TỔNG QUAN VỀ VPN
Tìm hiểu về Mạng riêng ảo (VPN)
Mạng riêng ảo (VPN) là một dịch vụ mạng ảo triển khai trên hạ tầng mạng công cộng, giúp tiết kiệm chi phí cho các kết nối điểm-điểm Ví dụ đơn giản nhất về VPN là cuộc điện thoại giữa hai cá nhân trên mạng điện thoại công cộng Hai đặc điểm quan trọng của VPN là "riêng" và "ảo," tương ứng với các thuật ngữ tiếng Anh "Virtual" và "Private." VPN có thể hoạt động ở bất kỳ lớp nào trong mô hình OSI, cải tiến hạ tầng mạng WAN và nâng cao tính năng của mạng cục bộ.
Hình 1.1.1.1 : Sơ đồ kết nối từ cơ sở U với cơ sở A của trườn HUTECH thông qua công nghệ VPN
VPN (mạng riêng ảo) là một mạng riêng sử dụng hạ tầng mạng chung như Internet để kết nối với các mạng riêng lẻ hoặc người dùng từ xa Thay vì sử dụng kết nối vật lý chuyên dụng như đường Leased, VPN cho phép truyền tải dữ liệu một cách an toàn và bảo mật qua mạng công cộng.
Line, mỗi VPN sử dụng các kết nối ảo được dẫn qua đường Internet từ mạng riêng của công ty tới các site của các nhân viên từ xa
Hình 1.1.1.2 Mô hình mạng VPN
Các thiết bị đầu mạng như switch, router và firewall đóng vai trò quan trọng trong việc hỗ trợ mạng riêng ảo (VPN) Những thiết bị này có thể được quản lý bởi các công ty hoặc các nhà cung cấp dịch vụ Internet (ISP).
VPN, hay mạng riêng ảo, là phương pháp tạo ra một mạng riêng trên nền tảng mạng công cộng thông qua các kết nối tạm thời Những kết nối bảo mật này được thiết lập giữa hai máy chủ, giữa máy chủ và mạng, hoặc giữa hai mạng khác nhau.
Một VPN có thể được xây dựng bằng cách sử dụng “Đường hầm” và “Mã hoá” VPN có thể xuất hiện ở bất cứ lớp nào trong mô hình OSI
VPN là sự cải tiến cơ sở hạ tầng mạng WAN mà làm thay đổi hay làm tăng thêm tính chất của các mạng cục bộ
VPN cung cấp ba chức năng chính, trong đó sự tin cậy (Confidentiality) là rất quan trọng Người gửi có thể mã hóa các gói dữ liệu trước khi truyền qua mạng, đảm bảo rằng không ai có thể truy cập thông tin mà không được phép.
Và nếu có lấy được thì cũng không đọc được
Tính toàn vẹn dữ liệu (Data Integrity) cho phép người nhận kiểm tra rằng dữ liệu đã được truyền qua Internet mà không bị thay đổi Xác thực nguồn gốc (Origin Authentication) giúp người nhận xác minh nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin.
1.1.3 Lợi ích của VPN ü VPN làm giảm chi phí thường xuyên
VPN giúp tiết kiệm chi phí thuê đường truyền và giảm chi phí phát sinh cho nhân viên làm việc từ xa bằng cách cho phép họ truy cập vào hệ thống mạng nội bộ thông qua các điểm cung cấp dịch vụ địa phương (POP) Điều này hạn chế việc thuê đường truy cập từ nhà cung cấp, từ đó giảm đáng kể chi phí kết nối Lan-to-Lan so với việc thuê đường Leased-Line Bên cạnh đó, VPN cũng giúp giảm chi phí quản lý và hỗ trợ.
Sử dụng dịch vụ của nhà cung cấp cho phép doanh nghiệp chỉ cần quản lý các kết nối đầu cuối tại các chi nhánh mạng, không phải lo lắng về việc quản lý thiết bị chuyển mạch Điều này giúp tận dụng cơ sở hạ tầng mạng Internet và đội ngũ kỹ thuật của nhà cung cấp, từ đó công ty có thể tập trung vào các hoạt động kinh doanh cốt lõi Hơn nữa, VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực cho dữ liệu.
Dữ liệu được truyền qua mạng được mã hóa bằng các thuật toán an toàn và được truyền qua các đường hầm (Tunnel), đảm bảo thông tin có độ bảo mật cao Ngoài ra, VPN còn cho phép kết nối dễ dàng các chi nhánh thành một mạng cục bộ.
Trong bối cảnh toàn cầu hóa, các công ty thường có nhiều chi nhánh ở các quốc gia khác nhau, do đó việc quản lý thông tin tập trung giữa các chi nhánh là rất quan trọng Sử dụng VPN giúp kết nối hệ thống mạng giữa các chi nhánh và văn phòng trung tâm thành một mạng LAN hiệu quả với chi phí thấp.
Hình 1.1.3.1 : VPN giúp kết nối các chi nhánh thành 1 mạng riêng biệt
1.1.4 Các yêu cầu cơ bản đối với một giải pháp VPN
Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo
Mỗi doanh nghiệp xây dựng hệ thống mạng nội bộ và diện rộng theo các thủ tục khác nhau, không tuân theo chuẩn nhất định Nhiều hệ thống mạng không sử dụng chuẩn TCP/IP, dẫn đến việc không thể kết nối trực tiếp với Internet Để sử dụng IP VPN, các hệ thống mạng riêng cần chuyển đổi sang hệ thống địa chỉ theo chuẩn internet và bổ sung tính năng tạo kênh kết nối ảo, cũng như cài đặt cổng kết nối internet để chuyển đổi các thủ tục sang chuẩn IP Theo khảo sát, 77% khách hàng yêu cầu nhà cung cấp dịch vụ IP VPN phải tương thích với thiết bị hiện có.
Bảo mật cho khách hàng là yếu tố hàng đầu của một giải pháp VPN, giúp người dùng yên tâm rằng dữ liệu của họ được bảo vệ với mức độ an toàn tương tự như trong một hệ thống mạng riêng mà họ tự thiết lập và quản lý.
Việc cung cấp tính năng bảo đảm an toàn cần đảm bảo hai mục tiêu sau:
- Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu cho người sử dụng trong mạng và mã hoá dữ liệu khi truyền
Quản lý và sử dụng hệ thống trở nên đơn giản và thuận tiện cho cả người dùng và quản trị viên mạng, giúp dễ dàng trong việc cài đặt và quản lý.
Một giải pháp VPN cần thiết phải cung cấp được tính bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền
• Tiêu chuẩn về chất lượng dịch vụ (QoS):
Tiêu chuẩn đánh giá của mạng lưới là yếu tố quan trọng để đảm bảo chất lượng dịch vụ cuối cùng Chất lượng dịch vụ (QoS) liên quan đến khả năng duy trì độ trễ dịch vụ trong một khoảng thời gian nhất định, đồng thời cũng giải quyết các vấn đề liên quan đến hiệu suất mạng.
1.1.5 Đường hầm và mã hóa
Chức năng chính của VPN đó là cung cấp sự bảo mật bằng cách mã hoá qua một đường hầm
Đường hầm VPN cung cấp kết nối logic điểm tới điểm qua mạng IP không hướng kết nối, cho phép tận dụng các tính năng bảo mật Giải pháp đường hầm cho VPN sử dụng mã hóa để bảo vệ dữ liệu khỏi việc bị xem trộm bởi những đối tượng không được phép, đồng thời thực hiện đóng gói đa giao thức khi cần thiết Mã hóa tạo ra kết nối đường hầm, đảm bảo rằng dữ liệu chỉ có thể được đọc bởi người gửi và người nhận.
Mô hình VPN thông dụng
VPNs nhằm hướng vào 3 yêu cầu cơ bản sau đây :
Người dùng có thể truy cập tài nguyên mạng mọi lúc thông qua điều khiển từ xa và điện thoại di động, giúp tăng cường khả năng liên lạc giữa các nhân viên trong tổ chức.
• Nối kết thông tin liên lạc giữa các chi nhánh văn phòng từ xa
Điều khiển truy cập tài nguyên mạng là cần thiết cho khách hàng, nhà cung cấp và các đối tượng quan trọng của công ty nhằm thúc đẩy hợp tác kinh doanh hiệu quả.
