Tải bản đầy đủ (.pdf) (36 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Bảo mật VPN( Mạng riêng ảo)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.63 MB, 36 trang )

Đồ án môn học: Sercurity+

ĐỀ TÀI: SECURITY FOR VPN

Chuyên ngành: Quản trị mạng

Hà Nội - 2011

BỘ GIÁO DỤC VÀ ĐÀO TẠO
Đồ án môn học: Sercurity+

ĐỀ TÀI: SECURITY FOR VPN

Chuyên ngành: Quản trị mạng

Hà Nội - 2011

MỤC LỤC

LỜI MỞ ĐẦU..................................................................................................................1

CHƯƠNG I: BẢO MẬT TRONG VPN
1.1-TỔNG QUAN VỀ VPN............................................................................................2

1.1.1.Định nghĩa..........................................................................................................2
1.1.2.Phân loại VPN...................................................................................................2

1.1.2.1.Mạng VPN truy nhập từ xa.........................................................................2
1.1.2.2.Mạng VPN điểm nối điểm...........................................................................3
1.1.3.Các giao thức VPN............................................................................................4
1.2-BẢO MẬT VPN........................................................................................................5


1.2.1.Các mối đe dọa đối với quá trình bảo mật............................................................5
1.2.1.1.Mối đe dọa từ bên ngoài.................................................................................5
1.2.1.2.Mối đe dọa từ bên trong.................................................................................6
1.2.1.3.Mối đe dọa từ hai phía....................................................................................7
1.2.2.Các kiểu tấn cơng VPN.........................................................................................8
1.2.2.1.Tấn công vào các thành phần VPN................................................................8
1.2.2.2.Tấn công giao thức VPN..............................................................................10
1.2.2.3.Tấn công bằng kỹ thuật giải mã...................................................................11
1.2.2.4.Tấn công từ chối dịch vụ..............................................................................13
1.2.3.Các công nghệ bảo mật VPN..............................................................................14
1.2.3.1.Kỹ thuật xác thực từ xa.................................................................................14
1.2.3.1.1.Authenticate Authorize Auditting(AAA)..............................................14
1.2.3.1.2.(RADIUS)..............................................................................................16
1.2.3.1.3.(TACACS).............................................................................................17
1.2.3.2.Các giải pháp bảo mật khác cho VPN..........................................................18
1.2.3.2.1.Tường lửa...............................................................................................18
1.2.3.2.2.Network Access Translation(NAT)......................................................20
1.2.3.2.3.Socket Server(SOCKS).........................................................................23
1.2.3.2.3.Sercure Socket Layer(SSL) và Transport Layer Sercurity(TLS).........24

CHƯƠNG II :MƠ HÌNH THỬ NGHIỆM
2.1. Mơ hình thử nghiệm.................................................................................................26
2.2. Các bước cài đặt mơ hình........................................................................................26
2.3. Kết quả thử nghiệm..................................................................................................32

KẾT LUẬN.....................................................................................................................33

Sercurity for VPN

LỜI MỞ ĐẦU


Ngày nay với sự phát triển cao của công nghệ thông tin, các hacker có thể dễ dàng
xâm nhập vào mạng hơn bằng nhiều con đường khác nhau. Vì vậy có thể nói điểm yếu
cơ bản nhất của mạng máy tính đó là khả năng bảo mật, an tồn thơng tin. Thơng tin là
một tài sản quý giá, đảm bảo được an toàn dữ liệu cho người sử dụng là một trong
những yêu cầu được đặt ra hàng đầu. Chính vì vậy em đã quyết định chọn đề tài
“Sercurity for VPN” với mong muốn có thể tìm hiểu, nghiên cứu, hiểu biết thêm đề
tài này.
Chúng em xin chân thành cảm ơn thầy giáo đã giúp đỡ em nhiệt tình trong suốt quá
trình làm đồ án cũng như xin được cảm ơn bạn bè đã góp ý giúp đỡ em hồn thành đồ
án này. Vì đây là đề tài khá mới, nguồn tài liệu chủ yếu là Tiếng Anh nên đồ án này
chắc chắn sẽ khơng tránh được những sai sót, chúng em rất mong nhận được những ý
kiến đóng góp của thầy cơ và các bạn.

