TỔNG QUAN VỀ VPN
Tìm hiểu về Mạng riêng ảo (VPN)
Mạng riêng ảo (VPN) là một dịch vụ mạng ảo triển khai trên hạ tầng mạng công cộng, giúp tiết kiệm chi phí cho kết nối điểm-điểm Một cuộc điện thoại giữa hai cá nhân là ví dụ đơn giản về kết nối riêng ảo trên mạng điện thoại công cộng Hai đặc điểm chính của VPN là “riêng” và “ảo”, tương ứng với thuật ngữ tiếng Anh "Virtual" và "Private" VPN có thể hoạt động ở bất kỳ lớp nào trong mô hình OSI, cải tiến hạ tầng mạng WAN và tăng cường tính năng của mạng cục bộ.
Hình 1.1.1.1 : Sơ đồ kết nối từ cơ sở U với cơ sở A của trườn HUTECH thông qua công nghệ VPN
VPN (mạng riêng ảo) là một mạng riêng sử dụng hạ tầng chung như Internet để kết nối với các mạng riêng lẻ hoặc người dùng từ xa Thay vì sử dụng kết nối vật lý chuyên dụng như đường leased, VPN cung cấp một giải pháp linh hoạt và an toàn cho việc truy cập và chia sẻ dữ liệu.
Line, mỗi VPN sử dụng các kết nối ảo được dẫn qua đường Internet từ mạng riêng của công ty tới các site của các nhân viên từ xa
Hình 1.1.1.2 Mô hình mạng VPN
Các thiết bị đầu mạng như switch, router và firewall đóng vai trò quan trọng trong việc hỗ trợ mạng riêng ảo (VPN) Những thiết bị này có thể được quản lý bởi các công ty hoặc nhà cung cấp dịch vụ Internet (ISP).
VPN, hay mạng riêng ảo, là phương pháp thiết lập một mạng riêng trên nền tảng mạng công cộng thông qua các kết nối tạm thời Những kết nối bảo mật này được thiết lập giữa hai thiết bị, giữa thiết bị và mạng, hoặc giữa hai mạng với nhau.
Một VPN có thể được xây dựng bằng cách sử dụng “Đường hầm” và “Mã hoá” VPN có thể xuất hiện ở bất cứ lớp nào trong mô hình OSI
VPN là sự cải tiến cơ sở hạ tầng mạng WAN mà làm thay đổi hay làm tăng thêm tính chất của các mạng cục bộ
VPN mang đến ba chức năng chính, trong đó sự tin cậy (Confidentiality) là rất quan trọng Người dùng có thể mã hóa các gói dữ liệu trước khi truyền qua mạng, đảm bảo rằng không ai có thể truy cập vào thông tin mà không được phép.
Và nếu có lấy được thì cũng không đọc được
Tính toàn vẹn dữ liệu (Data Integrity) đảm bảo rằng người nhận có thể kiểm tra dữ liệu đã được truyền qua mạng Internet mà không bị thay đổi Đồng thời, xác thực nguồn gốc (Origin Authentication) cho phép người nhận xác minh nguồn gốc của gói dữ liệu, đảm bảo và công nhận tính chính xác của thông tin.
1.1.3 Lợi ích của VPN ü VPN làm giảm chi phí thường xuyên
VPN giúp tiết kiệm chi phí thuê đường truyền và giảm chi phí cho nhân viên làm việc từ xa bằng cách cho phép họ truy cập vào hệ thống mạng nội bộ qua các điểm cung cấp dịch vụ địa phương (POP) Điều này hạn chế việc thuê đường truy cập từ nhà cung cấp, dẫn đến chi phí kết nối Lan-to-Lan giảm đáng kể so với việc thuê đường Leased-Line, đồng thời cũng giảm chi phí quản lý và hỗ trợ.
Sử dụng dịch vụ của nhà cung cấp giúp doanh nghiệp chỉ cần quản lý các kết nối đầu cuối tại các chi nhánh, thay vì phải quản lý thiết bị chuyển mạch trên mạng Điều này cho phép công ty tận dụng cơ sở hạ tầng của Internet và đội ngũ kỹ thuật của nhà cung cấp, từ đó tập trung vào các hoạt động kinh doanh chính Ngoài ra, VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực cho dữ liệu.
Dữ liệu truyền qua mạng được mã hóa bằng các thuật toán tiên tiến và được gửi qua các đường hầm (Tunnle), đảm bảo an toàn thông tin cao Ngoài ra, VPN cũng giúp kết nối dễ dàng các chi nhánh thành một mạng cục bộ hiệu quả.
Trong bối cảnh toàn cầu hóa, các công ty thường có nhiều chi nhánh tại các quốc gia khác nhau, do đó việc quản lý thông tin tập trung tại tất cả các chi nhánh là rất quan trọng Sử dụng VPN giúp kết nối hệ thống mạng giữa các chi nhánh và văn phòng trung tâm thành một mạng LAN, mang lại hiệu quả chi phí cao.
Hình 1.1.3.1 : VPN giúp kết nối các chi nhánh thành 1 mạng riêng biệt
1.1.4 Các yêu cầu cơ bản đối với một giải pháp VPN
Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo
Mỗi doanh nghiệp xây dựng hệ thống mạng nội bộ và diện rộng theo các thủ tục khác nhau, không tuân theo chuẩn của nhà cung cấp dịch vụ Nhiều hệ thống mạng không sử dụng chuẩn TCP/IP, dẫn đến việc không thể kết nối trực tiếp với Internet Để sử dụng IP VPN, các mạng riêng cần chuyển sang hệ thống địa chỉ chuẩn Internet và bổ sung tính năng tạo kênh kết nối ảo, cũng như cài đặt cổng kết nối internet để chuyển đổi các thủ tục sang chuẩn IP Theo khảo sát, 77% khách hàng yêu cầu nhà cung cấp dịch vụ IP VPN phải tương thích với thiết bị hiện có của họ.
Bảo mật cho khách hàng là yếu tố hàng đầu trong một giải pháp VPN, với yêu cầu người dùng phải được đảm bảo rằng dữ liệu của họ khi truyền qua mạng VPN sẽ an toàn như trong một hệ thống mạng riêng mà họ tự xây dựng và quản lý.
Việc cung cấp tính năng bảo đảm an toàn cần đảm bảo hai mục tiêu sau:
- Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu cho người sử dụng trong mạng và mã hoá dữ liệu khi truyền
Dễ dàng trong việc quản lý và sử dụng, hệ thống yêu cầu sự thuận tiện và đơn giản cho cả người dùng lẫn quản trị viên mạng trong quá trình cài đặt và quản lý.
Một giải pháp VPN cần thiết phải cung cấp được tính bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền
• Tiêu chuẩn về chất lượng dịch vụ (QoS):
Tiêu chuẩn đánh giá mạng lưới đảm bảo chất lượng dịch vụ đầu cuối đến đầu cuối là rất quan trọng QoS liên quan đến khả năng duy trì độ trễ dịch vụ trong một giới hạn nhất định, đồng thời cũng đề cập đến các yếu tố khác ảnh hưởng đến chất lượng dịch vụ.
1.1.5 Đường hầm và mã hóa
Chức năng chính của VPN đó là cung cấp sự bảo mật bằng cách mã hoá qua một đường hầm
Đường hầm VPN cung cấp kết nối logic điểm tới điểm qua mạng IP không hướng kết nối, giúp tận dụng các tính năng bảo mật Giải pháp đường hầm cho VPN sử dụng mã hóa để bảo vệ dữ liệu khỏi sự xem trộm của những người không được phép và thực hiện đóng gói đa giao thức khi cần thiết Mã hóa tạo ra kết nối đường hầm, đảm bảo rằng dữ liệu chỉ có thể được đọc bởi người gửi và người nhận.
Mô hình VPN thông dụng
VPNs nhằm hướng vào 3 yêu cầu cơ bản sau đây :
Truy cập tài nguyên mạng mọi lúc mọi nơi thông qua điều khiển từ xa và điện thoại cầm tay, giúp tăng cường khả năng giao tiếp giữa các nhân viên trong tổ chức.
• Nối kết thông tin liên lạc giữa các chi nhánh văn phòng từ xa
Đảm bảo quyền truy cập tài nguyên mạng cho khách hàng, nhà cung cấp và các đối tượng quan trọng của công ty là yếu tố thiết yếu để thúc đẩy hợp tác kinh doanh hiệu quả.