Dựa trên nhu cầu cơ bản, VPN hiện nay được phân loại thành ba loại chính: Remote Access VPNs, Intranet VPNs và Extranet VPNs.
1.2.1 Các VPN truy cập (Remote Access VPNs)
VPN truy cập từ xa (Remote Access VPN) cho phép nhân viên và các chi nhánh kết nối linh hoạt đến tài nguyên mạng của tổ chức từ bất kỳ đâu, bao gồm cả thiết bị di động Điều này đặc biệt hữu ích cho những người dùng thường xuyên di chuyển hoặc các văn phòng nhỏ không có kết nối ổn định với mạng Intranet.
VPN truy cập từ xa thường yêu cầu người dùng cài đặt một số loại phần mềm client trên máy tính của họ để thực hiện kết nối.
Hình 1.2.1.1 Mô hình mạng VPN truy cập Một số thành phần chính :
Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới
Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ở khá xa so với trung tâm
Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truy cập từ xa bởi người dùng
Việc triển khai Remote Access VPN cho phép người dùng từ xa hoặc các chi nhánh văn phòng dễ dàng thiết lập kết nối cục bộ với nhà cung cấp dịch vụ ISP hoặc điểm truy cập của ISP, từ đó truy cập tài nguyên qua Internet một cách an toàn và hiệu quả.
Internet Đường hầm Đường hầm Tường lửa
Hình 1.2.1.2: Cài đặt Remote Access VPN
Các lợi ích chính của VPN truy cập từ xa bao gồm việc loại bỏ sự cần thiết của RAS và modem, đồng thời hỗ trợ người dùng cá nhân nhờ vào việc ISP đã tạo điều kiện thuận lợi cho kết nối từ xa Việc quay số từ xa cũng không còn cần thiết, vì các kết nối xa được thay thế bằng các kết nối cục bộ, giúp giảm chi phí cho các kết nối này Do tính chất cục bộ của kết nối, tốc độ truy cập sẽ cao hơn so với các kết nối trực tiếp từ xa Hơn nữa, VPN cung cấp khả năng truy cập tốt hơn đến trung tâm, hỗ trợ dịch vụ truy cập tối thiểu ngay cả khi có sự gia tăng nhanh chóng các kết nối đồng thời đến mạng.
Mặc dù VPNs mang lại nhiều lợi ích, nhưng cũng tồn tại một số bất lợi đáng chú ý Đầu tiên, Remote Access VPNs không đảm bảo chất lượng dịch vụ ổn định Thứ hai, nguy cơ mất dữ liệu cao, với khả năng các phân đoạn gói dữ liệu bị thất thoát Hơn nữa, độ phức tạp của thuật toán mã hóa làm tăng đáng kể overhead của giao thức, gây khó khăn trong quá trình xác nhận Cuối cùng, việc nén dữ liệu IP và PPP-based diễn ra chậm chạp, và việc truyền tải các dữ liệu lớn như video, âm thanh qua Internet thường rất chậm.
1.2.2 Các VPN nội bộ (Intranet VPNs):
Intranet VPNs kết nối các chi nhánh văn phòng với Corporate Intranet thông qua campus router, nhưng mô hình này tốn kém do cần hai router để thiết lập mạng Việc triển khai, bảo trì và quản lý mạng Intranet Backbone cũng rất tốn kém, phụ thuộc vào lưu lượng và phạm vi địa lý Để giảm chi phí, các kết nối Internet giá rẻ có thể thay thế WAN backbone, giúp giảm đáng kể chi phí triển khai mạng Intranet.
Intranet VPNs là giải pháp VPN nội bộ giúp bảo mật kết nối giữa các địa điểm khác nhau của công ty, cho phép truy cập dữ liệu được phép trên toàn mạng Chúng liên kết trụ sở chính, văn phòng và chi nhánh thông qua một cơ sở hạ tầng chung với các kết nối luôn được mã hóa Thông thường, loại VPN này được cấu hình dưới dạng VPN Site-to-Site.
Hình 1.2.2.1 Mô hình mạng VPN nội bộ
Intranet dựa trên VPN mang lại nhiều lợi ích đáng kể, bao gồm hiệu quả chi phí nhờ giảm số lượng router trong mô hình WAN backbone Nó cũng giúp giảm thiểu yêu cầu hỗ trợ người dùng cá nhân trên toàn cầu tại các trạm khác nhau Việc sử dụng Internet làm kết nối trung gian tạo điều kiện dễ dàng cho việc thiết lập các kết nối mới Hơn nữa, tốc độ kết nối nhanh hơn và ổn định hơn do loại bỏ vấn đề khoảng cách xa, từ đó giúp tổ chức tiết kiệm chi phí cho việc triển khai Intranet.
Dữ liệu trên mạng công cộng vẫn gặp nhiều bất lợi, bao gồm nguy cơ tấn công từ chối dịch vụ (denial-of-service) và rủi ro mất dữ liệu trong quá trình di chuyển Đặc biệt, khi trao đổi các tập tin đa phương tiện chất lượng cao, tốc độ truyền tải qua Internet có thể trở nên chậm chạp, gây khó khăn trong việc chia sẻ thông tin hiệu quả.
14 ü Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường xuyên, và QoS cũng không được đảm bảo
1.2.3 Các VPN mở rộng (Extranet VPNs):
Khác với Intranet và Remote Access, Extranet không hoàn toàn tách biệt với bên ngoài Extranet cho phép các đối tác kinh doanh như khách hàng, nhà cung cấp và đối tác truy cập vào những tài nguyên mạng cần thiết, từ đó hỗ trợ việc hợp tác và nâng cao hiệu quả tổ chức.
Mạng Extranet có chi phí cao do sự kết hợp của nhiều đoạn mạng riêng biệt từ Intranet, dẫn đến khó khăn trong việc triển khai và quản lý Việc duy trì và quản trị mạng trở nên phức tạp hơn, đồng thời mở rộng mạng Extranet cũng gặp nhiều thách thức, có thể gây rối cho toàn bộ mạng Intranet và ảnh hưởng đến các kết nối bên ngoài Khi kết nối Intranet với mạng Extranet, bạn có thể gặp phải những vấn đề bất ngờ Thiết kế và triển khai một mạng Extranet thực sự là một thách thức lớn đối với các nhà thiết kế và quản trị mạng.
Nhà cung cấp Dịch vụ 2
Dịch vụ 1 Nhà cung cấp
Hình 1.2.3.1: Thiết lập Extranet truyền thống
VPN mở rộng tạo ra một đường hầm bảo mật giữa khách hàng, nhà cung cấp và đối tác thông qua hạ tầng công cộng với các kết nối luôn được bảo vệ Thường được cấu hình dưới dạng VPN Site-to-Site, VPN mở rộng khác với VPN nội bộ ở chỗ quyền truy cập mạng được công nhận tại một trong hai đầu cuối của VPN Hình minh họa bên dưới thể hiện cấu trúc của một VPN mở rộng.
Hình 1.2.3.2 Mô hình mạng VPN mở rộng
BẢO MẬT THÔNG TIN
Tìm hiểu về bảo mật
Trước khi công nghệ máy tính phát triển, bảo mật thông tin chủ yếu liên quan đến việc đảm bảo an toàn và bí mật cho thông tin khi trao đổi hoặc lưu trữ Các biện pháp bảo mật thường được áp dụng bao gồm việc sử dụng mật khẩu, mã hóa dữ liệu và các phương pháp lưu trữ an toàn.
• Đóng dấu và ký niêm phong một bức thư để biết rằng lá thư có được chuyển nguyên vẹn đến người nhận hay không
Mật mã hóa thông điệp là phương pháp giúp người gửi và người nhận hiểu được nội dung mà không ai khác có thể tiếp cận Kỹ thuật này thường được áp dụng trong các lĩnh vực chính trị và quân sự để bảo vệ thông tin nhạy cảm.
Để bảo vệ tài liệu mật, cần lưu giữ chúng trong các két sắt có khóa tại những địa điểm được bảo vệ nghiêm ngặt, chỉ những người được cấp quyền mới có quyền truy cập và xem xét tài liệu này.
Với sự phát triển mạnh mẽ của công nghệ thông tin và Internet, nhu cầu về an toàn và bảo mật thông tin trên máy tính ngày càng tăng cao Mô hình an toàn bảo mật thông tin có thể được phân loại thành hai hướng chính: bảo vệ thông tin trong quá trình truyền thông tin trên mạng (Bảo mật mạng) và bảo vệ hệ thống máy tính cũng như mạng máy tính khỏi sự xâm nhập và phá hoại từ bên ngoài (Bảo mật hệ thống).
