1

MỤC LỤC

MỤC LỤC 1
LỜI NÓI ĐẦU 3
CHƯƠNG 1. TỔNG QUAN VỀ VPN 9
1.1 Khái niệm VPN 9
1.2 Phân loại VPN 9
1.3 Các giao thức VPN 9
1.3.1. Giao thức PPTP 9
1.3.2. Giao thức L2TP 9
1.3.3. Giao thức IPSec 10
CHƯƠNG 2. CÁC NGUY CƠ MẤT AN TOÀN VPN 11
2.1 Virus 11
2.2 Tấn công giao thức VPN 12
2.2.1. Tấn công PPTP 12
2.2.2. Tấn công trên IPSec 13
2.3 Tấn công bằng kỹ thuật mật mã 14
2.3.1. Tấn công vào các văn bản viết bằng mật mã. 14
2.3.2. Tấn công vào các bản rõ đã biết(hình thức có thể hiểu được của các
văn bản mã hóa) 15
2.3.3. Tấn công vào các bản rõ được chọn 15
2.3.4. Tấn công người xen giữa (Man-in-the-Middle Attacks) 16
2.3.5. Tấn công bằng sức mạnh vật lý 16
2.3.6. Tấn công timing (timing attacks) 17
2

2.4 Tấn công từ chối dịch vụ: 17
2.4.1. SYN Foods 18
2.4.2. Cơn bão quảng bá ( Broadcast Storm). 19

2.4.3. Smurf DoS 19
2.4.4. Ping of Death 20
2.4.5. Bom mail (mail bomb). 21
2.4.6. Thư rác (spam mailing) 21
CHƯƠNG 3. XÂY DỰNG VPN AN TOÀN 23
3.1 Kỹ thuật xác thực từ xa 23
3.1.1. Cơ chế xác thực, cấp phép, tính toán( AAA) 23
3.1.2. Dịch vụ người dùng truy nhập quay số từ xa 25
3.1.3. TACACS(Terminal Access Controller Access Controller System) 27
3.2 Các kỹ thuật bảo vệ của VPN 28
3.2.1. Tường lửa 28
3.2.2. NAT (Network Address Translation ) 32
3.2.3. SOCKS (SOCKet Server) 37
3.2.4. SSL(Secure Socket Layer) và TLS (Transport Layer Security) 38
3.3 Xây dựng VPN an toàn 40
Kết Luận 53
Tài liệu tham khảo 55
3

LỜI NÓI ĐẦU
Ngày nay thế giới chúng ta đã và đang bước vào kỷ nguyên của sự bùng
nổ thông tin. Cùng với sự phát triển như vũ bão của các phương tiện truyền
thông đại chúng, lĩnh vực truyền thông máy tính đã và đang phát triển không
ngừng. Mạng máy tính toàn cầu internet đã và đang trở thành nhu cầu bức thiết
cho mọi người. Với internet, bức tường ngăn cách giữa các quốc gia, giữa các
nền văn hóa, giữa những con người với nhau đã ngày càng giảm đi. Ngày nay có
khoảng 50 – 60 triệu người đang sử dụng internet và các ứng dụng trên internet
là vô cùng phong phú. Từ các ứng dụng truy xuất từ xa như: NC (Network
Computer), WWW,VPN… thì mạng máy tính đồng thời cung cấp môi trường
truyền thông tốt cho các dịch vụ thư tín điện tử (Email), tin tức, các hệ quản trị

dữ liệu phân bố……
Tuy nhiên khi internet làm giảm đi ranh giới giữa các nhà tổ chức, giữa
các cá nhân với nhau, thì nguy cơ mất an toàn, khả năng bị xâm phạm các bí mật,
các tài nguyên thông tin cũng tăng lên. Theo thống kê, số vụ tấn công và xâm
phạm tài nguyên thông tin trên internet mỗi năm tăng lên 100% so với năm
trước.
Làm sao để các tổ chức, các cá nhân đang sử dụng mạng cục bộ khi tham
gia internet vừa có thể bảo vệ an toàn được các dữ liệu quan trọng không bị sao
chép, sửa đổi hay phá hủy, vừa đảm bảo được tính sẵn sàng cao của dữ liệu mỗi
khi cần đến, đồng thời vẫn đảm bảo khả năng truy xuất thuận tiện, nhanh
chóng…. Vấn đề này đã trở nên hết sức quan trọng. Tuy nhiên để cho người
quản trị hệ thống mạng có thể đảm bảo yêu cầu trên, họ cần có những công cụ
hữu hiệu.
Với lý do trên, em chọn đề tài “Nguy cơ mất an toàn VPN và xây dựng mô
hình VPN an toàn” làm đề tài thực tập của em.
4

