Nghiên cứu biện pháp đảm bảo an toàn thông tin mạng riêng ảo và ứng dụng

Hacker có thể thực hiện việc cài mã độc vào máy tính của người sử dụng, lợi dụng các lỗ hổng bảo mật và sơ hở thiếu sót của người sử dụng để tiến hành các hoạt động thâm nhập hệ thống, t

1

BỘ GIÁO DỤC VÀ ĐÀO TẠO

VIỆN ĐẠI HỌC MỞ HÀ NỘI

LUẬN VĂN THẠC SĨ

CHUYÊN NGÀNH: CÔNG NGHỆ THÔNG TIN

NGHIÊN CỨU BIỆN PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN MẠNG RIÊNG ẢO VÀ ỨNG DỤNG

VŨ VIỆT ANH

HÀ NỘI - NĂM 2015

2

BỘ GIÁO DỤC VÀ ĐÀO TẠO

VIỆN ĐẠI HỌC MỞ HÀ NỘI

3

MỞ ĐẦU

Lâu nay việc kết nối máy tính giữa các chi nhánh của cơ quan, tổ chức vẫn được thực hiện trên đường truyền thuê riêng (lease line) Rào cản lớn nhất đối với hình thức kết nối này đó là chi phí Chi phí từ nhà cung cấp dịch vụ, chi phí từ việc duy trì, vận hành hạ tầng mạng và các thiết bị riêng của tổ chức Sự ra đời của công nghệ mạng riêng ảo đã cho phép các tổ chức có thêm sự lựa chọn trong việc mở rộng hệ thống mạng của mình Nhiều chuyên gia đã nhận định: Mạng riêng ảo chính

là công nghệ mạng WAN thế hệ mới

Ngày nay nhu cầu kết nối mạng của các chi nhánh với trụ sở chính (site to site) và kết nối máy tính của người dùng riêng lẻ với mạng cục bộ (client to site) của cơ quan, tổ chức ngày càng gia tăng Hạ tầng truyền dẫn của mạng Internet ngày càng phát triển Đây là những yếu tố hết sức thuận lợi cho sự phát triển của mạng riêng ảo Tuy nhiên, việc kết nối mạng riêng ảo dựa trên hạ tầng mạng công cộng là Internet chứa đựng nhiều rủi ro, nguy cơ gây mất an toàn thông tin Điều này càng trở nên nghiêm trọng hơn khi mà tội phạm mạng ngày càng gia tăng, cơ quan an ninh của nhiều quốc gia tăng cường các hoạt động thu thập thông tin trên mạng internet Hacker có thể thực hiện việc cài mã độc vào máy tính của người sử dụng, lợi dụng các lỗ hổng bảo mật và sơ hở thiếu sót của người sử dụng để tiến hành các hoạt động thâm nhập hệ thống, thu thập thông tin, phá hoại cơ sở dữ liệu,…

Ứng dụng kỹ thuật mạng riêng ảo ngày càng trở nên phổ biến, vì vậy việc nắm bắt được cơ chế hoạt động và các giao thức trong mạng riêng ảo, đặc biệt là các nguy cơ dẫn đến việc mất an toàn thông tin, từ đó đề xuất các biện pháp khắc phục là một vấn đề cần thiết Xuất phát từ lý do đó tôi lựa chọn đề tài nghiên cứu

“Nghiên cứu biện pháp đảm bảo an toàn thông tin mạng riêng ảo và ứng dụng”

Luận văn được trình bày trong 3 chương, trong đó:

Chương 1: Trình bày một số vấn đề cơ bản về mạng riêng ảo như mô hình mạng riêng ảo, một số giao thức tạo đường hầm, bảo mật

vụ trao đổi dữ liệu giữa trung tâm và chi nhánh ở địa phương

Việc đảm bảo an toàn thông tin mạng nói chung và mạng riêng ảo nói riêng

là một vấn đề rất phức tạp, với thời gian và khả năng có hạn vì vậy nội dung nghiên cứu còn nhiều hạn chế, tôi rất mong nhận được sự đóng góp của các Thầy cô giáo

và các bạn đồng nghiệp để có thể hoàn thiện hơn nữa nội dung nghiên cứu

5

CHƯƠNG 1 MỘT SỐ VẤN ĐỀ VỀ MẠNG RIÊNG ẢO

1.1 Tổng quan về mạng riêng ảo

1.1.1 Khái niệm mạng riêng ảo

Phương án truyền thông nhanh, an toàn và tin cậy đang trở thành mối quan tâm của nhiều tổ chức đặc biệt là khi họ có các địa điểm phân tán về mặt địa lý Giải pháp thông thường được áp dụng bởi đa số các tổ chức là thuê các đường truyền riêng (leased lines) để duy trì một mạng WAN (Wide Area Network) Mỗi mạng WAN đều có các ưu điểm về độ tin cậy, hiệu năng và tính an toàn, bảo mật Nhưng

để duy trì một mạng WAN, đặc biệt khi sử dụng các đường truyền riêng, có thể sẽ làm tăng chi phí vận hành, bảo trì Ngày nay với sự phát của các mạng công công (ví dụ như Internet), thì một trong các giải pháp hữu hiệu được lựa chọn là tạo ra các mạng riêng ảo (VPN) Có nhiều định nghĩa khác nhau về mạng riêng ảo (Virtual Private Network, viết tắt là VPN)

Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng làm cơ sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy nhập Hạ tầng công cộng này có thể là mạng IP, Frame Relay, ATM hay Internet

Theo IBM, VPN là sự mở rộng một mạng Intranet riêng của một tổ chức qua một mạng công cộng như Internet, tạo ra một kết nối an toàn, thực chất là qua một đường hầm riêng VPN truyền thông tin một cách an toàn qua mạng công cộng để kết nối người dùng từ xa và các chi nhánh thành một mạng Intranet mở rộng

VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng (private network) thông qua mạng công cộng Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật

Đường hầm (Tunnel) là một khái niệm quan trọng của VPN, nó cho phép tạo

ra các mạng ảo dựa trên hệ thống mạng công cộng Đường hầm cung cấp một kết nối logic điểm đến điểm trên hệ thống mạng công cộng Để đảm bảo an toàn cho dữ

6

liệu khi truyền trên mạng, VPN thực hiện việc mã hoá dữ liệu Dữ liệu truyền trong đường hầm chỉ có thể được đọc bởi người nhận và người gửi Đường hầm đảm bảo cho VPN có tính chất riêng tư

VPN có thể sử dụng một hoặc cả hai kỹ thuật: (1)Dùng các kênh thuê bao riêng của các nhà cung cấp dịch vụ (gọi là Trusted VPN) hoặc (2)gửi các dữ liệu đã được mã hóa lên mạng công cộng (gọi là Secure VPN) Dùng một Secure VPN qua một Trusted VPN thì gọi là Hybrid VPN Công nghệ chủ yếu của Trusted VPN với mạng IP là các kênh ATM và MPLS (MultiProtocol Label Switching); Secure VPN có thể dùng IPsec, SSL (Secure Sockets Layer)

1.1.2 Ưu, nhược điểm của mạng riêng ảo

1.1.2.1 Ưu điểm

VPN mang lại lợi ích thực sự và tức thời cho tổ chức Có thể dùng VPN để đơn giản hóa việc truy nhập đến mạng của tổ chức đối với các nhân viên ở xa, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm trí có thể triển khai Extranet đến tận khách hàng và các đối tác và điều quan trọng là chi phí để triển khai thấp hơn nhiều so với việc triển khai mạng WAN Có thể kể đến một số ưu điểm cụ thể như sau:

- Giảm chi phí: Việc thiết lập kết nối giữa các chi nhánh và người dùng ở xa với trung tâm bằng cách sử dụng VPN giảm chi phí so với việc sử dụng các kỹ thuật mạng WAN truyền thống Chi phí cho VPN ít hơn rất nhiều so với các giải pháp truyền thống dựa trên đường Lease-Line như Frame Relay, ATM hay ISDN Mặt khác việc quản lý và vận hành VPN đơn giản do đó tổ chức không cần nhiều nhân viên thực hiện việc quản trị mạng

- Nâng cao khả năng kết nối: Cung cấp cơ hội kết nối toàn cầu với chi phí thấp Với việc triển khai trên nền tảng mạng Internet, VPN giúp cho các chi nhánh

và người dùng di động đều có thể dễ dàng kết nối tới mạng Intranet của tổ chức mình

- Bảo mật dữ liệu: Với việc sử dụng kỹ thuật đường hầm để tạo kênh ảo, thêm vào đó là việc mã hóa dữ liệu, xác thực đã làm cho VPN có tính bảo mật cao khi truyền tin qua mạng cộng cộng

7

- Hiệu suất sử dụng băng thông: Trong kỹ thuật VPN thì các đường hầm chỉ được hình thành khi có yêu cầu trao đổi thông tin, vì vậy đã hạn chế được sự lãng phí băng thông