Các hình thức tấn công
Để hiểu rõ các vấn đề bảo mật trong truyền thông mạng, chúng ta xem xét tình huống có ba nhân vật: Alice, Bob và Trudy Trong đó, Alice và Bob thực hiện trao đổi thông tin, trong khi Trudy, kẻ xấu, can thiệp vào kênh truyền tin giữa họ Các hành động tấn công của Trudy có thể ảnh hưởng nghiêm trọng đến quá trình truyền tin giữa Alice và Bob.
1 Xem trộm thông tin (Release of Message Content) Trong trường hợp này Trudy chặn các thông điệp Alice gửi cho Bob, và xem được nội dung của thông điệp
Hình 2.2.1 Xem trộm thông điệp
2 Thay đổi thông điệp (Modification of Message) Trudy chặn các thông điệp Alice gửi cho Bob và ngăn không cho các thông điệp này đến đích Sau đó Trudy thay đổi nội dung của thông điệp và gửi tiếp cho Bob Bob nghĩ rằng nhận được thông điệp nguyên bản ban đầu của Alice mà không biết rằng chúng đã bị sửa đổi
Hình 2.1.2 Sửa sai thông điệp
3 Mạo danh (Masquerade) Trong trường hợp này Trudy giả là Alice gửi thông điệp cho Bob Bob không biết điều này và nghĩ rằng thông điệp là của Alice
Hình 2.1.3 Mạo danh để gửi đi thông điệp
4 Phát lại thông điệp (Replay) Trudy sao chép lại thông điệp Alice gửi cho Bob Sau đó một thời gian Trudy gửi bản sao chép này cho Bob Bob tin rằng thông điệp thứ hai vẫn là từ Alice, nội dung hai thông điệp là giống nhau Thoạt đầu có thể nghĩ rằng việc phát lại này là vô hại, tuy nhiên trong nhiều trường hợp cũng gây ra tác hại không kém so với việc giả mạo thông điệp Xét tình huống sau: giả sử Bob là ngân hàng còn Alice là một khách hàng Alice gửi thông điệp đề nghị Bob chuyển cho Trudy 1000$ Alice có áp dụng các biện pháp như chữ ký điện tử với mục đích không cho Trudy mạo danh cũng như sửa thông điệp Tuy nhiên nếu Trudy sao chép và phát lại thông điệp thì các
20 biện pháp bảo vệ này không có ý nghĩa Bob tin rằng Alice gửi tiếp một thông điệp mới để chuyển thêm cho Trudy 1000$ nữa
Hình 2.1.4 Phát đi thông điệp giả
Các hình thức tấn công trong mạng riêng ảo (VPN)
• Tấn công các giao thức VPN chính như PPTP, IPSec…
• Tấn công từ chối dịch vụ v Tấn công trên PPTP
PPTP dễ bị tấn công do hai yếu tố chính: thứ nhất, nó sử dụng Generic Routing Encapsulation (GRE), và thứ hai, mật khẩu trao đổi trong quá trình xác thực không đủ an toàn Bên cạnh đó, các cuộc tấn công trên IPSec cũng là một mối đe dọa đáng kể đối với tính bảo mật của PPTP.
IPSec không chỉ là một thuật toán mã hóa hay cơ chế xác thực, mà là sự kết hợp của cả hai, hỗ trợ bảo vệ dữ liệu thông qua các thuật toán khác Tuy nhiên, IPSec cũng dễ bị tấn công, bao gồm các cuộc tấn công nhằm vào quá trình thực hiện IPSec, quản lý khóa, và các cuộc tấn công liên quan đến quản trị và ký tự đại diện.
Mật mã là thành phần quan trọng trong bảo mật của VPN, nhưng các kỹ thuật và thuật toán khác nhau có thể dẫn đến các cuộc tấn công giải mã Một số phương thức tấn công nổi tiếng bao gồm: tấn công chỉ có bản mã (ciphertext-only), tấn công biết bản rõ (known plaintext attacks), tấn công lựa chọn bản rõ, tấn công Man-in-the-Middle, tấn công Brute Force (duyệt toàn bộ), tấn công thời gian (timing attacks) và tấn công từ chối dịch vụ.
Các cuộc tấn công DDoS ngày càng phổ biến vì chúng không cần phần mềm đặc biệt hoặc truy cập vào mạng mục tiêu Chúng dựa trên nguyên tắc tắc nghẽn mạng, cho phép bất kỳ kẻ xâm nhập nào gửi dữ liệu rác để làm tắc nghẽn mạng Hệ quả là máy tính mục tiêu trở nên không thể truy cập do đường truyền bị quá tải, hoặc không thể phục vụ vì quá tải Tình trạng này có thể dẫn đến sụp đổ hoàn toàn của máy tính mục tiêu.
Một số phương pháp phổ biến để khởi động cuộc tấn công DoS bao gồm: lụt gói SYN (SYN Floods), bão gói tin quảng bá (Broadcast Storm), Smurf DoS và Ping of Death.
Một số giải pháp bảo mật
Giải pháp bảo mật thường được chia làm hai phần : hệ thống thiết kế (bên ngoài) và hệ thống phát hiện tấn công (bên trong)
2.3.1 Về hệ thống thiết kế
Thiết kế và quy hoạch hệ thống mạng lớn không chỉ đơn giản là mở rộng các thiết bị hỗ trợ người dùng, mà cần phải dựa trên mô hình chuẩn đã được áp dụng cho các hệ thống mạng tiên tiến tại các cơ quan và doanh nghiệp toàn cầu, cụ thể là mô hình Định hướng Kiến trúc Dịch vụ (SOA).
2.3.2 Về hệ thống phát hiện tấn công ỉ Hệ thống tường lửa
Hệ thống tường lửa là giải pháp kiểm soát truy cập giữa mạng Internet và mạng nội bộ, bao gồm hai loại chính: phần cứng và phần mềm Tường lửa phần cứng nổi bật với hiệu năng ổn định, không bị ảnh hưởng bởi hệ điều hành, virus hay mã độc, đồng thời ngăn chặn hiệu quả các giao thức ở tầng mạng trong mô hình TCP/IP Ngược lại, tường lửa phần mềm mang lại tính linh hoạt cao trong cấu hình ở tầng ứng dụng của mô hình TCP/IP Hệ thống cũng tích hợp chức năng phát hiện và chống xâm nhập IDS/IPS, tăng cường bảo mật cho mạng.
Hiện nay, các hình thức tấn công của những kẻ xấu ngày càng trở nên tinh vi và đa dạng Chúng có thể tự cài đặt các công cụ như Ethereal hay Cain & Abel trên máy tính làm việc hoặc laptop để nghe lén và quét trực tiếp vào các máy chủ Qua đó, chúng có thể lấy cắp thông tin tài khoản email, website, FTP, và SQL server, nhằm thực hiện các hành vi như thay đổi điểm thi, tiền học phí đã nộp, hay lịch công tác Những hình thức tấn công này thường không được phát hiện bởi hệ thống tường lửa.
An effective solution to this issue is the implementation of an Intrusion Detection System/Intrusion Prevention System (IDS/IPS) IDS/IPS plays a crucial role in cybersecurity, providing the ability to detect and prevent unauthorized access and threats to network security.
Các cuộc tấn công mạng thường xuất hiện thông qua những dấu hiệu thiết lập sẵn hoặc các đoạn mã độc hại, bất thường trong lưu lượng truy cập Công nghệ mới có khả năng phát hiện và loại bỏ những mối đe dọa này trước khi chúng gây hại cho hệ thống.
Công nghệ bảo mật trong VPN
Nền tảng VPN có thể bị tấn công bằng rất nhiều cách Dưới đây là một số loại tấn công phổ biến vào và hệ thống VPN
• Các mối đe dọa an ninh cho các thành phần VPN
• Các cuộc tấn công các giao thức VPN
• Các cuộc tấn công mật mã
• Các cuộc tấn công từ chối dịch vụ/IPS
Ngày nay, công nghệ phần mềm, đặc biệt là mã nguồn mở, đang phát triển mạnh mẽ Việc ứng dụng công nghệ mã nguồn mở vào VPN có thể giúp giảm đáng kể chi phí triển khai, mang lại lợi thế lớn so với các sản phẩm thương mại Giải pháp này không chỉ tiết kiệm chi phí mà còn tối ưu hóa hiệu suất trong kernel space.