Nội dung báo cáo chia làm :
CHƯƠNG I: TỔNG QUAN VỀ VPN
Chương này giới thiệu qua khái niệm về mạng VPN là gì, lợi ích của nó đem
lại cho chúng ta và khi dùng mạng riêng ảo thì có những ưu nhược điểm gì.Giới
thiệu về các kiểu kết nối VPN và các yêu cầu cơ bản để thiết lập nên một mạng
VPN.
CHƯƠNG II: NGUY CƠ MẤT AN TOÀN VPN
Ở chương này là một số nguy cơ cho người sử dụng VPN có thể không được
an toàn nếu người dùng không sử dụng hiệu quả theo một tiêu chuẩn an toàn thì
khả năng bị các hacker kiểm soát được kết nối VPN là hoàn toàn có thể.
CHƯƠNG III: XÂY DỰNG VPN AN TOÀN
Dựa vào tính cấp thiết để đảm bảo an toàn cho người dùng VPN ta xây dựng
một mô hình VPN an toàn có thể đáp ứng được nhu cầu dùng VPN một cách

thực sự an toàn.
VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối
an toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua
mạng Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo
đảm được tính riêng tư của dữ liệu giống như đang truyền thông trên một hệ
thống mạng riêng.
Trong đề tài nghiên cứu này em đưa ra một số nguy cơ mất an toàn đối với
mạng VPN những điều đó là hoàn toàn có thể bị phá vỡ và em xây dựng một mô
hình VPN an toàn nhằm đáp ứng nhu cầu phát triển công nghệ thông tin hiện nay
mà vẫn đảm bảo tính an toàn cho dữ liệu.

5

Trong thời gian thực hiện đề tài này, do thời gian không cho phép, và kiến
thức chưa sâu sắc nên em còn nhiều sai sót, mong cô và các thầy, cô góp ý chân
thành để em hoàn thành đề tài này một cách tốt nhất.
Em xin chân thành cảm ơn sự hướng dẫn chỉ bảo tận tình của giáo viên
hướng dẫn đa giúp em hoàn thành đề tài này.



6

Danh mục hình vẽ
Hình 2.1: Các tin tặc làm tắc nghẽn mạng 18
Hình 3.1: Mô hình 1 mạng dùng AAA 25
Hình 3.2: Hai thành phần của RADIUS 26
Hình 3.3: RADIUS traffic flow 27
Hình 3.4: Xác thực từ xa TACACS 27
Hình 3.5: Tường lửa 29

Hình 3.6: Tường lửa nằm sau máy chủ VPN 31
Hình 3.7: Mô hình VPN đặt sau tường lửa 32
Hình 3.8: Mô hình triển khai NAT 33
Hình 3.9: Mô hình NATs tĩnh 34
Hình 3.10: Mô hình NATs động 34
Hình 3.11: Mô hình NATs động quá tải 35
Hình 3.12: Mô hình NATs động chồng lấp 36
Hình 3.13: Mô hình triển khai SOCKS trên VPN 37
Hình 3.14: Hai lớp của SSL 39
Hình 3.15: Mô hình VPN+NPS 40
Hình 3.16: Cài Active Directory certlcate server 41
Hình 3.17: Chọn giao diện xin CA 41
Hình 3.18: Cài đặt Network policy and access services 42
Hình 3.19: Cài role service 42
Hình 3.20: Vào network server 43
Hình 3.21: Chọn chính sách yêu cầu cho VPN 44
Hình 3.22: Chính sách được truy cập 44
Hình 3.23: Tạo chính sách không được truy cập 45
Hình 3.24 : New network policy được truy cập 45
Hình 3.25: New network policy không được truy cập 46
Hình 3.26: Chính sách cho VPN 47
Hình 3.27: Chọn giao thức kết nối 47
Hình 3.28: Chọn cơ chế mã hóa 48
7

Hình 3.29: Cài đặt VPN 49
Hình 3.30: Cấu hình IP để VPN cấp 49
Hình 3.31: Enable this enfocenert client 50
Hình 3.32: Start dịch vụ mạng 50
Hình 3.33: Cấu hình VPN trên Client 51

Hình 3.34: Cấu hình kết nối L2TP 51
Hình 3.35: Kết nối VPN thành công 52

8

Danh mục viết tắt
Số TT
Cụm từ
Viết tắt
01
Virtual Private Network
VPN
02
Transmission Control Protocol/Internet
Protocol
TCP/IP
03
Internet Service Provider
ISP
04
Network Access Server
NAS
05
Point to Point Tunneling Protocol
PPTP
06
Layer 2 Tunneling Protocol
L2TP
07
Internet Protocol Security

TPSec
08
Generic Routing Encapsulation
GRE
09
Network Policy Server
NPS
09
Network Address Translation
NAT
10
Terminal Access Controller Access
Controller System
TACACS
11
Remote Access Dial- In-User Service
RADIUS
12
Authentication Authirization Accounting
AAA
13
SOCKet Server
SOCKS
14
Secure Socket Layer
SSL
15
Transport Layer Security
TLS





