<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">

BAN CƠ YẾU CHÍNH PHỦ

<b>HỌC VIỆN KỸ THUẬT MẬT MÃ </b>

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

BÁO CÁO THỰC TẬP CƠ SỞ

<b>NGHIÊN CỨU, TRIỂN KHAI HỆ THỐNG TRUYỀN THÔNG MẠNG AN TỒN SỬ DỤNG PFSENSE </b>

Ngành: Cơng nghệ thơng tin Mã số:

<i>Nhóm sinh viên: </i>

<b>Phan Minh Quân, lớp AT17D Đặng Văn Sâm, lớp AT17D Lương Thế Tài, lớp AT17D </b>

<i>Người hướng dẫn: </i>

<b>TS. Nguyễn Đào Trường </b>

Khoa Công nghệ thông tin – Học viện Kỹ thuật mật mã

</div><span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2">

BAN CƠ YẾU CHÍNH PHỦ

<b>HỌC VIỆN KỸ THUẬT MẬT MÃ </b>

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

BÁO CÁO THỰC TẬP CƠ SỞ

<b>NGHIÊN CỨU, TRIỂN KHAI HỆ THỐNG </b>

<b>TRUYỀN THÔNG MẠNG AN TỒN SỬ DỤNG PFSENSE </b>

Ngành: Cơng nghệ thơng tin Mã số:

<i>Nhóm sinh viên: </i>

<b>Phan Minh Quân, lớp AT17D Đặng Văn Sâm, lớp AT17D Lương Thế Tài, lớp AT17D </b>

<i>Người hướng dẫn: </i>

<b> TS. Nguyễn Đào Trường </b>

Khoa Công nghệ thông tin – Học viện Kỹ thuật mật mã

Hà Nội, 2023

</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">

<b>Lời nói đầu ... xi</b>

<b>Chương 1. TỔNG QUAN VỀ AN NINH MẠNG MÁY TÍNH ... 1</b>

1.1. Các nguyên tắc nền tảng của an ninh mạng ... 1

<i>1.1.1.Mơ hình CIA... 2</i>

<i>1.1.2.Mơ hình bộ ba an ninh ... 3</i>

1.2. Các nguy cơ mất an ninh mạng ... 4

<i>1.2.1.Các nguy cơ mất an ninh mạng máy tính ... 4</i>

<i>1.2.2.Các điểm yếu trong giao thức mạng ... 5</i>

<i>1.2.3.Các điểm yếu trong hệ điều hành ... 5</i>

<i>1.2.4.Các điểm yếu trong thiết bị mạng ... 5</i>

1.3. Giải pháp kỹ thuật trong lập kế hoạch an ninh mạng ... 6

<b>Chương 2. GIẢI PHÁP TĂNG CƯỜNG AN NINH MẠNG ... 16</b>

2.1. Hệ thống tường lửa (Firewall) ... 16

<i>2.1.1.Khái niệm về Firewall ... 16</i>

<i>2.1.2.Chức năng chính của Firewall ... 16</i>

<i>2.1.3.Phân loại Firewall ... 17</i>

<i>2.1.4.Kiến trúc cơ bản của Firewall ... 19</i>

2.4. Tổng quan về tường lửa PfSense ... 31

<i>2.4.1. Giới thiệu về PfSense ... 31</i>

<i>2.4.2. Đánh giá ưu điểm của PfSense ... 32</i>

<i>2.4.3. Tìm hiểu một số chức năng của tường lửa PfSense ... 33</i>

</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4">

<b>Chương 3. MƠ HÌNH THỰC NGHIỆM ... 43</b>

3.1. PfSense ... 43

<i>3.1.1.Cài đặt PfSense ... 43</i>

<i>3.1.2.Giao diện PfSense ... 43</i>

3.2. Giải pháp ProxyServer trên PfSense ... 44

<i>3.2.1.Giới hạn giờ truy cập Web ... 44</i>

<i>3.2.2. Giới hạn tốc độc Download/Upload cho từng client ... 46</i>

<i>3.2.3. Giải pháp mạng riêng ảo trên PfSense ... 48</i>

<i>3.2.4. Triển khai, cài đặt hệ thống mạng đơn giản sử dụng PfSense </i>

</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">

<b>BẢNG KÝ HIỆU </b>

→ Bước tiếp theo

</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">

UDP ^{User Datagram Protocol} ^{Giao thức Datagram Người dùng} ICMP ^{Internet Control Message Protocol} ^{Giao thức Tin nhắn Điều khiển}