Ngoài lợi ích đối với người sử dụng, VPN đã đem lại lợi ích cho nhà cung cấp dịch vụ như: Tăng doanh thu từ lưu lượng sử dụng VPN; tăng hiệu quả sử dụng mạng internet hiện tại; mở ra lĩnh vực kinh doanh mới đối các với nhà cung cấp dịch vụ Internet

1.1.2.2 Nhược điểm

Với những ưu điểm như trên, VPN đang là lựa chọn của một số tổ chức Tuy nhiên bên cạnh những ưu điểm, VPN cũng tồn tại những nhược điểm Mặc dù không ngừng được cải tiến, nâng cấp và hỗ trợ nhiều công cụ mới nhằm tăng tính bảo mật, nhưng dường như bảo mật vẫn là một vấn đề đáng quan tâm VPN truyền thông tin riêng tư và quan trọng qua môi trường mạng công cộng có độ bảo mật thấp (thường là mạng Internet) là một vấn đề đáng lo ngại khi mà tội phạm mạng ngày càng gia tăng Kỹ thuật tấn công để thu thập thông tin ngày càng đa dạng, nhiều lỗ hổng bảo mật được phát hiện và khai thác sử dụng Ngoài ra với sự phát triển của công nghệ đặc biệt là phần cứng, các kỹ thuật tấn công mật mã ngày càng trở nên hiệu quả hơn

Mặt khác, như ta đã biết VPN sử dụng mạng công cộng (thường là Internet)

vì vậy chất lượng, độ tin cậy của VPN phụ thuộc rất nhiều vào Internet Trong khi

đó đặc thù của Internet là mạng có lưu lượng lớn, khó dự đoán tình trạng, vì thế mà việc quản lý chất lượng dịch vụ (QoS - Quality of Service) gặp nhiều khó khăn; việc quản lý kết nối “end to end” từ phía một nhà cung cấp dịch vụ mạng (ISP) là khó thực hiện, thông thường chỉ là tốt nhất có thể

1.1.3 Mô hình mạng riêng ảo

Có hai mô hình chủ yếu kết nối mạng VPN đó là: VPN truy nhập từ xa (Remote Access VPN) và VPN cục bộ (Intranet VPN)

1.1.3.1 Mô hình Remote Access VPN

Remote Access VPN hay còn gọi là Client To Site được áp dụng cho các tổ

8

chức mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa Giống như tên gọi của nó, VPN truy cập từ xa cho phép người dùng

từ xa, người dùng di động có thể truy cập tới các tài nguyên trong mạng của tổ chức

Hình 1.1:Mô hình Client to Site VPN

9

Hình 1.2: Mô hình Sito-To-Site VPN

1.1.4 Yêu cầu đối với mạng riêng ảo

Các yêu cầu đặt ra khi triển khai mạng VPN cũng giống như đối với mạng máy tính nói chung Tuy nhiên, vì được triển khai trên hạ tầng mạng công cộng, nên yêu cầu đặt ra đối với VPN tập trung vào các nội dung sau: Bảo mật, chất lượng dịch vụ, tính sẵn sàng, tính tin cậy, khả năng tương thích

- Yêu cầu về Bảo mật: Tính an toàn bảo mật cho khách hàng là một yếu tố quan trọng nhất đối với một giải pháp VPN Khách hàng cần được đảm bảo các dữ liệu thông qua mạng VPN đạt được mức độ an toàn giống như trong một hệ thống mạng dùng riêng do họ tự xây dựng và quản lý Vì vậy, mức độ bảo mật cao và toàn diện cần phải được duy trì một cách chặt chẽ

- Yêu cầu về tính sẵn sàng và tin cậy: Đối với các mạng riêng và mạng Intranet thì toàn bộ cơ sở hạ tầng mạng thuộc quyền sở hữu riêng và được kiểm soát đầy đủ bởi tổ chức Tuy nhiên, khi VPN sử dụng hạ tầng mạng công cộng như Internet thì nhân tố sẵn sàng và tin cậy phụ thuộc vào nhà cung cấp dịch vụ mạng công cộng Muốn đảm bảo tính sẵn sàng và tin cậy, thì tổ chức phải lựa chọn nhà cung cấp có cơ sở hạ tầng mạng tốt, khả năng phục hồi cao

- Yêu cầu về chất lượng dịch vụ (QoS): Một giải pháp VPN tốt cần phải đảm bảo yêu cầu về chất lượng dịch vụ như băng thông, độ trễ, Mạng Internet hiện nay không đảm bảo được tính năng này, các nhà cung cấp dịch vụ Internet cũng chưa có các cam kết cụ thể về chất lượng dịch vụ mà họ cung cấp Chính vì

1.2 Các giao thức mạng riêng ảo

Hiện nay có nhiều giải pháp để giải quyết vấn đề đóng gói và an toàn dữ liệu trong VPN, dựa trên nền tảng là các giao thức tạo đường hầm Một giao thức tạo đường hầm sẽ thực hiện việc đóng gói dữ liệu với cấu trúc tương ứng để truyền qua mạng dùng chung Giao thức tạo đường hầm là yếu tố cốt lõi tạo nên VPN, có thể

kể đến các giao thức như sau: PPTP, L2F, L2TP,…

1.2.1 PPTP (Point-To-Point Tunneling Protocol)

PPTP (Point-to-Point Tunneling Protocol - giao thức tạo đường hầm điểm nối điểm) là một mở rộng của PPP, nó đóng gói các khung PPP vào gói tin IP (IP datagram) để truyền đi trên mạng công cộng như là Internet PPTP sử dụng giao thức đóng gói định tuyến chung GRE (Generic Routing Encapsulation) Việc sử dụng GRE đã giúp cho PPTP rất mềm dẻo trong việc xử lý các giao thức khác nhau

ở tầng Network như: IP, IPX, NETBEUI Một VPN sử dụng PPTP gồm tối thiểu 2 thành phần là Client PPTP và Server PPTP Kết nối PPTP giữa Client và Server sử dụng cổng TCP 1723

1.2.1.1 Thiết lập và kiểm soát kết nối PPTP

- Sau khi thiết lập kết nối, PPTP sử dụng các qui luật đóng gói của PPP để đóng gói dữ liệu và truyền chúng trong đường hầm Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa hai loại gói là gói điều khiển và gói dữ liệu, sau đó gán chúng vào hai kênh riêng là kênh điều khiển và kênh dữ liệu Kết nối TCP tạo giữa máy trạm PPTP và máy chủ PPTP được sử dụng để truyền tải thông tin điều khiển

11

Các gói điều khiển được gửi theo chu kỳ để lấy thông tin về trạng thái kết nối

và quản lý báo hiệu giữa ứng dụng khách PPTP và máy chủ PPTP Các gói điều khiển cũng được dùng để gửi các thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm

Hình 1.3: Các thông điệp kiểm soát trao đổi dữ liệu PPTP qua PPP

Các thông điệp này có nhiệm vụ duy trì, quản lý và kết thúc đường hầm PPTP, chúng được đóng gói vào trong các gói TCP

Data Link

Header

IP Header

TCP Header

PPTP Control Message

Data Link Trailer

Hình 1.4: Khuôn dạng gói điều khiển kết nối PPTP

- Quá trình đóng gói dữ liệu PPTP được thực hiện qua nhiều mức, cụ thể như sau: Dữ liệu được mã hóa à đóng gói PPP à đóng gói GRE à đóng gói IP à đóng gói Frame

12

GRE Header Heade PPP r

IP Header

Data Link

Header

GRE Header Header PPP

IP Header

GRE Header Header PPP

PPP Header

Encryption

PPP Payload

Encryption PPP Payload

Encryption PPP Payload

Encryption PPP Payload

Encryption PPP Payload

Encryption PPP Payload Data Link Trailer

Hình 1.5: Quá trình đóng gói PPTP

Khi dữ liệu PPTP được truyền thành công đến nơi nhận, tại đây quá trình xử

lý ngược với bên gửi, gồm các bước sau xử lý như sau: Loại bỏ tiêu đề và đánh dấu của tầng liên kết dữ liệu à loại bỏ tiêu đề IP à loại bỏ tiêu đề GRE à loại bỏ tiêu

đề PPP à giải mã

1.2.1.2 Xác thực PPTP

Khi người dùng kết nối vào mạng thông qua một kênh VPN thì họ phải cung cấp thông tin nhận dạng (tên tài khoản, mật khẩu) cho VPN server để được xác thực và cấp quyền truy cập Dưới đây là các giao thức được sử dụng để xác thực:

- PAP (Password Authentication Protocol): Là giao thức được dùng để xác thực các kết nối dựa trên PPP Tuy nhiên tên và mật khẩu của người dùng gửi qua liên kết mà không được mã hoá Một lỗ hỗng của PAP khác là các thực thể truyền thông cuối chỉ được xác thực một lần khi khởi tạo kết nối Vì vậy, nếu kẻ tấn công vượt qua được một lần thì sau đó chúng không còn phải lo lắng về vấn đề xác thực nữa Vì lý do này, PAP được xem như là một giao thức xác thực đơn giản nhưng tính bảo mật không cao và không được ưa thích trong VPN