9

CHƯƠNG 1. TỔNG QUAN VỀ VPN
1.1 Khái niệm VPN
Hiện nay giải pháp VPN (Virtual Private Network) được thiết kế cho
những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng
(trên toàn quốc hay toàn cầu). Tài nguyên ở trung tâm có thể kết nối đến từ nhiều
nguồn nên tiết kiệm được được chi phí và thời gian.
1.2 Phân loại VPN
Có 2 cách chủ yếu sử dụng các mạng riêng ảo VPN. Trước tiên, các
mạng VPN có thể kết nối hai mạng với nhau. Điều này được biết đến như một
mạng kết nối LAN to LAN VPN hay mạng kết nối site to site VPN. Thứ hai,
một VPN truy cập từ xa có thể kết nối người dùng từ xa tới mạng.
1.VPN truy nhập từ xa( Remote Access).
2.VPN điểm nối điểm (Site to Site).
1.3 Các giao thức VPN
1.3.1. Giao thức PPTP
PPTP là giải pháp độc quyền cho phép truyền dữ liệu một cách an toàn
giữa một client từ xa và một server của doanh nghiệp bằng việc tạo ra một VPN
qua một mạng dựa trên IP.
1.3.2. Giao thức L2TP
Được phát triển bởi IETF và được tán thành bởi nhiều hãng lớn như:
Cisco, Microsoft, 3Com và Asend. L2TP là một sự kết hợp của các giao thức
VPN trước đây như PPTP và L2F. Thực tế nó là sự kết hợp tốt nhất của PPTP và
L2F.
10


1.3.3. Giao thức IPSec
IPSec là một kiến trúc an toàn dựa trên chuẩn mở, có đặc điểm sau:
- Cung cấp tính xác thực, mã hóa, toàn vẹn dữ liệu và bảo vệ sự phát lại
- Cung cấp khả năng tạo và tự động làm tươi các khóa mật mã một cách an
toàn.


11

CHƯƠNG 2. CÁC NGUY CƠ MẤT AN TOÀN VPN
VPN có thể bị tấn công bằng rất nhiều đường:
- Virus
- Tấn công vào các giao thức của VPN
- Tấn công bằng cách giải mã
- Tấn công từ chối dịch vụ
2.1 Virus
VPN đem lại cho ta rất nhiều tiện ích như là khả năng an toàn mà chi phí
cấu hình lại giảm nhưng thực tế thì cũng có một số vấn đề không được an toàn
tuyệt đối nếu như người dùng không sử dụng chính sách mạnh thì việc phá vỡ
VPN là hoàn toàn có thể. Chính vì những lý do đó mà hệ thống VPN của chúng
ta phải thiết lập chặt chẽ hơn để giảm thiểu nguy cơ mất an toàn đối với VPN.
Sau đây ta phân tích một số nguy cơ mất an toàn đối với người dùng VPN không
cẩn trọng đó là virut.
Virut Keystroke logger là ẩn phần mềm ngồi giữa phần cứng bàn phím và
hệ điều hành hệ thống nó có thể ghi lại tất cả các quy trình của người dùng khi
gõ bàn phím và được truyền tải qua thư điện tử hoặc trang web hoặc lưu trên
cùng một hệ thống như một tập tin ẩn.
Keystroke logger ghi tên ứng dụng, thời gian và ngày ứng dụng được mở
ra và tổ hợp phím liên quan tới ứng dụng đó. Keystroke logger có khả năng nắm
bắt thông tin trước khi nó có thể được mã hóa để truyền qua mạng.

Trojrans subseven (xem tài nguyên), hoặc bao gồm khả năng quét từ xa và
để chuyển tiếp các kết nối. Những kẻ tấn công có thể cấu hình các trojan để nó
có thể chuyển tiếp lưu lượng thông qua hệ thống từ xa vào mạng nội bộ. Việc
chuyển tiếp lưu lượng truy cập có địa chỉ nguồn giống như các hệ thống từ xa và
sử dụng cùng đường hầm VPN. Đối với kẻ tấn công thì họ đã đạt được mục đích.

12

Chính vì những yếu tố đó mà khi xây dựng mạng VPN ta cần xây dựng
làm sao cho giảm thiểu được rủi ro khi dùng mạng VPN. Bằng cách là thiết lập
bắt buộc người dùng cá nhân muốn VPN vào hệ thống thì máy tính của người đó
phải đảm bảo yêu cầu đặt ra là máy tính phải đảm bảo an toàn thì mới được VPN
vào hệ thống ví dụ như phải bật tường lửa hay có chương trình diệt virut thì mới
cho phép VPN vào hệ thống. Vậy thì sẽ giảm bớt được nguy cơ mất an toàn cho
hệ thống VPN.
Để làm được điều đó khi cấu hình VPN người quản trị phải cấu hình thêm
các chính sách cho người sử dụng VPN để bắt buộc mọi người muốn VPN vào
hệ thống thì phải chịu chính sách này làm điều đó thì cũng phần nào giảm bớt
được nguy cơ mất an toàn đối với mạng VPN.
2.2 Tấn công giao thức VPN
Các giao thức của VPN như : PPTP,L2TP, và IPSec đều có những lỗ
hổng bảo mật cực kì nguy hiểm.
2.2.1. Tấn công PPTP
PPTP có 2 điểm yếu
- Generic Routing Encapsulation(GRE)- quá trình đóng gói tin
- Trao đổi mật khẩu trong quá trình xác thực
Để bảo mật dữ liệu người ta cần đóng gói dữ liệu.GRE là một giao thức
đường hầm dùng để đóng gói dữ liệu dạng văn bản. Nó không cung cấp cơ chế
bảo mật cho dữ liệu. Do đó các hacker dễ dàng bắt được các gói tin được đóng
gói bằng GRE. Do đó dữ liệu sau khi đóng gói cần mã hóa trước khi truyền đi

