Nghiên cứu giải pháp bảo mật mạng riêng ảo và ứng dụng

Các mức bảo vệ trên mạng: Vì không thể có một giải pháp an toàn tuyệt đối nên người ta thường phải sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều hàng rào vững chắc đối vớ

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

NGUYỄN QUYẾT TIẾN

NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG RIÊNG ẢO

VÀ ỨNG DỤNG

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Hà Nội - 2015

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

NGUYỄN QUYẾT TIẾN

NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG RIÊNG ẢO

VÀ ỨNG DỤNG

Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin

Mã số: 60480104

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

NGƯỜI HƯỚNG DẪN KHOA HỌC: TS HỒ VĂN HƯƠNG

Hà Nội - 2015

Tôi xin cam đoan toàn bộ nội dung bản luận văn “ Nghiên cứu giải pháp

bảo mật mạng riêng ảo và ứng dụng” là do tôi tìm hiểu, nghiên cứu, tham khảo

và tổng hợp từ các nguồn tài liệu khác nhau và làm theo hướng dẫn của người hướng dẫn khoa học Các nguồn tài liệu tham khảo, tổng hợp đều có nguồn gốc

rõ ràng và trích dẫn theo đúng quy định

Tôi xin chịu hoàn toàn trách nhiệm về lời cam đoan của mình Nếu có điều gì sai trái, tôi xin chịu mọi hình thức kỷ luật theo quy định

Hà Nội, tháng 08 năm 2015

Người cam đoan

Nguyễn Quyết Tiến

Trước hết em xin gửi lời cảm ơn chân thành đến các thầy cô ở Khoa Công Nghệ Thông Tin - trường Đại học Công nghệ - Đại học Quốc gia Hà Nội đã nhiệt tình và tâm huyết truyền đạt cho em những kiến thức quý báu trong suốt thời gian học tập tại trường Em xin gửi lời cảm ơn sâu sắc đến TS Hồ Văn Hương – Ban Cơ yếu Chính phủ đã nhiệt tình, tận tâm định hướng, hướng dẫn

và cho em những lời khuyên bổ ích để em hoàn thành luận văn tốt nghiệp này Cuối cùng, em xin cảm ơn gia đình, bạn bè đã luôn động viên và ủng hộ em trong suốt quá trình học tập và hoàn thành luận văn này

Bài luận văn được thực hiện trong khoảng thời gian 06 tháng Bước đầu đi vào thực tế, tìm hiểu về lĩnh vực OpenVPN và PKI, do kiến thức của em còn nhiều hạn chế và còn nhiều bỡ ngỡ, nên không tránh khỏi những thiếu sót Em rất mong nhận được những ý kiến đóng góp quý báu từ phía quý thầy cô và các bạn để luận văn được hoàn thiện hơn

Hà Nội, tháng 08 năm 2015

Học viên

Nguyễn Quyết Tiến

LỜI NÓI ĐẦU 1

CHƯƠNG 1 TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN, BẢO MẬT MẠNG RIÊNG ẢO VÀ TÌM HIỂU CÔNG NGHỆ MÃ NGUỒN MỞ. 3

1.1 AN TOÀN BẢO MẬT THÔNG TIN……… 3

1.1.1.Giới thiệu về bảo mật thông tin 3

1.1.2 Một số giải pháp an toàn thông tin 3

1.2 MẠNG RIÊNG ẢO……… ….6

1.2.1 Khái niệm 6

1.2.2 Những lợi ích cơ bản của mạng riêng ảo 6

1.2.3 Các mô hình kết nối VPN 7

1.2.4 Giao thức mạng riêng ảo 11

1.3 CÔNG NGHỆ MÃ NGUỒN MỞ……… 16

1.3.1 Khái niệm phần mềm mã nguồn mở 16

1.3.2 Những ưu điểm của PMNM 17

1.3.3 Những hạn chế của PMNM 18

1.4 KẾT LUẬN……… 18

CHƯƠNG 2 CÁC NGUY CƠ MẤT AN TOÀN THÔNG TIN TRONG MẠNG RIÊNG ẢO VÀ CÁC GIẢI PHÁP BẢO MẬT MẠNG RIÊNG ẢO. 19

2.1 NGUY CƠ MẤT AN TOÀN THÔNG TIN TRONG MẠNG RIÊNG ẢO …….……….19

2.1.1 Tấn công các thành phần mạng riêng ảo 19

2.1.2 Tấn công giao thức mạng riêng ảo 21

2.1.3 Tấn công mật mã 23

2.1.4 Tấn công từ chối dịch vụ 25

2.2 GIẢI PHÁP BẢO MẬT VÀ XÁC THỰC CHO MẠNG RIÊNG ẢO……… ……….29

2.2.2 Tích hợp giải pháp bảo mật mạng riêng ảo 32

2.2.2 Giải pháp bảo mật an toàn thông tin tổng thể dựa trên cơ sở hạ tầng khóa công khai 33

2.3 KẾT LUẬN………35

CHƯƠNG 3 LỰA CHỌN GIẢI PHÁP BẢO MẬT, XÁC THỰC VPN VÀ TRIỂN KHAI ỨNG DỤNG DỰA TRÊN CÔNG NGHỆ MỞ 36

3.1 KHẢO SÁT HIỆN TRẠNG……… 36

3.1.1 Mô hình mạng của trường 36

3.2 LỰA CHỌN GIẢI PHÁP……… …… 38

3.2.1 Phân tích yêu cầu thực tế và lựa chọn giải pháp OpenVPN 38

3.2.2 Tích hợp PKI dùng usb eToken 40

3.3 TRIỂN KHAI ỨNG DỤNG……… ………41

3.3.1 Mô hình 41

3.3.2 Cài đặt và cấu hình openvpn 44

KẾT LUẬN 56 TÀI LIỆU THAM KHẢO

ESP Encapsulation Security Payload

HMAC Hashed-keyed Message Authentication Code

IPSec Internet Protocol Security

L2TP Layer 2 Tunnerling Protocol

PAP Password Authentincation Protocol

PPTP Point To Point Tunneling Protocol

Số hình Tên hình Trang Hình 1.1 Mạng VPN điển hình gồm mạng LAN trụ sở chính, các văn phòng từ xa và người truy cập từ bên ngoài 8

Hình 3.2 Thiết bị usb eToken SecureToken ST3 41

LỜI NÓI ĐẦU

1 Lý do chọn đề tài

Ngày nay cùng với sự phát triển không ngừng của công nghệ thông tin và

sự phát triển nhanh chóng của mạng Internet, các thông tin trao đổi trên Internet cũng tăng lên nhanh chóng và đa dạng, phong phú về cả nội dung lẫn hình thức