Dựa trên nhu cầu cơ bản, VPN hiện nay được phân chia thành ba loại chính: Remote Access VPNs, Intranet VPNs và Extranet VPNs.
1.2.1 Các VPN truy cập (Remote Access VPNs)
VPN truy cập từ xa (Remote Access VPN) cho phép nhân viên và các chi nhánh kết nối linh hoạt với tài nguyên mạng của tổ chức mọi lúc mọi nơi Điều này đặc biệt hữu ích cho những người dùng thường xuyên di chuyển hoặc các văn phòng nhỏ không có kết nối ổn định đến mạng Intranet.
VPN truy cập từ xa thường yêu cầu người dùng cài đặt một số phần mềm client trên máy tính của họ.
Hình 1.2.1.1 Mô hình mạng VPN truy cập Một số thành phần chính :
Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới
Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ở khá xa so với trung tâm
Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truy cập từ xa bởi người dùng
Việc triển khai Remote Access VPN cho phép người dùng từ xa và các chi nhánh văn phòng dễ dàng kết nối với nhà cung cấp dịch vụ ISP hoặc điểm truy cập của ISP, từ đó truy cập tài nguyên qua Internet một cách hiệu quả.
Internet Đường hầm Đường hầm Tường lửa
Hình 1.2.1.2: Cài đặt Remote Access VPN
Lợi ích chính của Remote Access VPNs bao gồm việc loại bỏ sự cần thiết của RAS và modem, cũng như hỗ trợ người dùng cá nhân, nhờ vào việc ISP đã tạo điều kiện cho kết nối từ xa Việc quay số từ xa không còn cần thiết, mà thay vào đó, các kết nối sẽ được thực hiện qua kết nối cục bộ, giúp giảm chi phí cho các kết nối xa Với kết nối cục bộ, tốc độ nối kết cũng cao hơn so với kết nối trực tiếp từ khoảng cách xa Hơn nữa, VPNs cung cấp khả năng truy cập tốt hơn đến trung tâm, hỗ trợ dịch vụ truy cập tối thiểu ngay cả khi có sự gia tăng nhanh chóng số lượng kết nối đồng thời đến mạng.
Mặc dù VPNs mang lại nhiều lợi ích, nhưng cũng tồn tại một số bất lợi đáng chú ý Đầu tiên, Remote Access VPNs không đảm bảo chất lượng dịch vụ ổn định Thứ hai, nguy cơ mất dữ liệu là cao, với khả năng các phân đoạn gói dữ liệu bị thất thoát Thêm vào đó, độ phức tạp của thuật toán mã hóa dẫn đến việc tăng đáng kể protocol overhead, gây khó khăn trong quá trình xác nhận Cuối cùng, việc nén dữ liệu IP và PPP-based diễn ra chậm chạp, và khi truyền tải các dữ liệu lớn như video, âm thanh qua Internet, tốc độ sẽ bị ảnh hưởng nghiêm trọng.
1.2.2 Các VPN nội bộ (Intranet VPNs):
Intranet VPNs kết nối các chi nhánh văn phòng với Corporate Intranet qua campus router, nhưng mô hình này tốn kém do cần hai router và chi phí bảo trì mạng Intranet Backbone Chi phí này phụ thuộc vào lưu lượng mạng và phạm vi địa lý Để giảm chi phí, việc thay thế WAN backbone bằng kết nối Internet giá rẻ có thể giúp giảm đáng kể chi phí triển khai mạng Intranet.
Intranet VPNs là một giải pháp bảo mật cho các kết nối giữa các địa điểm của công ty, cho phép truy cập dữ liệu được phép trên toàn mạng Chúng liên kết trụ sở chính, văn phòng và chi nhánh qua một hạ tầng chung với các kết nối mã hóa Loại VPN này thường được cấu hình theo kiểu Site-to-Site.
Hình 1.2.2.1 Mô hình mạng VPN nội bộ
Intranet dựa trên VPN mang lại nhiều lợi ích chính, bao gồm hiệu quả chi phí nhờ giảm số lượng router trong mô hình WAN backbone Nó cũng giúp giảm thiểu đáng kể yêu cầu hỗ trợ từ người dùng toàn cầu tại các trạm từ xa khác nhau Việc sử dụng Internet làm kết nối trung gian tạo điều kiện dễ dàng cho việc thiết lập các kết nối mới ngang hàng Hơn nữa, kết nối nhanh chóng và ổn định hơn nhờ vào sự kết nối trực tiếp với nhà cung cấp dịch vụ, giúp tổ chức giảm thiểu chi phí triển khai Intranet.
Dữ liệu trên Internet vẫn gặp phải những rủi ro lớn, bao gồm nguy cơ tấn công từ chối dịch vụ (denial-of-service), ảnh hưởng đến an toàn thông tin Khả năng mất dữ liệu trong quá trình di chuyển thông tin cũng cao, đặc biệt khi xử lý các tập tin đa phương tiện chất lượng cao, dẫn đến việc trao đổi dữ liệu trở nên chậm chạp.
14 ü Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường xuyên, và QoS cũng không được đảm bảo
1.2.3 Các VPN mở rộng (Extranet VPNs):
Extranet khác với Intranet và Remote Access ở chỗ nó không hoàn toàn cách li với bên ngoài Nó cho phép các đối tác kinh doanh như khách hàng, nhà cung cấp và các đối tác quan trọng khác truy cập vào những tài nguyên mạng cần thiết, từ đó tạo điều kiện thuận lợi cho sự hợp tác và phát triển trong tổ chức.
Mạng Extranet thường tốn kém do phải kết hợp nhiều đoạn mạng riêng biệt từ Intranet, dẫn đến khó khăn trong việc triển khai và quản lý Việc bảo trì và quản trị cũng trở nên phức tạp hơn với nhiều mạng khác nhau Hơn nữa, khả năng mở rộng của mạng Extranet bị hạn chế, có thể làm rối loạn toàn bộ mạng Intranet và ảnh hưởng đến các kết nối bên ngoài Khi kết nối một Intranet vào mạng Extranet, bạn có thể gặp phải những vấn đề bất ngờ Do đó, thiết kế và triển khai một mạng Extranet có thể trở thành cơn ác mộng cho các nhà thiết kế và quản trị mạng.
Nhà cung cấp Dịch vụ 2
Dịch vụ 1 Nhà cung cấp
Hình 1.2.3.1: Thiết lập Extranet truyền thống
VPN mở rộng tạo ra một đường hầm bảo mật giữa khách hàng, nhà cung cấp và đối tác thông qua hạ tầng công cộng với kết nối luôn được bảo vệ Loại VPN này thường được thiết lập theo kiểu Site-to-Site Sự khác biệt chính giữa VPN nội bộ và VPN mở rộng nằm ở quyền truy cập mạng được công nhận tại một trong hai đầu cuối của VPN Hình minh họa dưới đây cho thấy cấu trúc của một VPN mở rộng.
Hình 1.2.3.2 Mô hình mạng VPN mở rộng
BẢO MẬT THÔNG TIN
Tìm hiểu về bảo mật
Trước khi công nghệ máy tính phát triển, bảo mật thông tin chủ yếu liên quan đến việc đảm bảo an toàn và bí mật cho thông tin trong quá trình trao đổi và lưu trữ Các biện pháp bảo vệ thông tin được áp dụng để ngăn chặn rò rỉ và truy cập trái phép.
• Đóng dấu và ký niêm phong một bức thư để biết rằng lá thư có được chuyển nguyên vẹn đến người nhận hay không
Mật mã được sử dụng để mã hóa thông điệp, đảm bảo chỉ người gửi và người nhận có thể hiểu nội dung Phương pháp này thường áp dụng trong các lĩnh vực chính trị và quân sự.
Để bảo vệ tài liệu mật, cần lưu giữ chúng trong các két sắt có khóa tại những địa điểm được bảo vệ nghiêm ngặt Chỉ những cá nhân được cấp quyền mới có thể truy cập và xem các tài liệu này.
Với sự bùng nổ của công nghệ thông tin và Internet, nhu cầu bảo mật thông tin trên máy tính ngày càng tăng cao Mô hình an toàn bảo mật thông tin có thể được phân loại thành hai hướng chính: Bảo vệ thông tin trong quá trình truyền tải trên mạng (Bảo mật mạng) và bảo vệ hệ thống máy tính, cũng như mạng máy tính khỏi các cuộc tấn công từ bên ngoài (Bảo mật hệ thống).