- CHAP (Challenge Handshake Authentication Protocol): là hình thức xác thực mạnh hơn PAP với cơ chế làm việc như sau:

13

+ Server gửi cho client một thông điệp challenge ngẫu nhiên

+ Client sử dụng thuật toán MD5 để tạo giá trị băm từ đầu vào là mật khẩu

của người dùng cộng với thông điệp challenge Sau đó gửi giá trị băm này tới

server

+ Server thực hiện tạo giá trị băm bằng thuật toán MD5 với giá trị đầu vào là

mật khẩu của người dùng (được lưu trên server) cộng với thông điệp challenge mà

nó gửi cho client lúc đầu rồi đem so sánh giá trị băm mà nó tạo ra với giá trị băm

mà nó nhận được từ client Chỉ nếu như hai kết quả giống nhau thì người dùng mới được xác thực

- MS-CHAP (Microsoft CHAP): Hoạt động của MS-CHAP cũng giống với CHAP ngoại trừ hai điều là nó dùng MD4 làm thuật toán băm và dùng MPPE để mã hóa toàn bộ dữ liệu được truyền giữa client và server

- MS-CHAPv2: Yêu cầu cả Client và Server xác thực lẫn nhau Ngoài ra, MS-CHAPv2 sử dụng các khóa mã hóa mạnh hơn và có các khóa khác nhau cho việc mã hóa dữ liệu gửi đi và giải mã dữ liệu nhận được

1.2.2 L2F (Layer 2 Forwarding Protocol)

Giao thức L2F là một kỹ thuật được nghiên cứu và phát triển trong các hệ thống mạng của Cisco dựa trên giao thức PPP Tương tự như PPTP, L2F cho phép truy nhập mạng riêng ảo một cách an toàn qua cơ sở hạ tầng mạng công cộng bằng cách tạo ra một đường hầm giữa hai điểm kết nối Sự khác nhau cơ bản giữa hai giao thức PPTP và L2F là PPTP chỉ hỗ trợ IP, IPX và NetBEUI, còn L2F không chỉ làm việc với mạng IP mà có thể làm việc với nhiều công nghệ mạng khác nhau như: Frame Relay, ATM, FDDI,

L2F thực hiện việc xác thực hai mức Mức thứ nhất của xác thực dựa trên L2F xuất hiện khi một người dùng từ xa sử dụng đường quay số tới POP của ISP Tại đây, quá trình thiết lập đường hầm được bắt đầu chỉ sau khi người dùng được xác thực thành công Mức thứ hai của xác thực được thực hiện bởi máy chủ Gateway của mạng, nó không thiết lập một đường hầm giữa hai điểm đầu cuối cho đến khi nó xác thực người dùng từ xa Giống như PPTP, L2F cũng sử dụng các dịch

14

vụ bảo mật được hỗ trợ bởi PPP cho xác thực Kết quả là L2F sử dụng PAP để xác thực một Client từ xa khi một Gateway L2F nhận một yêu cầu kết nối L2F cũng sử dụng giao thức xác thực có thăm dò trước(CHAP) và giao thực xác thực mở rộng (EAP) để nâng cao tính bảo mật dữ liệu Ngoài ra L2F còn hỗ trợ chứng thực người dùng quay số từ xa RADIUS (Remote Authentication Dial-up User Service)

Nhận xét: L2F cho phép thiết lập đường hầm đa giao thức và được cung cấp

bởi nhiều nhà cung cấp Tuy nhiên L2F có một số nhược điểm như: Không có mã hoá; yếu trong việc xác thực người dùng; không có điều khiển luồng cho đường hầm Với các đặc điểm như trên, L2F là giao thức không an toàn với các kỹ thuật Hacking tiên tiến ngày nay

1.2.3 L2TP (Layer2 Tunneling Protocol)

L2TP được phát triển bởi IETF và được sự ủng hộ bởi các hãng lớn, như: Cisco, Microsoft, 3COM, và Ascend L2TP là một sự kết hợp những gì tốt nhất của hai giao thức là: PPTP và L2F L2TF cung cấp sự mềm dẻo, khả năng mở rộng, giải pháp truy cập từ xa chi phí thấp của L2F và khả năng kết nối điểm - điểm nhanh nhất của PPTP

1.2.3.1 Đặc điểm của L2TP

- L2TP hỗ trợ nhiều giao thức và công nghệ mạng, như IP, ATM, FR và PPP

- L2TP không yêu cầu bổ sung thêm bất kỳ phần mềm nào như thêm trình điều khiển hay hỗ trợ hệ điều hành Cho nên người dùng từ xa cũng như người dùng trong Intranet riêng không cần phải thực thi các phần mềm đặc biệt

- L2TP cho phép những người dùng từ xa chưa đăng ký địa chỉ IP có thể truy cập một mạng từ xa qua mạng công cộng

- Xác thực và cấp quyền L2TP được thực hiện bởi Gateway của mạng chủ

Vì vậy, ISP không cần phải duy trì một cơ sở dữ liệu xác thực người dùng hay quyền truy cập cho người dùng từ xa Hơn nữa, trong mạng Intranet cũng có thể định nghĩa chính sách bảo mật và truy cập Điều này làm cho tiến trình thiết lập đường hầm nhanh hơn nhiều so với các giao thức đường hầm trước

15

- Giống như PPTP và L2F, L2TP cũng sử dụng các dịch vụ bảo mật được hỗ trợ bởi PPP cho xác thực người dùng Xác thực L2TP bao gồm: PAP và SPAP, EAP, CHAP Ngoài các cơ chế xác thực đã nói ở trên L2TP còn sử dụng IPSec để

mã hóa và xác thực các gói dữ liệu riêng Mặc dù điều này làm giảm tốc độ giao dịch, nhưng nó tăng độ an toàn đối với L2TP

Data

PPP

L2TP Header

PPP

L2TP Header

ESP Header

AH Trailer

PPP

L2TP Header

ESP Header

AH Trailer

IP Header

PPP

L2TP Header

ESP Header

AH Trailer

IP Header

Data Link

Header

Data Link Trailer

Header

Hình 1.6: Quá trình đóng gói dữ liệu L2TP

1.2.3.2 Ưu, nhược điểm của L2TP

L2TP có một số ưu điểm như :

- L2TP là giải pháp chung Trong nhiều trường hợp khác, nó độc lập với Platform, nó cũng hỗ trợ nhiều công nghệ mạng Hơn nữa, nó cũng hỗ trợ giao dịch qua liên kết WAN Non-IP mà không cần một IP

- Đường hầm L2TP là trong suốt đối với ISP cũng như với người dùng từ xa

Vì vậy không cần phải cấu hình tại ISP hoặc người dùng cuối cùng

- L2TP cung cấp kiểm soát luồng và kết quả là các gói dữ liệu có thể bị loại

bỏ một cách tuỳ ý nếu đường hầm bị đầy Điều này làm cho các giao dịch L2TP nhanh hơn các giao dịch dựa trên L2F

- L2TP cho phép người dùng từ xa chưa đăng ký địa chỉ IP truy cập tới một mạng từ xa qua một mạng công cộng

16

- L2TP nâng cao bảo mật do sử dụng mã hóa đường truyền tải dựa trên IPSec trong khi tạo lập đường hầm và thực thi khả năng xác thực trên từng gói của IPSec Ngoài các ưu điểm như trên, L2TP cũng có nhược điểm như: L2TP chậm hơn PPP hoặc L2F vì nó sử dụng IPSec để xác thực từng gói tin nhận được

Nhận xét: L2TP phối hợp những đặc tính tốt nhất của PPTP và L2F Hầu hết

các nhà cung cấp sản phẩm PPTP đều đưa ra các sản phẩm tương thích L2TP Mặc

dù L2TP chủ yếu chạy trên mạng IP, nhưng khả năng chạy trên các mạng khác như Frame Relay, ATM đã làm cho nó thêm phổ biến L2TP cho phép một lượng lớn client từ xa được kết nối vào VPN hay cho các kết nối LAN-LAN có dung lượng lớn L2TP có cơ chế điều khiển luồng để làm giảm tắc nghẽn trên đường hầm

1.2.4 IPSec (Internet Protocol Security)

1.2.4.1 Đặc điểm của IPsec

IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP) Bao gồm xác thực và/hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói IP (IP packet) trong quá trình truyền thông tin

IPsec được tích hợp trong rất nhiều giải pháp VPN, đặc biệt trong các giải pháp VPN gateway-to-gateway (site-to-site) để nối 2 mạng LAN với nhau PPTP, L2F, L2TP là các giao thức tạo đường hầm hoạt động ở tầng 2 (Data link layer) của

mô hình OSI, trong khi đó IPsec hoạt động tại tầng 3 (Network layer) IPSec sử dụng một nhóm các giao thức và các công nghệ như AH (Authentication Header -