Các giải pháp không gian nhân là những phương pháp sửa đổi nhân thông qua các bản vá lỗi, thường phức tạp và ít linh hoạt hơn so với các giải pháp không gian người dùng Hầu hết các giải pháp này được triển khai trên giao thức bảo mật IPsec và có thể được hỗ trợ bởi nhân hoặc thông qua các bản vá Một số dự án nổi bật trong không gian nhân bao gồm FreeS/WAN và Kame.
Giải pháp user space hoạt động độc lập với mô đun nhân, giúp dễ dàng cài đặt và linh hoạt trên nhiều hệ điều hành VPN trong không gian người sử dụng sử dụng "giao diện đường hầm ảo" để thiết lập kết nối mạng ở mức độ thấp, tạo ra các đường hầm an toàn và hiệu quả.
Các giải pháp user space như Tinc, CIPE, vTun và OpenVPN có thể được phân loại dựa trên giao thức bảo mật Những giao thức như OpenVPN, vTun và Tinc sử dụng chức năng mã hóa tiêu chuẩn từ OpenSSL, trong khi CIPE, PPTP và L2tpd áp dụng các phương thức mã hóa riêng biệt.
CÁC THUẬT TOÁN MÃ HÓA TRONG VPN
Các thuật toán & công nghệ mã hóa
Để đảm bảo an toàn cho kết nối VPN, SSL thường sử dụng hệ thống mã hóa khóa công khai RSA, bao gồm khóa mã hóa và chứng chỉ mã hóa.
Thuật toán RSA sử dụng hai loại khóa: khóa công khai và khóa bí mật Khóa công khai được phát tán rộng rãi và dùng để mã hóa thông tin, trong khi khóa bí mật chỉ được người sở hữu biết và dùng để giải mã Điều này có nghĩa là bất kỳ ai cũng có thể mã hóa dữ liệu, nhưng chỉ những người nắm giữ khóa bí mật mới có khả năng giải mã thông tin đó.
Hệ mật mã khoá công khai có thể được mô phỏng qua một ví dụ đơn giản: Bob muốn gửi thông tin mật chỉ Alice có thể đọc Alice gửi cho Bob một chiếc hộp đã mở khóa và giữ chìa khóa Bob cho thông tin vào hộp, khóa lại và gửi lại cho Alice Khi nhận hộp, Alice dùng chìa khóa của mình để mở và đọc thông tin Trong ví dụ này, chiếc hộp mở tượng trưng cho khóa công khai, trong khi chìa khóa của Alice là khóa bí mật.
RSA là một thuật toán mật mã và ký số quan trọng, được sử dụng để xác thực chứng chỉ TLS/SSL, đóng vai trò then chốt trong việc bảo mật internet trong hơn 20 năm qua.
Vào năm 2010, đã chứng minh rằng mã hóa khóa riêng RSA-1024 có thể bị bẻ khóa, điều này đã dẫn đến việc Google nâng cấp tất cả các chứng chỉ SSL vào năm 2013 lên mức an toàn hơn với chiều dài khóa 2048-bit RSA, nhằm cải thiện bảo mật trong các công nghệ an ninh mạng.
RSA-2048 là loại mã hóa được xem chuẩn an toàn, mặc dù có thể thực hiện mã hóa lên tới 3072-bit hoặc 4096-bit mã hóa để chắc chắn
25 hơn nữa Hiện nay, mã hóa RSA-2048 là tiêu chuẩn tối thiểu cho các nhà cung cấp VPN thương mại
AES (Tiêu chuẩn mã hóa tiên tiến) là một thuật toán mã hóa khối được chính phủ Hoa Kỳ áp dụng làm tiêu chuẩn mã hóa toàn cầu Được phát triển để thay thế tiêu chuẩn DES, AES đã trải qua quá trình nghiên cứu kỹ lưỡng và được chấp thuận làm tiêu chuẩn liên bang bởi Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) sau 5 năm tiêu chuẩn hóa.
Thuật toán "Rijndael" được phát triển bởi hai nhà mật mã học người Bỉ, Joan Daemen và Vincent Rijmen, và đã được chọn làm tiêu chuẩn mã hóa AES trong cuộc thi thiết kế.
Mặc dù AES và Rijndael thường được sử dụng thay thế cho nhau, nhưng thực tế chúng không hoàn toàn giống nhau AES chỉ xử lý các khối dữ liệu 128 bit và hỗ trợ khóa có độ dài 128, 192 hoặc 256 bit, trong khi Rijndael có khả năng làm việc với dữ liệu và khóa có độ dài bất kỳ là bội số của 32 bit, trong khoảng từ 128 đến 256 bit Các khóa con trong quá trình mã hóa được tạo ra bởi thuật toán tạo khóa con Rijndael, với mỗi khóa con được cấu trúc thành một cột gồm 4 byte Hầu hết các phép toán trong AES được thực hiện trong một trường hữu hạn của các byte, và mỗi khối dữ liệu 128 bit đầu vào được chia thành 16 byte, mỗi byte có độ dài 8 bit.
Ma trận trạng thái là cấu trúc 4x4 gồm 4 cột và 4 phần tử, được gọi là trạng thái trong thuật toán Rijndael Trong quá trình thực hiện thuật toán, các toán tử sẽ tác động để biến đổi ma trận trạng thái này.
1 Khởi động vòng lặp ỉ AddRoundKey — Mỗi cột của trạng thỏi đầu tiờn lần lượt được kết hợp với một khóa con theo thứ tự từ đầu dãy khóa
1 SubBytes — đây là phép thế (phi tuyến) trong đó mỗi byte trong trạng thái sẽ được thế bằng một byte khác theo bảng tra (Rijndael S-box)
2 ShiftRows — dịch chuyển, các hàng trong trạng thái được dịch vòng theo số bước khác nhau
3 MixColumns — quá trình trộn làm việc theo các cột trong khối theo một phép biến đổi tuyến tính
Tại chu trình cuối thì bước MixColumns không thực hiện
SHA (Thuật toán băm an toàn) là năm thuật toán được FIPS công nhận, dùng để chuyển đổi một đoạn dữ liệu thành một chuỗi dữ liệu có độ dài cố định, đảm bảo xác suất khác biệt cao.
Năm thuật giải SHA là SHA-1 (trả lại kết quả dài 160 bit), SHA-
Các thuật toán băm SHA bao gồm SHA-224 (kết quả dài 224 bit), SHA-256 (kết quả dài 256 bit), SHA-384 (kết quả dài 384 bit) và SHA-512 (kết quả dài 512 bit) Những thuật toán này được phát triển bởi Cục An ninh Quốc gia Mỹ (NSA) và đã được công nhận là tiêu chuẩn của chính phủ Mỹ bởi Viện Công nghệ và Tiêu chuẩn Quốc gia.
Mĩ (National Institute of Standards and Technology hay NIST) Bốn thuật giải sau thường được gọi chung là SHA-2
Các phiên bản phổ biến nhất của SHA trên internet bao gồm SHA-1 (160-bit), chiếm hơn 28% trong số chứng nhận số hiện có, đặc biệt là trong các dịch vụ của nhiều nhà cung cấp VPN Tuy nhiên, SHA-1 đã bị phát hiện là không còn an toàn.
Gần đây, Microsoft, Google và Mozilla đã thông báo rằng trình duyệt của họ sẽ ngừng hỗ trợ chứng chỉ SSL sử dụng SHA-1 từ năm 2017 Vào tháng 8 năm 2015, NIST đã công bố SHA-3 là tiêu chuẩn băm thay thế cho SHA-2, đánh dấu một bước tiến mới trong công nghệ bảo mật.
Hạ tầng khóa công khai (PKI) là một hệ thống cho phép bên thứ ba, thường là nhà cung cấp chứng thực số, cấp phát và xác thực danh tính của các bên tham gia trong quá trình trao đổi thông tin Hệ thống này gán cho mỗi người dùng một cặp khóa công khai và riêng tư, với các quy trình được thực hiện bởi phần mềm tại trung tâm và các phần mềm khác tại vị trí của người dùng Khóa công khai thường được phân phối thông qua chứng thực khóa công khai, hay còn gọi là Hạ tầng khóa công khai.