Các hình thức tấn công
Để hiểu rõ các vấn đề bảo mật trong truyền thông mạng, hãy xem xét tình huống với ba nhân vật: Alice, Bob và Trudy Alice và Bob trao đổi thông tin, trong khi Trudy, kẻ xấu, can thiệp vào kênh truyền tin giữa họ Dưới đây là các loại tấn công mà Trudy thực hiện, ảnh hưởng đến quá trình trao đổi thông tin giữa Alice và Bob.
1 Xem trộm thông tin (Release of Message Content) Trong trường hợp này Trudy chặn các thông điệp Alice gửi cho Bob, và xem được nội dung của thông điệp
Hình 2.2.1 Xem trộm thông điệp
2 Thay đổi thông điệp (Modification of Message) Trudy chặn các thông điệp Alice gửi cho Bob và ngăn không cho các thông điệp này đến đích Sau đó Trudy thay đổi nội dung của thông điệp và gửi tiếp cho Bob Bob nghĩ rằng nhận được thông điệp nguyên bản ban đầu của Alice mà không biết rằng chúng đã bị sửa đổi
Hình 2.1.2 Sửa sai thông điệp
3 Mạo danh (Masquerade) Trong trường hợp này Trudy giả là Alice gửi thông điệp cho Bob Bob không biết điều này và nghĩ rằng thông điệp là của Alice
Hình 2.1.3 Mạo danh để gửi đi thông điệp
4 Phát lại thông điệp (Replay) Trudy sao chép lại thông điệp Alice gửi cho Bob Sau đó một thời gian Trudy gửi bản sao chép này cho Bob Bob tin rằng thông điệp thứ hai vẫn là từ Alice, nội dung hai thông điệp là giống nhau Thoạt đầu có thể nghĩ rằng việc phát lại này là vô hại, tuy nhiên trong nhiều trường hợp cũng gây ra tác hại không kém so với việc giả mạo thông điệp Xét tình huống sau: giả sử Bob là ngân hàng còn Alice là một khách hàng Alice gửi thông điệp đề nghị Bob chuyển cho Trudy 1000$ Alice có áp dụng các biện pháp như chữ ký điện tử với mục đích không cho Trudy mạo danh cũng như sửa thông điệp Tuy nhiên nếu Trudy sao chép và phát lại thông điệp thì các
20 biện pháp bảo vệ này không có ý nghĩa Bob tin rằng Alice gửi tiếp một thông điệp mới để chuyển thêm cho Trudy 1000$ nữa
Hình 2.1.4 Phát đi thông điệp giả
Các hình thức tấn công trong mạng riêng ảo (VPN)
• Tấn công các giao thức VPN chính như PPTP, IPSec…
• Tấn công từ chối dịch vụ v Tấn công trên PPTP
PPTP dễ bị tổn thương do hai yếu tố chính: thứ nhất là sử dụng Generic Routing Encapsulation (GRE), và thứ hai là mật khẩu trao đổi trong quá trình xác thực Ngoài ra, PPTP cũng có nguy cơ bị tấn công trên IPSec.
IPSec không chỉ là thuật toán mã hóa mà còn kết hợp cơ chế xác thực, giúp bảo vệ dữ liệu bằng cách hỗ trợ các thuật toán khác Tuy nhiên, IPSec cũng gặp phải nhiều lỗ hổng bảo mật, bao gồm các cuộc tấn công nhằm vào việc thực hiện IPSec, quản lý khóa, cũng như các cuộc tấn công quản trị và ký tự đại diện.
Mật mã là một thành phần quan trọng trong bảo mật VPN, nhưng vẫn tồn tại nhiều kỹ thuật tấn công giải mã Các hình thức tấn công nổi tiếng bao gồm: tấn công chỉ có bản mã (ciphertext-only), tấn công biết bản rõ (known plaintext attacks), tấn công lựa chọn bản rõ, tấn công Man-in-the-Middle, tấn công Brute Force (duyệt toàn bộ), tấn công thời gian (timing attacks) và tấn công từ chối dịch vụ.
Các cuộc tấn công DDoS ngày càng trở nên phổ biến vì không cần phần mềm đặc biệt hay truy cập vào mạng mục tiêu Chúng dựa trên nguyên tắc tắc nghẽn mạng, nơi bất kỳ kẻ xâm nhập nào cũng có thể gửi dữ liệu rác để làm tắc nghẽn Hệ quả là máy tính mục tiêu trở nên không thể truy cập do quá tải băng thông hoặc không thể phục vụ do lượng yêu cầu quá lớn Tình trạng này có thể dẫn đến sự sụp đổ hoàn toàn của máy tính mục tiêu.
Một số phương pháp phổ biến để khởi động cuộc tấn công DoS bao gồm: tấn công SYN Floods, gây ra bão gói tin quảng bá (Broadcast Storm), tấn công Smurf DoS và Ping of Death.
Một số giải pháp bảo mật
Giải pháp bảo mật thường được chia làm hai phần : hệ thống thiết kế (bên ngoài) và hệ thống phát hiện tấn công (bên trong)
2.3.1 Về hệ thống thiết kế
Thiết kế và quy hoạch một hệ thống mạng lớn cần dựa trên mô hình chuẩn, không chỉ đơn thuần là phát triển thiết bị hỗ trợ người dùng Mô hình mạng Định hướng Kiến trúc Dịch vụ (Service-Oriented Architecture - SOA) đang được áp dụng tại nhiều cơ quan và doanh nghiệp tiên tiến trên thế giới, đóng vai trò quan trọng trong việc xây dựng hệ thống mạng hiệu quả và linh hoạt.
2.3.2 Về hệ thống phát hiện tấn công ỉ Hệ thống tường lửa
Hệ thống tường lửa là công cụ quan trọng trong việc kiểm soát truy cập giữa mạng Internet và mạng nội bộ, bao gồm hai loại chính: phần cứng và phần mềm Tường lửa phần cứng nổi bật với hiệu năng ổn định, không bị ảnh hưởng bởi hệ điều hành, virus hay mã độc, đồng thời có khả năng ngăn chặn hiệu quả các giao thức ở tầng mạng trong mô hình TCP/IP Ngược lại, tường lửa phần mềm mang lại sự linh hoạt cao trong việc cấu hình các giao thức ở tầng ứng dụng trong cùng mô hình Hệ thống cũng tích hợp khả năng phát hiện và chống xâm nhập (IDS/IPS) để bảo vệ mạng toàn diện hơn.
Hiện nay, các hình thức tấn công mạng ngày càng trở nên tinh vi và đa dạng, với việc kẻ xấu có thể tự cài đặt các công cụ như Ethereal hay Cain & Abel trên máy tính làm việc hoặc laptop Những công cụ này cho phép chúng nghe lén và quét các máy chủ, từ đó truy cập vào tài khoản email, web, FTP, và SQL server Hệ quả là có thể thay đổi điểm thi, tiền học phí đã nộp, hay lịch công tác mà không bị phát hiện bởi hệ thống tường lửa.
An effective solution to this issue is the implementation of an Intrusion Detection System/Intrusion Prevention System (IDS/IPS) These security systems play a crucial role in safeguarding networks, as they possess the capability to detect and prevent unauthorized access.
Công nghệ 23 phát hiện các cuộc tấn công qua dấu hiệu thiết lập sẵn hoặc mã độc hại bất thường trên mạng, đồng thời có khả năng loại bỏ chúng trước khi gây hại cho hệ thống.
Công nghệ bảo mật trong VPN
Nền tảng VPN có thể bị tấn công bằng rất nhiều cách Dưới đây là một số loại tấn công phổ biến vào và hệ thống VPN
• Các mối đe dọa an ninh cho các thành phần VPN
• Các cuộc tấn công các giao thức VPN
• Các cuộc tấn công mật mã
• Các cuộc tấn công từ chối dịch vụ/IPS
Công nghệ phần mềm, đặc biệt là mã nguồn mở, đang phát triển mạnh mẽ và nếu được áp dụng vào ứng dụng VPN, sẽ giúp giảm chi phí triển khai đáng kể Việc tận dụng xu thế này mang lại lợi thế cạnh tranh lớn so với các sản phẩm thương mại.