AH ), ESP (Encapsulating Security Payload), IKE (Internet Key Exchange), DES (Data Encryption Standard), AES (Advanced Encryption Standard) và các kỹ thuật khác vào trong hệ thống để đảm bảo cung cấp một phương pháp xác thực tin cậy và

an toàn cho gói tin IP Là một tiêu chuẩn mở, IPSec cho phép hoạt động được với các thiết bị của nhiều nhà sản xuất khác nhau và được sử dụng với nhiều loại VPN khác nhau IPsec chỉ hoạt động với các mạng và ứng dụng dựa trên nền tảng IP (IP-based network)

17

1.2.4.2 Xác thực và bảo mật dữ liệu

IPSec đảm bảo tính bảo mật cho luồng IP bằng cách thêm IPSec tiêu đề vào gói IP gốc Đây là những tiêu đề IPSec mới, ví dụ như AH và ESP, chúng có thể được sử dụng tách biệt nhau hoặc kết hợp với nhau tuy thuộc vào mức độ yêu cầu của bảo mật Về bản chất, các tiêu đề được thêm vào gói IP gốc nhằm mục đích xác thực gói tin hoặc mã hóa để bảo vệ dữ liệu hoặc cả hai

- AH (Authentication Header) được định nghĩa bởi nhóm làm việc RFC

2402, đảm bảo tính toàn vẹn dữ liệu trên đường truyền bằng khoá H (Hàm băm – Hashing function) AH thực hiện thuật toán băm cho cả phần đầu và phần nội dung của gói tin IP nhưng không áp dụng cho các thông tin sẽ thay đổi trên đường truyền

AH thêm một tiêu đề vào gói IP, phần còn lại của nội dung gói dữ liệu được để mặc Hơn nữa, AH không bảo vệ bất kỳ trường nào trong tiêu đề IP, vì một trong số đó

có thể thay đổi trong quá trình truyền, chỉ các trường nào không thay đổi trong quá trình truyền là được bảo vệ bởi AH Để đảm bảo tính toàn vẹn cho dữ liệu khi đi qua mạng công cộng, AH sử dụng các thuật toán băm ví dụ như Message Digest 5 (MD5) Việc này được áp dụng trên tiêu đề của gói IP ban đầu, nó sẽ giấu các thông tin về địa chỉ IP thực và các thông số khác khi đi qua mạng công cộng Khi đến đích tiêu đề gói tin IP sẽ được khôi phục và được định tuyến bên trong Subnet của mạng đích

- ESP (Encapsulation Security Payload) là một giao thức Internet được RFC

2406 định nghĩa ESP có thể được sử dụng riêng rẽ hoặc kết hợp với giao thức AH, khi đó ESP sẽ đảm bảo tính toàn vẹn và mã hoá dữ liệu ESP sử dụng mật mã đối xứng để thực hiện việc mã hoá dữ liệu cho các gói tin IPSec Các thuật toán mã hoá

do ESP hỗ trợ bao gồm DES-CBC, DES 56 bit và 3DES Ngoài ra ESP còn cho phép kiểm tra tính toàn vẹn của gói tin thông qua HMAC MD5 và HMAC SHA Điều quan trọng là phải bảo mật được vùng dữ liệu, vì thế mã hóa dữ liệu là cần thiết Trong trường hợp này, một tiêu đề ESP và thuật toán mã hóa, ví dụ như DES, 3DES được thêm vào để làm tăng thêm tính bảo mật cho dữ liệu Kết quả là, ESP đóng gói hoàn toàn dữ liệu người dùng Khi sử dụng ESP kết hợp với AH, thì ESP

có thể sử dụng cùng kỹ thuật trao đổi khóa được sử dụng cho AH ESP khác với AH

ở hai điểm sau:

18

+ ESP mã hóa dữ liệu trước khi gửi đi, do vậy nó đảm bảo được tính bí mật của dữ liệu Với AH thì toàn bộ gói tin chỉ được xác thực nhưng không được mã hóa, vì vậy chúng có thể bị đọc khi truyền qua mạng

+ ESP chỉ xác thực phần nội dung của gói tin IP chứ không xác thực toàn bộ gói tin IP

1.2.4.3 Các chế độ IPSec

IPSec đưa ra hai chế độ chuyển tiếp dữ liệu qua mạng cho cả hai giao thức

AH và ESP: Đó là Transport mode (chế độ giao vận) và Tunnel mode (chế độ đường hầm)

- Transport mode cung cấp cơ chế bảo vệ cho dữ liệu của các lớp cao hơn (TCP, UDP hoặc ICMP) Trong Transport mode, phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng trên AH và ESP sẽ được đặt sau IP header nguyên thủy Vì vậy, chỉ có tải (IP payload) là được mã hóa và IP header ban đầu được giữ nguyên vẹn Transport mode có thể được dùng khi cả hai host hỗ trợ IPSec Chế độ transport này có thuận lợi là chỉ thêm vào vài bytes cho mỗi packets và nó cũng cho phép các thiết bị trên mạng thấy được địa chỉ đích cuối cùng của gói Khả năng này cho phép các tác vụ xử lý đặc biệt trên mạng trung gian dựa trên các thông tin trong IP header Tuy nhiên các thông tin ở tầng ứng dụng bị

mã hóa, vì thế làm giảm khả năng kiểm tra gói tin

Hình 1.7: IPSec ở chế độ giao vận, sử dụng AH

Hình 1.8: IPSec ở chế độ giao vận, sử dụng ESP

19

- Chế độ đường hầm (Tunnel mode): Không giống Transport mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu Toàn bộ gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec header được chèn vào giữa phần đầu nguyên bản

và phần đầu mới của IP.Toàn bộ gói IP ban đầu sẽ bị đóng gói bởi AH hoặc ESP và một IP header mới sẽ được bao bọc xung quanh gói dữ liệu Toàn bộ gói IP sẽ được

mã hóa và trở thành dữ liệu mới của gói IP mới Chế độ này cho phép những thiết bị mạng, chẳng hạn như router, hoạt động như một IPSec proxy thực hiện chức năng

mã hóa thay cho host Router nguồn sẽ mã hóa các packets và chuyển chúng dọc theo tunnel Router đích sẽ giải mã gói IP ban đầu và chuyển nó về hệ thống cuối

Vì vậy, IP header mới sẽ có địa chỉ nguồn chính là gateway Với tunnel hoạt động giữa hai security gateway, địa chỉ nguồn và đích có thể được mã hóa Tunnel mode được dùng khi một trong hai đầu của kết nối IPSec là security gateway và địa chỉ đích thật sự phía sau các gateway không có hỗ trợ IPSec

Hình 1.9: IPSec ở chế độ đường hầm, sử dụng AH

Hình 1.10: IPSec ở chế độ đường hầm, sử dụng ESP

20

Kết luận Chương 1

Chương 1, đã trình bày những vấn đề cơ bản về mạng riêng ảo (VPN) như: đặc điểm mạng VPN, mô hình triển khai mạng VPN, lợi ích và yêu cầu của mạng VPN, giới thiệu một số giao thức được sử dụng để thiết lập mạng VPN, trong đó có các giao thức tạo đường hầm, xác thực, bảo mật hoạt động ở tầng 2 (PPTP, L2F, L2TP) và giao thức hoạt động ở tầng 3 (IPSec) Nội dung trình bày trong Chương 1

đã cho chúng ta thấy được bức tranh tổng quan về mạng VPN, từ đó xác định các nguy cơ có thể dẫn đến mất an toàn thông tin mạng máy tính nói chung cũng như đối với mạng VPN nói riêng được trình bày trong Chương 2

21

CHƯƠNG 2

AN TOÀN THÔNG THÔNG TIN MẠNG RIÊNG ẢO

2.1 Tổng quan về an toàn thông tin mạng

Ngày nay vấn đề an toàn thông tin được xem là một trong những quan tâm hàng đầu của xã hội, có ảnh hưởng rất nhiều đến hầu hết các ngành, các lĩnh vực của đời sống kinh tế, chính trị và xã hội Lĩnh vực an toàn thông tin nhận được sự quan tâm của tất cả các quốc gia trên toàn thế giới Có nhiều quan niệm khác nhau

về nội hàm của khái niệm an toàn thông tin cho hệ thống mạng như: “an toàn, an ninh mạng” (Network Security); an toàn, an ninh thông tin (Information Security);