Chú ý :GRE sử dụng cơ chế định tuyến một cách tự động, điều này ảnh
hưởng nghiêm trọng đến VPN. Để ngăn các gói tin địn tuyến tự động, VPN yêu
cầu bạn phải sử dụng cơ chế định tuyến tĩnh. Một giải pháp khác là cho dữ liệu
đi qua tường lửa sau khi GRE header được gỡ bỏ.
13

Một điểm yếu khác của GRE là gói tin GRE sử dụng một chuỗi # để đồng
bộ đường hầm. Tuy nhiên GRE không đưa ra cơ chế để GRE chống lại các chuỗi
bất hợp lệ. Lợi dụng điểm này, các tin tặc sẽ truyền dữ liệu nguy hiểm vào các
dữ liệu bị biến đổi để đánh lừa điểm đích, điểm đích tưởng đó là các chuỗi đồng
bộ và không xử lý, nhờ chiến thuật này các dữ liệu nguy hiểm sẽ lọt vào mạng
nội bộ của công ty.
PPTP cũng có thể bị tấn công bằng “ kĩ thuật tấn công bằng từ điển”
.PPTP dùng Microsoft-Point-to-Point-Encryption (MPPE) để gửi mật khẩu đi mà
không hề mã hóa. Nếu kẻ xâm nhập có thể lấy được một phần của mật khẩu :
như giải thuật toán băm,mật khẩu được băm, chúng sẽ dùng những thông tin có
được để khôi phục được mật khẩu chính xác ban đầu.
Bây giờ password có kích thước nhỏ do chuẩn mã hóa. Do đó nó có thể
được xác định bằng brute-force. Phụ thuộc vào hệ thống, password và trình độ
người tấn công thì sự tấn công có thể thành công trong 1 ngày 1 giờ hay chỉ 1 vài
giây.
2.2.2. Tấn công trên IPSec
IPSec không phải là một giải thuật mã hóa cũng như cơ chế xác thực.
IPSec sẽ kêt hợp với các giải thuật khác để bảo vệ dữ liệu. Tuy nhiên IPSec vẫn
có điểm yếu :
 Tấn công chống lại việc triển khai IPSec
 Tấn công chống lại việc quản lý khóa
 Administrative and winlcard attacks
Các tin tặc khai thác hai điểm yếu của việc triển khai IPSec để tấn công:
sử dụng giải thuật null, hai máy kết nối sẽ thống nhất một khóa yếu hơn nếu một

trong hai máy không có hỗ trợ khóa mạnh .
IPSec sử dụng DES-CBC để mã hóa và HMAC-MD5 và HMAC-SHA-1
để xác thực. Bên cạnh đó giao thức IPSec cũng có thể sử dụng ESP hoặc AH. Do
IPSec cho sử dụng giải thuật null nên một máy có thể không sử dụng DES-CBC
14

trong quá trình truyền thông trong khi máy còn lại có thể sử dụng. Máy không có
sử dụng DES-CBC để mã hóa chính là điểm yếu để tin tặc khai thác. Điều này
thường xảy ra khi các nhà cung cấp dịch vụ mạng sử dụng các tiêu chuẩn khác
nhau.
IPSec cho phép 2 máy truyền thông tự thống nhất khóa mã hoa. Nếu một
bên sử dụng khóa yếu (40bit) máy còn lại cũng phải sử dụng khóa yếu (40bit) để
thông tin mặc dù khả năng hỗ trợ của nó có thể cao hơn (56 hoặc 128 bit). Muốn
phá một khóa 56 bit bạn phải mất hằng ngày hoặc hằng tháng, nhưng bạn cũng
có thể phá một khóa 40 bit một cách dễ dàng.
IPSec sử dụng IKE để quản lý khóa. Các tin tặc có thể khai thác điểm yếu
của quá trình trao đổi khóa. Nếu một máy kết thúc phiên làm việc máy còn lại
không hề biết rằng phiên làm việc đã kết thúc. Như vậy máy đó vẫn mở port để
trao đổi thông tin với bên ngoài. Ngay lúc này các tin tặc có thể giả danh trao đổi
thông tin với máy đó.
Cách tấn công cuối cùng ít gặp nhất : IPSec cung cấp giao diện quản lý
cho SA. Việc này gia tăng khả năng tấn công vào các thông số của SA.
Chú ý : L2TP dễ bị tấn công bằng các kiểu tấn công như: Dictionary
attacks,Brute Force attacks, và Spoofing attacks. Tuy nhiên L2TP hiếm khi được
thực thi độc lập, nó thường được thực thi trên IPSec.
2.3 Tấn công bằng kỹ thuật mật mã
Sử dụng kĩ thuật này tin tặc có thể mã hóa ngược lại mà không cần biết
quá trình mã hóa đã được tiến hành như thế nào. Dựa trên các kỹ thuật mã hóa có
sẵn người ta cũng đã tìm ra kỹ thuật giải mã tương ứng.
2.3.1. Tấn công vào các văn bản viết bằng mật mã.