3

Sercurity for VPN

CHƯƠNG 1:
BẢO MẬT VPN
1.1.TỔNG QUAN VỀ VPN
1.1.1.Định nghĩa VPN
Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ sở hạ
tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và bảo mật
giống như mạng cục bộ.

Hình 1.1: Mơ hình VPN
Các thuật ngữ dùng trong VPN như sau:
-Virtual: nghĩa là kết nối là động, không được gắn cứng và tồn tại như một kết nối
khi lưu lượng mạng chuyển qua.

- Private- nghĩa là dữ liệu truyền ln ln được giữ bí mật và chỉ có thể bị truy cập
bởi những người sử dụng được trao quyền.
- Network- là thực thể hạ tầng mạng giữa những người sử dụng đầu cuối, những trạm
hay những node để mang dữ liệu.
1.1.2.Phân loại mạng VPN
1.1.2.1.Mạng VPN truy nhập từ xa
Hay cũng được gọi là Mạng quay số riêng ảo (Virtual Private Dial-up Network), đây
là dạng kết nối User-to-Lan áp dụng cho các cơng ty mà các nhân viên có nhu cầu kết
nối tới mạng riêng (private network) từ các địa điểm từ xa.

4

Sercurity for VPN

Hình 1.2 : Mơ hình mạng VPN truy nhập từ xa
1.1.2.2.Mạng VPN điểm nối điểm ( site - to - site)
VPN điểm-nối-điểm dành cho nhiều người để kết nối nhiều điểm cố định với nhau
thông qua một mạng công cộng như Internet. Loại này có thể dựa trên Intranet hoặc
Extranet
-VPN intranet (VPN nội bộ)
Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng
chung.

Hình 1.3: Mơ hình mạng VPN cục bộ
-VPN extranet (VPN mở rộng)
Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những
nguồn tài nguyên mạng cần thiết để mở rộng những đối tượng kinh doanh như là các
đối tác, khách hàng, và các nhà cung cấp.

5


Sercurity for VPN

Hình 1.4: Mơ hình mạng VPN mở rộng
1.1.3.Các giao thức VPN:

Application Layer L2F, PPTP, L2TP
Presentation Layer
Session Layer
Transport Layer
Network Layer
Data Link Layer
Physical Layer

Bảng 1: Vị trí các giao thức trong mơ hình OSI
Các giao thức được trình bày trong bảng sau:

6

Sercurity for VPN

7

Sercurity for VPN
Bảng 2: Các giao thức sử dụng trong VPN
1.2.BẢO MẬT TRONG VPN
1.2.1.Các mối đe dọa đối với quá trình bảo mật
VPN cũng bị đe dọa về việc bảo mật giống như các mạng khác.
1.2.1.1. Mối đe dọa từ bên ngồi
Thủ phạm thực hiện các vụ tấn cơng là các tin tặc, những kẻ nằm ngồi cơng ty. Các

tin tặc này có thể là chuyên gia nhưng cũng có thể chỉ là những kẻ nghiệp dư. Bọn
chúng có chung mục đích là xâm nhập bất hợp pháp vào hệ thống của cơng ty. Nguy
hiểm nhất là bọn chúng có thể gây ra những thiệt hại nặng nề cho công ty.

Hình 1.5: Một cuộc tấn cơng từ bên ngồi
Khó khăn lớn nhất khi đối đầu với những mối đe dọa từ bên ngoài là việc xác định
danh tính các tin tặc. Việc này thường rất khó làm. Động cơ của việc xâm nhập này
thường là: tò mị, vui thích, triệt hạ đối thủ, báo thù. Hai động cơ cuối cùng cực kỳ
nguy hiểm đối với công ty – báo thù và triệt hạ đối thủ cạnh tranh . Nếu chỉ đơn
thuần mua vui hoặc tò mò, các tin tặc thường không gây hại cho hệ thống. Các tin tặc
thường không muốn tấn công khi hệ thống đã bị phá vỡ. Ngược lại nếu động cơ của
các tin tặc là báo thù, bọn chúng thường gây thiệt hại nặng cho hệ thống. Dữ liệu sẽ
bị cướp và gây ra những thiệt hại rất lớn cho công ty.
1.2.1.2. Mối đe dọa từ bên trong
Thông thường người ta chỉ lo bảo vệ hệ thống và dữ liệu của họ khỏi các mối đe dọa
từ bên ngoài mà quên mất những kẻ thù từ bên trong. Theo thống kê những mối đe
dọa thường bắt đầu từ bên trong. Theo nghiên cứu của FBI's Computer Security
Institute and Ernst and Young thì 60% các vụ tấn công xuất phát từ bên trong.