Phương án truyền thông nhanh, an toàn và tin cậy đang trở thành mối quan tâm của nhiều cơ quan, doanh nghiệp, đặc biệt là các tổ chức có cơ sở hạ tầng phân tán về địa lý Nếu như trước đây giải pháp thông thường là thuê các đường truyền riêng(Leased line) để duy trì mạng WAN(Wide Area Network) hay các dịch vụ như Frame Relay Service,…Mỗi mạng WAN đều có các ưu nhược điểm riêng trên một mạng công cộng như Internet

Cùng với sự phát triển chung của toàn xã hội, sự đầu tư áp dụng công nghệ thông tin trong giáo dục và đào tạo từ xa ở nước ta đang ngày càng phát triển Nhiều tổ chức, cơ quan, đơn vị cũng như các trường học đã và đang triển khai các hệ thống mạng hiện đại phục vụ cho nhu cầu của đơn vị mình Bên cạnh đó các hệ thống này cũng phục vụ đắc lực cho việc hợp tác, nghiên cứu và quản lý của nhà trường

Để giải quyết nhu cầu và khắc phục những khó khăn trên công nghệ mạng riêng ảo VPN đã ra đời Chính sự đơn giản nhưng hiệu quả đã làm cho VPN phát triển mạnh mẽ và trở thành một trong những công nghệ được sử dụng phổ biến và đem lại lợi ích cao Đó cũng là lý do khiến cho VPN trở thành một đề tài rất đáng quan tâm

Xuất phát từ thực tế đó, đề tài này nghiên cứu giải pháp bảo mật mạng riêng ảo và ứng dụng

2 Mục đích nghiên cứu

Tìm hiểu bảo mật, xác thực mạng riêng ảo và các giải pháp bảo mật mạng riêng ảo Đánh giá ưu, nhược điểm của công nghệ mạng riêng ảo Lựa chọn và tích hợp các giải pháp bảo mật, xây dựng mạng riêng ảo dựa trên công nghệ mã nguồn mở OpenVPN

3 Nhiệm vụ nghiên cứu

Nghiên cứu các điểm yếu trong việc đảm bảo an toàn thông tin của công nghệ VPN hiện nay Trên cơ sở đó đánh giá, lựa chọn giải pháp bảo mật và triển

khai VPN dựa trên công nghệ mở OpenVPN, thực hiện tích hợp các giải pháp bảo mật, xác thực như: Tích hợp PKI, tích hợp các thiết bị phần cứng eToken cho việc lưu khóa

4 Đối tượng và phạm vi nghiên cứu

Đối tượng và phạm vi nghiên cứu là công nghệ mạng riêng ảo VPN được cài đặt trên nền hệ điều hành Linux bản phân phối Debian 8.0 Sử dụng mã nguồn mở OpenVPN 2.3.4 để triển khai Tích hợp hạ tầng khóa công khai PKI,

sử dụng thiết bị phần cứng SecureToken ST3 để lưu khóa

5 Phương pháp nghiên cứu

Phương pháp tìm hiểu, đánh giá để từ đó lựa chọn giải pháp bảo mật và triển khai VPN dựa trên công nghệ mở

6 Giả thuyết khoa học

Phát triển từ mã nguồn mở OpenVPN

CHƯƠNG 1 TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN, BẢO MẬT MẠNG RIÊNG ẢO VÀ TÌM HIỂU CÔNG NGHỆ MÃ NGUỒN MỞ

1.1 AN TOÀN BẢO MẬT THÔNG TIN

1.1.1 Giới thiệu về bảo mật thông tin

Với sự phát triển nhanh chóng của công nghệ thông tin, đặc biệt là sự phát triển của mạng Internet, thì nhu cầu truyền tin trên mạng Internet và lưu trữ chúng trên máy tính ngày càng tăng cao An toàn bảo mật thông tin là một chủ

đề rộng, có liên quan đến nhiều lĩnh vực và trên thực tế có nhiều phương pháp được thực hiện để bảo vệ an toàn thông tin Các phương pháp an toàn thông tin

có thể được quy tụ vào ba nhóm sau:

-Bảo vệ an toàn thông tin bằng các biện pháp hành chính

-Bảo vệ an toàn thông tin bằng các biện pháp ký thuật(phần cứng)

-Bảo vệ an toàn thông tin bằng các biện pháp thuật toán(phần mềm)

Ba nhóm trên có thể được ứng dụng riêng rẽ hoặc phối kết hợp Môi trường khó đảm bảo an toàn thông tin nhất và cũng là môi trường đối phương dễ

bị xâm nhập nhất đó là môi trường mạng và truyền tin Biện pháp hiệu quả và kinh tế nhất hiện nay trên mạng truyền tin và mạng máy tính là biện pháp thuật toán[1,2]

An toàn thông tin gồm các nội dung sau:

-Tính bí mật: Tính kín đáo riêng tư của thông tin

-Tính xác thực của thông tin, bao gồm xác thực đối tác, xác thực thông tin trao đổi

-Tính trách nhiệm: Đảm người gửi thông tin không thể thoái thác trách nhiệm về thông tin mà mình đã gửi

1.1.2 Một số giải pháp an toàn thông tin

Các chiến lược an toàn hệ thống:

Giới hạn quyền hạn tối thiểu: Đây là chiến lược cơ bản nhất, theo nguyên tắc này bất kỳ một đối tượng nào cũng chỉ có một quyền hạn nhất định đối với tài nguyên mạng, khi truy nhập vào mạng đối tượng đó chỉ được sử dụng một số tài nguyên mạng nhất định…

Bảo vệ theo chiều sâu: Nguyên tác này nhắc nhở chúng ta không nên dựa vào một chế độ an toàn nào dù cho chúng rất mạnh, mà nên tạo nhiều cơ chế an toàn để tương tác và hỗ trợ lẫn nhau

Nút thắt: Tạo ra một “cửa khẩu” hẹp, và chỉ cho phép thông tin đi vào hệ thống của mình bằng một con đường duy nhất chính là “cửa khẩu” này, phải tổ chức một cơ cấu kiểm soát và điều khiển thông tin đi qua “cửa khẩu” này

Điểm nối yếu nhất: Kẻ phá hoại thường tìm chỗ yếu nhất của hệ thống để tấn công, do đó ta cần phải gia cố các yếu điểm của hệ thống Thông thường chúng ta chỉ quan tâm đến kẻ tấn công trên mạng hơn là kẻ tiếp cận hệ thống, do

đó an toàn vật lý được coi là điểm yếu nhất trong hệ thống của chúng ta

Tính toàn cục: Các hệ thống an toàn đòi hỏi phải có tính toàn cục của các

hệ thống cục bộ Nếu có một kẻ nào đó có thể bẻ gãy một cơ chế an toàn thì chúng có thể thành công bằng cách tấn công hệ thống tự do của ai đó và sau đó tấn công hệ thống từ nội bộ bên trong