Trong các kỹ thuật tấn công này, tin tặc không cần quan tâm đến nội dung
dữ liệu gốc mà chỉ cần các văn bản mã hóa. Các tin tặc sẽ sử dụng các công cụ
có sẵn để khôi phục lại dữ liệu ban đầu từ dữ liệu mã hóa. Kỹ thuật này không
hiệu quả lắm và thường vô dụng đối với các kỹ thuật mã hóa hiện đại.
15

 Chú ý: “Reverse engineering” là quá trình chuyển các thông tin được mã
hóa về trạng thái ban đầu trước khi được mã hóa. Phương pháp “hit-and-
miss” cần rất nhiều thời gian và nỗ lực.
Do các thông điệp thường có định dạng gần giống nhau. Thêm vào đó kinh
nghiệm phân tích các văn bản mã hóa sẽ giúp tin tặc xác định tin gốc ban đầu khi
chưa mã hóa.
Các kỹ thuật mã hóa mới đều có các cơ chế chống lại kỹ thuật tấn công
này nên hiện tại kỹ thuật này không có hiệu quả cao
2.3.2. Tấn công vào các bản rõ đã biết(hình thức có thể hiểu được của các văn
bản mã hóa)
Trong kỹ thuật này, các tin tặc đã giải mã một phần thông điệp mã hóa và
sử dụng những thông tin kinh nghiệm giải mã có được để giải phần mã còn lại.
Ví dụ : Các tin tặc có thể giải mã một phần khóa, dựa vào đó để dự đoán phần
còn lại của khóa, sau đó dùng khóa để giải mã toàn bộ thông điệp.
Kỹ thuật tấn công plaintext tuyến tính là kỹ thuật thông dụng nhất. Các bít
của plaintext đã biết sẽ được XORed với nhau, các bít của văn bản mã hóa cũng
được XORed với nhau. Sau đó sẽ lấy kết quả XORed với nhau. Nhiệm vụ là tìm
ra các bít là XOR của các bít khó. Nếu chúng ta XORed một số lượng lớn các
văn bản mã hóa và các plaintext với nhau chúng ta có thể xác định các khóa mã
hóa và giải mã toàn bộ phần còn lại. Để làm được điều này chúng ta cần có một
cơ sở dữ liệu lớn để giải mã.
2.3.3. Tấn công vào các bản rõ được chọn
Trong kỹ thuật này các tin tặc sẽ chọn ngẫu nhiên một đoạn văn bản đã
được mã hóa. Các tin tặc sẽ xác định khóa để mã hóa văn bản sau đó các khóa

này sẽ tiếp tục được sử dụng để giải mã.
Kỹ thuật giải mã ví sai. Trước hết tin tặc cần biết 2 đoạn plaintext của văn
bản mã hóa. Sau đó căn cứ vào sai lệch của văn bản được mã hóa tin tặc có thể
16

xác định khóa. Cần phải phân tích nhiều cặp văn bản mã hóa để xác định khóa
mật mã.
Giải thuật giải mã, ví dụ : RSA không bị ảnh hưởng bởi kỹ thuật này. Có
quá nhiều trường hợp cần phân tích.
2.3.4. Tấn công người xen giữa (Man-in-the-Middle Attacks)
Kỹ thuật này được dùng tấn công trong quá trình trao đổi khóa hoặc
truyền thông mã hóa,ví dụ như Diffie-Hellman. Trước khi hai máy trao đổi dữ
liệu tin tặc sẽ chặn khóa mà hai máy trao đổi với nhau lại, sau đó thay đổi bằng
khóa của chính mình. Do đó hai máy không thể nhận được khóa hợp lệ từ máy
bên kia mà nhận được khóa từ chính tin tặc. Máy đâu cuối nghĩ rằng đó là khóa
hợp lệ nên sử dụng nó để mã hóa cho phiên truyền thông này. Như vậy tin tặc có
thể xác định được nội dung của quá trình truyền thông này.
Chú ý: Man-in-the-Middle attacks có thể bị ngăn bằng chữ ký điện tử.
Chữ ký điện tử có thể trao đổi sau khi hai bên trao đổi khóa và tạo ra các mật
hiệu riêng. Như vậy khóa có thể rơi vào tay kẻ xâm nhập, chữ ký điện tử vẫn có
thể giúp bảo vệ bí mật.
2.3.5. Tấn công bằng sức mạnh vật lý
Trong kỹ thuật này tin tặc sẽ tao ra một khóa ngẫu nhiên sau đó nó dùng
để giải mã cho đến khi xác định được khóa thật. Khóa này sẽ được sử dụng để
giải mật mã và khôi phục thông tin ban đầu.
Vấn đề lớn nhất của kỹ thuật này phụ thuộc vào chiều dài của khóa. Khóa
càng dài, việc xác định khóa càng khó, thông tin càng an toàn.Ví dụ khóa 32 bít
cần 2
32
lần thử,40 bít cần 2

40
lần thử. Với kỹ thuật hiện tại, mất khoảng một tuần
để phá khóa 40 bít, khoảng vài tháng để phá khóa 52 bít. Khóa 128 bít là an toàn
nhất.
17