8

Sercurity for VPN

Hình 1.6 : Một cuộc tấn cơng từ bên trong.
Động cơ của các vụ tấn công từ bên trong thường là: báo thù, hám lợi hoặc để đỡ
buồn. Có hai lọai đối tượng chính thực hiện các vụ tấn công này, một là những
chuyên gia trong lĩnh vực mạng, họ nắm những bí quyết cơng nghệ kỹ thuật cao, nắm
những vị trí trọng trách trong cơng tác quản trị mạng của công ty (như quản trị
mạng). Hai là những người khơng có trách nhiệm trong việc bảo mật mạng nhưng có
những hiểu biết nhất định về mạng. Cuối cùng mối đe dọa đến từ những kẻ khơng có

chút kỹ thuật nào về mạng .
Các nhân viên chịu trách nhiệm trong việc triển khai, bảo trì, và quản lý hệ thống
mạng của cơng ty thuộc về nhóm thứ nhất của các đối tượng có thể tấn cơng . Đối
tượng này có những hiểu biết sâu sắc về hệ thống mạng của cơng ty và cách tấn cơng
vào những vị trí nhạy cảm nhất. Nếu muốn, những đối tượng này có thể tấn công hệ
thống một cách dễ dàng. Hậu quả của những cuộc tấn công này vô cùng nặng nề,
phải mất hằng ngày hoặc không bao giờ để khôi phục lại hệ thống như cũ.
Các đối tượng thuộc nhóm thứ hai có kỹ thuật cao, họ sử dụng kiến thức mạng hoặc
các mối quan hệ xã hội để tìm kiếm các lỗ hổng bảo mật có giá trị lớn để xâm nhập
vào cơ sở dữ liệu. Thiêt hại có thể khắc phục được nhưng cũng có thể mất hết .
Đối tượng thứ ba họ thường sử dụng virus, trojan và worm.
1.2.1.3. Mối đe dọa từ hai phía (Collaborative Security Threats)
Những vụ tấn cơng nặng nề nhất cần có sự phối hợp từ bên ngồi và bên trong.
Thơng thường những nhân viên bên trong sẽ cung cấp ID và mật khẩu, các tin tặc
bên ngồi có thể sử dụng những thơng tin đó để tấn cơng hệ thống . Hệ thống bị đe
dọa từ bên ngoài và bên trong. Đối tượng trực tiếp tấn cơng là các tin tặc bên ngồi
nên rất khó để lần ra dấu vết .

9

Sercurity for VPN

Hình 1.7: Một cuộc tấn công phối hợp bên trong và bên ngồi.
1.2.2.Các kiểu tấn cơng VPN
Một hệ thống VPN có thể bị tấn cơng từ rất nhiều đường, ví dụ như :
-Security threats to VPN elements - Tấn công vào các thành phần của VPN
-Attacks against VPN protocols - Tấn công vào các giao thức của VPN
-Cryptanalysis attacks - Tấn công bằng cách giải mã
-DoS - Từ chối dịch vụ
1.2.2.1.Tấn công vào các thành phần của VPN

Các thành phần quan trọng của VPN (hình 1.8) gồm có :
-The dial-in remote user - Quay số vào của người dùng từ xa.
-The dial-in ISP segments - Quay số vào của phân đọan ISP
-The Internet
-The host network gateway - Cổng mạng máy chủ

Hình 1.8: Thành phần của VPN
Quay số vào là động tác đầu tiên để thực hiện kết nối VPN. Mối đe dọa lớn nhất là
người dùng có thể lộ mật khẩu và tên truy cập . Do đó người dùng cần chú ý bảo vệ
cẩn thận tên truy cập và mật khẩu khi thực hiện kết nối VPN . Thay đổi mật khẩu là