“bảo mật mạng máy tính”; “bảo mật router, switch”; “bảo mật máy chủ”;… Trong

đó, khái niệm phổ biến nhất là “Information Security”, “Network Security” có nội hàm là đảm bảo an toàn mạng và thông tin được lưu trữ, truyền tải trên mạng Trong lĩnh vực Công nghệ thông tin, khi nói đến Information Security, không chỉ là nói đến các nguy cơ bị xâm nhập, mà luôn đi kèm với việc duy trì 3 yếu tố CIA (Confidentiality, Integrity, Availability), trong đó: (1)Bảo mật (Confidentiality), chỉ những người được phép mới được xem nội dung thông tin; (2)Tính toàn vẹn (Integrity) đảm bảo thông tin không bị thay đổi từ khi nó được tạo ra; (3)Tính sẵn sàng (Availability) Đảm bảo thông tin luôn sẵn sàng khi cần đến Theo dự thảo luật

an toàn thông tin đang được Quốc hội khóa XIII thảo luận, thì an toàn thông tin là

sự bảo vệ thông tin và hệ thống thông tin tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật

và tính khả dụng của thông tin

An toàn thông tin mạng giờ đây không còn là câu chuyện về mất an toàn đối với thông tin riêng tư cá nhân, dữ liệu kinh doanh của các tổ chức, doanh nghiệp,

mà còn tác động nghiêm trọng đến chủ quyền, an ninh quốc gia Tại Hội thảo Security World 2015 diễn ra vào sáng nay (25/3/2015) tại Hà Nội đại diện của Bộ Công an cho biết tình hình an toàn, an ninh mạng tại Việt Nam tiếp tục diễn biến phức tạp, tồn tại nhiều nguy cơ bị tấn công, phá hoại hạ tầng mạng thông tin, ảnh

22

hưởng tới an ninh quốc gia Báo cáo của hãng bảo mật Kaspersky và Symantec cho thấy, Việt Nam đứng thứ 3, sau Nga và Ấn Độ về số người dùng di động bị mã độc tấn công; đứng thứ 6 trên thế giới về số lượng địa chỉ IP trong nước được dùng trong các mạng máy tính ma tấn công nước khác Đáng chú ý là hoạt động tấn công mạng nhằm vào Việt Nam gia tăng về số lượng, gây nguy cơ bị kiểm soát, khống chế hệ thống thông tin Tin tặc nước ngoài thường xuyên lợi dụng các điểm yếu về

an ninh mạng của hệ thống thông tin điện tử, trang thông tin điện tử của Việt Nam

để tấn công, xâm nhập, chiếm quyền điều khiển, chỉnh sửa nội dung Riêng năm

2014, đã phát hiện gần 6.000 trang bị tấn công, chiếm quyền quản trị, chỉnh sửa nội dung (có 246 trang tên miền gov.vn) Đặc biệt, sau sự kiện giàn khoan HD 981 hạ đặt trái phép trong vùng đặc quyền kinh tế Việt Nam, tin tặc nước ngoài đã tấn công hơn 700 trang mạng Việt Nam và hơn 400 trang trong dịp Quốc khánh (2/9) để chèn các nội dung xuyên tạc chủ quyền của Việt Nam với quần đảo Hoàng Sa Về hoạt động tấn công thu thập thông tin tình báo, Bộ Công an cho biết, “Việt Nam trở thành mục tiêu tấn công chính trong hàng loạt hoạt động tình báo mạng, phần lớn xuất phát từ những quốc gia có tiềm lực công nghệ thông tin” Hacker nước ngoài thực hiện các chiến dịch gián điệp mạng quy mô lớn với thủ đoạn tấn công bằng mã độc vào hệ thống thư điện tử của nhiều cơ quan Đảng, Nhà nước

Đặc biệt, từ tháng 6/2013 những cáo buộc của Adward Snowden cựu nhân

viên của cơ quan an ninh Mỹ (NSA - National Security Agency) đã gây nên sự chấn

động đối với nước Mỹ cũng như Chính phủ của nhiều quốc gia trên thế giới NSA

đã bí mật theo dõi cả thông tin liên lạc thông qua cáp quang ngầm dưới đáy đại dương Phần lớn thung lũng Silicon đều dính dáng đến NSA”, Snowden khẳng định NSA đều có quan hệ với Google, Microsoft, Facebook và thậm chí cả Apple Nhiều thông tin cho rằng NSA có thể truy nhập tới hệ thống máy chủ và dữ liệu khách hàng của các hãng này Thậm chí NSA còn có thể can thiệp vào phần mềm mã hóa trực tuyến Với những thông tin này thì những dịch vụ mạng lâu nay vốn được coi

là an toàn đối với người dùng thì đến nay điều đó đã trở nên vô nghĩa Những năm gần đây nhiều quốc gia cũng đã đưa ra những lo ngại về việc mất an toàn thông tin khi sử dụng các thiết bị viễn thông, thiết bị mạng của Huawei, ZTE (Trung Quốc)

23

Chính phủ Mỹ, Úc, Canada,… đã đưa ra những quan ngại về việc sử dụng các thiết

bị của Trung Quốc trong hệ thống mạng quốc gia

Tình hình an ninh mạng trong những năm gần đây đã thực sự là mối quan tâm của nhiều quốc gia trên thế giới Có nhiều ý kiến cho rằng việc sử dụng các thiết bị, giải pháp bảo mật mang tính thương mại tiềm ẩn nhiều nguy cơ dẫn đến mất an toàn thông tin Ở Việt nam, những năm gần đây vấn đề an ninh mạng luôn nhận được sự quan tâm chỉ đạo của Đảng và Nhà nước cũng như các Bộ ngành và các cơ quan chức năng Nhiều chỉ thị, nghị quyết liên quan đến lĩnh vực an toàn an ninh thông tin được ban hành Việc đầu tư thiết bị, giải pháp và đào tạo nguồn nhân lực để đảm bảo an toàn thông tin mạng ngày càng được quan tâm

2.2 Một số vấn đề về an toàn thông tin mạng riêng ảo

Để đảm bảo an toàn thông tin cho hệ thống mạng máy tính nói chung, cũng như mạng riêng ảo nói riêng chúng ta cần tìm hiểu một số nguy cơ có thể dẫn đến mất an toàn thông tin từ đó chủ động đưa ra các biện pháp phòng ngừa, ngăn chặn góp phần hạn chế rủi ro cho hệ thống mạng Như chúng ta đã biết, hiện này phần lớn các mạng VPN đều được triển khai trên cơ sở hạ tầng mạng Internet, vì vậy ngoài những nguy cơ chỉ có đối với mạng riêng ảo thì VPN cũng bị đe dọa bởi những nguy cơ gây mất an toàn vốn có của một hệ thống mạng khi kết nối vào Internet như: Tấn công từ chối dịch vụ, mã độc, tấn công mật mã,…

cả hai giao thức IPv4 và IPv6, hay còn gọi là dual - stacked network/host Như chúng ta đã biết hiện nay trên môi trường mạng tồn tại đồng thời hai giao thức IPv4

và IPv6 IPv6 mặc dù không tương thích ngược với IPv4, nhưng hai phiên bản này thường được hỗ trợ đồng thời trong máy chủ phân giải tên miền (DNS) Ví dụ,

24

website www.fithou.edu.vn hỗ trợ cả IPv4 và IPv6 Khi đó, trên DNS sẽ chứa cả hai kiểu bản ghi DNS là A và AAAA Mỗi bản ghi kiểu A chứa một địa chỉ IPv4, còn mỗi bản ghi kiểu AAAA chứa một địa chỉ IPv6 Như vậy, nếu một ứng dụng hỗ trợ

cả hai giao thức IPv4 và IPv6 mà muốn giao tiếp với website này, thì có thể sử dụng một trong hai địa chỉ (địa chỉ IPv4 hoặc IPv6) Trong khi đó nhiều sản phẩm VPN không hỗ trợ, thậm chí là bỏ qua giao thức IPv6 Những sản phẩm như thế chỉ bảo

vệ lưu lượng IPv4 mà không bảo vệ lưu lượng IPv6 Vì vậy, nếu địa chỉ trong gói tin là IPv6 thì gói tin đó sẽ được gửi vào mạng dưới dạng rõ

Xét trường hợp một máy tính hỗ trợ đồng thời IPv4 và IPv6, trên máy này có cài đặt VPN Client (chỉ hỗ trợ IPv4) Khi có một ứng dụng muốn kết nối tới website

đã nêu ở trên, nó sẽ yêu cầu phân giải cả hai bản ghi là A và AAAA Khi đó, một trong nhiều khả năng là ứng dụng sẽ kết nối với Website bằng giao thức IPv6 (nhưng sản phẩm VPN trên máy tính không hỗ trợ IPv6), nên toàn bộ lưu lượng giữa ứng dụng và website sẽ được truyền qua mạng dưới dạng rõ, trong khi người dùng không nhận thấy điều này và tin rằng dữ liệu của mình được bảo vệ bởi kênh VPN

Mới đây, các nhà nghiên cứu ở Đại học Queen Mary University of London

và Đại học Sapienza University of Rome đã công bố phát hiện lỗ hổng bảo mật của IPv6 trong VPN client thương mại của 14 nhà cung cấp dịch vụ VPN phổ biến ở

Mỹ Các nhà nghiên cứu của 2 đại học nói trên đã tiến hành tải về các bản VPN client cho máy tính và thiết bị di động 14 dịch vụ VPN thương mại phổ biến nhất Kết quả nghiên cứu đã được các nhà khoa học công bố tại Hội nghị chuyên đề về công nghệ nâng cao cho thông tin cá nhân diễn ra tại Philadelphia (Mỹ) từ ngày 30/6 đến 2/7/2015 với tiêu đề “A Glance through the VPN looking Glass: IPv6 leakage and DNS Hijacking in Commercial VPN clients”