Kỹ thuật này đòi hỏi máy tính phải có cấu hình cực mạnh, một cơ sở dữ
liệu đủ lớn. Càng ngày công nghệ càng phát triển, máy tính càng mạnh, nguy cơ
tiềm ẩn càng cao.
2.3.6. Tấn công timing (timing attacks)
Đây là một kỹ thuật tấn công bằng phương pháp giải mã tương đối mới,
trước hết các tin tặc cần xác định khoảng thời gian để tạo khóa, thông tin này sẽ
được phân tích để xác định giải thuật và khóa dùng để mã hóa.
 Chú ý: kỹ thuật tấn công này không chú trọng vào phần mềm mà chú
trọng vào phần cứng. Bất cứ người truyền tin sử dụng kỹ thuật mã hóa nào,
các tin tặc đều sử dụng cùng một cách phá mã. Tốc độ phá mã càng hoàn
hảo nếu như tốc độ xử lý của phần cứng các tin tặc sử dụng càng cao.
2.4 Tấn công từ chối dịch vụ:
Denial-Of-Service (DoS) là kỹ thuật tấn công khá lạ, tin tặc sử dụng một
mạng khác để tấn công, ví dụ như : mạo nhận,malware, virus xâm nhập cơ sở dữ
liệu hoặc gây thiệt hại. Kỹ thuật này có thể gây ra nghẽn mạng ở các trang web.
Tấn công DoS là kỹ thuật khá phổ biến vì nó không cần bất kì phần mềm
đặc biệt nào để xâm nhập mạng đích. Tin tặc này có thể làm nghẽn mạng bằng
cách gửi vào load dữ liệu từ trang web. Việc này làm trang web không thể truy
cập được tất cả các router muốn kết nối với máy chủ đặt web đều bị chặn lại.
Hậu quả của việc tấn công này có thể làm hư hỏng hoàn toàn máy đích.

18



Hình 2.1: Các tin tặc làm tắc nghẽn mạng
Dos có rất nhiều thuận lợi. Đầu tiên, DoS rất đa dạng và tấn công vào
nhiều mạng đích. Các tin tặc có thể tấn công bằng nhiều cách: gửi nhiều email
hoặc nhiều yêu cầu IP, tin tặc dễ dàng giấu tên và danh tính. Xui xẻo là việc xác
định danh tính các tin tặc thực hiện tấn công DoS cực kì khó khăn vì bọn chúng
sử dụng địa chỉ IP giả. Một vụ tấn công DoS thành công có thể thực hiện bằng
cách gửi một gói IP có dung lượng lớn vào mạng.
Một vài công cụ để thự hiện tấn công DoS
 SYN Floods
 Broadcast Storm( cơn bão quảng bá)
 Smurf DoS
 Ping of Death
 Mail Bomb( bom mail)
 Spam Mailling
2.4.1. SYN Foods
Tất cả các kết nối TCP của nạn nhân được sử dụng, do đó những người
khác không thể kết nối với nạn nhân. Số lượng port là hữu hạn.Để khởi tạo một
phiên làm việc TCP dùng ba cơ chế bắt tay:
19

 Máy chủ gửi một gói dữ liệu đến máy chủ khác trong mạng, trong máy
này chứa ID của máy chủ (Synchronize Sequence Number)
 Máy nhận được gói dữ liệu sẽ gửi ngược lại một gói dữ liệu khác để báo
hiệu mình đã nhận được (ACK)
 Máy nhận kết nối cũng gửi một gói tin SYN. Gói tin này dùng để đồng bộ.
 Dựa trên các dữ liệu nhận được, máy chủ ban đầu sẽ gửi dữ liệu hoặc
ACK.
 Toàn bộ quá trình chỉ trao đổi ba gói dữ liệu, packet (three-way
handshake).
 Kết nối TCP có thể gây ra nghẽn mạng khi các tin tặc gửi các ID giả trong

gói tin SYN. Nếu ID giả được gởi đi, máy chủ bên kia không bao giờ nhận
được thông tin thật. Thậm chí nếu vẫn còn kênh để kết nối máy chủ đối diện
sẽ bận rộn với nhiều yêu cầu giả để có thể kết nối với máy chủ cần thết.
 Để chống lại kĩ thuật tấn công DoS, có nhiều công cụ ví dụ như: phần
mềm Cisco IOS và tường lừa CiscoPix
2.4.2. Cơn bão quảng bá ( Broadcast Storm).
Thông tin quảng bá là thông điệp được gửi dến mọi cá nhân trọng mạng.
Càng nhiều thông tin quảng bá, càng nhiều thông điệp lưu thông trên mạng.
Người ta dùng thuật ngữ cơn bão quảng bá để mô tả kỹ thuật tấn công này.
Khi sử dụng kỹ thuật cơn bão quảng bá để tấn công, các tin tặc sẽ gửi một
lượng gói tin cực lớn chứa các địa chỉ giả vào mạng cá nhân. Do địa chỉ giả này
không tồn tại trong mạng, các gói tin này sẽ lưu thông trong mạng, di chuyển từ
máy này sang máy khác cho đến khi nó làm mạng hoàn toàn đóng băng. Các
công cụ như asping và gửi mail để tạo ra các cơn bão quảng bá. Chúng ta có thể
ngăn ngừa hình thức tấn công này bằng cách chặn các thông điệp quảng bá
không hợp lệ trong mạng.
2.4.3. Smurf DoS
Tấn công smurf được đặt tên sau khi chương trình này được sử dụng để
tấn công. Thỉnh thoảng nó còn có tên gọi khác là tấn công khuếch đại ICMP.
20