Internet

OSPF ^{Open Shortest Path First} Đường dẫn ngắn nhất mở rộng IGRP ^{Interior Gateway Routing Protocol}

Giao thức Định tuyến Cổng nội

MVS ^{Multiple Virtual Storage} ^{một hệ điều hành mainframe}được phát triển bởi IBM

NAC ^{Network Access Control} ^{Kiểm soát Truy cập Mạng} DMZ ^{Demilitarized Zone} ^{khu vực mạng đặc biệt} VPN ^{Virtual Private Network} ^{Mạng riêng ảo}

PPTP ^{Point-to-Point Tunneling Protocol} ^{Giao thức Tạo đường hầm Điểm-}điểm L2TP ^{Layer 2 Tunneling Protocol} ^{Giao thức Tạo đường hầm Lớp 2}

</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7">

ATM ^{Asynchronous Transfer Mode} ^{Chế độ Truyền dữ liệu Bất đồng} bộ

IDS ^{Intrusion Detection System} ^{Hệ thống phát hiện xâm nhập} IPS ^{Intrusion Prevention System} ^{Hệ thống ngăn chặn xâm nhập} SIP ^{Session Initiation Protocol} ^{Giao thức khởi tạo phiên}

NAT ^{Network Address Translation} ^{Chuyển đổi địa chỉ mạng} CARP ^{Common Address Redundancy}

Protocol

Giao thức Phân phối Địa chỉ Chung

CA ^{Certificate Authority} ^{Cơ quan chứng thực} VLAN ^{Virtual Local Area Network} ^{Mạng nội bộ ảo}