Tính đa dạng bảo vệ: Cần phải sử dụng nhiều biện pháp bảo vệ khác nhau, nếu không khi có kẻ tấn công vào được một hệ thống thì chúng cũng dễ dàng tấn công vào hệ thống khác

Các mức bảo vệ trên mạng:

Vì không thể có một giải pháp an toàn tuyệt đối nên người ta thường phải

sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều hàng rào vững chắc đối với các hoạt động xâm phạm Việc bảo vệ thông tin trên mạng chủ yếu

là bảo vệ thông tin cất giữ trên máy tính, đặc biệt là các máy chủ trên mạng Bởi thế ngoài một số biện pháp chống thất thoát thông tin trên đường truyền, mọi cố gắng tập trung vào việc xây dựng các mức rào chắn từ ngoài vào trong cho các

hệ thống kết nối vào mạng Thông thường bao gồm các mức bảo vệ sau:

Quyền truy cập: Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát các tài nguyên của mạng và quyền hạn trên tài nguyên đó Tất nhiên là kiểm soát được các cấu trúc dữ liệu càng chi tiết càng tốt Hiện tại việc kiểm soát thường ở mức tệp

Đăng ký tên/ mật khẩu: Thực ra đây cũng là quyền kiểm soát truy nhập, nhưng không phải là truy nhập ở mức thông tin mà là ở mức hệ thống Đây cũng

là phương pháp bảo vệ phổ biến nhất vì nó đơn giản mà chi phí thấp mà cũng rất

hiệu quả Mỗi người sử dụng muốn được tham gia vào mạng để sử dụng tài nguyên đều phải có đăng ký tên và mật khẩu trước Người quản trị mạng có trách nhiệm quản lý, kiểm soát mọi hoạt động của mạng và xác định quyền truy nhập của những người sử dụng khác theo thời gian và không gian

Mã hóa dữ liệu: Để bảo mật thông tin trên đường truyền người ta sử dụng các phương pháp mã hóa Dữ liệu dược biến đổi từ dạng nhận thức được sang dạng không nhận thức được theo một thuật toán nào đó và sẽ được biến đổi ngược lại (giả mã) Đây là lớp bảo vệ thông tin rất quan trọng

Bảo vệ vật lý: Ngăn cản các truy nhập vật lý vào hệ thống Thường các biện pháp truyền thống như ngăn cấm tuyệt đối người không được phép vào phòng đặt máy mạng, dùng ổ khóa trên máy tính hoặc các máy trạm không có ổ mềm Tường lửa: Ngăn chặn thâm nhập trái phép và lọc bỏ các gói tin không muốn gửi hoặc nhận vì các lý do nào đó để bảo vệ một máy tính hoặc cả mạng nội bộ

Quản trị mạng: Trong thời đại phát triển của công nghệ thông tin, mạng máy tính quyết định toàn bộ hoạt động của một tổ chức hoặc cơ quan Vì vậy việc đảm bảo cho hệ thống mạng máy tính hoạt động một cách an toàn, không xảy ra sự cố

là một công việc cấp thiết và việc quản trị mạng là vô cùng quan trọng

An toàn thông tin bằng mật mã:

Mật mã là một ngành khoa học chuyên nghiên cứu các phương pháp truyền tin bí mật Mật mã bao gồm: Lập mã và phá mã

Lập mã bao gồm hai quá trình: mã hóa và giải mã

Để bảo vệ thông tin trên đường truyền người ta thường biến đổi nó từ dạng nhận thức được sang dạng không nhận thức được trước khi truyền đi trên mạng, quá trình này được gọi là mã hóa thông tin (encrytion), ở trạm nhận phải thực hiện quá trình ngược lại, tức là biến đổi thông tin từ dạng không nhận thức được (dữ liệu đã được mã hóa) về dạng nhận thức được (dạng gốc), quy trình này gọi

là giải mã Đây là một lớp bảo vệ thông tin rất quan trọng và được sử dụng rộng rãi trong môi trường mạng [9]

Để bảo vệ thông tin bằng mật mã người ta thường tiếp cận theo hai hướng:

- Theo đường truyền (Link-Oriented-Security)

- Theo nút đến (End – To – End)

Theo cách thứ nhất thông tin được mã hóa để bảo vệ trên đường truyền giữa hai nút mà không quan tâm đến nguồn và đích của thông tin đó

Ngược lại theo cách thứ hai thông tin trên mạng được bảo vệ trên toàn bộ đường truyền từ nguồn tới đích Thông tin sẽ được mã hóa ngay sau khi được tạo ra và chỉ được giải mã khi về tới đích Cách này có nhược điểm là chỉ có dữ liệu của người dùng thì mới được mã hóa còn dữ liệu điều khiển thì giữ nguyên

1.2.2 Những lợi ích cơ bản của mạng riêng ảo

VPN mang lại nhiều lợi ích, bao gồm:

-Giảm chi phí thực thi: Chi phí cho VPN ít hơn rất nhiều so với các giải pháp truyền thống dựa trên đường Lease – Line Bởi vì VPN loại trừ được những yếu tố cần thiết cho các kết nối đường dài bằng cách thay thế chúng bởi các kết nối cục bộ tới ISP hoặc điểm đại diện của ISP

-Giảm được chi phí thuê nhân viên và quản trị: Vì giảm được chi phí truyền thông đường dài VPN cũng làm giảm được chi phí hoạt động của mạng dựa vào WAN một cách đáng kể Hơn nữa, một tổ chức sẽ giảm được toàn bộ chi phí mạng nếu các thiết bị dùng trong mạng VPN được quản trị bởi ISP Vì lúc này

tổ chức sử dụng VPN không cần thuê thêm nhiều nhân viên mạng cao cấp

-Nâng cao khả năng kết nối: VPN tận dụng Internet để kết nối giữa các phần tử ở xa của một Intranet Vì Internet có thể được truy cập toàn cầu, nên hầu hết các chi nhánh, văn phòng, người dùng, người dùng di động từ xa đều có thể

dễ dàng kết nối tới Intranet của công ty mình

-Bảo mật các dịch vụ: Vì VPN dùng công nghệ đường hầm để truyền dữ liệu qua mạng công cộng không an toàn Dữ liệu đang truyền được bảo mật ở một mức độ nhất định, thêm vào đó, công nghệ đường hầm sử dụng các biện pháp bảo mật như: Mã hóa, xác thực và cấp quyền để đảm bảo an toàn, tính tin cậy, tính xác thực của dữ liệu được truyền, kết quả là VPN mang lại mức độ bảo mật cao cho việc truyền tin