10

Sercurity for VPN
một cách để ngăn các tin tặc đóan mật khẩu. Bên cạnh đó người dùng cần cẩn thận để
khơng bị nhìn lén khi đang làm việc. Sử dụng chương trình bảo vệ mật khẩu của
window và khóa trạm làm việc của mình lại khi không làm việc nữa . Cẩn thận hơn
bạn cần khóa cửa phịng cũng như khóa máy lại cẩn thận.
Quay số vào của phân đọan ISP là một điểm yếu thứ hai của VPN. Phân đọan này sẽ
đưa thông tin của người dùng đến ISP's Network Access Server (NAS). Nếu dữ liệu
khơng được mã hóa cẩn thận, nó có thể bị đọc tại đầu cuối ISP. Dữ liệu cũng có thể
bị đọc trộm trên đọan đường từ đầu cuối người dùng và mạng nội bộ của ISP. Có thể
khắc phục việc này bằng cách mã hóa dữ liệu tại đầu cuối của người dùng trước khi
truyền đi đến đầu cuối ISP. Tuy nhiên nếu cơ chế mã hóa khơng tốt , nó có thể bị giải
mã ngược lại và lấy cắp thơng tin cho các mục đích khác.
Chúng ta đã biết, kết nối internet và các đường hầm theo sau hoàn toàn độc lập theo
một ISP. Tuy nhiên nếu ý định của ISP là bất hảo, nó sẽ thiết lập một đường hầm giả,
cổng nối giả (Xem minh họa hình 1.9). Trong trường hợp này, những dữ liệu nhạy
cảm của người dùng sẽ được chuyển đến cổng nối giả, thông tin này sẽ bị cướp và sử
dụng cho mục đích riêng. Cổng giả cũng có thể thay đổi dữ liệu và chuyển nó đến

đầu cuối. Đầu cuối khơng hề nhận ra dữ liệu đã bị thay đổi và nghĩ đó là dữ liệu gốc
ban đầu. Do đó những dữ liệu nguy hiểm có thể xâm nhập vào hệ thống.

Hình 1.9: ISP giả tạo tải các tập tin dữ liệu nguy hiểm vào mạng nột bộ
Một điều cần nhấn mạnh là dữ liệu sẽ di chuyển qua đường hầm băng qua internet.
Các datagram sẽ được đi qua các router trung gian trước khi đến đích. Nếu chủ nhân
của router trung gian có ý đồ xấu. Họ có thể chỉnh sửa dữ liệu thực thành các dữ liệu
nguy hiểm.

11

Sercurity for VPN

Hình 1.10: Một router đang tải các dữ liệu nguy hiểm vào một mạng nội bộ.
1.2.2.2. Tấn công giao thức VPN
Các giao thức chính của VPN như : PPTP, L2TP, và IPSec đều có những lỗ hổng bảo
mật cực kỳ nguy hiểm.
- Tấn cơng PPTP
PPTP có hai điểm yếu :
- Generic Routing Encapsulation (GRE) – Q trình đóng gói.
- Trao đổi mật khẩu trong quá trình xác thực.
Để bảo mật dữ liệu, người ta cần đóng gói dữ liệu. GRE là một giao thức đường hầm
để đóng gói các dữ liệu dạng văn bản. Nó khơng cung cấp cơ chế bảo mật cho dữ
liệu. Do đó các hacker dễ dàng bắt được các gói tin được đóng gói bằng GRE. Do đó
dữ liệu sau khi đóng gói cần được mã hóa trước khi truyền đi.
Đường hầm GRE sử dụng cơ chế định tuyến một cách tự động, điều này ảnh hưởng
nghiêm trọng đến VPN. Để ngăn các gói tin định tuyến một cách tự động, VPN yêu
cầu bạn phải sử dụng cơ chế định tuyến tĩnh. Một giải pháp khác là cho dữ liệu qua
tường lửa sau khi GRE header được gỡ bỏ. Một điểm yếu của GRE là gói tin GRE sử
dụng một chuỗi để đồng bộ đường hầm. Tuy nhiên GRE không đưa ra cơ chế để

GRE chống lại các chuỗi bất hợp lệ. Lợi dụng điểm này, các tin tặc sẽ chèn các dữ
liêu nguy hiểm vào, các dữ liệu được biến đổi để đánh lừa điểm đích, điểm đích
tưởng đó là các chuỗi đồng bộ và không xử lý. Nhờ chiến thuật này, các dữ liệu nguy
hiểm sẽ lọt vào mạng nội bộ của công ty.