ACL ^{Access Control List} ^{Danh sách kiểm soát truy cập}

</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">

<b>DANH MỤC HÌNH VẼ </b>

Hình 1. 1. Mơ hình CIA ... 2

Hình 1. 2. Mơ hình bộ ba an tồn ... 3

Hình 1. 3. Mơ hình phân mảnh mạng... 7

Hình 1. 4. Mơ hình quản lý các điểm truy cập ... 9

Hình 1. 5. Mơ hình định tuyến và chuyển mạch ... 10

Hình 1. 6. Mơ hình bức tưởng lửa ... 11

Hình 1. 7. Mơ hình giải pháp lọc nội dung ... 12

Hình 1. 8. Mơ hình điều khiển truy cập từ xa ... 13

Hình 2. 1. Firewall ... 16

Hình 2. 2. Firewall cứng ... 17

Hình 2. 3. Kiến trúc Dual-homed Host ... 19

Hình 2. 4. Kiến trúc Screend Subnet Host ... 20

Hình 2. 5. Mơ hình mạng VPN ... 23

Hình 2. 6. Mơ hình VPN Site- to – Site (Intranet Based) ... 27

Hình 2. 7. Mơ hình VPN Site-to-Site (Extranet-Based VPN) ... 28

</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">

Hình 3. 2. PfSense’s web interface ... 43

Hình 3. 3. Dash board ... 44

Hình 3. 4. Chặn truy cập theo ngày giờ ... 44

Hình 3. 5. Tạo danh sách các web bị chặn ... 45

Hình 3. 6. Cấu hình Group ACL ... 45

Hình 3. 7. Trang web facebook.com không thể truy cập ... 46

Hình 3. 8. Giới hạn tốc độ Download ... 46

Hình 3. 9. Giới hạn tốc độ Upload ... 47

Hình 3. 10. Hình ảnh so sánh trước và sau khi giới hạn băng thơng ... 47

Hình 3. 11. Mơ hình thực hiện VPN Client to Site ... 48

Hình 3. 12. Đặt các giá trị trong Certificate ... 49

Hình 3. 13. Đặt các giá trị trong Certificate ... 50

Hình 3. 14. Giá trị của Certificates sau khi đặt lại ... 51

Hình 3. 15. Tạo User cho OpenVPN... 51

Hình 3. 16. Thêm Certificate cho User vừa lập ... 52

Hình 3. 17. Cài đặt Package openvpn-client-export ... 52

Hình 3. 18. Tập tin OpenVPN ... 53

Hình 3. 19. Cửa sổ kết nối OpenVPN ... 53

Hình 3. 20. Cấu hình Client ... 54

Hình 3. 21. Kết nối thành cơng đến mạng LAN ... 54

Hình 3. 22. Trạng thái kết nối của OpenVPN ... 55

Hình 3. 23. Mơ hình thực hiện OpenVPN Site to Site ... 55

Hình 3. 24. Certificate cho hai máy PC1 và PC2 ... 56

Hình 3. 25. Tạo User Certificate và Server Certificate ... 57

Hình 3. 26. Kết nối thành cơng từ máy PC1 đến máy PC2 ... 58

Hình 3. 27. Kết nối thành cơng từ máy PC2 đến máy PC1 ... 58

Hình 3. 28. Sơ đồ hệ thống mạng KMA OFFICE ... 59

Hình 3. 29. Quá trình chỉnh sửa các Interface Assignment thành cơng ... 63

Hình 3. 30. Địa chỉ IP được cấp cho các máy tính trong VLAN 10 ... 64

Hình 3. 31. Địa chỉ IP được cấp cho các máy tính trong VLAN 20 ... 64

Hình 3. 32. Khơng kết nối được Internet tại Client 1 – VLAN10 ... 65

Hình 3. 33. Không truy cập được địa chỉ IP của PfSense 192.168.100.1 ... 65

Hình 3. 34. Máy trong VLAN20 truy cập Internet thành cơng ... 66

Hình 3. 35. Máy trong VLAN10 truy cập Internet thành công ... 66

</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">

Hình 3. 36. Truy cập PfSense từ IP LAN của PfSense tại máy trong VLAN20 bị

chặn ... 67

Hình 3. 37 Truy cập PfSense từ IP WAN của PfSense ... 67

Hình 3. 38. Cấu hình Certificate Attributes ... 68

Hình 3. 39. CA được xuất và lưu tại máy IT_Workstation ... 69

Hình 3. 40. Truy cập thành công PfSense bằng HTTPS, xuất hiện biểu tượng chứng chỉ. ... 70

Hình 3. 41. Các mẫu tin DNS được tạo thành cơng ... 71

Hình 3. 42. Phân giải máy www.nhom34.mylocal ... 72

Hình 3. 43. Kết nối đến PfSense thơng qua SSH ... 73

Hình 3. 44. Kiểm tra máy Client 1 – VLAN10 ... 74

Hình 3. 45. Thay đổi domain của máy Client 1 – VLAN10 ... 75

Hình 3. 46. Máy Client 1 – VLAN10 kết nối thành công với Domain nhom34.mylocal ... 75