-Sử dụng hiệu quả băng thông: Trong kết nối Internet dựa trên đường truyền Lease – Line, băng thông hoàn toàn không được sử dụng trong một kêt nối Internet không hoạt động Các VPN, chỉ tạo các đường hầm logic khi được yêu cầu để truyền dữ liệu, kết quả là băng thông mạng chỉ được sử dụng khi có một kết nối Internet hoạt động Vì vậy làm giảm đáng kể nguy cơ lãng phí băng thông mạng

-Nâng cao khả năng mở rộng: Vì VPN dựa trên Internet, nên cho phép Intranet của một tổ chức có thể mở rộng và phát triển với chi phí cho phương tiện và thiết bị ở mức tối thiểu Điều này làm cho Intranet dựa trên VPN có khả năng mở rộng cao và dễ dàng tương thích với sự phát triển trong tương lai [5] Trên đây là một só lợi ích cơ bản mà giải pháp VPN mang lại Tuy nhiên nó cũng không tránh khỏi một số hạn chế như: Phụ thuộc nhiều vào Internet, sự quá tải lưu lượng và tắc nghẽn mạng có thể ảnh hưởng và từ chối hoạt động của toàn

bộ mạng dựa trên VPN

1.2.3 Các mô hình kết nối VPN

VPN nhằm hướng vào 3 yếu cầu cơ bản sau đây:

-Có thể truy cập bất cứ lúc nào bằng điều khiển từ xa, bằng điện thoại di động và liên lạc giữa nhân viên của một tổ chức tới các tài nguyên mạng

-Có khả năng kết nối từ xa giữa các nhánh văn phòng

-Được điều khiển truy nhập tài nguyên mạng khi có yêu cầu của khách hàng, nhà cung cấp và các đối tượng quan trọng của công ty nhằm hợp tác kinh doanh

Ngày nay VPN đã phát triển thanh và phân chia thanh 3 mô hình chính: VPN truy cập từ xa (Remote Access VPN), VPN Cục bộ (Intranet VPN), VPN

mở rộng (Extranet VPN)

Hình 1.1 Mạng VPN điển hình gồm mạng LAN trụ sở chính, các văn phòng từ

xa và người truy cập từ bên ngoài

1.2.3.1 VPN truy nhập từ xa (Remote Access VPN)

VPN truy nhập từ xa cho phép người dùng từ xa, người dùng di động của một tổ chức có thể truy cập tới các tài nguyên mạng của tổ chức hay công ty Đặc biệt là những người dùng thường xuyên di chuyển hoặc chi nhánh văn phòng ở xa

Bằng việc thực thi giải pháp VPN truy cập từ xa, các chi nhánh văn phòng

và người dùng từ xa chỉ cần thiết lập kết nối Dial – up cục bộ tới ISP và thông qua đó kết nối tới mạng của công ty qua Internet

Hình 1.2 Thiết lập VPN truy cập từ xa

1.2.3.2 VPN cục bộ (Intranet VPN)

Intranet VPN thường được dùng để kết nối các chi nhánh văn phòng từ xa của một tổ chức với Intranet trung tâm của tổ chức đó Trong cách thiết lập Intranet không sử dụng công nghệ VPN, mỗi một mạng từ xa phải kết nối tới Intranet của tổ chức qua các Router trung gian

Hình 1.3 Thiết lập Intranet sử dụng WAN

Thiết lập Intranet sử dụng WAN mất chi phí rất cao vì cần ít nhất 2 Router để kết nối tới một khu trung tâm từ xa để tới Intranet của tổ chức đó Hơn nữa việc thực thi, duy trì và quản trị Intranet xương sống sẽ rất tốn kém Với việc thực thi giải pháp VPN, đường WAN xương sống được thay thế bằng kết nối Internet chi phí thấp nên có thể giảm được chi phí thực thi của toàn bộ Intranet

Hình 1.4 Thiết lập Intranet dựa trên VPN

Ưu điểm của việc thiết lập dựa trên VPN:

- Loại trừ được các Router từ đường WAN xương sống

- Vì Intenet hoạt động như một phương tiện kết nối, nó dễ dàng cung cấp các liên kết ngang hàng mới

- Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn

Tuy nhiên cũng có một số nhược điểm:

- Vì dữ liệu được di chuyển trên đường hầm qua một mạng công cộng nên các cuộc tấn công mạng như từ chối dịch vụ vẫn đe dọa nghiêm trọng đến an ninh mạng

- Khả năng mất các dữ liệu khi truyền

- Đường truyền dữ liệu đầu trên như Multimedia, độ trễ truyền tin vẫn rất cao và thông lượng có thể giảm xuống rất thấp dưới sự hiện diện của Internet

- Vì sự hiện diện của kết nối Internet có thể bị gián đoạn và QoS có thể không được đảm bảo

1.2.3.3 Mạng riêng ảo mở rộng (Extranet VPN)

Extranet VPN cũng có kiến trúc tương tự như Intranet VPN, tuy nhiên điểm khác biệt giữa chúng là phạm vi các ứng dụng cho phép các đối tác của

Extranet VPN sử dụng So với Intranet VPN thì vấn đề tiết kiệm chi phí là không rõ ràng

Extraneet VPN thường sử dụng các kết nối dành riêng và thêm vào các lớp bảo mật để xác thực và giới hạn truy nhập trên hệ thống

Hình 1.5 mạng Extranet dựa trên VPN

Ưu điểm chính của Extranet VPN là:

-Chi phí rất nhỏ so với cách thức truyền thống

-Dễ thực thi, duy trì và thay đổi

-Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân viên

hỗ trợ có thể giảm xuống

Tuy nhiên cũng có một số nhược điểm:

-Các nguy cơ an ninh như tấn công DOS vẫn tồn tại

-Tăng rủi ro vì các xâm nhập vào Internet của tổ chức

-Độ trễ truyền thông vẫn lớn và thông lượng giảm xuống rất thấp với các ứng dụng Multimedia

-Sự thực thi có thể bị gián đoạn và QoS cũng có thể không được đảm bảo

1.2.4 Giao thức mạng riêng ảo

Tính bảo mật trong VPN đạt được thông qua “đường hầm” (tunneling) bằng cách đóng gói thông tin trong một gói IP khi truyền qua Internet Thông tin

sẽ được giải mã tại đích đến bằng cách loại bỏ gói tin IP để lấy ra thông tin ban đầu [5,6]

Có 5 giao thức đường hầm(tunneling protocols) phổ biến thường được dùng trong VPN là:

-Point – to – Point Tunneling Protocol (PPTP)

-L2F

-Layer2 Tunneling Protocol (L2TP)

-Secure Socket Layer (SSL)

-Internet Protocol Security (IPSec)