12

Sercurity for VPN

PPTP cũng có thể bị tấn công bằng “kỹ thuật tấn công từ điển”. PPTP dùng
Microsoft Point-to-Point Encryption (MPPE) để gửi mật khẩu đi mà khơng hề mã
hóa . Nếu kẻ xâm nhập có thể lấy được một phần của mật khẩu như : giải thuật mã
băm, mật khẩu được băm, chúng sẽ sử dụng các thơng tin có được để khơi phục được
mật khẩu chính xác ban đầu.

Bây giờ, password có kích thước nhỏ do chuẩn mã hóa. Do đó nó có thể được xác
định bằng brute-force. Phụ thuộc vào hệ thống, password, và trình độ người tấn cơng
thì sự tấn cơng có thể thành cơng trong 1 ngày, 1 giờ hay chỉ vài giây.

- Tấn công trên IPSec

IPSec không phải là một giải thuật mã hóa cũng như một cơ chế xác thực. IPSec sẽ
kết hợp với các giải thuật khác để bảo vệ dữ liệu.Tuy nhiên IPSec vẫn có nhiều điểm
yếu :

Các tin tặc khai thác hai điểm yếu của việc triển khai IPSec để tấn công : sử dụng
giải thuật NULL, hai máy kết nối sẽ thống nhất một khóa yếu hơn nếu một trong hai
máy khơng có hỗ trợ khóa mạnh.

IPSec sử dụng DES-CBC để mã hóa và HMAC-MD5 và HMAC-SHA-1 để xác thực.

Bên cạnh đó giao thức IPSec cũng có thể sử dụng ESP và AH. Do IPSec cho sử dụng
giải thuật NULL nên một máy có thể khơng sử dụng DES-CBC trong q trình
truyền thơng trong khi máy cịn lại có sử dụng. Máy khơng có sử dụng DES-CBC để
mã hóa chính là điểm yếu để các tin tặc khai thác. Điều này thường xảy ra khi các
nhà cung cấp dịch vụ mạng của bạn sử dụng các tiêu chuẩn khác nhau.

IPSec cho phép hai máy truyền thơng tự thống nhất khóa mã hóa. Nếu một bên sử
dụng khóa yếu (40 bít) máy cịn lại cũng phải sử dụng khóa yếu (40 bít) để thơng tin
mặc dù khả năng hỗ trợ của nó có thể cao hơn (56 -128 bít). Muốn phá một khóa 56
bít phải mất hằng ngày hoặc hàng tháng , nhưng có thể dễ dàng phá một khóa 40 bít.

IPSec sử dụng IKE để quản lý khóa. Các tin tặc có thể khai thác điểm yếu của q
trình trao đổi khóa : Nếu một máy kết thúc phiên làm việc, máy còn lại không thể
biết rằng phiên làm việc đã kết thúc. Như vậy máy đó vẫn mở port để trao đổi thơng
tin với bên ngồi. Ngay lúc này, các tin tặc có thể giả dạng , trao đổi thơng tin với
máy đó.

13

Sercurity for VPN

- Tấn công L2TP

Dễ bị tấn công bằng các kiểu tấn công như : Dictionary attacks, Brute Force attacks,
và Spoofing attacks. Tuy nhiên, L2TP hiếm khi được thực thi độc lập, nó thường
được thực thi trên IPSec

1.2.2.3. Tấn công bằng kỹ thuật giải mã

- Tấn công vào các văn bản viết bằng mật mã:


Trong kỹ thuật tấn công này, tin tặc không cần quan tâm đến nội dung dữ liệu gốc mà
chỉ cần các văn bản đã được mã hóa. Các tin tặc sẽ sử dụng các cơng cụ sẵn có để
khơi phục lại dữ liệu ban đầu từ dữ liệu mã hóa. Kỹ thuật này không hiệu quả lắm và
thường vô dụng đối với các kỹ thuật mật mã hiện đại.

- Tấn cơng vào plaintext đã biết (hình thức có thể hiểu được của một văn bản
được mã hóa)

Trong kỹ thuật này, các tin tặc đã giải mã một phần thông điệp mã hóa và sử dụng
những thơng tin kinh nghiệm giải mã có được để giải mã phần cịn lại. Ví dụ : các tin
tặc có thể giải mã một phần khóa, dựa vào đó để dự đóan phần cịn lại của khóa , sau
đó dùng khóa đó để giải mã tồn bộ thơng điệp.