Hình 3. 47. Mơ hình triển khai hệ thống mạng sử dụng PfSense làm Firewall ... 76

</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">

<b>DANH MỤC BẢNG </b>

Bảng 1. Cấu hình địa chỉ IP PfSense 2 ... 55

Bảng 2. Cấu hình địa chỉ IP máy PC2 - Windows 10 ... 55

Bảng 3. Cấu hình card mạng VMWare ... 60

Bảng 4. Địa chỉ IP Domain Control (DC), DHCP Server, FTP Server ... 60

Bảng 5. Địa chỉ IP máy IT Workstation ... 60

Bảng 6. Địa chỉ IP máy WebServer ... 61

Bảng 7. Các giá trị trong tab VLAN ... 61

Bảng 8. Thiết lập Scope để cấp phát IP động dùng cho VLAN ... 62

Bảng 9. Các giá trị trong rule cho phép VLAN 20 truy cập Internet ... 65

Bảng 10. Các giá trị trong rule cấm VLAN 20 truy cập PfSense ... 66

Bảng 11. Các giá trị thiết lập CA cho PfSense ... 67

Bảng 12. Chỉnh sửa Certificates ... 68

Bảng 13. Cấu hình Host Overrides ... 70

Bảng 14. Cấu hình Domain Overrides ... 70

Bảng 15. Thiết lập Rule DNS cho VLAN10 ... 74

Bảng 16. Thiết lập luật tạo cổng mở trên PfSense cho VLAN10 ... 74

</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">

<b>LỜI CẢM ƠN </b>

Để hoàn thành tốt báo cáo này, ngoài sự nỗ lực của bản thân, chúng em còn nhận được sự quan tâm, giúp đỡ của nhiều tập thể và cá nhân.

Nhóm chúng em xin chân thành cảm ơn các thầy cô trường Học viện Kỹ thuật mật mã nói chung, q thầy cơ của khoa Cơng nghệ thơng tin nói riêng đã tận tình dạy bảo, truyền đạt kiến thức cho chúng em trong suốt q trình học.

Kính gửi đến thầy Nguyễn Đào Trường lời cảm ơn chân thành và sâu sắc, cảm ơn thầy đã tận tình theo sát và chỉ dẫn cho nhóm chúng em trong quá trình thực hiện đề tài này. Thầy khơng chỉ hướng dẫn chúng em những kiến thức chuyên ngành, mà còn giúp chúng em học thêm những kĩ năng, tinh thần, thái độ khi làm việc nhóm.

Trong q trình tìm hiểu nhóm em xin cảm ơn các bạn cùng khóa đã góp ý, giúp đỡ nhóm em rất nhiều trong quá trình tìm hiểu và làm đề tài.

Do kiến thức còn nhiều hạn chế nên không thể tránh khỏi những thiếu sót trong cách xây dựng ứng dụng, lỗi trình bày, ... Nhóm chúng em rất mong nhận được sự đóng góp ý kiến của quý thầy cô để đề tài của em đạt được kết quả tốt

</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13">

<b>LỜI NÓI ĐẦU </b>

Sự phát triển không ngừng của công nghệ thông tin, đặc biệt là sự phổ biến rộng rãi máy tính và mạng internet đã mang lại các tiện ích phong phú cho người dùng. Các tổ chức, cá nhân đều có nhu cầu sử dụng máy tính, mạng máy tính để tính tốn, lưu trữ, quảng bá thông tin hay sử dụng các giao dịch trực tuyến trên mạng. Đi cùng với sự phát triển không ngừng nghỉ ấy của thế giới, hiện nay, hệ thống truyền thông mạng đã trở thành một phần không thể thiếu trong cuộc sống của chúng ta. Theo số liệu về một khảo sát được thực hiện bởi Hootsuite, cho thấy tính đến tháng 1/2021, số lượng người dùng smartphone toàn cầu là 5,22 tỉ người, số người sử dụng internet là 4,66 tỉ người và số người dùng mạng xã hội là 4,2 tỉ người.

Sự ra đời và phát triển theo cấp số nhân của mạng máy tính đã và đang làm thay đổi thế giới. Nhu cầu trao đổi thơng tin dữ liệu theo đó ngày càng lớn và đa dạng, các tiến bộ về công nghệ thông tin không ngừng được phát triển ứng dụng để nâng cao chất lượng và lưu lượng truyền tin thì các quan niệm ý tưởng và biện pháp bảo vệ thông tin dữ liệu cũng được đổi mới. Bảo vệ an tồn thơng tin dữ liệu là một chủ đề rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rất nhiều phương pháp đã và đang được thực hiện để bảo vệ an tồn thơng tin dữ liệu, đặc biệt là bảo vệ an tồn thơng tin dữ liệu trong hệ thống truyền thơng mạng.