Hệ thống PKI bao gồm bốn thành phần chính: Các Cơ quan Chứng thực (CA) có nhiệm vụ cấp và thu hồi chứng chỉ; Các Cơ quan Đăng ký (RA) đảm nhiệm việc kết nối giữa khóa công khai và danh tính của người giữ chứng chỉ; Khách hàng là những người sử dụng chứng chỉ PKI, được xem như các thực thể cuối; và Kho lưu trữ, là hệ thống (có thể phân tán) dùng để lưu trữ chứng chỉ cùng danh sách các chứng chỉ đã bị thu hồi.
Hình 3.1.4.1 Các thành phần PKI
Chức năng cơ bản của PKI
Những hệ thống cho phép PKI có những chức năng khác nhau Nhưng nhìn chung có hai chức năng chình là: chứng thực và kiểm tra
CÁC GIAO THỨC MÃ HÓA TRONG VPN
PPTP
Giao thức PPTP, được phát triển bởi một công ty chuyên về thiết bị công nghệ viễn thông, tách biệt các chức năng truy cập từ xa và tận dụng hạ tầng Internet hiện có để tạo kết nối đường hầm giữa người dùng và mạng riêng ảo Người dùng có thể kết nối đến nhà cung cấp dịch vụ Internet để thiết lập đường hầm riêng cho việc truy cập mạng riêng ảo Dựa trên nền tảng của PPP, PPTP cho phép truy cập đường hầm qua Internet đến các địa điểm mục tiêu, sử dụng giao thức đóng gói tin GRE để xử lý và tách gói PPP, mang lại tính linh hoạt trong việc hỗ trợ các giao thức khác.
4.1.2 Nguyên tắc hoạt động của PPTP
PPP là giao thức phổ biến cho việc truy cập Internet và các mạng IP, hoạt động ở lớp liên kết dữ liệu trong mô hình OSI Giao thức này bao gồm các phương thức đóng gói và tách gói IP, cho phép truyền tải dữ liệu qua kết nối điểm đến điểm giữa các máy.
PPTP (Point-to-Point Tunneling Protocol) đóng gói dữ liệu của giao thức PPP vào các gói tin IP để truyền qua mạng IP Nó sử dụng kết nối TCP để khởi tạo, duy trì và kết thúc đường hầm, đồng thời áp dụng gói định tuyến GRE để đóng gói các khung PPP Bên cạnh đó, phần tải của khung PPP có khả năng được mã hóa và nén để tăng cường bảo mật và hiệu suất truyền tải.
PPTP sử dụng giao thức PPP để thiết lập và kết thúc kết nối vật lý, xác thực người dùng và tạo các gói dữ liệu PPP.
PPTP cho phép thiết lập một mạng IP giữa khách hàng và máy chủ, trong đó khách hàng có thể kết nối trực tiếp với máy chủ thông qua mạng NAS để thiết lập kết nối IP Khi kết nối thành công, người dùng sẽ được xác nhận Mặc dù xác thực là giai đoạn tùy chọn trong PPP, nhưng nó luôn được cung cấp bởi nhà cung cấp dịch vụ Internet (ISP).
Trong quá trình thiết lập kết nối dựa trên PPTP, các cơ chế xác thực của kết nối PPP được sử dụng, trong đó có một số cơ chế xác thực quan trọng.
• Giao thức xác thực mở rộng EAP
• Giao thức xác thực có thử thách bắt tay CHAP
• Giao thức xác định mật khẩu PAP
Giao thức PAP gửi mật khẩu qua kết nối dưới dạng văn bản đơn giản, không an toàn, trong khi CHAP sử dụng phương pháp bắt tay ba chiều để chống lại các tấn công quay lại nhờ vào giá trị bí mật duy nhất PPTP được cải tiến với khả năng mã hóa và nén phần tải tin của PPP thông qua phương thức mã hóa điểm tới điểm MPPE, tuy nhiên, MPPE chỉ bảo vệ dữ liệu trong quá trình truyền mà không mã hóa tại các thiết bị đầu cuối Để đảm bảo bảo mật đầu cuối đến đầu cuối, giao thức IPSec có thể được sử dụng để bảo vệ lưu lượng IP sau khi thiết lập đường hầm PPTP.
Khi PPP được thiết lập kết nối, PPTP sử dụng quy luật đóng gói của PPP để truyền các gói trong đường hầm PPTP định nghĩa hai loại gói: gói điều khiển và gói dữ liệu, và gán chúng vào hai kênh riêng biệt Kênh điều khiển sử dụng giao thức TCP để tạo luồng điều khiển giữa máy khách và máy chủ, trong khi kênh dữ liệu sử dụng giao thức IP cho luồng dữ liệu Gói điều khiển được gửi theo chu kỳ để quản lý trạng thái kết nối và thông báo giữa ứng dụng PPTP và máy chủ Ngoài ra, các gói điều khiển cũng gửi thông tin quản lý thiết bị và cấu hình giữa hai đầu đường hầm.
Kênh điều khiển là yếu tố quan trọng để thiết lập đường hầm giữa máy khách và máy chủ PPTP Máy chủ PPTP hoạt động trên giao thức PPTP, kết nối với Internet thông qua một giao diện.
32 giao diện khác nối với Intranet, còn phần mềm client có thể nằm ở máy người dùng từ xa hoặc tại các máy chủ ISP
4.1.3 Nguyên tắc kết nối của PPTP
Kết nối điều khiển PPTP là mối liên kết giữa địa chỉ IP của máy khách và máy chủ, mang theo các gói tin điều khiển cần thiết để duy trì đường hầm PPTP Những bản tin này bao gồm yêu cầu và phản hồi định kỳ nhằm phát hiện lỗi kết nối giữa máy trạm và máy chủ PPTP Các gói tin trong kết nối điều khiển này bao gồm tiêu đề IP, tiêu đề TCP, bản tin điều khiển PPTP cùng với tiêu đề và phần cuối của lớp liên kết dữ liệu.
Tiêu đề liên kết dữ liệu
Phần cuối của liên kết dữ liệu
Bản tin điều Khiển PPTP Tiêu đề IP Tiêu đề TCP
Hình 4.1.3.1 : Gói dữ liệu kết nối điều khiển PPTP
4.1.4 Nguyên lý đóng gói dữ liệu đường hầm PPTP Đóng gói khung PPP và gói định tuyến chung GRE
Dữ liệu đường hầm PPTP được đóng gói thông qua các mức được mô tả theo mô hình
Tiêu đề liên kết dữ liệu
Tải PPP được mã hoá
Tiêu đề IP Tiêu đề GRE Phần đuôi liên kết dữ liệu
Mô hình đóng gói dữ liệu đường hầm PPTP cho thấy rằng phần tải của khung PPP ban đầu được mã hóa và đóng gói với tiêu đề PPP, tạo ra khung PPP Sau đó, khung PPP này được đóng gói với tiêu đề của phiên bản giao thức GRE sửa đổi.
GRE là giao thức đóng gói chung, cung cấp cơ chế đóng gói dữ liệu cho việc định tuyến qua mạng IP Đối với PPTP, tiêu đề của GRE được điều chỉnh với việc thêm một trường xác nhận dài 32 bits và một bit xác nhận để chỉ định sự hiện diện của trường này Ngoài ra, trường Key được thay thế bằng trường độ dài Payload.
16 bits và trường chỉ số cuộc gọi 16 bits Trường chỉ số cuộc gọi được thiết lập bởi máy trạm PPTP trong quá trình khởi tạo đường hầm
Trong quá trình truyền tải dữ liệu, phần tải PPP và các tiêu đề GRE được đóng gói trong một tiêu đề IP chứa thông tin địa chỉ nguồn và đích cho máy trạm và máy chủ PPTP Để truyền qua mạng LAN hoặc WAN, gói tin IP sẽ được đóng gói với tiêu đề và phần đuôi của lớp liên kết dữ liệu tại giao diện vật lý đầu ra Cụ thể, nếu gói tin IP được gửi qua giao diện Ethernet trong mạng LAN, nó sẽ được kèm theo tiêu đề và đuôi Ethernet Ngược lại, nếu gói tin IP được gửi qua đường truyền WAN điểm tới điểm, nó sẽ được đóng gói với tiêu đề và đuôi của giao thức PPP.