Kỹ thuật tấn cơng plaintext tuyến tính là kỹ thuật thơng dụng nhất. Các bít của
plaintext đã biết sẽ được XORed với nhau, các bít của văn bản mã hóa cũng được
XORed với nhau. Sau đó sẽ lấy kết quả XORed với nhau. Nhiệm vụ của bạn là tìm ra
các bít là XOR của các bít khóa. Nếu chúng ta XORed một số lượng lớn các văn bản
mã hóa và các plaintext với nhau, chúng ta có thể xác định các khóa mã hóa và giải
mã tồn bộ phần còn lại. Để làm được điều này chúng ta cần có một cơ sở dữ liệu lớn
để giải mã.

- Tấn công vào các plaintext được chọn

Trong kỹ thuật này các tin tặc sẽ chọn ngẫu nhiên một đọan văn bản đã được mã hóa.
Các tin tặc sẽ xác định khóa để mã hóa văn bản, sau đó các khóa này sẽ tiếp tục được
sử dụng để giải mã. Kỹ thuật giải mã vi sai. Trước hết tin tăc cần biết hai đọan
plaintext của văn bản mã hóa. Sau đó căn cứ vào sai lệch của văn bản được mã hóa,
tin tặc có thể xác định khóa. Cần phải phân tích nhiều cặp văn bản mã hóa để xác


14

Sercurity for VPN

định khóa mật mã. Giải thuật giải mã, ví dụ RSA, khơng bị ảnh hưởng bởi kỹ thuật
này. Có quá nhiều trường hợp cần được phân tích.
- Man-in-the-Middle Attacks
Kỹ thuật này thường được dùng tấn cơng trong q trình trao đổi khóa hoặc truyền
thơng mã hóa, ví dụ như : Diffie-Hellman. Trước khi hai máy trao đổi dữ liệu, tin tặc
sẽ chặn khóa mà hai máy trao đổi với nhau lại, sau đó thay bằng khóa của chính
mình. Do đó hai máy đầu cuối khơng hề nhận được khóa hợp lệ từ máy bên kia mà
nhận được khóa giả từ tin tặc. Máy đầu cuối nghĩ rằng đó là một khóa hợp lệ nên sử
dụng nó để mã hóa và giải mã cho phiên truyền thơng này. Như vậy tin tặc hồn tồn
có thể xác định nội dung của q trình truyền thơng.
- Timing Attacks
Đây là một kỹ thuật tấn công bằng phương pháp giải mã tương đối mới. Trước hết
các tin tặc cần xác định khoảng thời gian để tạo khóa, thơng tin này sẽ được phân tích
để xác định giải thuật và khóa dùng để mã hóa. Kỹ thuật tấn cơng này không chú
trọng vào phần mềm mà chú trọng vào phần cứng. Bất kể người truyền tin sử dụng
kỹ thuật mã hóa nào, các tin tặc đều sử dụng cùng một cách phá mã. Kỹ thuật phá mã
càng hoàn hảo nếu tốc độ xử lý của phần cứng các tin tặc dùng càng cao.
1.2.2.4. Tấn công từ chối dịch vụ :
Denial-of-Service (DoS) là kỹ thuật tấn công khá lạ. Tin tặc có thể sử dụng một
mạng khác để tấn cơng, ví dụ như: mạo nhận, malware, virus để xâm nhập cơ sở dữ
liệu hoặc gây thiệt hại. Kỹ thuật này có thể gây ra nghẽn mạng ở các trang web. Tấn
cơng DoS là kỹ thuật khá phổ biến vì nó không cần bất kỳ một phần mềm đặc biệt
nào để xâm nhập vào mạng đích. Tin tặc này có thể làm nghẽn mạng bằng cách gửi
và load dữ liệu từ trang web. Việc này làm trang web không thể truy cập được, tất cả
các router muốn kết nối với máy chủ đặt web đều bị chặn lại. Hậu quả của việc tấn
cơng này có thể làm hư hỏng hồn tồn máy đích.