Hệ thống truyền thông mạng là một mạng lưới các thiết bị và phần mềm được kết nối với nhau để truyền tải thông tin thông qua mạng internet hoặc các kết nối mạng khác. Chính điều này tiềm ẩn những nguy cơ về an ninh, an toàn, chẳng hạn như bí mật thơng tin bị tiết lộ, xác thực sai, dữ liệu bị thay đổi hoặc làm giả nếu không được quản lý và bảo vệ.

Trong hệ thống truyền thông mạng, mỗi một thiết bị và phần mềm đều có thể là một “cửa ngõ” tiềm năng để tin tặc có thể khai thác và tiến tới chiếm quyền của cả một mạng lưới, chúng không những truy cập tới dữ liệu mà cịn kiểm sốt các hệ thống vật lý, gây ra những thiệt hại nghiêm trọng cho người dùng. Những nguy cơ đó địi hỏi cần phải có các giải pháp hữu ích trong việc giám sát, kiểm

</div><span class="text_page_counter">Trang 14</span><div class="page_container" data-page="14">

sốt, đảm bảo an ninh, an tồn trong hệ thống truyền thơng mạng. Chính vì thế, đề

<b>tài “Nghiên cứu, triển khai hệ thống truyền thông mạng an toàn sử dụng PfSense” tập trung vào nghiên cứu các cơ chế hoạt động và phát hiện ra những </b>

nhược điểm, tìm ra giải pháp khắc phục các nhược điểm, qua đó nâng cao tính an ninh an tồn cho hệ thống truyền thông mạng, để hệ thống luôn được vận hành trơn tru, an toàn và hạn chế sự cố xảy ra.

Nội dung báo cáo được cấu trúc như sau:

<i><b>Chương 1: Tổng quan về an ninh mạng máy tính </b></i>

Trình bày tổng quan về khái niệm, các nguyên tắc nền tảng của an ninh mạng, các nguy cơ mất an ninh mạng, các điểm yếu, các giải pháp kỹ thuật trong lập kế hoạch an ninh mạng, các giải pháp an ninh.

<i><b>Chương 2: Giải pháp tăng cường an ninh mạng </b></i>

Trình bày những kiến thức nền tảng về hệ thống tường lửa, mạng riêng ảo, hệ thống phát hiện và chống xâm nhập áp dụng cho bài toán tăng cường an ninh mạng trong hệ thống truyền thông.

<i><b>Chương 3: Triển khai Proxy server trên PfSense </b></i>

Triển khai thực nghiệm các giải pháp tăng cường an ninh mạng: giới hạn giờ truy cập Web, giới hạnh tốc độ Download/Upload cho từng client,giải pháp mạng riêng ảo sử dụng mơ hình ứng dụng PfSense, nghiên cứu, cài đặt và triển khai mơ hình hệ thống mạng đơn giản sử dụng PfSense làm Firewall.

</div><span class="text_page_counter">Trang 15</span><div class="page_container" data-page="15">

<b>CHƯƠNG 1. TỔNG QUAN VỀ AN NINH MẠNG MÁY TÍNH 1.1. Các nguyên tắc nền tảng của an ninh mạng </b>

An ninh mạng máy tính (Network Security) là tổng thể các giải pháp về mặt tổ chức và kỹ thuật nhằm ngăn cản mọi nguy cơ tổn hại đến mạng. Các tổ chức chịu trách nhiệm bảo mật dữ liệu để duy trì lịng tin của người dùng cũng như đáp ứng việc tuân thủ quy định. Họ sử dụng các biện pháp và công cụ an ninh mạng để bảo vệ dữ liệu nhạy cảm khỏi bị truy cập trái phép cũng như ngăn chặn gián đoạn trong hoạt động kinh doanh gây ra bởi hoạt động mạng ngoài ý muốn. Các tổ chức triển khai an ninh mạng bằng cách hợp lý hóa cơng tác phịng vệ kỹ thuật số giữa con người, quy trình và cơng nghệ.

Các nguy cơ tổng hại có thể xảy ra bởi: - Lỗi của người dùng.

- Các lỗ hổng trong các hệ điều hành, trong các chương trình ứng dụng. - Các hành động hiểm độc.