Sơ đồ đóng gói trong giao thức PPTP
Quá trình đóng gói PPTP từ một máy trạm qua kết nối truy nhập VPN từ xa sử dụng modem được mô phỏng theo hình dưới đây
Tiêu đề liên kết dữ liệu Tải PPP được mã hoá Tiêu đề PPP
Tiêu đề IP Tiêu đề GRE Phần đuôi liên kết dữ liệu
L2TP PPTP ATM X25 ISDN NDISWAN
Cấu trúc gói tin cuối cùng
Hình 4.1.4.2 : Sơ đồ đóng gói PPTP
Các gói tin IP, IPX, hoặc khung NetBEUI được chuyển đến giao diện ảo đại diện cho kết nối VPN thông qua các giao thức tương ứng, sử dụng đặc tả giao diện thiết bị mạng NDIS.
NDIS gửi gói tin dữ liệu đến NDISWAN để thực hiện mã hóa và nén dữ liệu Tiêu đề PPP chỉ bao gồm trường mã số giao thức PPP, không có trường Flags và trường chuỗi kiểm tra khung (FCS) Giả định rằng trường địa chỉ và điều khiển được sử dụng.
34 thoả thuận ở giao thức điều khiển đường truyền (LCP) trong quá trình kết nối PPP
L2TP
IETF đã phát triển giao thức L2TP bằng cách kết hợp hai giao thức PPTP và L2F, mang lại những ưu điểm nổi bật từ cả hai L2TP không chỉ cung cấp tính linh hoạt và hiệu quả chi phí cho giải pháp truy cập từ xa của L2F mà còn có khả năng kết nối điểm điểm nhanh chóng của PPTP.
L2TP kết hợp những đặc điểm nổi bật của PPTP và L2F, cho phép hỗ trợ đa giao thức và công nghệ mạng khác nhau, bao gồm IP và ATM.
L2TP không yêu cầu cài đặt phần mềm bổ sung, giúp người dùng và mạng riêng Intranet tiết kiệm thời gian và công sức Giao thức này cho phép người dùng từ xa truy cập mạng qua địa chỉ IP chưa đăng ký hoặc riêng tư Quá trình xác thực của L2TP được thực hiện bởi cổng mạng máy chủ, do đó ISP không cần lưu trữ dữ liệu xác thực của người dùng Mạng riêng Intranet có thể tự định nghĩa chính sách truy cập, làm cho việc thiết lập đường hầm nhanh hơn so với các giao thức trước đây Điểm nổi bật của L2TP là việc thiết lập đường hầm PPP không giống như PPTP, mà mở rộng đến cổng của mạng máy chủ.
38 đích), như hình 3.23, những yêu cầu của đường hầm L2TP có thể khởi tạo bởi người dùng từ xa hoặc bởi cổng của ISP
Khi các khung PPP được gửi qua đường hầm L2TP, chúng được đóng gói dưới dạng thông điệp User Datagram Protocol (UDP) L2TP sử dụng các thông điệp UDP này để thiết lập và duy trì hầm dữ liệu Đặc biệt, cả hầm dữ liệu và hầm duy trì đều có cấu trúc gói dữ liệu giống nhau, điều này khác biệt so với các giao thức tạo hầm trước đây.
4.2.2 Dữ liệu đường hầm L2TP
Tương tự PPTP tunneled packets, L2TP đóng gói dữ liệu trải qua nhiều tầng đóng gói Sau đây là một số giai đoạn đóng gói của L2TP data tunneling:
PPP đóng gói dữ liệu khác với phương thức của PPTP, vì dữ liệu không được mã hóa trước khi đóng gói Chỉ có header của PPP được thêm vào dữ liệu gốc.
L2TP đóng gói khung của PPP Sau khi original payload được đóng gói bên trong một PPP packet, một L2TP header được thêm vào nó
Gói dữ liệu L2TP được đóng gói bên trong một khung UDP, với một tiêu đề UDP được thêm vào khung L2TP Cổng nguồn và cổng đích trong tiêu đề UDP được thiết lập theo chỉ định là 1710.
LNS Đường hầm L2TP Kết nối PPP
Data Đóng gói PPP PPP Data
Quá trình hoàn tất dữ liệu qua đường hầm diễn ra khi tầng Data Link thực hiện việc đóng gói Trong quá trình này, phần đầu và phần cuối của tầng Data Link sẽ được thêm vào gói dữ liệu IP, hoàn thiện quy trình đóng gói.
IP cuối cùng giúp gói dữ liệu đến nút đích, với phần đầu và phần cuối của tầng Data Link được thiết lập dựa trên công nghệ LAN, chẳng hạn như mạng Ethernet, nếu nút đích nằm trong nội bộ.
Qui trình xử lý de-tunneling các gói dữ liệu L2TP bắt đầu khi một thành phần L2TP như LNS hoặc người dùng cuối nhận được gói tin đã được tunnel Tiếp theo, gói dữ liệu sẽ được xử lý sâu hơn, trong đó phần IP header sẽ được gỡ bỏ Gói dữ liệu sau đó được xác nhận thông qua thông tin trong phần IPSec ESP header và AH trailer Phần IPSec ESP header cũng thực hiện chức năng giải mã và mã hóa thông tin Sau đó, phần UDP header sẽ được xử lý và loại bỏ, cuối cùng là phần PPP header cũng sẽ được gỡ bỏ.
40 và phần PPP payload được chuyển hướng đến protocol driver thích hợp cho qui trình xử lý
Hình 4.2.2.2 : Mô tả qui trình xử lý de-tunneling gói dữ liệu L2TP
4.2.3 Chế độ đường hầm L2TP
L2TP cung cấp hai chế độ hoạt động: chế độ đường hầm bắt buộc và chế độ đường hầm tự nguyện Các đường hầm này đóng vai trò quan trọng trong việc bảo mật giao dịch dữ liệu giữa các điểm cuối.
Trong chế độ đường hầm bắt buộc, khung PPP từ PC ở xa được tạo đường hầm trong suốt tới mạng LAN, cho phép Client ở xa kết nối như thể đang trực tiếp kết nối với mạng công ty thông qua PPP Phần mềm L2TP sẽ thêm L2TP header vào mỗi khung PPP được tạo đường hầm, và header này sẽ được sử dụng tại điểm cuối khác của đường hầm, nơi mà gói tin L2TP có nhiều thành phần khác nhau.
Hình 4.2.3.1 : Chế độ đường hầm bắt buộc L2TP
Các bước thiết lập L2TP đường hầm bắt buộc được mô tả trong hình 3.28 theo các bước sau:
(1) Người dùng từ xa yêu cầu một kết nối PPP từ NAS được đặt tại ISP site
(2) NAS xác nhận người dùng Qui trình xác nhận này cũng giúp NAS biết được cách thức người dùng yêu cầu kết nối
(3) Nếu NAS tự do chấp nhận yêu cầu kết nối, một kết nối PPP được thiết lập giữa ISP và người dùng từ xa
(4) LAC khởi tạo một L2TP tunnel đến một LNS ở mạng chủ cuối
Khi LNS chấp nhận kết nối, các khung PPP sẽ trải qua quá trình tunneling L2TP Những khung đã được tunneling qua L2TP này sẽ được chuyển đến LNS thông qua đường hầm L2TP.
(6) LNS chấp nhận những frame này và phục hồi lại PPP frame gốc
Cuối cùng, LNS xác nhận danh tính người dùng và cấp phát các gói dữ liệu Khi người dùng được xác nhận hợp lệ, một địa chỉ IP tương ứng sẽ được ánh xạ đến frame.
(8) Sau đó frame này được chuyển đến nút đích trong mạng intranet
Hình 4.2.3.2 Thiết lập một đường hầm bắt buộc
Chế độ đường hầm tự nguyện cho phép Client ở xa kết nối qua chức năng LAC, điều khiển đường hầm một cách linh hoạt Giao thức L2TP hoạt động tương tự như khi sử dụng đường hầm bắt buộc, do đó LNS không phân biệt được giữa hai chế độ này.