Để thực hiện kỹ thuật tấn công này các tin tặc sử dụng một địa chỉ IP giả
và gửi một lượng lớn các yêu cầu phản hồi ICMPI(ping). Các máy tính nhận
được yêu cầu này có trách nhiệm gửi trả lại thông điệp ICMP. Kết quả là một
lượng lớn các gói tin lưu thông trong mạng làm mạng trở nên tắc nghẽn.
Ghi chú: Nếu có hàng trăm máy tính trong mạng nội bộ, một máy sẽ trả lời
cho một yêu cầu cụ thể.
2.4.4. Ping of Death
Ping of death là tấn công DoS các tin tặc sẽ gửi một lượng lớn các gói tin
có dung lượng lớn 65,535 byte. Các gói tin đó sẽ được gửi vào máy của nạn

nhân. Máy tính không thể xử lý một lượng lớn thông tin nên sẽ bị reboot hoặc
feeze. Một số lượng lớn gói tin như vậy sẽ làm cho mạng bị tắc nghẽ n
Nếu tin tặc sử dụng window 95 để thực hiện cuộc tấn công DoS, chúng có
thể sử dụng command như sau:
Ping -1 65527 –s 1{destination_IP}
Lệnh này có nghĩa:
-1-65527 tạo bộ đệm cho 65527
-s 1 xác định time stamp cho hop counts
Tấn công teardrop là một dạng tấn công Ping of Death, khi một phân đoạn
của gói tin gửi tới nạn nhân. Trong khi chờ đợi các phân đoạn để ráp thành một
gói tin hoàn chỉnh, máy tính sẽ cố gắng tập hợp tất cả các gói tin lại với nhau.
Tuy nhiên kích thước gói tin quá lớn so với bộ đệm của máy tính. Việc tràn gói
tin này có thể làm cho máy chủ của nạn nhân có thể bị treo và ngừng hoạt động.
Tấn công a land là một dạng khác của tấn công Ping of Death. Trong kỹ
thuật tấn công này, các tin tặc sẽ gửi một yêu cầu kết nối TCP giả mạo đến máy
nạn nhân. Gói tin giả mạo sẽ được chuyển đến máy đích, việc này giống như
máy nạn nhân đang cố gắng thực hiện kết nối TCP với chính nó.
21

Bạn có thể chống lại tấn công Ping of Death bằng cách chặn ping đến máy
của bạn, tuy nhiên bạn cũng sẽ chặn luôn các ping hợp lệ. Do đó thay vì chặn tất
cả các yêu cầu ping bạn chỉ cần chặn các phân đoạn của ping. Khi bạn chặn các
phân đoạn của ping có kích thước lớn hơn kích thước MTU sẽ bị chặn lại
2.4.5. Bom mail (mail bomb).
Mục tiêu của mail bomb là các hộp thư, mail. Một lượng lớn các mail có
nội dung giống hệt nhau sẽ được gửi đến hộp thư . Thêm vào đó các mail có thể
nhân bản vô tính. Hộp thư mail không thể xử lý một lượng mail lớn nên máy tính
bị treo, các chương trình khác sẽ bị ngừng hoạt động. Hộp thư mail rơi vào trạng
thái vòng lặp vô hạn, máy chủ sẽ bị hư.
2.4.6. Thư rác (spam mailing)

Tương tự như bom mail spam mailling cũng nhắm vào hộp thư thoại
email. Spam mailling sử dụng một địa chỉ phản hồi giả. Khi bạn gửi thông tin
phản hồi cho thông điệp này, phản hồi sẽ đi đến một địa chỉ email không có thực.
Nếu có một lượng lớn các bức mail như vậy hoặc các bức mail có khả năng tự
nhân đôi, hộp thư mail bị quá tải và máy chủ có thể treo.
 Chống tấn công DoS
DoS là một vũ khí nhanh chóng và hữu hiệu của các tin tặc. Để chống lại,
có thể thực hiện các bước sau
 Vô hiệu hóa các dịch vụ mạng không dùng hoặc không cần thiết.
 Duy trì các bản sao.
 Tạo, duy trì đăng nhập thường ngày.
 Tạo các mật khẩu.
 Triển khai hệ thống phát hiện kẻ xâm nhập.
 Triển khai các bộ lọc lộ trình và các bộ lọc phân đoạn gói tin ICMP.
 Triển khai các hệ thống bảo mật nghiêm ngặt trên máy của bạn.
 Định cấu hình cho bộ lọc các gói tin IP giả.
 Đặt các bản vá, sửa lỗi để chống lại tấn công TCP SYN.
22

 Phân chia file hệ thống để chia các file ứng dụng.
 Triển khai các công cụ như tripwire để phát hiện các việc thay đổi
thông tin file cấu hình hoặc các file khác.