1.2.4.1 PPTP (Poit to Point Tunneling)

Giao thức PPTP được xây dựng dựa trên nền tảng của PP, nó có thể cung cấp khả năng tạo đường hầm thông qua Internet đến các site đích, PPTP sử dụng giao thức

đóng gói tin định tuyến chung GRE được mô tả để đóng lại và tách gói PPP

Một số ưu nhược điểm của PPTP:

Ưu điểm: Được thiết kế để hoạt động ở lớp 2 trong IPSec chạy ở lớp 3 mô hình OSL Việc truyền dữ liệu ở lớp 2, PPTP có thể lan truyền trong đường hầm bằng các giao thức khác IP trong khi IPSec chỉ có thể truyền các gói tin IP trong đường hầm

Nhược điểm: Nhược điểm lớn nhất của PPTP là cơ chế yếu kém về bảo mật do nó dùng cơ chế mã hóa đồng bộ trong khóa được xuất phát từ việc nó sử dụng mã hóa đối xứng là cách tạo ra khóa từ mật khẩu của người dùng Điều này càng nguy hiểm hơn vì mật khẩu thường gửi dưới dạng phơi bày hoàn toàn trong quá trình xác nhận Giao thức tạo đường hầm kế tiếp (L2F) được phát triển nhằm cải thiện khả năng bảo mật với mục đích này

1.2.4.2 Giao thức chuyển tiếp lớp hai (L2F)

Giao thức L2F cung cấp các giải pháp cho dịch vụ quay số ảo bằng thiết

bị một đường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet Nó cho phép đóng gói các gói tin PPP trong khuôn dạng L2F và định dường hầm ở lớp liên kết dữ liệu

- Hỗ trợ một phạm vi rộng rãi các công nghệ mạng như: ATM, IPX, NetBEUI và Frame Relay

Nhược điểm;

- L2F yêu cầu cầu hình và hỗ trợ lớn

- Thực hiện L2F dựa trên ISP Nếu trên ISP không hỗ trợ L2F thì không thể triển khai L2F được

1.2.4.3 Giao thức đường hầm lớp 2 (L2TP)

Được phát triển bởi IETF L2TP là một sự kết hợp của các giao thức VPN trước đây như PPTP và L2F L2TP cung cấp sự mềm dẻo, khả năng mở rộng, giải pháp truy cập từ xa chi phí thấp

Hình 1.6 Đường hầm L2TP

Ưu điểm của L2TP:

- L2TP là giải pháp chung Nó độc lập với Platform, nó cũng hỗ trợ nhiều công nghệ mạng Hơn nữa nó cũng hỗ trợ giao dịch qua liên kết WAN Non-IP

mà không cần một IP

- Đường hầm L2TP là trong suốt với ISP cũng như đối với người dùng

- L2TP cho phép kiểm soát xác thực người dùng thay cho ISP

- Các giao dịch L2TP nhanh hơn các giao dịch dựa trên L2F

Tuy nhiên nó cũng có một số nhược điểm là chậm hơn PPP vì nó sử dụng IPSec để xác thực từng gói tin nhận được

1.2.4.4 IPSec

Kiến trúc IPSec cung cấp một bộ khung an toàn tại tầng IP với cả Ipv4 và Ipv6 Các giao thức tầng giao vận và tầng ứng dụng có thể dùng IPSec để đảm bảo an toàn mà không phải thay đổi

IPSec cung cấp khả năng bảo mật đầu cuối – tới – đầu cuối giữa các máy tính và mạng máy tính

IPSec là một kiến trúc an toàn, nó có các đặc trưng sau:

- Cung cấp tính xác thực, mã hóa, toàn vẹn dữ liệu và bảo vệ sự phát lại

- Cung cấp khả năng tạo và tự động làm tươi các khoa mật mã một cách

an toàn

- Sử dụng các thuật toán mật mã mạnh để cung cấp tinh bảo mật

- Cung cấp khả năng xác thực dựa trên chứng thư số

- Điều chỉnh các thuật toán mật mã và các giao thức trao đổi khóa

- Cung cấp tính năng an toàn cho các giao thức đường hầm truy cập từ xa như L2TP, PPTP

Việc bảo mật các gói tin IP được thực hiện bằng hai giao thức: Xác thực tiêu đề (AH) và đóng gói tải bảo mật (ESP) AH được sử dụng để đảm bảo tính toàn vẹn dữ liệu, ESP cũng thực hiện các chức năng tương tự AH nhưng kèm thêm khả năng bảo mật dữ liệu

1.2.4.5 SSL

SSL được phát triển bởi hãng Netscape cùng với hãng bảo mật dữ liệu RSA Gao thức SSL cung cấp một kênh riêng giữa các ứng dụng đang liên lạc với nhau, trong đó đảm bảo tính riêng tư, tính xác thực, tính toàn vẹn cho đối tác

Hình 1.7 Mô hình TCP/IP và vị trí của SSL

Một phiên SSL được thiết lập như sau:

- Một người dùng phía Client yêu cầu một tài liệu bằng một địa chỉ URL xác định bắt đầu bằng https(thay cho http)

-Mã phía client nhận ra SSL yêu cầu và thiết lập một kêt nối qua cổng TCP 443 tới mã SSL trên phí Server

- Client sau đó tạo pha thăm dò trước SSL, dùng giao thúc bản ghi SSL như một sự hỗ trợ

Giao thức SSL đề ra các vấn đề an toàn sau:

+Tính riêng tư: Sau khi khóa đối xứng được thiết lập trong khi thăm dò trước để khởi tạo, các thông điệp được mã hóa bằng khóa này

+Tính toàn vẹn: Các thông điệp chứa một mã xác thực thông điệp (MAC) +Tính xác thực: Trong khi thăm dò trước, Client xác thực Server sử dụng khóa công khai Nó cũng có thể dựa trên chứng chỉ

So sánh giao thức IPSec với SSL

Những điểm giống nhau:

- IPSec (qua IKE) và SSL cung cấp xác thực Client và Server

- IPSec và SSL cung cấp tính năng đảm bảo an toàn và xác thực đối với

- SSL không bảo vệ lưu lượng UDP, IPSec có bảo vệ lưu lượng UDP

- SSL có thể vượt qua ANT hoặc SOCKS, chúng dùng để che dấu cấu trúc địa chỉ bên trong hoặc tránh sự xung đột địa chỉ IP riêng; IPSec trong chế

độ vận tải (end – to - end) không thể sử dụng ANT nhưng có thể sử dụng một đường hầm IPSec để đạt được mục tiêu tương tự thậm chí bảo mật hơn ANT vì đường hầm cũng có thể được mã hóa