Các giải pháp không gian nhân là những phương pháp sửa đổi nhân thông qua các bản vá lỗi, có độ phức tạp cao và ít linh hoạt hơn so với các giải pháp không gian người dùng Hầu hết các giải pháp này triển khai trên giao thức bảo mật IPsec, có thể là nguồn gốc được hỗ trợ bởi nhân hoặc thông qua các bản vá Một số dự án nổi bật trong không gian nhân bao gồm FreeS/WAN và Kame, trong khi giải pháp không gian người dùng cũng đóng vai trò quan trọng.
Giải pháp user space hoạt động độc lập trong không gian người sử dụng, không phụ thuộc vào mô đun nhân hay các bản vá Điều này mang lại tính linh hoạt và dễ dàng cài đặt trên nhiều hệ điều hành User space VPNs sử dụng "giao diện đường hầm ảo" để tạo ra các chức năng kết nối mạng ở mức độ thấp, nhằm thiết lập đường hầm hiệu quả.
Các giải pháp user space như Tinc, CIPE, vTun và OpenVPN có thể được phân loại dựa trên giao thức bảo mật mà chúng sử dụng Những giao thức như OpenVPN, vTun và Tinc áp dụng chức năng mã hóa tiêu chuẩn từ OpenSSL, trong khi CIPE, PPTP và L2tpd sử dụng các phương thức mã hóa riêng biệt.
CÁC THUẬT TOÁN MÃ HÓA TRONG VPN
Các thuật toán & công nghệ mã hóa
Để đảm bảo an toàn cho kết nối VPN, SSL thường áp dụng hệ thống mã hóa khóa công khai RSA, bao gồm cả khóa mã hóa và chứng chỉ mã hóa.
Thuật toán RSA sử dụng hai loại khóa: khóa công khai và khóa bí mật Khóa công khai được chia sẻ rộng rãi và dùng để mã hóa thông tin, trong khi khóa bí mật chỉ được biết bởi người sở hữu, cho phép họ giải mã thông tin đã được mã hóa Điều này có nghĩa là bất kỳ ai cũng có thể mã hóa dữ liệu, nhưng chỉ người nắm giữ khóa bí mật mới có khả năng giải mã nó.
Hệ mật mã khoá công khai có thể được mô phỏng qua một ví dụ giữa Bob và Alice Bob muốn gửi thông tin mật chỉ Alice có thể đọc, vì vậy Alice gửi cho Bob một chiếc hộp đã mở khóa và giữ chìa khóa Bob đặt một tờ giấy vào hộp, khóa lại, và gửi lại cho Alice Khi nhận hộp, Alice dùng chìa khóa của mình để mở và đọc thông tin Trong trường hợp này, chiếc hộp mở tượng trưng cho khóa công khai, trong khi chìa khóa của Alice là khóa bí mật.
RSA là một thuật toán mật mã và ký số quan trọng, được sử dụng để xác thực chứng chỉ TLS/SSL, đóng vai trò then chốt trong việc bảo mật internet trong suốt 20 năm qua.
Vào năm 2010, mã hóa khóa riêng 1024-bit RSA (RSA-1024) đã được chứng minh là có thể bị bẻ khóa Điều này đã thúc đẩy Google vào năm 2013 nâng cấp tất cả các chứng chỉ SSL lên mức an toàn hơn với chiều dài khóa 2048-bit RSA, phản ánh xu hướng cải thiện bảo mật trong các công nghệ an ninh mạng hiện nay.
RSA-2048 là loại mã hóa được xem chuẩn an toàn, mặc dù có thể thực hiện mã hóa lên tới 3072-bit hoặc 4096-bit mã hóa để chắc chắn
25 hơn nữa Hiện nay, mã hóa RSA-2048 là tiêu chuẩn tối thiểu cho các nhà cung cấp VPN thương mại
Trong mật mã học, AES (Tiêu chuẩn mã hóa tiên tiến) là thuật toán mã hóa khối chính thức được chính phủ Hoa Kỳ áp dụng làm tiêu chuẩn toàn cầu Được nghiên cứu kỹ lưỡng, AES là sự kế thừa của tiêu chuẩn DES và đã trải qua quá trình tiêu chuẩn hóa kéo dài 5 năm trước khi được Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) chấp thuận.
Thuật toán "Rijndael" được phát triển bởi hai nhà mật mã học người Bỉ, Joan Daemen và Vincent Rijmen, và đã giành chiến thắng trong cuộc thi thiết kế chuẩn mã hóa AES.
Mặc dù AES và Rijndael thường được xem là tương đương, nhưng thực tế chúng có sự khác biệt rõ rệt AES chỉ xử lý khối dữ liệu 128 bit và hỗ trợ khóa có độ dài 128, 192 hoặc 256 bit, trong khi Rijndael có khả năng làm việc với dữ liệu và khóa có độ dài bất kỳ là bội số của 32 bit, trong khoảng từ 128 đến 256 bit Các khóa con trong quá trình mã hóa được tạo ra từ thuật toán tạo khóa con Rijndael, với mỗi khóa con được cấu trúc thành một cột gồm 4 byte Hầu hết các phép toán của AES được thực hiện trong một trường hữu hạn của các byte, và mỗi khối dữ liệu 128 bit đầu vào được chia thành 16 byte, mỗi byte có kích thước 8 bit.
Ma trận trạng thái trong thuật toán Rijndael là một ma trận 4x4 gồm 4 cột và 4 phần tử, được gọi là trạng thái Trong quá trình thực hiện thuật toán, các toán tử sẽ tác động để biến đổi ma trận trạng thái này.
1 Khởi động vòng lặp ỉ AddRoundKey — Mỗi cột của trạng thỏi đầu tiờn lần lượt được kết hợp với một khóa con theo thứ tự từ đầu dãy khóa
1 SubBytes — đây là phép thế (phi tuyến) trong đó mỗi byte trong trạng thái sẽ được thế bằng một byte khác theo bảng tra (Rijndael S-box)
2 ShiftRows — dịch chuyển, các hàng trong trạng thái được dịch vòng theo số bước khác nhau
3 MixColumns — quá trình trộn làm việc theo các cột trong khối theo một phép biến đổi tuyến tính
Tại chu trình cuối thì bước MixColumns không thực hiện
SHA (Thuật toán băm an toàn) là năm thuật toán được FIPS công nhận, dùng để chuyển đổi một đoạn dữ liệu thành một chuỗi có độ dài cố định, đảm bảo tính khác biệt cao.
Năm thuật giải SHA là SHA-1 (trả lại kết quả dài 160 bit), SHA-
Các thuật toán băm SHA bao gồm SHA-224 (kết quả dài 224 bit), SHA-256 (kết quả dài 256 bit), SHA-384 (kết quả dài 384 bit) và SHA-512 (kết quả dài 512 bit) Những thuật toán này được phát triển bởi Cục An ninh Quốc gia Mỹ (NSA) và đã được công nhận là tiêu chuẩn chính thức của chính phủ Mỹ bởi Viện Công nghệ và Tiêu chuẩn Quốc gia.
Mĩ (National Institute of Standards and Technology hay NIST) Bốn thuật giải sau thường được gọi chung là SHA-2
Các phiên bản phổ biến nhất của SHA trên internet bao gồm SHA-1 (160-bit), chiếm hơn 28% trong số chứng nhận số hiện có, bao gồm cả việc sử dụng từ nhiều nhà cung cấp VPN Tuy nhiên, SHA-1 đã bị coi là không an toàn và đã bị hỏng.
Gần đây, Microsoft, Google và Mozilla đã thông báo rằng các trình duyệt của họ sẽ ngừng hỗ trợ chứng chỉ SSL sử dụng SHA-1 từ năm 2017 Vào tháng 8 năm 2015, NIST đã công bố SHA-3 là tiêu chuẩn băm thay thế cho SHA-2.
Cơ chế Hạ tầng Khóa Công khai (PKI) cho phép một bên thứ ba, thường là nhà cung cấp chứng thực số, thực hiện việc cấp phát và xác thực danh tính của các bên tham gia trong quá trình trao đổi thông tin PKI cũng gán cho mỗi người dùng trong hệ thống một cặp khóa công khai và khóa riêng tư Các quy trình này thường được thực hiện thông qua phần mềm đặt tại trung tâm và các phần mềm khác tại địa điểm của người dùng Khóa công khai thường được phân phối thông qua chứng thực khóa công khai, hay còn gọi là Hạ tầng Khóa Công khai.