23

CHƯƠNG 3. XÂY DỰNG VPN AN TOÀN
3.1 Kỹ thuật xác thực từ xa
Kỹ thuật xác thực từ xa đảm bảo người dùng có thẩm quyển mới có khả
năng truy nhập vào mạng nội bộ. Các cơ chế xác thực được tích hợp vào VPN để

nâng cao tính bảo mật VPN:
 Authentication Authirization Accounting (AAA)
 Remote Access Dial- In-User Service (RADIUS)
 Terminal Access Controller Access Controller System (TACACS)
3.1.1. Cơ chế xác thực, cấp phép, tính toán( AAA)
Như tên của nó,AAA là kiến trúc dùng để thực hiện 3 chức năng chính
xác: xác thực, cấp phép và tính toán. Và nó cho phép người quản lý mạng nhận
dạng và trả lời 3 câu hỏi quan trọng :
 Ai là người truy cập vào mạng ?
 Khi người dùng truy cập mạng thì được phép làm gì và không được
phép làm gì?
 Người dùng đang làm gì và khi nào
3.1.1.1 Xác thực
Như đã biết xác thực là bước đầu tiên để thực hiện bảo mật. Quá trình xác
thực sẽ xác nhận dạng người dùng hợp pháp trước khi cho phép họ truy nhập vào
các tài nguyên của mạng.
Quá trình xác thực cung cấp nhiều cơ chế giúp nhận dạng đúng người
dùng đang truy nhập vào tài nguyên trong mạng nội bộ. ID của người dùng và
mật khẩu tương ứng là cách truyền thông để làm việc này. Các cơ chế khác gồm
có : thử thách, trả lời đối thoại, hỗ trợ thông điệp, và thỉnh thoảng là mã hóa, dựa
trên giao thức bảo mật sử dụng.
24

3.1.1.2 Cấp phép
Cấp phép là cơ chế điều khiển các hành động cho phép người dung hoạt
động trong mạng và sử dụng các tài nguyên. Cấp phép cung cấp một cơ chế điều
khiển từ xa, quá trình cấp phép xảy ra cho từng dịch vụ một, cho từng người
dùng, cho từng nhóm sử dụng.
Thông thường quá trình xác thực xảy ra trước quá trình cấp phép, tuy
nhiên điều này không phải bắt buộc. Quá trình xác thực sẽ xác định xem người

dùng có quyền truy nhập vào mạng không và liệu có được thực hiện các dịch vụ
mà người dùng yêu cầu không.
3.1.1.3 Dịch vụ tính toán
Là một cơ chế để ghi lại các hoạt động của người dùng sau khi đăng nhập
thành công vào mạng. Dịch vụ gồm : tập hợp, bill, kiểm định, báo cáo về nhận
dạng người dùng, các câu lệnh đã dùng suốt phiên làm việc, số lượng các gói tin
đã truyền. Thông thường dịch vụ tính toán được kích hoạt sau quá trình xác thực
và quá trình cấp phép, tuy nhiên thứ tự này không cố định. Dịch vụ tính toán có
thể xảy ra cho dù chưa có quá trình xác thực và quá trình cấp phép.
Mô hình AAA có thể triển khai tại các thiết bị mạng trung tâm (ví dụ máy
chủ đang nhập từ xa và máy chủ RADIUS)

25


Hình 3.1: Mô hình 1 mạng dùng AAA
AAA cũng có thể được triển khai ở các máy đơn. Tùy vào số lượng các
thiết bị mạng và độ phức tạp của mạng, quản trị mạng cân nhắc có triển khai hay
không. Khi mô hình AAA được triển khai từ máy chủ đăng nhập từ xa, bất kỳ
người dùng nào đăng nhập vào máy chủ đều phải qua các quá trình xác thực, cấp
phép và chịu sự kiểm tra của dịch vụ tính toán.
3.1.2. Dịch vụ người dùng truy nhập quay số từ xa
Chương trình được phát triển bởi công ty Livingston dưới sự hỗ trợ của
IETF, RADIUS sẽ trở thành một khối chuẩn trong quá trình xác thực từ xa. Nó
sẽ được hỗ trợ thành một khối chuẩn trong quá trình xác thực từ xa.
Trong hệ thống có tích hợp RADIUS, thông tin người dùng sẽ được lưu
trong cơ sở dữ liệu trung tâm. Tất cả các máy chủ truy nhập từ xa đều chia sẻ cơ
sở dữ liệu này. Khi máy chủ truy nhập từ xa được yêu cầu từ người dùng,
RADIUS cho phép quá trình truyền thông giữa cơ sở dữ liệu và máy chủ từ xa.
RADIUS sẽ xác thực định dạng và dòng có gói tin giữa cơ sở dữ liệu và máy chủ

truy nhập từ xa. Cơ sở dữ liệu cung cấp thông tin được yêu cầu. Máy chủ truy
nhập từ xa sử dụng thông tin này để xác thực yêu cầu từ người dùng và cấp phép
cho người dùng sử dụng tài nguyên của mạng.
RADIUS gồm có 2 thành phần : RADIUS máy khách và RADIUS máy
chủ.