2.1.2 Các thành phần trong mạng ẩn danh Tor

Hình 2.3 Thành phần trong mạng ẩn danh Tor

Hình 2.3 là mô hình của mạng ẩn danh Tor, dữ liệu từ một Anonymous Userbất kỳ bắt đầu hành trình trong mạng thì nó sẽ đi qua:

Nút đầu (Entry node): Đây là nút đầu tiên trong hành trình của dữ liệu trongmạng

(Node) : còn được gọi là các nút ở giữa (middle node), là các nút chuyển tiếptrong mạng, là mắt xích tham gia vào việc tạo nên đường kết nối từ người dùng tớiđích mong muốn

Nút thoát (Exit node): nút cuối hành trình của dữ liệu trong mạng, đây là nútbắc cầu mà từ đây dữ liệu sẽ ra khỏi mạng mã hóa của Tor và đi đến đích nằmtrong phần còn lại của thế giới – Internet Dữ liệu có thể sẽ bị nghe lén hoặc thayđổi ở nút này

Cầu nối (Bridges): là nút không có tên trong danh sách công khai của Tornhằm tránh những trạm này bị ngăn chặn

Mạng ẩn danh Tor là một mạng che phủ, mỗi onion router(OR) hoạt độngnhư một tiến trình cấp người dùng bình thường mà không cần có một đặc quyền

đặc biệt nào Mỗi OR duy trì các liên kết TLS tới các OR khác mà nó đã được giaotiếp cùng Mỗi người dùng chạy một phần mềm cục bộ được gọi là một onionproxy (OP) với các thư mục phù hợp, thiết lập các mạch trên khắp mạng và xử lýkết nối từ các ứng dụng người dùng Các OP này cho phép các luồng TCP và nhânchúng lên trên khắp các mạch.

Mỗi OR duy trì một khóa định danh (identity key) dài hạn và một khóaonion ngắn hạn Khóa định danh được sử dụng để đánh dấu các chứng chỉ TLS,đánh dấu thiết bị mô tả bộ định tuyến của OR (các khóa của nó, địa chỉ, băng thông, chính sách thoát và các thứ khác) Khóa onion được sử dụng để mã hóa các yêucầu từ người dùng để tạo nên một mạch và đàm phán với các khóa tạm thời

Giao thức TLS cũng tạo một khóa liên kết ngắn hạn khi đang giao tiếp giữacác OR Các khóa ngắn hạn được thay đổi định kỳ và độc lập, để hạn chế tác độngcủa các khóa thỏa hiệp

2.1.2.1 Cấu trúc Cell

Các OR giao tiếp với nhau và với các OP của người dùng, qua các kết nốiTLS Sử dụng TLS che giấu dữ liệu trong kết nối với tính năng bảo mật dữ liệu,ngăn chặn tấn công chỉnh sửa dữ liệu hoặc mạo danh một OR Hầu hết lưu lượng

đi qua những liên kết này được đóng thành các cell kích cỡ cố định Mỗi cell kích

cỡ cố định là 512 byte và bao gồm header và payload

Hình 2.4 Cấu trúc cell và chi tiết về cấu trúc cell

Phần header bao gồm một bộ xác định mạch (CircID) để xác định tham khảomạch cell nào (rất nhiều mạch có thể nhân lên qua một kết nối TLS), và một lệch

để mô tả cần làm gì với payload của cell (bộ xác định mạch là kết nối cụ thể: mỗimạch có một circID khác nhau trên mỗi kết nối OP/OR hay OR/OR nó đi qua).Các cell kích cỡ cố định cung cấp một vài khả năng chống phân giải lưu lượng