Hệ thống PKI bao gồm bốn thành phần chính: Các Cơ quan Chứng nhận (CA) có nhiệm vụ cấp và thu hồi chứng chỉ, Các Cơ quan Đăng ký (RA) kết nối giữa khóa công khai và danh tính của người giữ chứng chỉ, người sử dụng chứng chỉ PKI được gọi là Clients, và Repository là hệ thống lưu trữ chứng chỉ cùng danh sách các chứng chỉ đã bị thu hồi, có thể được phân tán.
Hình 3.1.4.1 Các thành phần PKI
Chức năng cơ bản của PKI
Những hệ thống cho phép PKI có những chức năng khác nhau Nhưng nhìn chung có hai chức năng chình là: chứng thực và kiểm tra
CÁC GIAO THỨC MÃ HÓA TRONG VPN
PPTP
Giao thức PPTP, được phát triển bởi một công ty chuyên về thiết bị công nghệ viễn thông, tách biệt các chức năng truy cập từ xa trên hạ tầng Internet hiện có, tạo ra kết nối đường hầm giữa người dùng và mạng riêng ảo Người dùng có thể quay số tới các nhà cung cấp dịch vụ Internet để thiết lập đường hầm riêng, cho phép truy cập an toàn vào mạng riêng ảo Dựa trên nền tảng của PPP, PPTP cung cấp khả năng truy cập linh hoạt qua Internet đến các địa điểm mục tiêu, sử dụng giao thức đóng gói tin định tuyến chung GRE để xử lý và phân tách gói PPP.
4.1.2 Nguyên tắc hoạt động của PPTP
PPP (Point-to-Point Protocol) là giao thức truy cập Internet và mạng IP phổ biến, hoạt động ở lớp liên kết dữ liệu trong mô hình OSI Giao thức này bao gồm các phương thức đóng gói và tách gói IP, cho phép truyền dữ liệu qua kết nối điểm tới điểm giữa các thiết bị.
PPTP đóng gói dữ liệu của giao thức PPP vào các gói tin IP để truyền qua mạng IP, sử dụng kết nối TCP để khởi tạo, duy trì và kết thúc đường hầm Gói định tuyến GRE được dùng để đóng gói các khung PPP, trong khi phần tải của khung PPP có thể được mã hóa và nén lại.
PPTP sử dụng giao thức PPP để thiết lập và kết thúc kết nối vật lý, xác định người dùng và tạo các gói dữ liệu PPP.
PPTP cho phép thiết lập một mạng IP giữa khách hàng và máy chủ, với khả năng kết nối trực tiếp từ PPTP khách đến máy chủ thông qua NAS Khi kết nối thành công, người dùng được xác nhận, đây là giai đoạn tùy chọn trong PPP nhưng luôn được cung cấp bởi ISP Việc xác thực là một phần quan trọng trong quá trình này.
Trong quá trình thiết lập kết nối PPTP, các cơ chế xác thực của PPP được áp dụng, bao gồm nhiều phương pháp xác thực khác nhau.
• Giao thức xác thực mở rộng EAP
• Giao thức xác thực có thử thách bắt tay CHAP
• Giao thức xác định mật khẩu PAP
Giao thức PAP truyền tải mật khẩu qua kết nối dưới dạng văn bản đơn giản, không bảo mật, trong khi CHAP sử dụng phương pháp bắt tay ba chiều mạnh mẽ hơn để chống lại các tấn công quay lại, nhờ vào các giá trị bí mật duy nhất PPTP tích hợp mã hóa và nén dữ liệu của PPP, với MPPE cung cấp mã hóa trong quá trình truyền tải, nhưng không bảo vệ dữ liệu tại các thiết bị đầu cuối Để đảm bảo mã hóa đầu cuối đến đầu cuối, giao thức IPSec có thể được sử dụng để bảo mật lưu lượng IP giữa các đầu cuối sau khi thiết lập đường hầm PPTP.
Khi PPP được thiết lập kết nối, PPTP sử dụng quy luật đóng gói của PPP để đóng gói các gói truyền trong đường hầm PPTP định nghĩa hai loại gói: gói điều khiển và gói dữ liệu, và gán chúng vào hai kênh riêng biệt Các kênh điều khiển và dữ liệu được tách thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức IP Kết nối TCP giữa máy khách và máy chủ được sử dụng để truyền thông báo điều khiển, trong khi các gói dữ liệu chứa thông tin của người dùng Các gói điều khiển được gửi theo chu kỳ để quản lý trạng thái kết nối và thông tin thiết bị giữa hai đầu đường hầm.
Kênh điều khiển là yếu tố quan trọng trong việc thiết lập đường hầm giữa máy khách và máy chủ PPTP Máy chủ PPTP là một server sử dụng giao thức PPTP, kết nối với Internet thông qua một giao diện.
32 giao diện khác nối với Intranet, còn phần mềm client có thể nằm ở máy người dùng từ xa hoặc tại các máy chủ ISP
4.1.3 Nguyên tắc kết nối của PPTP
Kết nối điều khiển PPTP là sự liên kết giữa địa chỉ IP của máy khách và máy chủ, chịu trách nhiệm truyền tải các gói tin điều khiển và quản lý để duy trì đường hầm PPTP Những bản tin này bao gồm yêu cầu phản hồi và phản hồi định kỳ từ PPTP, nhằm phát hiện lỗi kết nối giữa máy trạm và máy chủ Gói tin của kết nối điều khiển PPTP bao gồm tiêu đề IP, tiêu đề TCP, bản tin điều khiển PPTP, cùng với tiêu đề và phần cuối của lớp liên kết dữ liệu.
Tiêu đề liên kết dữ liệu
Phần cuối của liên kết dữ liệu
Bản tin điều Khiển PPTP Tiêu đề IP Tiêu đề TCP
Hình 4.1.3.1 : Gói dữ liệu kết nối điều khiển PPTP
4.1.4 Nguyên lý đóng gói dữ liệu đường hầm PPTP Đóng gói khung PPP và gói định tuyến chung GRE
Dữ liệu đường hầm PPTP được đóng gói thông qua các mức được mô tả theo mô hình
Tiêu đề liên kết dữ liệu
Tải PPP được mã hoá
Tiêu đề IP Tiêu đề GRE Phần đuôi liên kết dữ liệu
Mô hình đóng gói dữ liệu đường hầm PPTP được thể hiện qua hình 4.1.4.1, trong đó phần tải của khung PPP ban đầu được mã hóa và gắn tiêu đề PPP, tạo thành khung PPP Sau đó, khung PPP này được đóng gói với tiêu đề của phiên bản giao thức GRE đã được sửa đổi.
GRE (Generic Routing Encapsulation) là giao thức đóng gói chung, cho phép định tuyến dữ liệu qua mạng IP Đối với PPTP (Point-to-Point Tunneling Protocol), tiêu đề của GRE được điều chỉnh bằng cách thêm trường xác nhận dài 32 bits, cùng với một bit xác nhận để chỉ ra sự hiện diện của trường này Ngoài ra, trường Key trong GRE được thay thế bằng trường độ dài Payload.
16 bits và trường chỉ số cuộc gọi 16 bits Trường chỉ số cuộc gọi được thiết lập bởi máy trạm PPTP trong quá trình khởi tạo đường hầm
Trong quá trình truyền tải dữ liệu PPP, các tiêu đề GRE được đóng gói trong một tiêu đề IP với thông tin địa chỉ nguồn và đích cho máy trạm và máy chủ PPTP Để truyền qua mạng LAN hoặc WAN, gói tin IP cuối cùng sẽ được đóng gói với tiêu đề và phần cuối của lớp liên kết dữ liệu tại giao diện vật lý Cụ thể, nếu gói tin IP được gửi qua giao diện Ethernet trong mạng LAN, nó sẽ được gói với tiêu đề và đuôi Ethernet Ngược lại, nếu gói tin IP được truyền qua đường WAN điểm tới điểm, nó sẽ được đóng gói với tiêu đề và đuôi của giao thức PPP.