Hình 4.2.3.3 Chế độ đường hầm tự nguyện L2TP
Thuận lợi lớn nhất của đường hầm tự nguyện L2TP là cho phép người dùng từ xa kết nối vào internet và thiết lập nhiều phiên làm việc
3 Thiết lập kết nối 4 Bắt đầu đường hầm
L2TP 5 Thiết lập kết nối
7 Xác nhận người dùng từ xa
Người sử dụng Điều khiển mạng
VPN đồng thời yêu cầu người dùng từ xa phải được gán nhiều địa chỉ IP, trong đó một địa chỉ được sử dụng cho kết nối PPP đến ISP và một địa chỉ khác dành cho mỗi L2TP tunnel riêng biệt Tuy nhiên, lợi ích này cũng mang lại bất lợi cho người dùng từ xa, khiến mạng chủ có thể bị tổn hại bởi các cuộc tấn công.
IPSec
IPSec là một bộ giao thức mở, được phát triển để đảm bảo xác thực, tính toàn vẹn và độ tin cậy của dữ liệu.
IPSec hoạt động ở lớp 3 và sử dụng IKE để thiết lập SA giữa các đối tượng ngang hàng Các yếu tố cần thiết cho việc thiết lập SA bao gồm thuật toán mã hóa, thuật toán băm, phương thức xác thực và nhóm Diffie-Hellman.
Chức năng của IPSec là thiết lập bảo mật giữa hai đối tượng ngang hàng, xác định khóa, giao thức và thuật toán sử dụng Các SA IPSec có thể được thiết lập theo hình thức vô hướng.
Sau khi gói tin được chuyển tới tầng mạng, gói tin IP không được đảm bảo về mặt bảo mật Do đó, không thể cam đoan rằng IP datagram nhận được là an toàn.
- Từ người gửi yêu cầu
- Dữ liệu gốc từ người gửi
- Không bị kiểm tra bởi bên thứ 3 trong khi gói tin đang được gửi từ nguồn tới đích
IPSec là một phương pháp để bảo vệ IP datagram IPSec bảo vệ
IP datagram bằng cách định nghĩa một phương pháp định rõ lưu lượng
IPSec bảo vệ lưu lượng dữ liệu giữa các host, cổng an ninh mạng và giữa host với cổng an ninh Nó thực hiện việc đóng gói dữ liệu và quản lý thông tin để thiết lập, duy trì và hủy bỏ đường hầm khi không còn cần thiết Các gói tin trong đường hầm có cấu trúc giống như gói tin thông thường, không làm thay đổi thiết bị, kiến trúc và ứng dụng hiện có trên mạng trung gian, giúp giảm chi phí triển khai và quản lý đáng kể.
IPSec là một tập hợp các giao thức do IETF phát triển nhằm hỗ trợ bảo mật gói tin ở tầng IP qua mạng vật lý Nó được sử dụng phổ biến trong việc triển khai VPN và hỗ trợ hai chế độ mã hóa là transport và tunnel.
Chế độ transport chỉ mã hóa phần payload của mỗi gói tin mà không ảnh hưởng đến phần header Tại phía nhận, thiết bị tuân thủ IPSec sẽ tiến hành giải mã từng gói tin.
Chế độ Transport bảo vệ phần tải tin của gói dữ liệu và các giao thức ở lớp cao hơn, nhưng địa chỉ IP nguồn được vận chuyển ở dạng "clear".
IP nguồn đóng vai trò quan trọng trong việc định tuyến các gói dữ liệu qua Internet Chế độ vận chuyển ESP được áp dụng giữa hai máy, với địa chỉ đích là địa chỉ của máy đó Chế độ này đảm bảo tính bảo mật cho các giao thức ở lớp cao hơn.
Chế độ này có nhược điểm là cho phép các thiết bị trong mạng nhận diện địa chỉ nguồn và đích của gói tin, từ đó có khả năng thực hiện các xử lý như phân tích lưu lượng dựa trên thông tin trong tiêu đề gói tin.
Dữ liệu được mã hóa bởi ESP trong giao thức IP không cho phép xác định thông tin cụ thể bên trong gói tin Theo IETF, chế độ truyền tải chỉ khả thi khi hai hệ thống đầu cuối IP-VPN thực hiện IPSec.
Chế độ tunnel trong IPSec mã hóa cả phần header và payload của gói tin, mang lại mức độ bảo mật cao hơn Thiết bị tuân thủ IPSec sẽ tiến hành giải mã từng gói tin ở phía nhận IPSec là một trong những giao thức phổ biến nhất được sử dụng để xây dựng mạng riêng ảo (VPN).
Chế độ tunnel cho phép các thiết bị mạng như bộ định tuyến xử lý IPSec thay vì các trạm cuối Ví dụ, bộ định tuyến A có khả năng xử lý các gói dữ liệu từ trạm A và gửi chúng vào đường hầm.
Bộ định tuyến B xử lý các gói dữ liệu trong đường hầm, phục hồi chúng về dạng ban đầu và chuyển tiếp tới trạm B, giúp các trạm cuối không cần thay đổi nhưng vẫn đảm bảo tính an ninh dữ liệu của IPSec Khi sử dụng chế độ đường hầm, các thiết bị trung gian chỉ thấy địa chỉ của hai đầu cuối (bộ định tuyến A và B), và các đầu cuối của IPSec-VPN không cần thay đổi ứng dụng hay hệ điều hành.
Hình 4.3.1.4: Thiết bị mạng thực hiện trong IPSec trong chế độ đường hầm
IP HDR AH HDR DATA
AH trong mode Tunnel Authenticated Header and Data
Hình 4.3.1.5 AH trong mode Tunnel và transport
IP HDR ESP HDR Encrypted Data
ESP Encrypted Original IP Header and Data
Hình 4.3.1.6 ESP trong mode Tunnel và transport
IPSec được phát triển nhằm đảm bảo bảo mật với các tính năng như xác thực, tính toàn vẹn, tính bảo mật và mã hóa Đầu tiên, tính xác thực xác nhận rằng dữ liệu nhận được giống với dữ liệu đã gửi và người gửi là đúng người Tiếp theo, tính toàn vẹn đảm bảo rằng dữ liệu không bị thay đổi trong quá trình truyền Tính bảo mật cho phép người gửi mã hóa dữ liệu trước khi truyền qua mạng công cộng, đảm bảo rằng chỉ người nhận có thể giải mã và truy cập thông tin Mã hóa là một cấu trúc cơ bản giúp cung cấp tính bảo mật cần thiết Cuối cùng, phân tích lưu lượng mạng được thực hiện để thu thập thông tin có thể bị lợi dụng bởi kẻ thù, bao gồm thông tin về các luồng dữ liệu, định danh các bên đối thoại và kích cỡ gói tin.
SSTP
SSTP (Secure Socket Tunneling Protocol) là một giao thức VPN được sử dụng trong Windows Vista và Windows Server 2008, cho phép thiết lập kết nối VPN an toàn thông qua các kết nối HTTP mã hóa SSL Với SSTP, thông tin người dùng chỉ được gửi khi một "đường hầm" SSL an toàn được thiết lập với VPN gateway, đảm bảo tính bảo mật cao Giao thức này còn được gọi là PPP trên SSL, cho phép sử dụng các cơ chế chứng thực PPP và EAP, từ đó tăng cường độ an toàn cho các kết nối SSTP.
4.4.2 Lý do sử dụng SSTP trong VPN
Mạng riêng ảo (VPN) cho phép kết nối từ xa đến hệ thống mạng qua Internet, với Windows Server 2003 hỗ trợ các đường hầm VPN dựa trên PPTP và L2TP/IPSec Để người dùng truy cập từ xa qua Firewall, cần mở các port cụ thể như TCP 1723 và giao thức IP GRE để đảm bảo kết nối PPTP diễn ra suôn sẻ.
Trong một số tình huống, như khi nhân viên ghé thăm khách hàng hoặc đối tác, hệ thống chỉ cho phép truy cập web qua HTTP và HTTPS, trong khi các cổng khác bị chặn Điều này dẫn đến việc người dùng từ xa gặp khó khăn trong việc kết nối VPN, làm tăng số lượng cuộc gọi hỗ trợ và giảm năng suất làm việc Để khắc phục vấn đề này, Secure Socket Tunneling Protocol (SSTP) đã được giới thiệu trong Windows Server 2008 như một giải pháp cho kết nối VPN.
SSTP sử dụng giao thức HTTPs làm lớp vận chuyển, cho phép các kết nối VPN vượt qua tường lửa, NAT và máy chủ proxy web đã được cấu hình Điều này giúp đảm bảo tính bảo mật và khả năng truy cập cho các kết nối VPN.