15

Sercurity for VPN

Hình 1.11: Các tin tặc làm nghẽn mạng
DoS có rất nhiều thuận lợi. Đầu tiên, DoS rất đa dạng và tấn cơng vào nhiều mang
đích. Các tin tặc có thể tấn cơng bằng rất nhiều cách : gửi nhiều email hoặc gửi nhiều
yêu cầu IP. Thứ ba tin tặc dễ dàng giấu tên và danh tính. Xui xẻo là việc xác định
danh tính các tin tặc thực hiện tấn cơng DoS cực kỳ khó khăn vì bọn chúng thường
sử dụng địa chỉ IP giả. Một vụ tấn cơng DoS thành cơng có thể được thực hiện bằng
cách gửi một gói IP có dung lượng lớn vào mạng. Một số công cụ thực hiện một vụ
tấn công DoS như: SYN Floods, Broadcast Storm (cơn bão quảng bá), Smurf DoS,
Ping of Death, Mail Bomb(Bom mail), Spam Mailing…
1.2.3. Công nghệ bảo mật VPN
1.2.3.1. Kỹ thuật xác thực từ xa
Kỹ thuật xác thực từ xa bảo đảm rằng chỉ có người dùng có thẩm quyền mới có khả
năng truy cập vào mạng nội bộ. Cơ chế xác thực càng mạnh càng ngăn được những
kẻ xâm nhập với ý đồ xấu , tấn công mạng nội bộ hay ăn cắp các dữ liệu quan trọng.
Các cơ chế xác thực được tích hợp vào trong VPN để nâng cao tính bảo mật của
VPN. Các cơ chế xác thực gồm có :
-Authentication Authorization Accounting (AAA)
-Remote Access Dial-In User Service (RADIUS)
-Terminal Access Controller Access Control System (TACACS)
1.2.3.1.1. Authentication Authorization Accounting (AAA)

16

Sercurity for VPN


Như tên của nó, AAA là một kiến trúc dùng để thực hiện ba chức năng chính: xác
thực, cấp phép và kiểm tốn. Ngày nay AAA là một mơ hình bảo mật thơng dụng vì
nó cho phép người quản lý mạng nhận dạng và trả lời ba câu hỏi quan trọng sau:

+Ai là người truy cập vào mạng?

+Khi người dùng truy cập vào mạng , họ được phép làm gì, khơng được phép làm gì?

+Người dùng đang làm gì và khi nào ?

- Xác thực

Xác thực là bước đầu tiên để thực hiện bảo mật cho VPN. Quá trình xác thực sẽ nhận
dạng người dùng hợp pháp trước khi cho phép họ truy cập vào các tài nguyên của
mạng. Quá trình xác thực cung cấp nhiều cơ chế giúp nhận dạng đúng người dùng
đang truy cập vào tài nguyên trong mạng nội bộ. ID của người dùng và mật khẩu
tương ứng là cách truyền thống để làm việc này. Các cơ chế khác gồm có: thử thách,
trả lời đối thọai, hỗ trợ thơng điệp, và thỉnh thoảng là mã hóa, dựa trên giao thức bảo
mật sử dụng. Các công cụ xác thực thông dụng hay dùng như : PAP, CHAP, EAP,
Shiva PAP (SPAP), and IPSec.

- Cấp phép

Cấp phép là cơ chế điều khiển các hành động cho phép người dùng hoạt động trong
mạng và sử dụng các tài nguyên. Cấp phép cung cấp một cơ chế điều khiển truy cập
từ xa, quá trình cấp phép xảy ra cho từng dịch vụ một , cho từng người dùng, hoặc
từng nhóm một. Tóm lại, một tập hợp các quyền truy cập, trao quyền, và thuộc tính
được kết hợp và chứa trong cơ sở dữ liệu để cấp phép. Thơng thường, q trình xác
thực xảy ra trước q trình cấp phép. Tuy nhiên điều này khơng phải là bắt buộc. Một
ví dụ là máy chủ nhận một yêu cầu cấp phép mà không cần qua quá trình xác thực.

Quá trình xác thực sẽ xác định xem liệu người dùng có được quyền truy cập vào
mạng khơng và liệu có được thực hiện các dịch vụ mà người dùng u cầu khơng.