- Các ứng dụng cần phải sửa đổi để sử dụng SSL Điều này có thể là một vấn đề nếu ta không truy cập được mã nguồn của ứng dụng hoặc không có thời gian hay kinh nghiệm để thay đổi mã nguồn của ứng dụng IPSec hoàn toàn trong suốt với các ứng dụng

1.3 CÔNG NGHỆ MÃ NGUỒN MỞ

1.3.1 Khái niệm phần mềm mã nguồn mở

Phần mềm mã nguồn mở (PMNM) là những phần mềm được cung cấp dưới dạng mã nguồn, không chỉ miễn phí tiền mua mà chủ yếu là miễn phí tiền bản quyền Do đó có được mã nguồn của phần mềm và có quy định về giấy phép PMNM, người sử dụng có quyền sửa đổi, cải tiến, nâng cấp theo một số nguyên tắc chung đã được quy định mà không cần xin phép

PMNM do một người, một nhóm người hay một tổ chức phát triển và đưa

ra phiên bản đầu tiên cùng với mã nguồn, công bố công khai cho cộng đồng thường là trên Internet Trên cơ sở đó các các nhân tham gia sử dụng sẽ đóng góp, phát triển, sửa lỗi (nếu có) và bổ sung để hoàn thiện sản phẩm cho các phiên bản tiếp theo

Tuy vậy, nhà cung cấp PMNM có quyền yêu cầu người dùng phải trả một

số chi phí về các dịch vụ bảo hành, huấn luyện, tư vấn, nâng cấp…tức là các dịch vụ thực sự đã thực hiện để phục vụ người sử dụng nhưng không được bán các mã nguồn mở bởi vì nó là tài sản trí tuệ của chung, không phải là tài sản riêng của một nhà cung cấp nào

1.3.2 Những ưu điểm của PMNM

Chi phí thấp: PMNM được dùng miễn phí về bản quyền, nếu có chi phí cũng chỉ là chi phí đóng gói và dịch vụ cho sản phẩm

Độc lập: PMNM không bị lệ thuộc vào bất kỳ nhà cung cấp nào

Làm chủ công nghệ, đảm bảo an toàn và riêng tư: Việc có quyền thay đổi PMNM cũng là một yếu tố quan trọng Do nắm được mã nguồn nên những người sử dụng có thể phát triển, thay đổi, bổ sung… theo yêu cầu riêng mà các phần mềm thương mại không đáp ứng được

Tính thích ứng và sáng tạo: Khả năng cho phép sửa đổi và tự nâng cấp giúp cho các nhà phát triển có thể sửa lỗi (nếu có) và cũng có thể sáng tạo phần mềm theo yêu cầu và phong cách riêng của mình

Chất lượng tin cậy: Nhiều phần mềm có chất lượng và độ tin cậy cao Các PMNM sau khi hoàn thành thường được thử nghiệm, đánh giá và bổ sung bởi rất nhiều nhà phát triển

Tuân thủ các chuẩn: PMNM thông thường được phát triển tuân thủ theo các chuẩn tốt hơn, vì đôi khi các sản phẩm thương mại lại được áp chuẩn của riêng các công ty tạo ra chúng mà chưa chắc các chuẩn của các công ty khác nhau đã được chấp nhận

Không bị hạn chế quyền sử dụng: Quyền được dùng PMNM dưới bất kỳ hình thức nào làm yên tâm mọi nhà phát triển và người dùng

Tính lâu dài: PMNM không có một chủ sở hữu duy nhất là lý do đảm bảo

để không ai có thể làm ngừng sự phát triển của sản phẩm này

Tự do: PMNM cũng cho phép mỗi người sử dụng tạo ra và duy trì một phiên bản đặc thù theo yêu cầu của riêng mình

Phát triển dễ dàng: Những dự án phát triển phần mềm mới có thể tiến hành nhanh chóng mà không phải xin phép bất kỳ ai

1.3.3 Những hạn chế của PMNM

Chưa có hỗ trợ ký thuật tin cậy: Nếu người dùng gặp sự cố, họ có thể nhận được sự giúp đỡ từ cộng đồng nguồn mở quốc tế, nhưng không ai phải chịu trách nhiệm hỗ trợ đầy đủ

Số các thiết bị hỗ trợ PMNM còn hạn chế: Việc tìm kiếm và cài đặt trình điều khiển cho những thiết bị còn gặp nhiều khó khăn

Các ứng dụng chuyên nghiệp trên nền PMNM còn ít

Thiếu các hướng dẫn sử dụng cụ thể

Không có cam kết bắt buộc phải hoàn thành một sản phẩm cụ thể

Năng lực hạn chế của người sử dụng

Trên đây là những thuận lợi và khó khăn của việc dùng PMNM trong các

cơ quan công quyền và doanh nghiệp theo kinh nghiệm của các nước Đối với nước ta cần phải nhận thức đúng đắn về những thuận lợi và khó khăn đối với từng vấn đề cụ thể để đề xuất một giải pháp đúng đắn và khả thi

1.4 KẾT LUẬN

Chương này đã trình bày tổng quan về an toàn và bảo mật thông tin trong

đó sử dụng một số thuật toán được đánh giá khả thi về mặt kinh tế và triển khai Trình bày tổng quan về mạng riêng ảo, các mô hình triển khai và các giao thức trong mạng riêng ảo VPN Giải pháp sử dụng mã nguồn mở đang được phát triển mạnh mẽ vì những điểm ưu việt mà nó mang lại

CHƯƠNG 2 CÁC NGUY CƠ MẤT AN TOÀN THÔNG TIN TRONG MẠNG RIÊNG ẢO VÀ CÁC GIẢI PHÁP BẢO MẬT MẠNG RIÊNG ẢO

2.1 NGUY CƠ MẤT AN TOÀN THÔNG TIN TRONG MẠNG RIÊNG ẢO

2.1.1 Tấn công các thành phần mạng riêng ảo

Các yếu tố quan trọng nhất của một thiết lập VPN bao gồm:

Kết nối phân đoạn ISP là thành phần dễ bị tổn thương thứ hai trong một thiết lập VPN Phân đoạn này cung cấp dữ liệu người sử dụng máy chủ mạng của ISP (ANS) Nếu dữ liệu này không được mã hóa, có nguy cơ cao là các dữ

liệu có thể đọc được vào cuối ISP Ngoài ra khả năng các dữ liệu sẽ được đọc trong quá trình giao dịch giữa người dùng cuối và mạng nội bộ của ISP là khá cao Các cơ hội nghe trộm của các thực thể bên ngoài có thể bị loại bỏ bằng cách

mã hóa dữ liệu người dùng từ xa trước khi gửi nó đến ISP Tuy nhiên, nếu các thuật toán mã hóa yếu, mã hóa không cung cấp bảo vệ đầy đủ chống lại các nhà cung cấp dịch vụ Internet muốn lấy thông tin của khách hàng có thể giải mã dữ liệu và sử dụng nó cho lợi nhuận của họ