- Các lỗi phần cứng.

- Các nguyên nhân khác từ tự nhiên.

An ninh mạng máy tính bao gồm vơ số các phương pháp được sử dụng để ngăn cản các sự kiện trên, quan trọng nhất là nguy cơ do lỗi của người dùng và các hành động hiểm độc.

Số lượng mạng máy tính ngày một phát triển với tốc độ chóng mặt, ngày càng trở nên phức tạp và phải thực hiện các nhiệm vụ quan trọng hơn, mang lại những thách thức mới cho người dùng và người quản lý chúng. Sự cần thiết phải hội nhập các dịch vụ vào cùng một hạ tầng cơ sở mạng là một điều hiển nhiên, làm phát sinh nhanh chóng việc các cơng nghệ đưa vào sản phẩm có liên quan đến an ninh còn non nớt. Do các nhà quản lý mạng phải cố gắng triển khai những công nghệ mới nhất vào hạ tầng cơ sở mạng của mình, an ninh mạng trở thành một chức năng then chốt trong việc xây dựng và duy trì các mạng hiện đại của mọi tổ chức. Các nguyên tắc nền tảng của an ninh mạng gồm:

</div><span class="text_page_counter">Trang 16</span><div class="page_container" data-page="16">

<i>1.1.1. Mơ hình CIA </i>

Confidentiality (tính bảo mật), Integrity (tính tồn vẹn), Availability (tính sẵn sàng) được gọi là: Mơ hình bộ ba CIA. Ba nguyên tắc cốt lõi này phải dẫn đường cho tất cả các hệ thống an ninh mạng. Bộ ba CIA cũng cung cấp một công cụ đo (tiêu chuẩn để đánh giá) đối với các thực hiện an ninh. Mọi vi phạm bất kỳ một trong ba nguyên tắc này đều có thể gây hậu quả nghiêm trọng đối với tất cả các thành phần có liên quan.

Hình 1. 1. Mơ hình CIA

<b>1.1.1.1. Tính bí mật </b>

Bí mật là sự ngăn ngừa việc tiết lộ trái phép những thông tin quan trọng, nhạy cảm. Đó là khả năng đảm bảo mức độ bí mật cần thiết được tn thủ và thơng tin quan trọng, nhạy cảm đó được che giấu với người dùng không được cấp phép. Đối với an ninh mạng thì tính bí mật rõ ràng là điều đầu tiên được nhắc đến, là mục tiêu thường xun bị tấn cơng nhất.

<b>1.1.1.2. Tính tồn vẹn </b>

Toàn vẹn là sự phát hiện và ngăn ngừa việc sửa đổi trái phép về dữ liệu, thông tin và hệ thống, do đó đảm bảo được sự chính xác của thơng tin và hệ thống. Có ba mục đích chính của việc đảm bảo tính tồn vẹn:

- Ngăn cản sự làm biến dạng nội dung thông tin của những người dùng không được phép.

- Ngăn cản sự làm biến dạng nội dung thông tin không được phép hoặc không chú tâm của những người dùng hợp pháp.

- Duy trì sự tồn vẹn dữ liệu cả trong nội bộ và bên ngoài.

</div><span class="text_page_counter">Trang 17</span><div class="page_container" data-page="17">

<b>1.1.1.3. Tính sẵn sàng </b>

Tính sẵn sàng bảo đảm người dùng hợp pháp của hệ thống có khả năng truy cập đúng lúc và không bị ngắt quãng tới các thông tin trong hệ thống và tới mạng. Tính sẵn sàng có liên quan đến độ tin cậy của hệ thống.