Sơ đồ đóng gói trong giao thức PPTP
Quá trình đóng gói PPTP từ một máy trạm qua kết nối truy nhập VPN từ xa sử dụng modem được mô phỏng theo hình dưới đây
Tiêu đề liên kết dữ liệu Tải PPP được mã hoá Tiêu đề PPP
Tiêu đề IP Tiêu đề GRE Phần đuôi liên kết dữ liệu
L2TP PPTP ATM X25 ISDN NDISWAN
Cấu trúc gói tin cuối cùng
Hình 4.1.4.2 : Sơ đồ đóng gói PPTP
Các gói tin IP, IPX hoặc khung NetBEUI được truyền tới giao diện ảo đại diện cho kết nối VPN thông qua các giao thức tương ứng, tuân theo đặc tả giao diện thiết bị mạng NDIS.
NDIS gửi gói tin dữ liệu đến NDISWAN, nơi thực hiện mã hóa và nén dữ liệu Tiêu đề PPP chỉ bao gồm trường mã số giao thức PPP, không có trường Flags và trường chuỗi kiểm tra khung (FCS) Giả định rằng trường địa chỉ và điều khiển được.
34 thoả thuận ở giao thức điều khiển đường truyền (LCP) trong quá trình kết nối PPP
L2TP
IETF đã phát triển L2TP bằng cách kết hợp hai giao thức PPTP và L2F, mang lại những ưu điểm nổi bật của cả hai L2TP cung cấp tính linh hoạt và hiệu quả chi phí cho giải pháp truy cập từ xa của L2F, đồng thời sở hữu khả năng kết nối điểm điểm nhanh chóng như PPTP.
L2TP kết hợp đặc điểm của PPTP và L2F, hỗ trợ nhiều giao thức và công nghệ mạng khác nhau, bao gồm IP và ATM.
L2TP không yêu cầu cài đặt phần mềm bổ sung, giúp người dùng và mạng Intranet dễ dàng truy cập mà không cần phần mềm chuyên dụng Giao thức này cho phép người dùng từ xa kết nối với mạng qua địa chỉ IP riêng tư hoặc chưa đăng ký Quá trình xác thực của L2TP được thực hiện bởi cổng mạng máy chủ, giúp ISP không cần lưu trữ dữ liệu xác thực của người dùng Mạng riêng có thể thiết lập chính sách truy cập riêng, làm cho việc thiết lập đường hầm nhanh hơn so với các giao thức trước đây Điểm nổi bật của L2TP là nó thiết lập đường hầm PPP mà không giống như PPTP, vì nó không kết thúc gần ISP mà mở rộng đến cổng của mạng máy chủ.
38 đích), như hình 3.23, những yêu cầu của đường hầm L2TP có thể khởi tạo bởi người dùng từ xa hoặc bởi cổng của ISP
Khi các khung PPP được truyền qua đường hầm L2TP, chúng được đóng gói thành các thông điệp User Datagram Protocol (UDP) L2TP sử dụng các thông điệp UDP này để thiết lập và duy trì hầm dữ liệu Đặc biệt, cả hầm dữ liệu và hầm duy trì gói tin đều có cấu trúc gói dữ liệu giống nhau, điều này khác biệt so với các giao thức tạo hầm trước đây.
4.2.2 Dữ liệu đường hầm L2TP
Tương tự PPTP tunneled packets, L2TP đóng gói dữ liệu trải qua nhiều tầng đóng gói Sau đây là một số giai đoạn đóng gói của L2TP data tunneling:
PPP đóng gói dữ liệu khác với phương thức của PPTP, vì dữ liệu không được mã hóa trước khi đóng gói Chỉ có tiêu đề PPP được thêm vào dữ liệu gốc.
L2TP đóng gói khung của PPP Sau khi original payload được đóng gói bên trong một PPP packet, một L2TP header được thêm vào nó
Gói dữ liệu L2TP được đóng gói bên trong một frame UDP, với một header UDP được thêm vào L2TP frame Cổng nguồn và đích trong header UDP được thiết lập theo chỉ định là 1710.
LNS Đường hầm L2TP Kết nối PPP
Data Đóng gói PPP PPP Data
Quá trình hoàn tất dữ liệu qua đường hầm liên quan đến việc đóng gói tầng Data Link, trong đó phần đầu và phần cuối của tầng này được thêm vào gói dữ liệu IP trong quá trình đóng gói.
Phần đầu và phần cuối của tầng Data Link đóng vai trò quan trọng trong việc truyền gói dữ liệu đến nút đích Nếu nút đích nằm trong mạng nội bộ, các thành phần này sẽ sử dụng công nghệ LAN, chẳng hạn như mạng Ethernet.
Quy trình xử lý de-tunneling các gói dữ liệu L2TP ngược lại với quy trình tunneling Khi một thành phần L2TP như LNS hoặc người dùng cuối nhận được gói L2TP đã được tunnel, gói dữ liệu sẽ được xử lý sâu hơn và phần IP header sẽ bị gỡ bỏ Gói dữ liệu sau đó được xác nhận thông qua thông tin trong phần IPSec ESP header và AH trailer, trong khi phần IPSec ESP header cũng được sử dụng để giải mã và mã hóa thông tin Tiếp theo, phần UDP header sẽ được xử lý và loại bỏ, và cuối cùng, phần PPP header cũng sẽ được xử lý và gỡ bỏ.
40 và phần PPP payload được chuyển hướng đến protocol driver thích hợp cho qui trình xử lý
Hình 4.2.2.2 : Mô tả qui trình xử lý de-tunneling gói dữ liệu L2TP
4.2.3 Chế độ đường hầm L2TP
L2TP có hai chế độ hoạt động: chế độ đường hầm bắt buộc và chế độ đường hầm tự nguyện, cả hai đều đóng vai trò quan trọng trong việc bảo mật dữ liệu khi truyền từ điểm này sang điểm khác.
Trong chế độ đường hầm bắt buộc, khung PPP từ PC ở xa được tạo đường hầm trong suốt tới mạng LAN, cho phép Client ở xa kết nối như thể đang sử dụng mạng công ty qua một kết nối PPP Phần mềm L2TP sẽ thêm L2TP header vào mỗi khung PPP được tạo đường hầm, và header này sẽ được sử dụng tại điểm cuối khác của đường hầm, nơi mà gói tin L2TP chứa nhiều thành phần khác nhau.
Hình 4.2.3.1 : Chế độ đường hầm bắt buộc L2TP
Các bước thiết lập L2TP đường hầm bắt buộc được mô tả trong hình 3.28 theo các bước sau:
(1) Người dùng từ xa yêu cầu một kết nối PPP từ NAS được đặt tại ISP site
(2) NAS xác nhận người dùng Qui trình xác nhận này cũng giúp NAS biết được cách thức người dùng yêu cầu kết nối
(3) Nếu NAS tự do chấp nhận yêu cầu kết nối, một kết nối PPP được thiết lập giữa ISP và người dùng từ xa
(4) LAC khởi tạo một L2TP tunnel đến một LNS ở mạng chủ cuối
Khi kết nối được LNS chấp nhận, các khung PPP sẽ trải qua quá trình tunneling L2TP Những khung đã được tunneling L2TP này sẽ được chuyển đến LNS qua tunnel L2TP.
(6) LNS chấp nhận những frame này và phục hồi lại PPP frame gốc
Cuối cùng, LNS xác nhận tính hợp lệ của người dùng và cấp phát các gói dữ liệu Nếu người dùng được xác nhận hợp lệ, một địa chỉ IP phù hợp sẽ được ánh xạ đến frame.
(8) Sau đó frame này được chuyển đến nút đích trong mạng intranet
Hình 4.2.3.2 Thiết lập một đường hầm bắt buộc
Chế độ đường hầm tự nguyện với Client ở xa kết hợp chức năng LAC có khả năng điều khiển đường hầm Giao thức L2TP hoạt động tương tự như khi sử dụng đường hầm bắt buộc, vì vậy LNS không nhận thấy sự khác biệt giữa hai chế độ.
Hình 4.2.3.3 Chế độ đường hầm tự nguyện L2TP
Thuận lợi lớn nhất của đường hầm tự nguyện L2TP là cho phép người dùng từ xa kết nối vào internet và thiết lập nhiều phiên làm việc
3 Thiết lập kết nối 4 Bắt đầu đường hầm
L2TP 5 Thiết lập kết nối
7 Xác nhận người dùng từ xa
Người sử dụng Điều khiển mạng
VPN đồng thời yêu cầu người dùng từ xa phải được gán nhiều địa chỉ IP, trong đó một địa chỉ được sử dụng cho kết nối PPP đến ISP và một địa chỉ khác hỗ trợ cho mỗi L2TP tunnel riêng biệt Mặc dù điều này mang lại lợi ích, nhưng cũng có thể trở thành bất lợi, khiến mạng chủ dễ bị tổn thương trước các cuộc tấn công.