Như chúng ta đã biết, kết nối Internet và đường hầm phụ thuộc vào một ISP, nhưng nếu những ý định của nhà cung cấp dịch vụ là không tốt, họ có thể thiết lập một đường hầm giả mạo và một Gateway giả mạo Trong trường hợp này, người sử dụng các dữ liệu nhạy cảm sẽ được tạo đường hầm với gateway giả mạo, mà lần lượt có thể lấy và kiểm tra các dữ liệu để sử dụng cho mục đích riêng của họ và gateway giả mạo cũng có thể làm thay đổi các dữ liệu và chuyển tiếp đến gateway thực Các gateway đích sẽ chấp nhận các dữ liệu giả định rằng

nó là từ nguồn đáng tin cậy gốc Theo cách này dữ liệu không mong muốn và độc hại có thể xâm nhập vào mạng

Một điểm nữa của mối đe dọa bảo mật dữ liệu là khi gói tin đi qua các đường hầm qua mạng Internet công cộng Đường hầm dữ liệu được thiết lập qua nhiều thiết bị định tuyến Là một phần của đường hầm, các bộ định tuyến trung gian có thể kiểm tra dữ liệu Nếu có bộ định tuyến được cấu hình với mục đích xấu, các bộ định tuyến có thể không chỉ kiểm tra dữ liệu mà còn có thể sửa đổi

nó ngay cả khi dữ liệu được mã hóa

PPTP và L2TP không cung cấp cơ chế bảo mật mạnh mẽ chống lại việc giả mạo nhà cung cấp dịch vụ Internet và các thiết bị định tuyến đường hầm Tuy nhiên khả năng mã hóa tiên tiến và khá toàn diện được cung cấp bởi IPSec cung cấp một mức độ bảo vệ cao chống lại những yếu tố lừa đảo

Các điểm đến cuối cùng của một gói dữ liệu đường hầm là gateway Các gói dữ liệu dễ bị tấn công nếu gateway không sử dụng cơ chế xác thực mật mã, bởi vì các cuộc tấn công, chẳng hạn như giả mạo địa chỉ và bắt gói tin, có thể truy cập các thông tin dạng cleartext rằng các cổng này sử dụng Mặt khác, cơ chế xác thực mật mã cung cấp một số mức độ bảo mật, vì nó mất nhiều thời gian cho một kẻ tấn công hoặc một tin tặc đột nhập vào các thuật toán này Tuy nhiên

kẻ tấn công nội bộ vẫn có thể truy cập các thông tin dạng cleartext được gửi vào mạng nội bộ bởi gateway [9]

2.1.2 Tấn công giao thức mạng riêng ảo

2.1.2.1 Tấn công trên PPTP

PPTP dễ bị tổn thương trên hai khía cạnh Chúng bao gồm:

+ Generic Routing Encapsilation (GRE)

+ Mật khẩu trao đổi trong quá trình xác thực

Như chúng ta đã biết, an ninh của các dữ liệu qua đường hầm là nhiệm vụ của các cơ chế đóng gói dữ liệu cơ bản GRE là một giao thức đường hầm mà chỉ đơn giản là đóng gói dữ liệu dạng cleartext Nó không chịu trách nhiệm cho việc cung cấp một phương pháp vận chuyển dữ liệu an toàn Kết quả là bất kỳ kẻ tấn công nào cũng có thể nắm bắt các gói tin đóng gói GRE Trừ khi tải được đóng gói bằng các gói tin GRE đã được mã hóa, những kẻ tấn công cũng có thể đọc dữ liệu đang được vận chuyển Điều này cho phép kẻ tấn công lấy thông tin như địa chỉ IP hợp lệ nội bộ, được sử dụng trong mạng nội bộ giúp kẻ tấn công

dữ liệu của các tổ chức và các nguồn tài nguyên nằm bên trong mạng riêng Ngoài ra, các kẻ tấn công, xâm nhập có thể định hướng các tuyến đường lừa đảo

và làm gián đoạn lưu lượng mạng

Các đường hầm GRE được thiết lập một cách mà định tuyến được thực hiện tự động, điều này có thể là một nguy cơ đối với VPN Để ngăn chặn các gói

dữ liệu được định tuyến tự động, nên sử dụng định tuyến tĩnh trên các đường hầm Một gợi ý để đối phó với kiểu tấn công này là dữ liệu đi qua một bức tường lửa sau khi tiêu đề GRE được loại bỏ

Một điểm yếu nữa của GRE là các gói tin GRE sử dụng một chuỗi số # cho đồng bộ của đường hầm Tuy nhiên, các thông số kỹ thuật GRE không thực hiện một so sánh cho nút đích đáp ứng trùng lặp hoặc không hợp lệ (hoặc giả mạo) số thứ tự Kết quả là các nút đích có thể bỏ qua các số thứ tự của gói tin và

xử lý phần còn lại của gói tin Sử dụng phương pháp này, một kẻ xâm nhập có thể dễ dàng đưa các gói tin không hợp lệ có chứa dữ liệu độc hại vào mạng nội

bộ của tổ chức

Ngoài các lỗ hổng nói trên PPTP cũng có thể bị tấn công kiểu từ điển Một kiểu tấn công kiểu từ điển đề cập đến một cuộc tấn công tìm mật khẩu trong một danh sách cụ thể PPTP dễ bị tấn công kiểu từ điển vì PPTP sử dụng Microsoft Poit – to – Point Encryption (MPPE), mà có xu hướng để gửi mật

khẩu ở dạng rõ ràng Tùy thuộc vào hệ thống, mật khẩu và kỹ năng của kẻ tấn công, chẳng hạn cuộc tấn công Burte-force có thể tìm ra mật khẩu trong vài ngày, vài giờ hoặc thậm chí là một vài giây

2.1.2.2 Tấn công trên IPSec

IPSec không phải là thuật toán mã hóa thuần túy cũng không phải là một

cơ chế xác thực Trong thực tế IPSec là một sự kết hợp của cả hai và giúp các thuật toán khác bảo vệ dữ liệu Tuy nhiên IPSec có thể bị tấn công theo những kiểu sau:

+ Các cuộc tấn công chống lại thực hiện IPSec

+ Tấn công chống lại quản lý khóa

+ Các cuộc tấn công quản trị và ký tự đại diện

Những kẻ tấn công và xâm nhập khai thác hai điểm yếu của IPSec thực hiện việc sử dụng các thuật toán NULL và đàm phán của một khóa yếu hơn nếu trong một giao thức kết thúc không hỗ trợ các khóa mạnh hơn