25

Provider Countries Servers Technology DNS IPv6-leak DNS

Hijacking

Kết quả cho thấy, trong 14 dịch vụ VPN được nghiên cứu thì 10 dịch vụ có

lỗ hổng an ninh với IPv6 và chỉ có 1 an toàn với DNS Hijacking Không nhà cung cấp VPN nào an toàn với cả IPv6 và DNS Hijacking

26

2.2.2 Tấn công từ chối dịch vụ

2.2.2.1 Phân loại tấn công từ chối dịch vụ

Tấn công từ chối dịch vụ (hay còn gọi là DoS - Denial of Service) là một trong những thủ đoạn nhằm ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng một dịch vụ nào đó DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ thậm chí cả một hệ thống mạng rất lớn Về bản chất thực sự của DoS, kẻ tấn công sẽ chiếm dụng một lượng lớn tài nguyên mạng như băng thông, bộ nhớ và làm mất khả năng xử lý các yêu cầu dịch vụ từ các khách hàng khác Tấn công DoS nói chung không nguy hiểm như các kiểu tấn công khác, vì kẻ tấn công ít có khả năng thâm nhập hay chiếm được thông tin dữ liệu của hệ thống Tuy nhiên, nếu máy chủ vẫn tồn tại mà lại không thể cung cấp thông tin, dịch vụ cho người sử dụng thì sự tồn tại này là không có ý nghĩa, đặc biệt là các hệ thống phục vụ các giao dịch điện tử thì thiệt hại là vô cùng lớn Đối với hệ thống máy chủ được bảo mật tốt, khó thâm nhập, việc tấn công từ chối dịch vụ DoS được các hacker sử dụng như là “cú chót” để triệt hạ hệ thống đó.Tất cả các hệ thống máy tính đều chỉ có một giới hạn nhất định nên nó chỉ có thể đáp ứng một yêu cầu dịch vụ giới hạn nào đó mà thôi Như vậy, hầu hết các máy chủ đều có thể trở thành mục tiêu tấn công của DoS Tùy cách thức thực hiện mà DoS được biết dưới nhiều tên gọi khác nhau; tuy nhiên, phổ biến, nguy hiểm nhất có thể kể đến một số dạng sau: (1)Tấn công

từ chối dịch vụ cổ điển DoS (Denial of Service); (2)Tấn công từ chối dịch vụ phân tán DDoS (Distributed Denial of Service); (3)Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS (Distributed Reflection Denial of Service)

Hình:2.1.: Tấn công từ chối dịch vụ phân tán (DDoS)

27

- Tấn công từ chối dịch vụ cổ điển DoS (Denial of Service): Tấn công từ chối dịch vụ cổ điển DoS là một phương pháp tấn công từ chối dịch vụ xuất hiện đầu tiên với các kiểu tấn công như Smurf Attack, Tear Drop, SYN Attack… Các kiểu tấn công này thường được áp dụng đối với đối tượng tấn công là hệ thống máy chủ bảo mật kém, băng thông (bandwidth) nhỏ, thậm chí trong nhiều trường hợp, đối tượng tin tặc có thể sử dụng đường truyền có tốc độ vừa phải cũng có thể thực hiện thành công các kiểu tấn công này

- Tấn công từ chối dịch vụ phân tán DDoS (Distributed Denial of Service): Tấn công từ chối dịch vụ phân tán DDoS, so với tấn công DoS cổ điển, sức mạnh tăng gấp nhiều lần Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm dụng băng thông (bandwidth) gây nghẽn mạch hệ thống, dẫn đến ngưng hoạt động hệ thống Để thực hiện DDoS, kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều máy tính/mạng máy tính trung gian được gọi là botnet (đóng vai trò là zombie) từ nhiều nơi để đồng loạt gửi ào ạt các gói tin (packet) với số lượng rất lớn nhằm chiếm dụng tài nguyên và làm tràn ngập đường truyền của một mục tiêu xác định nào đó

- Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS (Distributed Reflection Denial of Service): Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS lại là kiểu tấn công mới nhất, mạnh nhất trong các kiểu tấn công DoS Trong suốt quá trình máy chủ bị tấn công bằng DRDoS, không một máy khách nào

có thể kết nối được vào máy chủ đó Tất cả các dịch vụ chạy trên nền TCP/IP như DNS, HTTP, FTP, POP3 đều bị vô hiệu hóa Về cơ bản, DRDoS là sự phối hợp giữa hai kiểu DoS và DDoS Nó có kiểu tấn công SYN với một máy tính đơn, vừa

có sự kết hợp giữa nhiều máy tính để chiếm dụng băng thông như kiểu DDoS Kẻ tấn công thực hiện bằng cách giả mạo địa chỉ của máy chủ mục tiêu rồi gửi yêu cầu SYN đến các máy chủ lớn như Yahoo, Microsoft, Google để các máy chủ này gửi các gói tin SYN/ACK đến máy chủ mục tiêu Quá trình cứ lặp lại liên tục với nhiều máy chủ lớn tham gia nên máy chủ mục tiêu nhanh chóng bị quá tải, băng thông (bandwitch) bị chiếm dụng, dẫn đến máy chủ mục tiêu không thể hoạt động bình thường

28

2.2.2.2 Phương pháp tấn công từ chối dịch vụ

- Tấn công vào băng thông mạng: Trong phương pháp này kẻ tấn công điều

khiển mạng lưới Agent đồng loạt gửi các gói tin ICMP hay UDP đến nạn nhân (Victim) làm cho băng thông mạng của nạn nhân bị quá tải và không thể phục vụ được Ví dụ như trong trường hợp ICMP flood, nạn nhân sẽ phải gửi trả lại các gói tin ICMP_REPLY tương ứng Do số lượng của Agent gửi đến nạn nhân rất lớn nên việc gửi lại các gói ICMP_REPLY dẫn đến nghẽn mạng Trong trường hợp UDP flood cũng tương tự Phương pháp tấn công này đặc biệt nguy hiểm do không những băng thông mạng của nạn nhân bị quá tải mà còn ảnh hưởng đến các mạng lân cận Hiện nay, với sự phát triển của các công cụ DDoS, hầu hết đều hỗ trợ kỹ thuật giả mạo địa chỉ IP

- Tấn công vào giao thức: Điển hình của phương pháp tấn công này là TCP

SYN flood Kẻ tấn công lợi dụng quá trình bắt tay 3 bước trong giao thức TCP Kẻ tấn công liên tục khởi tạo kết nối TCP Nạn nhân sẽ tiến hành gửi lại trả lời với SYN và ACK để chờ ACK từ phía máy khách Tuy nhiên, kẻ tấn công sẽ không gửi ACK đến nạn nhân hay nói cách khác là sẽ không làm gì cả như quá trình bắt tay 3 bước Cứ như vậy, nạn nhân sẽ tốn nhiều tài nguyên và bộ nhớ để chờ các phiên TCP Do vậy nạn nhân sẽ không thể phục vụ được do tốn bộ nhớ đề chờ các kết nối ảo do kẻ tấn công khởi tạo

- Tấn công bằng những gói tin khác thường: Trong phương pháp này, kẻ tấn

công dựa vào các điểm yếu của giao thức mạng Ví dụ khi tấn công Ping of Death Kẻ tấn công sẽ gửi một số gói tin ICMP có kích thước lớn hơn kích thước giới hạn Gói tin sẽ bị chia nhỏ, khi nạn nhân ghép lại nhận thấy rằng là gói tin quá lớn để xử lý Kết quả là, hệ thống không thể xử lý được tình trạng bất thường này và

sẽ bị treo Một trường hợp khác như tấn công LAN Attack Kẻ tấn công sẽ gửi các gói tin TCP SYN có địa chỉ nguồn, địa chỉ đích và số cổng giống nhau Nạn nhân sẽ liên tục khởi tạo và kết nối với chính nó Do vậy hệ thống sẽ bị treo hoặc bị chậm lại

29

- Tấn công qua phần mềm trung gian: Trong phương pháp tấn công này, kẻ

tấn công sẽ sử dụng một phần mềm hợp lệ trên máy nạn nhân Khai thác một số thuật toán và tiến hành đưa tham số trong trường hợp xấu nhất Do vậy, máy nạn nhân sẽ phải xử lý quá trình này và có thể bị treo Đây là phương pháp tấn công khá đơn giản nhưng lại có hiệu quả rất cao

Tuy tấn công DoS không xâm nhập được vào hệ thống, không lấy được dữ liệu nhưng lại có thể khiến dịch vụ của nạn nhân bị ngưng trệ hoàn toàn, đồng thời việc triển khai cũng đơn giản hơn so với tấn công xâm nhập Do đó, xu hướng tấn công DoS sẽ vẫn tiếp tục gia tăng trong những năm tới