HTTPs thường được sử dụng để truy cập các trang web bảo mật, chẳng hạn như các trang thương mại điện tử Do đó, giao thức này thường được cho phép trong các tường lửa và có khả năng đi qua các proxy web cũng như router NAT.
VPN Server trên Windows Server 2008 sử dụng SSTP để nhận kết nối từ VPN client, yêu cầu cài đặt Computer Certificate với thuộc tính Server Authentication để xác thực giữa server và client trong quá trình thiết lập session SSL Để client xác thực certificate của server, Root CA cấp phát certificate cho SSTP server cần được cài đặt trên client Đường hầm VPN dựa vào SSTP hoạt động tương tự như peer-L2TP và PPTP, trong đó PPTP được bao bọc trong SSTP để gửi lưu lượng qua kết nối HTTPS Tất cả các tính năng khác của VPN như kiểm tra sức khỏe qua NAT, tải lưu lượng IPV6, và các thuật toán xác thực như username và smartcard vẫn giữ nguyên với SSTP, PPTP và L2TP, giúp Admin dễ dàng di chuyển từ L2TP/PPTP sang SSTP.
4.4.3 Cách hoạt động của SSTP
SSTP hoạt động trên giao thức HTTPS, sử dụng SSL để đảm bảo bảo mật thông tin và dữ liệu SSL không chỉ bảo vệ thông tin mà còn cung cấp cơ chế xác thực các điểm cuối thông qua PKI SSTP sử dụng SSL để xác thực máy chủ với máy khách, trong khi xác thực máy khách với máy chủ dựa vào PPP Cụ thể, máy khách xác thực máy chủ thông qua chứng chỉ, và máy chủ xác thực máy khách thông qua giao thức hỗ trợ bởi PPP.
Khi khách hàng kết nối với Remote Access Server qua giao thức SSTP, một đường hầm được thiết lập bằng cách tạo phiên HTTPs trên cổng 443 đến một địa chỉ URL riêng biệt Các cấu hình proxy HTTP từ Internet Explorer sẽ được áp dụng để thực hiện kết nối này.
Trong phiên HTTPs, client yêu cầu server cung cấp chứng chỉ để xác thực Sau khi thiết lập mối quan hệ SSL hoàn tất, các phiên HTTP được tạo ra Tiếp theo, SSTP được sử dụng để thương lượng các tham số giữa Client và Server Khi lớp SSTP được thiết lập, quá trình thương lượng bắt đầu nhằm cung cấp cơ chế xác thực cho client với server và tạo ra đường hầm bảo mật cho dữ liệu.
IKEv2
Internet Key Exchange phiên bản 2 (IKEv2) là một giao thức IPSec dựa trên đường hầm, được phát triển bởi Microsoft và Cisco, và tích hợp từ Windows 7 trở lên Giao thức này hỗ trợ các thiết bị Blackberry và có phiên bản tương thích độc lập phát triển cho Linux thông qua mã nguồn mở Được gọi là VPN Connect của Microsoft, IKEv2 nổi bật với khả năng tự động tái thiết lập kết nối VPN khi người dùng mất kết nối internet tạm thời, như khi di chuyển qua các đường hầm.
Người dùng di động hưởng lợi lớn từ giao thức IKEv2 nhờ vào tính năng hỗ trợ Kết nối nhiều mạng (Multihoming - MOBIKE), giúp duy trì kết nối ổn định khi chuyển đổi giữa các mạng khác nhau Điều này rất hữu ích cho những người sử dụng điện thoại thông minh, chẳng hạn như khi họ kết nối WiFi tại nhà và chuyển sang dữ liệu di động khi ra ngoài, hoặc cho những ai thường xuyên di chuyển giữa các điểm nóng.
Giao thức IKEv2 rất hữu ích cho người dùng Blackberry, vì đây là một trong số ít giao thức VPN được các thiết bị Blackberry hỗ trợ.
Giao thức IKEv2, mặc dù không phổ biến như IPSec, được đánh giá cao hơn L2TP/IPsec về mặt an ninh, hiệu suất, tính ổn định và khả năng thiết lập cũng như tái lập kết nối.
Giao thức IKEv2 là một lựa chọn tuyệt vời, an toàn và nhanh chóng, đặc biệt phù hợp cho người dùng di động Nó nổi bật với khả năng kết nối lại hiệu quả khi kết nối Internet bị gián đoạn, khiến nó trở thành sự lựa chọn ưu tiên hơn cả OpenVPN Đối với người dùng Blackberry, IKEv2 chính là sự lựa chọn tốt nhất.
SSL/TLS
Giao thức Secure Socket Layer (SSL) được thiết kế để bảo vệ thông tin trao đổi giữa Client và Server trong các mạng máy tính Là một giao thức tầng phiên, SSL sử dụng các phương pháp mật mã để bảo vệ dữ liệu, đảm bảo rằng thông tin được truyền giữ bí mật thông qua mã hóa Đồng thời, việc tạo và kiểm tra chữ ký số giúp đảm bảo tính xác thực và toàn vẹn của thông tin.
Giao thức SSL kết hợp mật mã đối xứng và bất đối xứng, sử dụng các thuật toán như RSA và Diffie-Hellman cùng với các hàm băm MD5 và SHA1 Các thuật toán mật mã đối xứng được hỗ trợ bao gồm RC2, RC4 và 3DES, trong khi SSL cũng hỗ trợ các chứng chỉ số theo tiêu chuẩn X.509.
Thủ tục thăm dò trước (bắt tay) được thực hiện trước khi bảo vệ trực tiếp sự trao đổi thông tin
Khi thực hiện thủ tục này, các công việc bao gồm xác thực giữa Client và Server, áp dụng các điều kiện của thuật toán mật mã, tạo khoá chủ bảo mật và tạo khoá phiên bảo mật trên cơ sở khoá chủ.
TLS, phát triển từ SSL, cho phép các Server và Client giao tiếp an toàn qua mạng công cộng không an toàn Ngoài các tính năng bảo mật của SSL, TLS còn bảo vệ chống lại kẻ nghe trộm, giả mạo và chặn bắt gói tin.
Trong các kịch bản mạng riêng ảo, SSL và TLS có thể được triển khai tại cả Server VPN và Client đầu cuối Tầng phiên, là tầng cao nhất của mô hình OSI, có khả năng thiết lập các kết nối mạng riêng ảo với hiệu suất cao Việc tạo mạng riêng ảo trên tầng phiên đảm bảo các tham số chức năng cho việc trao đổi thông tin, kiểm soát truy cập được thực hiện một cách đáng tin cậy và dễ dàng quản lý.
Khi thiết lập mạng riêng ảo trên tầng phiên, việc bổ sung bảo mật bằng mã hóa và xác thực là cần thiết, đồng thời cũng cho phép triển khai các công nghệ Proxy Hiện nay, hai giao thức phổ biến nhất trong lĩnh vực này là SSL và TSL.
So sánh các giao thức mã hóa trong VPN
Giao thức Ưu điểm Khuyết điểm
PPTP - Sử dụng trên nền tảng cho client
- Không an toàn (Chứng thực MS CHAPv2 dễ bị tấn công mặc dù được sử dụng nhiều)
- Phải được sự thông qua của NSA
L2TP và IPSec - Khá an toàn
- Có sẵn hầu hết trên các nền tảng
- Hạn chế khi gặp tường lửa
SSTP - Rất an toàn (phụ thuộc trên số mã hóa)
- Hoàn toàn tích hợp vào Windows
- Chỉ làm việc đúng trên môi trường Windows
- Thuộc quyền sở hữu của Microsoft vì thế không thể kiểm tra được backdoor
- Hầu hết bỏ qua các tường lửa
SSTP và L2TP, vì nó không liên quan đến các chi phí liên quan đến giao thức Point- to-Point (PPP)
- Rất ổn định - đặc biệt là khi chuyển đổi mạng hoặc kết nối lại sau khi kết nối Internet bị mất
- Rất an toàn - hỗ trợ AES 128, AES 192, AES 256 và thuật toán mã hóa 3DES
- Dễ dàng cài đặt ở người dùng cuối)
- Giao thức được hỗ trợ trên các thiết bị Blackberry
- Sử dụng Perfect Forward Secrecy (PFS)
- Không hỗ trợ trên nhiều nền tảng
- Thi hành các giao thức IKEv2 tại máy chủ cuối là phương pháp, điều đó có thể dẫn đến những vấn đề phát sinh