IPSec sử dụng DES-CBC cho các mục đích mã hóa và HMAC-MD5 và HMAC-SHA1 cho các mục đích xác thực Ngoài ra, việc sử dụng các giao thức IPSec ESP và AH là tùy chọn Kết quả là IPSec cũng cho phép sử dụng thuật toán NULL Cách sử dụng thuật toán NULL cho phép một phiên kết thúc mà không sử dụng DES-CBC để giao tiếp với bên kia Kết quả là các nhà cung cấp

đã thực hiện một thuật toán NULL có thể làm cho các thiết lập dễ bị tổn thương trước các mối đe dọa an ninh

IPSec cũng cho phép kết thúc giao tiếp để đàm phán các khóa mã hóa Nếu một đầu hỗ trợ khóa yếu (40bit), đầu kia cũng phải sử dụng khóa yếu (40bit) mặc dù thực tế nó hỗ trợ một khóa mạnh hơn (56bit và 128bit) Với kịch bản hiện tại, các khóa 56bit có thể bị phá trong vòng vài tháng nếu không phải là một vài ngày Do đó, một khóa 40bit dễ dàng hơn nhiều để phá vỡ

IPSec sử dụng IKE cho mục đích của quản lý khóa Các cuộc tấn công chống lại quản lý khóa khai thác một điểm yếu của IKE Nếu một trong các bên giao tiếp chấm dứt phiên hiện tại, không có cách nào cho đầu bên kia biết rằng phiên đã chấm dứt Điều này sẽ mở ra một lỗ hổng bảo mật mà một kẻ xâm nhập bên thứ ba có thể sử dụng để giả mạo danh tính của các bên chấm dứt và tiếp tục trao đổi dữ liệu

Loại thứ ba của IPSec bị tấn công chưa phải là một thực tế, nhưng hiện đang được thảo luận IPSec cung cấp một giao diện quản trị SA Điều này làm tăng cơ hội cho các thông số SA có thể bị tấn công bằng cách sử dụng kết hợp

ký tự đại diện [9]

2.1.3 Tấn công mật mã

Mật mã như là một trong những thành phần bảo mật của VPN Tùy thuộc vào các kỹ thuật mật mã và các thuật toán khác nhau, các cuộc tấn công giải mã được biết là tồn tại Phần này tìm hiểu về những cách thức tấn công giải mã nổi tiếng

Chỉ có bản mã (criphertext-only)

Trong tấn công bản mã, các tin tặc không có quyền truy cập đến nội dung gói dữ liệu ban đầu, nhưng có quyền truy cập đến bản mã Kẻ xâm nhập có thể thực hiện kỹ thuật đảo ngược để đi đến mẩu tin gốc trên cơ sở của mẩu tin được

mã hóa Cuộc tấn công này mất nhiều thời gian và ít có tác dụng với các thuật toán mã hóa hiện đại

Kỹ thuật dịch ngược là quá trình chặn thông tin được mã hóa và cố gắng tìm

ra thông tin ban đầu từ thông điệp được mã hóa này Điều này về cơ bản là phương pháp “đoán và bỏ qua”, phương pháp này đòi hỏi rất nhiều thời gian và công sức

Sự thành công của kiểu tấn công này là do thực tế là hầu hết các loại thông báo tương tự sử dụng tiêu đề định dạng cố định Ngoài ra tần số phân tích của các bản

mã cho phép kẻ tấn công dễ xác định một số lượng lớn của các ký tự ban đầu Kết quả là phần còn lại của thông báo có thể được đoán một cách dễ dàng

Thuật toán mã hóa hiện đại được thiết kế và phát triển khắc phục kiểu tấn công này Vì hầu hết các mã hóa hiện đại không dễ bị phá trước các cuộc tấn công [9]

Tấn công biết bản rõ (know plaintext attacks)

Trong cuộc tấn công biết bản rõ, kẻ xâm nhập không chỉ truy cập được một vài bản mã, mặt khác còn biết được bản rõ Công việc là suy luận ra khóa để

sử dụng giải mã hoặc thuật toán giải mã để giải mã cho bất kỳ bản mã nào khác với cùng khóa như vậy

Tấn công lựa chọn bản rõ

Trong việc tấn công lựa chọn bản rõ, tin tặc không chỉ truy cập được bản

mã và kết hợp bản rõ cho một vài bản tin, nhưng mặt khác lựa chọn bản rõ đã được mã hóa Phương pháp này tỏ ra có khả năng hơn phương pháp biết bản rõ bởi vì người phân tích có thể chọn cụ thể khối bản rõ cho mã hóa, một điểm khác là thông tin về khóa nhiều hơn

Thuật toán mã hóa, chẳng hạn như RSA dễ bị tổn thương để tấn công bản

rõ lựa chọn Vì vậy khi các thuật toán đó được sử dụng, cần được chú ý đến việc thực hiện trong việc pháp triển các ứng dụng hoặc giao thức để các kẻ tấn công không thể lựa chọn mã hóa bản rõ

Tấn công trung gian (Man-in-the-Middle)

Tấn công Man-in-the-Middle có thể xảy ra khi các thuật toán được sử dụng truyền thông mã hóa và trao đổi khóa, chẳng hạn như Diffie-Hellman Trong kiểu tấn công này, trước khi hai thực thể có thẩm quyền trao đổi dữ liệu, một bên thứ ba không đáng tin cậy chặn việc trao đổi khóa và chuyển tiếp các khóa riêng của mình để cả hai kết thúc giao tiếp ủy quyền Dẫn đến các kết thúc giao tiếp ban đầu không nhận được chìa khóa hợp pháp mà là khóa khác Sau khi chứng thực và được ủy quyền và bắt đầu sử dụng khóa để mã hóa và giải mã cho phiên hiện tại Theo cách này các bên thứ ba truy cập vào toàn bộ các thông tin liên lạc mà không cần biết thông tin của nút gốc

Tuy nhiên trong các cuộc tấn công trung gian có thể được ngăn ngừa bằng việc sử dụng chữ ký số Chữ ký số được trao đổi sau khi hai bên kết thúc việc trao đổi khóa và tạo các bí mật chia sẻ Mặc dù các khóa có thể là giả mạo do bên thứ ba, chữ ký số là duy nhất và không thể giả mạo

Tấn công duyệt toàn bộ (Brute Force)

Trong trường hợp tấn công Brute Force kẻ xâm nhập tạo ngẫu nhiên khóa

và áp dụng chúng vào các bản mã cho đến khi khóa thực sự là được phát hiện ra Khóa tạo ra, sau đó có thể được sử dụng để giải mã dữ liệu và phục hồi các thông tin ban đầu Chiều dài của khóa mã hóa là một vấn đề lớn trong các cuộc tấn công Brute Force Nếu chiều dài khóa càng cao thì càng khó khăn để đoán nên an toàn hơn