IPSec
IPSec là một bộ giao thức tiêu chuẩn mở, được thiết kế nhằm đảm bảo xác thực, tính toàn vẹn và độ tin cậy của dữ liệu.
IPSec hoạt động ở lớp 3 và sử dụng IKE để thiết lập SA giữa các đối tượng ngang hàng Các đối tượng cần thiết lập trong quá trình thiết lập SA bao gồm thuật toán mã hóa, thuật toán băm (Hash), phương thức xác thực và nhóm Diffie-Hellman.
Chức năng của IPSec là thiết lập bảo mật giữa hai đối tượng ngang hàng, xác định khóa, giao thức và thuật toán sử dụng Các SA IPSec có thể được thiết lập theo dạng vô hướng.
Sau khi gói tin được chuyển tới tầng mạng, gói tin IP không được bảo vệ an toàn Do đó, không có đảm bảo rằng datagram IP nhận được sẽ an toàn và không bị thay đổi.
- Từ người gửi yêu cầu
- Dữ liệu gốc từ người gửi
- Không bị kiểm tra bởi bên thứ 3 trong khi gói tin đang được gửi từ nguồn tới đích
IPSec là một phương pháp để bảo vệ IP datagram IPSec bảo vệ
IP datagram bằng cách định nghĩa một phương pháp định rõ lưu lượng
IPSec là một giải pháp bảo mật mạng hiệu quả, cung cấp khả năng bảo vệ lưu lượng giữa các host, cổng an ninh mạng và giữa host với cổng an ninh Nó thực hiện việc đóng gói dữ liệu và quản lý thông tin để thiết lập, duy trì và hủy bỏ đường hầm khi không còn cần thiết Các gói tin được truyền qua đường hầm có hình thức tương tự như các gói tin thông thường, không ảnh hưởng đến các thiết bị, kiến trúc và ứng dụng hiện có trên mạng, giúp giảm đáng kể chi phí triển khai và quản lý.
IPSec là tập hợp các giao thức do IETF phát triển nhằm hỗ trợ việc thay đổi bảo mật cho gói tin ở tầng IP qua mạng vật lý Nó được sử dụng phổ biến để triển khai VPN và hỗ trợ hai chế độ mã hóa: transport và tunnel.
Chế độ transport trong IPSec chỉ mã hóa phần payload của mỗi gói tin, trong khi phần header vẫn được giữ nguyên Khi nhận gói tin, thiết bị tương thích với IPSec sẽ tiến hành giải mã từng gói tin để đảm bảo tính toàn vẹn và bảo mật thông tin.
Chế độ Transport bảo vệ phần tải tin của gói dữ liệu và các giao thức ở lớp cao hơn, nhưng địa chỉ IP nguồn được vận chuyển ở dạng "clear".
IP nguồn là yếu tố quan trọng trong việc định tuyến gói dữ liệu qua mạng Internet Chế độ transport ESP được áp dụng giữa hai máy, khi địa chỉ đích là máy của chính nó Chế độ này chỉ đảm bảo tính bảo mật cho các giao thức ở lớp cao hơn.
Chế độ này có nhược điểm là cho phép các thiết bị trong mạng nhận diện địa chỉ nguồn và đích của gói tin, từ đó có khả năng thực hiện các xử lý như phân tích lưu lượng dựa trên thông tin trong tiêu đề.
Khi sử dụng 47 đề IP, nếu dữ liệu được mã hóa bởi ESP, thông tin cụ thể trong gói tin IP sẽ không thể xác định được Theo IETF, chế độ truyền tải chỉ có thể áp dụng khi hai hệ thống đầu cuối IP-VPN thực hiện IPSec.
Chế độ tunnel mã hóa cả phần header và payload, mang lại mức độ bảo mật cao hơn cho gói tin Tại phía nhận, thiết bị tương thích IPSec sẽ tiến hành giải mã từng gói tin Một trong những giao thức phổ biến nhất để thiết lập VPN chính là chế độ đường hầm IPSec.
Chế độ tunnel cho phép bộ định tuyến thực hiện xử lý IPSec thay vì các trạm cuối Trong hình 3.9, bộ định tuyến A xử lý các gói tin từ trạm A và gửi chúng vào đường hầm.
Bộ định tuyến B đảm nhiệm việc xử lý các gói tin trong đường hầm, phục hồi chúng về dạng ban đầu và chuyển tiếp đến trạm B, giúp các trạm cuối không cần thay đổi trong khi vẫn đảm bảo tính an ninh dữ liệu của IPSec Khi sử dụng chế độ đường hầm, các thiết bị trung gian chỉ thấy địa chỉ của hai điểm cuối (bộ định tuyến A và B), và các đầu cuối của IPSec-VPN không cần thay đổi ứng dụng hay hệ điều hành.
Hình 4.3.1.4: Thiết bị mạng thực hiện trong IPSec trong chế độ đường hầm
IP HDR AH HDR DATA
AH trong mode Tunnel Authenticated Header and Data
Hình 4.3.1.5 AH trong mode Tunnel và transport
IP HDR ESP HDR Encrypted Data
ESP Encrypted Original IP Header and Data
Hình 4.3.1.6 ESP trong mode Tunnel và transport
IPSec được phát triển nhằm bảo đảm an ninh mạng thông qua các chức năng như tính xác thực, tính toàn vẹn, tính bảo mật và mã hóa Tính xác thực đảm bảo rằng dữ liệu nhận được giống với dữ liệu gửi đi, xác nhận người gửi là chính xác Tính toàn vẹn bảo vệ dữ liệu khỏi sự thay đổi trong quá trình truyền tải Tính bảo mật cho phép người gửi mã hóa gói dữ liệu trước khi truyền qua mạng công cộng, đảm bảo rằng thông tin chỉ có thể được giải mã bởi bên nhận Mã hóa là một phương pháp cơ bản cung cấp tính bảo mật Cuối cùng, phân tích lưu lượng giúp xác định thông tin hữu ích cho kẻ tấn công, như thông tin thường xuyên được truyền và định danh của các bên tham gia.
SSTP
SSTP (Secure Socket Tunneling Protocol) là một giao thức VPN được sử dụng trong Windows Vista và Windows Server 2008, cho phép thiết lập kết nối VPN an toàn thông qua các kết nối HTTP mã hóa SSL Với SSTP, thông tin quan trọng của người dùng chỉ được truyền đi khi một "đường hầm" SSL an toàn được thiết lập với VPN gateway, đảm bảo tính bảo mật cao SSTP, còn được biết đến với tên gọi PPP trên SSL, cho phép sử dụng các cơ chế chứng thực PPP và EAP, từ đó tăng cường độ an toàn cho các kết nối SSTP.
4.4.2 Lý do sử dụng SSTP trong VPN
Mạng riêng ảo (VPN) cho phép kết nối từ xa đến hệ thống mạng qua Internet, với Windows Server 2003 hỗ trợ các đường hầm VPN dựa trên PPTP và L2TP/IPSec Để người dùng truy cập từ xa qua Firewall, cần mở các port TCP 1723 và giao thức IP GRE để cho phép kết nối PPTP.
Trong một số tình huống như khi nhân viên đến thăm khách hàng hoặc đối tác, hệ thống chỉ cho phép truy cập web qua HTTP và HTTPS, trong khi các cổng khác bị chặn Điều này gây khó khăn cho người dùng từ xa khi kết nối VPN, dẫn đến việc tăng số lượng cuộc gọi hỗ trợ và giảm năng suất làm việc Để khắc phục vấn đề này, Secure Socket Tunneling Protocol (SSTP) đã được giới thiệu trong Windows Server 2008 như một giải pháp cho kết nối VPN.
SSTP sử dụng giao thức HTTPs làm lớp vận chuyển, cho phép các kết nối VPN vượt qua các tường lửa, NAT và máy chủ proxy web thường được cấu hình Điều này giúp đảm bảo rằng kết nối HTTPs (TCP) có thể hoạt động một cách hiệu quả và an toàn.