<i>1.1.2. Mơ hình bộ ba an ninh </i>

Một mơ hình vơ cùng quan trọng, có liên quan trực tiếp đến q trình phát triển và triển khai của mọi tổ chức là mơ hình bộ ba an ninh (Security Trinity). Ba khía cạnh của mơ hình bộ ba an ninh là:

Nền tảng của bộ ba an ninh là sự ngăn chặn. Nó cung cấp mức độ an ninh cần thiết nào đó để thực hiện các biện pháp ngăn chặn sự khai thác các lỗ hổng. Trong khi phát triển các giải pháp an ninh mạng, các tổ chức cần phải nhấn mạnh vào các biện pháp ngăn chặn hơn là vào sự phát triển và sự phản ứng. Ngăn chặn một sự vi phạm an ninh sẽ dễ dàng, hiệu quả và có giá trị nhiều hơn so với việc thực hiện phát hiện hoặc phản ứng.

<b>1.1.2.2. Sự phát hiện </b>

Cần có các biện pháp cần thiết để thực hiện phát hiện các nguy cơ hoặc sự vi phạm an ninh trong trường hợp các biện pháp ngăn chặn không thành công. Một sự vi phạm được phát hiện sớm sẽ dễ dàng hơn việc khắc phục và xóa bỏ các tác hại

</div><span class="text_page_counter">Trang 18</span><div class="page_container" data-page="18">

của nó. Chính vì vậy, sự phát hiện không chỉ được đánh giá về mặt khả năng mà còn về mặt tốc độ, phát hiện phải được thực hiện một cách nhanh chóng.

<b>1.1.2.3. Sự phản ứng </b>

Phát triển một kế hoạch để đưa ra phản ứng phù hợp đối với một số lỗ hổng an ninh là điều thiết yếu. Kế hoạch phải được viết thành văn bản, phải xác định ai là người chịu trách nhiệm cho các hành động tương ứng,thời điểm nào cần thay đổi các phản ứng và các mức độ cần tăng cường. Tính năng phản ứng của một hệ thống an ninh không chỉ là năng lực mà còn là vấn đề về tốc độ. Ngày nay, các cuộc tấn công mạng rất đa dạng, khơng thể đốn chắc được thời gian, địa điểm, mục tiêu tấc cơng, hình thức và hậu quả của các cuộc tấn cơng ấy. Vì vậy, để đảm bảo an ninh cho một mạng cần phát hiện nhanh, phản ứng nhanh và ngăn chặn thành cơng mọi hình thức tấn công.

Các yêu cầu trên trở thành một nhiệm vụ hết sức khó khăn cho các nhà quản lý và nhà cung cấp dịch vụ hệ thống mạng.

<b>1.2. Các nguy cơ mất an ninh mạng </b>

<i>1.2.1. Các nguy cơ mất an ninh mạng máy tính </i>

Các cuộc tấn công tinh vi đang trở thành mối đe dọa lớn đến an ninh mạng, khiến môi trường mạng tiềm ẩn nhiều rủi ro hơn đối với các tổ chức, doanh nghiệp và cả người dùng cá nhân trên toàn thế giới.

Theo báo cáo mới nhất cuối năm 2022 của Securonix - Công ty chuyên về các giải pháp bảo mật thông tin (Texas, Mỹ), trong 12 tháng qua, số lượng lỗ hổng bảo mật mới được phát hiện lớn gần gấp đôi so với năm 2021. Trong khi số lượng mối đe dọa an ninh mạng đã tăng 482% so với cùng kỳ năm trước. Cụ thể, Securonix cho biết, có 867 mối đe dọa và 35.776 báo cáo về sự xâm phạm (IOC), tăng tương ứng 482% và 380% so với năm trước. Tổng cộng có 582 mối đe dọa đã được phát hiện, phân tích và báo cáo trong khoảng thời gian này, tăng 218% so với năm 2021.

Các nguy cơ gây mất an ninh mạng máy tính tiêu biểu: - Các cá nhân bên ngồi tổ chức và các hacker.

- Người dùng trong công ty, làm việc tại tổ chức.

- Các ứng dụng được cán bộ và nhân viên của công ty, tổ chức sử dụng để thực hiện các nhiệm vụ của họ.

</div><span class="text_page_counter">Trang 19</span><div class="page_container" data-page="19">

- Các hệ điều hành chạy trên máy tính các nhân, các máy chủ, các thiết bị khác trong hệ thống mạng.