2.2.3 Tấn công Man in the Midle

Tấn công Man in the Middle (MITM) là một hình thức lén thu thập dữ liệu, khi đó kẻ tấn công (Attacker) cố tình tạo ra các kết nối ảo để lừa nạn nhân (Victim) kết nối đến và thu thập dữ liệu mà nạn nhân gửi đi Hình thức tấn công này rất tinh

vi, làm cho người dùng lầm tưởng rằng họ đang làm việc trên kết nối riêng tư đến đích nào đó và thoải mái thao tác truyền thông tin ra, nhưng thực tế thì toàn bộ hoạt động đó đang được điều khiển bởi Hacker Một số hình thức tấn công MITM hay được sử dụng như tấn công giả mạo ARP Cache, DNS Spoofing, chiếm quyền điều khiển (hijacking) HTTP session,… Với hình thức tấn công này thì dữ liệu trao đổi trên mạng đã bị kẻ tấn công thu thập và từ đó sử dụng các kỹ thuật khác như tấn công mật mã để biết được nội dung trao đổi

Hình:2.2: Tấn công Man in the Midle (MITM)

30

2.2.3.1 Tấn công giả mạo ARP Cache

Tấn công giả mạo ARP Cache là một hình thức tấn công MITM có xuất sứ từ lâu đời (đôi khi còn được biết đến với cái tên ARP Poison Routing), tấn công này cho phép kẻ tấn công có thể nghe trộm tất cả các lưu lượng mạng giữa các máy tính nạn nhân

Việc giả mạo bảng ARP chính là lợi dụng bản tính không an toàn của giao thức ARP Không giống như các giao thức khác, các thiết bị sử dụng giao thức phân giải địa chỉ (ARP) sẽ chấp nhận nâng cấp bất cứ lúc nào Điều này có nghĩa rằng bất

cứ thiết bị nào có thể gửi gói ARP Reply đến một máy tính khác và máy tính này sẽ cập nhật ngay vào bảng ARP Cache của nó giá trị mới này Việc gửi một gói ARP Reply khi không có ARP Request nào được tạo ra được gọi là việc gửi ARP “vu vơ” Khi các ARP Reply vu vơ này đến được các máy tính đã gửi ARP Request, máy tính này sẽ tiếp nhận ARP Reply vu vơ này, cập nhật vào ARP Cache và thực hiện việc truyền thông với máy tính của kẻ tấn công Tuy nhiên hình thức tấn công này chỉ thực hiện được khi kẻ tấn công và nạn nhân nằm trong cùng một đoạn mạng

Giả sử có hai máy A và B cần trao đổi thông tin với nhau Máy X gửi bản tin ARP reply cho máy A với địa chỉ IP nguồn là địa chỉ của B còn địa chỉ MAC nguồn

là địa chỉ của X Ngược lại; X cũng gửi tới B bản tin giả mạo với địa chỉ IP nguồn

là địa chỉ IP của A và địa chỉ MAC nguồn là địa chỉ MAC của X Kết quả là khi A

và B trao đổi thông tin với nhau; toàn bộ thông tin này sẽ được trung chuyển qua X

mà hai host này không hề hay biết Kẻ tấn công có thể thay đổi hoặc đánh cắp thông tin tuỳ theo ý định tấn công

Hình:2.3: Tấn công ARP Cache

31

2.2.3.2 Tấn công DNS Spoofing

Tấn công DNS Spoofing Đây là một phương pháp tấn công máy tính nhờ đó

mà dữ liệu được thêm vào hệ thống Cache của các DNS Server Từ đó, các địa chỉ

IP sai (thường là các địa chỉ IP do kẻ tấn công chỉ định) được trả về cho các truy vấn tên miền nhằm chuyển hướng người dùng từ một máy chủ này sang một máy chủ khác

Hình:2.4: DNS hoạt động ở chế độ thông thường

Hình:2.5: Tấn công DNS Spoofing

2.2.3.3 Tấn công DNS Hijacking

DNS Hijacking là một loại tấn công nguy hiểm, khi đó các thiết lập TCP/IP của máy tính bị thay đổi Cụ thể là phần khai báo DNS Server bị thay đổi bằng địa chỉ của một DNS giả mạo (Fake DNS Server), lúc này các yêu cầu phân giải tên miền sẽ chuyển đến một DNS server giả mạo được điều khiển bởi Hacker

Ví dụ: Khi người sử dụng cần truy nhập đến trang Web của ngân hàng VBBank có tên miền là http://www.vbbank.com.vn, máy chủ này có địa chỉ IP là

32

202.74.56.55 Tuy nhiên nếu máy tính bị tấn công DNS Hijacking thì DNS Server giả mạo (do Hacker điều khiển) sẽ cung cấp địa chỉ IP không phải là 202.74.56.55, kết quả là người sử dụng bị chuyển hướng và kết nối đến một máy chủ khác không phải là máy chủ của VB Bank

Hình:2.6: Tấn công DNS Hijacking

2.2.4 Tấn công mã độc

Cùng với sự phát triển mạnh mẽ của Internet thì các phương thức tấn công mạng để thu thập thông tin của người sử dụng ngày càng phát triển Một trong những phương thức được sử dụng rất phổ biến hiện nay đó là cài đặt mã độc vào thiết bị viễn thông và công nghệ thông tin Mã độc là một khái niệm chung, dùng để chỉ các phần mềm độc hại (malware) có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin Tuỳ thuộc vào cơ chế, hình thức lây nhiễm và phương thức phá hoại mà người ta chia mã độc thành nhiều loại khác nhau như: virus, trojan, backdoor, adware, spyware…

- Trojan là chương trình máy tính thường ẩn mình dưới dạng một chương

trình hữu ích Một cách bí mật, nó lại tiến hành các thao tác khác không mong muốn Trong thực tế, nhiều Trojan horse chứa đựng các phần mềm gián điệp nhằm cho phép máy tính của nạn nhân bị điều khiển từ xa qua hệ thống mạng

- Spyware là phần mềm cài đặt trên máy tính người dùng nhằm thu thập các thông tin người dùng một cách bí mật, không được sự cho phép của người dùng

33

- Virus là phần mềm có khả năng lây nhiễm trong cùng một hệ thống máy tính hoặc từ máy tính này sang máy tính khác dưới nhiều hình thức khác nhau Quá trình lây lan được thực hiện qua hành vi lây file Ngoài ra, virus cũng có thể thực hiện các hành vi phá hoại, lấy cắp thông tin…

- Rootkit là một kỹ thuật cho phép phần mềm có khả năng che giấu danh tính của bản thân nó trong hệ thống, các phần mềm antivirus Rootkit có thể hỗ trợ các module khác tấn công, khai thác hệ thống

Thông qua mã độc kẻ tấn công có thể điều khiển máy tính của người sử dụng

từ đó thu thập, phá hoại dữ liệu; thực hiện keyloger để đánh cắp thông tin người dùng; kích hoạt các thiết bị như Microphone, Camera của máy tính để nghe/nhìn trộm; sửa đổi cấu hình hệ thống;…

Nhiều mã độc được xây dựng rất tinh vi để tránh sự phát hiện của người sử dụng và các chương trình Antivirus Có thể nhắc đến một số mã độc điển hình như:

mã độc Stuxnet được cơ quan tình báo Mỹ và Israel sử dụng để tấn công các nhà máy điện hạt nhân của Iran; mã độc tháng mười đỏ (Red October) đã tấn công hệ thống máy tính của 69 cơ quan chính phủ ở các quốc gia Đông âu, châu Á, Mỹ, Úc,….; Gần đây theo báo cáo của hãng bảo mật Fireeye nhóm APT30 (được cho là của Trung Quốc) đã sử dụng hơn 200 mã độc để tấn công hệ thống máy tính của nhiều quốc gia trong đó có Việt Nam

Mã độc được cài đặt vào máy tính với nhiều phương thức thủ đoạn tinh vi như thông qua tệp tin gửi kèm thư điện tử, thông qua các ứng dụng mà người dùng tải từ các trang mạng, thông qua các thiết bị lưu trữ ngoài kết nối với máy tính qua cổng USB,… Tội phạm mạng triệt để lợi dụng những lổ hổng bảo mật của hệ thống mạng, của các phần mềm ứng dụng như Word, Excel,…(đặc biệt là các lỗ hổng Zeroday) để cài đặt mã độc vào máy tính của nạn nhân Ngày nay trong giới tội phạm số đã hình thành một thị trường buôn bán các lỗ hổng “Zeroday”

Trong thời gian tới, Mã độc sẽ tiếp tục được Hacker sử dụng để tấn công một

số lượng không nhỏ người dùng, ranh giới giữa phần mềm vô hại và phần mềm độc

34

hại có thể trở nên mong manh, dễ bị lạm dụng Đồng thời, các "cơn mưa" link độc hại tiếp tục được kẻ xấu phát tán trên mạng xã hội Phần mềm gián điệp, mã độc tấn công có chủ đích nguy hiểm hơn khi có sự tùy biến đa dạng theo từng đối tượng tấn công Khởi đầu là một Backdoor xâm nhập máy tính của nạn nhân nhằm thu thập các thông tin về hệ thống, định danh nạn nhân, và gửi về máy chủ điều khiển Sau