HTTPs thường được sử dụng để truy cập các trang web bảo mật, bao gồm các trang thương mại Do đó, giao thức này thường được cho phép trong các firewall và có khả năng đi qua các proxy web cũng như router NAT.
VPN Server trên nền Windows Server 2008 sử dụng SSTP để tiếp nhận kết nối từ VPN client, yêu cầu cài đặt Computer Certificate với thuộc tính Server Authentication Certificate này xác thực server SSTP với client trong quá trình thiết lập session SSL, và Root CA cấp phát certificate cho SSTP server cần được cài đặt trên client Đường hầm VPN dựa vào SSTP hoạt động tương tự như peer-L2TP và PPTP, với PPTP được bao bọc trong SSTP để gửi lưu lượng qua kết nối HTTPS Tất cả các tính năng của VPN như kiểm tra sức khỏe dựa vào NAT, hỗ trợ lưu lượng IPV6, và các thuật toán xác thực vẫn giữ nguyên với SSTP, PPTP và L2TP, giúp Admin dễ dàng di chuyển từ L2TP/PPTP sang SSTP.
4.4.3 Cách hoạt động của SSTP
SSTP hoạt động trên giao thức HTTPS, sử dụng SSL để bảo mật thông tin và dữ liệu SSL cung cấp cơ chế xác thực các điểm cuối thông qua PKI SSTP xác thực server với client bằng SSL, trong khi client được xác thực với server thông qua giao thức PPP Điều này có nghĩa là client xác thực server thông qua chứng chỉ, và server xác thực client dựa trên giao thức hỗ trợ bởi PPP.
Khi Client kết nối với Remote Access Server thông qua SSTP, giao thức này thiết lập một phiên HTTPs tại port 443 với địa chỉ URL riêng biệt Các thiết lập proxy HTTP được cấu hình qua Internet Explorer sẽ được sử dụng để tạo kết nối này.
Trong giao thức HTTPS, client yêu cầu server cung cấp chứng chỉ để xác thực Sau khi thiết lập mối quan hệ SSL hoàn tất, các phiên HTTP được thiết lập trên nền tảng đó Tiếp theo, SSTP được sử dụng để thương lượng các tham số giữa client và server Khi lớp SSTP được thiết lập, quá trình thương lượng SSTP bắt đầu, nhằm cung cấp cơ chế xác thực cho client với server và tạo ra một đường hầm an toàn cho dữ liệu.
IKEv2
Giao thức Internet Key Exchange phiên bản 2 (IKEv2) là một phần của IPSec, được phát triển bởi Microsoft và Cisco, và đã được tích hợp từ Windows 7 trở lên Nó hỗ trợ các tiêu chuẩn cho các thiết bị Blackberry và có phiên bản tương thích phát triển độc lập cho Linux Được biết đến với tên gọi VPN Connect của Microsoft, IKEv2 nổi bật với khả năng tự động tái thiết lập kết nối VPN khi người dùng mất kết nối internet tạm thời, như khi di chuyển vào hoặc ra khỏi các khu vực như đường hầm xe lửa.
Người dùng di động được hưởng lợi lớn từ giao thức IKEv2 nhờ vào tính năng hỗ trợ kết nối nhiều mạng (Multihoming - MOBIKE), giúp duy trì kết nối ổn định khi thay đổi mạng lưới Điều này rất hữu ích cho những người sử dụng điện thoại thông minh, chẳng hạn như khi họ kết nối với WiFi tại nhà và chuyển sang dữ liệu di động khi ra ngoài, hoặc cho những ai thường xuyên chuyển đổi giữa các điểm nóng.
Giao thức IKEv2 rất hữu ích cho người dùng Blackberry, vì nó là một trong số ít giao thức VPN được hỗ trợ trên các thiết bị này.
Giao thức IKEv2, mặc dù không phổ biến như IPSec, được đánh giá cao hơn L2TP/IPsec về mặt an ninh, hiệu suất, tính ổn định và khả năng thiết lập cũng như tái lập kết nối.
Giao thức IKEv2 là một lựa chọn an toàn và nhanh chóng, đặc biệt phù hợp cho người dùng di động Nó có khả năng kết nối lại hiệu quả khi kết nối Internet bị gián đoạn, khiến nó trở thành sự lựa chọn ưu việt hơn so với OpenVPN Đối với người dùng Blackberry, IKEv2 được xem là giải pháp tốt nhất.
SSL/TLS
Giao thức Secure Socket Layer (SSL) được thiết kế để bảo vệ thông tin trao đổi giữa Client và Server trong mạng máy tính Là một giao thức tầng phiên, SSL sử dụng các phương pháp mật mã để bảo vệ dữ liệu, đảm bảo rằng thông tin được truyền đi được giữ bí mật thông qua mã hóa Bên cạnh đó, việc tạo và kiểm tra chữ ký số giúp đảm bảo tính xác thực và toàn vẹn của thông tin.
Giao thức SSL kết hợp mật mã đối xứng và bất đối xứng, sử dụng các thuật toán như RSA và Diffie-Hellman cùng với các hàm băm MD5 và SHA1 Các thuật toán mật mã đối xứng được hỗ trợ bao gồm RC2, RC4 và 3DES SSL cũng hỗ trợ các chứng chỉ số tuân thủ tiêu chuẩn X.509.
Thủ tục thăm dò trước (bắt tay) được thực hiện trước khi bảo vệ trực tiếp sự trao đổi thông tin
Khi thực hiện thủ tục này, các công việc cần hoàn tất bao gồm xác thực giữa Client và Server, áp dụng các điều kiện của thuật toán mật mã, tạo một khoá chủ bảo mật và thiết lập khoá phiên bảo mật dựa trên khoá chủ.
TLS được phát triển dựa trên SSL, cho phép Server và Client giao tiếp an toàn qua các mạng công cộng không an toàn Ngoài việc cung cấp các tính năng bảo mật của SSL, TLS còn ngăn chặn các mối đe dọa như nghe trộm, giả mạo và chặn bắt gói tin.
Trong các kịch bản mạng riêng ảo, SSL và TLS có thể được triển khai cả ở Server VPN và Client đầu cuối Tầng phiên, nằm ở vị trí cao nhất trong mô hình OSI, có khả năng thiết lập các kết nối mạng riêng ảo Việc tạo ra các mạng riêng ảo trên tầng phiên không chỉ mang lại hiệu suất cao mà còn đảm bảo các tham số chức năng cho việc trao đổi thông tin, kiểm soát truy cập trở nên đáng tin cậy và dễ dàng quản lý.
Khi tạo các mạng riêng ảo trên tầng phiên, việc bổ sung bảo vệ bằng mật mã và xác thực là rất quan trọng Ngoài ra, công nghệ Proxy cũng có thể được thực thi, với SSL và TSL là hai giao thức phổ biến nhất hiện nay.
So sánh các giao thức mã hóa trong VPN
Giao thức Ưu điểm Khuyết điểm
PPTP - Sử dụng trên nền tảng cho client
- Không an toàn (Chứng thực MS CHAPv2 dễ bị tấn công mặc dù được sử dụng nhiều)
- Phải được sự thông qua của NSA
L2TP và IPSec - Khá an toàn
- Có sẵn hầu hết trên các nền tảng
- Hạn chế khi gặp tường lửa
SSTP - Rất an toàn (phụ thuộc trên số mã hóa)
- Hoàn toàn tích hợp vào Windows
- Chỉ làm việc đúng trên môi trường Windows
- Thuộc quyền sở hữu của Microsoft vì thế không thể kiểm tra được backdoor
- Hầu hết bỏ qua các tường lửa
SSTP và L2TP, vì nó không liên quan đến các chi phí liên quan đến giao thức Point- to-Point (PPP)
- Rất ổn định - đặc biệt là khi chuyển đổi mạng hoặc kết nối lại sau khi kết nối Internet bị mất
- Rất an toàn - hỗ trợ AES 128, AES 192, AES 256 và thuật toán mã hóa 3DES
- Dễ dàng cài đặt ở người dùng cuối)
- Giao thức được hỗ trợ trên các thiết bị Blackberry
- Sử dụng Perfect Forward Secrecy (PFS)
- Không hỗ trợ trên nhiều nền tảng
- Thi hành các giao thức IKEv2 tại máy chủ cuối là phương pháp, điều đó có thể dẫn đến những vấn đề phát sinh