- Kiểm tốn

Dịch vụ kiểm tốn là một cơ chế để ghi lại các họat động của người dùng sau khi
đăng nhập thành công vào mạng. Dịch vụ kiểm toán bao gồm : tập hợp, kiểm định,
báo cáo về nhận dạng người dùng, các câu lệnh đã dùng trong suốt phiên làm việc, số

17

Sercurity for VPN
lượng các gói tin đã truyền. Khi các họat động của người dùng được ghi lại, một
đồng hồ tính thời gian cũng được khởi động, nó sẽ ghi lại chính xác người dùng đã
tiến hành họat động nào tương ứng thời gian nào. Các thông tin cụ thể về người dùng
giúp cho người quản trị mạng theo dõi được những cá nhân đang có hành vi mờ ám
và kịp thời ngăn chặn.
Thơng thường dịch vụ kiểm tốn được kích hoạt sau q trình xác thực và cấp phép,
tuy nhiên thứ tự này là khơng cố định. Dịch vụ có thể xảy ra cho dù chưa có q trình
xác thực và q trình cấp phép.
Khi mơ hình AAA được triển khai tại máy chủ đăng nhập từ xa, bất kỳ người dùng
nào đăng nhập vào máy chủ đều phải qua các quá trình xác thực, cấp phép và chịu sự
kiểm tra của dịch vụ kiểm tốn. Trong mơ hình AAA, các thơng tin về người dùng dễ
dàng lưu lại , cập nhật và quản lý trên hệ thống máy chủ.

Hình 1.12: Cấu hình một mạng dùng AAA
1.2.3.1.2. Remote Access Dial-In User Service (RADIUS)-Dịch vụ người dụng
truy cập quay số từ xa.
Chương trình được phát triển bởi cơng ty Livingston dưới sự hỗ trợ của IETF,
RADIUS sẽ trở thành một khối chuẩn trong q trình xác thực từ xa. Nó sẽ được hỗ

trợ trong các máy chủ truy cập từ xa, sản phẩm VPN, tường lửa.
Trong hệ thống mạng có tích hợp RADIUS, thông tin về người dùng được lưu trong
cơ sở dữ liệu trung tâm. Tất cả các máy chủ truy cập từ xa đều chia sẻ cơ sở dữ liệu
này. Khi máy chủ truy cập từ xa nhập được yêu cầu từ người dùng, RADIUS cho
phép quá trình truyền thông giữa cơ sở dữ liệu và máy chủ truy cập từ xa. RADIUS
sẽ xác định định dạng và dòng có gói tin giữa cơ sở dữ liệu và máy chủ truy cập từ
xa. Cơ sở dữ liệu cung cấp thông tin được yêu cầu. Máy chủ truy cập từ xa sử dụng

18

Sercurity for VPN
thông tin này để xác thực yêu cầu từ người dùng và cấp phép cho người dùng sử
dụng các tài nguyên của mạng.
RADIUS gồm 2 thành phần: RADIUS máy khách và RADIUS máy chủ (hình 1.13).
RADIUS máy chủ nhận yêu cầu AAA từ RADIUS máy khách. RADIUS máy chủ
sau khi nhập yêu cầu sẽ xác nhận nó đúng nếu nó chứa các thơng tin liên quan. Nếu
thông tin yêu cầu được chứa trong cơ sở dữ liệu trung tâm hoặc các máy chủ
RADIUS hoặc TACACS khác, yêu cầu sẽ được chuyển đến thiết bị chứa thơng tin
đó.

Hình 1.13: Hai thành phần của RADIUS.

Hình 1.14: Thực thi RADIUS.
1.2.3.1.3. Terminal Access Controller Access Control System (TACACS)
Hệ thống được phát triển bởi Cisco, TACACS khá giống với RADIUS. TACACS
cũng là một giao thức chuẩn dùng cho công nghiệp sản xuất. Các chức năng của
TACACS cũng tương tự như RADIUS. Như ta thấy (hình 1.14), khi máy khách từ xa
gửi yêu cầu xác thực đến NAS gần nhất, yêu cầu được chuyển đến TACACS.
TACACS sẽ chuyển tên truy cập và mật khẩu người dùng đến cơ sở dữ liệu trung
tâm (hoặc cơ sở dữ liệu của TACACS hoặc cơ sở dữ liệu bên ngồi). Thơng tin cần


19


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×