đó, dữ liệu này sẽ được khai thác, phân tích và lựa chọn để cập nhật các thành phần độc hại với tính năng tùy biến thích hợp với từng nạn nhân Tấn công mã độc thực

sự sẽ là hiểm họa đe dọa an toàn thông tin mạng trong tương lai

2.2.5 Tấn công mật mã

2.2.5.1 Phân loại tấn công mật mã

Để bảo vệ thông tin người ta thực hiện các giải pháp mật mã Đây là một lớp bảo vệ thông tin rất quan trọng và được sử dụng rộng rãi trong môi trường mạng Một trong những nguy cơ dẫn đến mất an toàn thông tin là Hacker tìm cách tấn công vào hệ mật để nắm được thông tin trao đổi trên mạng Tuy thuộc vào hiểu biết của kẻ tấn công đối với hệ mật mã được sử dụng, người ta phân loại mức độ tấn công vào các hệ mật mã thành các loại sau:

- Tấn công chỉ biết bản mã (ciphertext-only): Kẻ tấn công chỉ có bản tin mã hóa Ở đây kẻ tấn công hoàn toàn ở bên ngoài, tìm cách nghe trộm trên đường truyền để lấy được bản mã của thông tin gửi đi rồi tìm cách khám phá nội dung

- Tấn công biết bản tin rõ (known plaintext): Kẻ tấn công có bản tin rõ và bản mã Trong trường hợp này, bằng cách nào đó kẻ tấn công có được bản mã và bản rõ, căn cứ vào đó để tìm ra khóa mã Từ những thông tin này chúng tìm cách khám phá nội dung của những bản mã khác

- Tấn công chọn bản tin rõ (chosen plaintext): Kẻ tấn công tạm thời có thể truy xuất tới bộ mã hóa, do đó có khả năng tự chọn bản tin rõ và xây dựng bản mã tương ứng Việc được tự chọn giá trị của một số bản rõ giúp cho kẻ tấn công có nhiều thuận lợi trong phân tích quan hệ giữa bản mã và bản rõ để từ đó lần tìm giá trị khóa

35

- Tấn công chọn bản mã (chosen ciphertext): tương tự như loại trên, nhưng

kẻ tấn công tạm thời có thể truy xuất tới bộ giải, do đó có khả năng tự chọn mã và xây dựng lại bản rõ tương ứng

Có ba phương pháp tấn công cơ bản của thám mã đó là: Tìm khóa vét cạn, phân tích thống kê và phân tích toán học Để thực hiện việc thám mã, trước hết phải

có được bản mã, kẻ tấn công có thể sử dụng nhiều phương án như: Sử dụng tấn công Man in the Midle chuyển kết nối qua một máy chủ trung gian (để thu thập dữ liệu); sử dụng các bộ trích xuất dữ liệu trên đường truyền vật lý (TAP - Test Access Point); sử dụng các tính năng sẵn có trên thiết bị mạng như Span port, monitoring port,…

2.2.5.2 Tấn công mã DES

DES (Data Encryption Standard) là một phương pháp mã hóa được FIPS chọn làm chuẩn chính thức vào năm 1976 Sau đó chuẩn này được sử dụng rộng rãi trên phạm vi thế giới Ngay từ đầu, thuật toán của nó đã gây ra rất nhiều tranh cãi, do có độ dài khóa tương đối ngắn (56 bít) và các nghi ngờ về cửa sau để Cơ quan An ninh quốc gia Hoa Kỳ (NSA) có thể bẻ khóa Hiện nay DES được xem là không đủ an toàn cho nhiều ứng dụng

Khi VPN hoạt động theo giao thức PPTP (Point- to - Point Tunneling Protocol) thì việc xác thực người dùng được thực hiện theo giao thức MS- CHAPv2, là giao thức được phát triển bởi Microsoft và sử dụng mã hóa DES Tại hội nghị Defcon lần thứ 20 (tháng 7/2012), Hacker Moxie Marlinspike công bố đã

bẻ khóa thành công giao thức MS- CHAPv2

Để việc tấn công vào VPN sử dụng PPTP được thuận tiện, Moxie Marlinspike đã phát triển công cụ Chapcrack (sử dụng mã nguồn mở) Chapcrack tự động thực hiện phân tách dữ liệu chặn bắt được của phiên thiết lập kết nối VPN, tự động dò tìm thông tin bắt tay MS- CHAPv2 và đưa ra tên tài khoản (username), bản

rõ, hai bản mã và tự động dò khóa thứ ba Đồng thời, chapcrack cũng sinh ra token

để gửi lên CloudCracker nhằm tìm ra hai khóa còn lại

36

Hiện nay, đã có những thiết bị cho phép thám thành công DES trong thời gian tính bằng giờ Chẳng hạn công ty Pico Computing đã cho ra đời DES cracking box với 400 nhân, cho phép thám thành công DES trong thời gian tối đa là 23 giờ 2.2.5.3 Tấn công cửa hậu mật mã

Kleptography là phương pháp tấn công cửa hậu mật mã, trong đó việc đánh cắp thông tin được thực hiện một cách bí mật và an toàn bằng cách cài đặt cửa hậu mật mã (Backdoor) vào các phần mềm và thiết bị mật mã, giúp cho những kẻ tấn công có thể sinh lại các tham số mật mã bí mật từ các tham số mật mã công khai, từ

đó làm chủ hoàn toàn hệ mật

Các cửa hậu có thể được tìm thấy trong tất cả các loại hệ mật đang được sử dụng thông dụng hiện nay, từ mật mã bất đối xứng, mật mã đối xứng, đến các hàm băm, các nguồn sinh số ngẫu nhiên hay các giao thức mật mã phức tạp Chúng len lỏi trong công nghệ tính toán như phân tích số nguyên RSA sang lôgarit rời rạc và tính toán trên các đường cong Elliptic trên các trường hữu hạn

Các cửa hậu cũng được che giấu ngày càng tinh vi, khiến cho những người

dò tìm dù có khả năng dịch ngược chương trình thì cũng khó có thể tìm ra dấu vết, Thậm chí nếu đọc được thuật toán với các tham số mật mã công khai thì người phát hiện cũng không thể biết được là có hay không cửa hậu trong thuật toán mật mã đã cho Kẻ tấn công cũng làm cho các tham số mật mã của hệ mật có cửa hậu có những tính chất giống như trường hợp không có cửa hậu, khiến cho việc phân tích các tham số mật mã cũng không có hiệu quả

Tháng 8/2007, hai nhà mật mã học Dan Shumow và Niels Ferguson đã phát

hiện ra rằng Dual_EC_DRBG (Dual_EC_DRBG là bộ sinh bit ngẫu nhiên tất định theo đường Ellip đôi được các hệ thống mã hóa sử dụng, trong đó hãng RSA đã tích hợp trong bộ công cụ BSAFE) có lỗ hổng và được sử dụng như là một cửa hậu mật

mã Tuy nhiên, hai nhà mật mã này cũng không khẳng định được rằng liệu NSA đã

có chủ đích cài đặt cửa hậu mật mã bên trong Dual_EC_DRBG hay không Vào tháng 9/2013, thời báo The New York Times tố cáo, các thông báo nội bộ bên trong

có thể lấy được các thông tin cần thiết mà không cần tấn công vào các thuật toán mã hóa Phương pháp này được gọi là tấn công phần cứng và chúng được chia thành 3 kiểu cơ bản bao gồm: tấn công kênh kề (side channel attacks), tấn công điểm yếu (fault attacks) và can thiệp vật lý (physical tempering)

Ví dụ như, đối với phương pháp tấn công kênh kề, kẻ tấn công có thể lấy được các thông tin quan trọng trong khi hệ thống vẫn hoạt động bình thường Nhiều tham số có thể được ứng dụng trong tấn công kênh kề, nhưng phổ biến là 3 tham số chính: thời gian, nguồn điện tiêu thụ và tín hiệu bức xạ

2.2.6 Các nguy cơ khác

Ngoài những nguy cơ đe dọa an toàn thông tin mạng như đã trình bày ở các phận trên, trong thực tế còn tiềm ẩn rất nhiều những nguy cơ khác, có thể kể đến như:

- Nhiều cơ quan, tổ chức chưa quan tâm đến vấn đề an toàn thông tin mạng,

vì vậy việc đầu tư giải pháp cũng như về con người còn hạn chế Một số nơi đã triển khai các giải pháp đảm bảo an ninh, an toàn cho hệ thống mạng nhưng việc kiểm tra, đánh giá, xác định mức độ an toàn của hệ thống thực hiện chưa tốt, do đó hệ thống không thường xuyên được nâng cấp hay cập nhật bản vá Tuy ở mức độ khác nhau nhưng trong cả hai trường hợp trên, hệ thống mạng của cơ quan, tổ chức luôn tiềm ẩn các lỗ hổng bảo mật qua đó kẻ tấn công có thể xâm nhập

- Nhà sản xuất cài đặt cửa hậu trong các sản phẩm sản phần cứng, phần mềm

do họ làm ra, để từ đó có thể thực hiện các cuộc tấn công mạng khi cần Gần đây