- Hạ tầng cơ sở mạng được sử dụng để truyền tải dữ liệu qua mạng: bộ định tuyến (router), bộ chuyển mạch (switch), bộ tập trung (hub), tường lửa (firewall) và các thiết bị khác.

- Sử dụng cách tiếp cận phân chia và chinh phúc (Divide-and-conquer). - Các điểm yếu trong việc hoạch định chính sách.

- Các điểm yếu trong các cơng nghệ máy tính. - Các điểm yếu trong cấu hình thiết bị.

<i>1.2.2. Các điểm yếu trong giao thức mạng </i>

Các điểm yếu trong giao thức mạng có liên quan đến các lỗ hổng trong các giao thức mạng đang vận hành và các ứng dụng sử dụng các giao thức này.

Một bộ giao thức phổ biến và được sử dụng nhiều nhất trên mạng là TCP/IP. TCP/IP là một bộ giao thức, bao gồm các giao thức IP, TCP, UDP, ICMP, OSPF, IGRP, EIGRP, ARP, RARP, … Giao thức TCP/IP là điểm yếu trong bảo mật vì nó được thiết kế như một tiêu chuẩn mở để giúp cho việc trao đổi thông tin được dễ dàng. Do đó, giao thức TCP/IP trở nên sử dụng rộng rãi nhưng cũng làm cho nó dễ dàng bị tấn cơng vì hầu hết mọi người đều thân thuộc với cách thức TCP/IP làm việc. Hai giao thức mà Cisco thích lựa chọn trong chùm giao thức TCP/IP nhưng vốn cố hữu lại không được bảo mật là SMTP (TCP) va SNMP (UDP). Điển hình của kỹ thuật tấn công vào hai giao thức này là IP spoofing, man-in-the-middle và session replay.

<i>1.2.3. Các điểm yếu trong hệ điều hành </i>

Mỗi một hệ điều hành đang sử dụng đều có một hoặc nhiều các lỗ hổng an ninh trong đó. Đây là một sự thật hiển nhiên của các hệ điều hành được sử dụng rộng rãi, vì thế các hacker hướng vào các lỗ hổng này để tấn công. Trong khi tất cả các hệ điều hành đều có điểm yếu thì Linux và Unix được xem như là ít có điểm yếu hơn Windows.

<i>1.2.4. Các điểm yếu trong thiết bị mạng </i>

Các điểm yếu trong thiết bị mạng được xem là nguy cơ an ninh dễ bị tổn thương (bị tấn công) đối với các thiết bị mạng như router, switch, firewall,… Các thiết bị này hoạt động dựa trên các hệ điều hành. Nhưng có một chính sách tốt cho việc cấu hình và lắp đặt cho các thiết bị mạng sẽ làm giảm đi rất nhiều sự ảnh

</div><span class="text_page_counter">Trang 20</span><div class="page_container" data-page="20">

<b>1.3. Giải pháp kỹ thuật trong lập kế hoạch an ninh mạng </b>

<i>1.3.1. Sử dụng các nền tảng khác nhau </i>

Một trong các vấn đề khó khăn nhất, cần phải đối mặt khi thiết kế một giải pháp an ninh là khi cố gắng tìm kiếm một giải pháp “Một phù hợp cho tất cả” (One-sizefits-all). Việc cố gắng tích hợp tất cả các sản phẩm an ninh mạng chỉ từ một nhà cung cấp, với hệ thống quản lý mà nó dễ dàng cho phép thực hiện các chính sách an ninh thông qua tất cả các sản phẩm an ninh của mình. Vì thế, giải pháp an ninh phải chứa đựng nhiều dạng thiết bị phần cứng, cũng như các ứng dụng phần mềm. Thông tin sau đây cung cấp một vài dạng thiết bị mà giải pháp an ninh có liên quan đến:

- Các máy tính để bàn và máy tính xách tay chạy các hệ điều hành Windows 2000, 2003, XP, Vista, 7, cũng như các hệ điều hành UNIX, Macintosh,…

- Các máy chủ chạy các hệ điều hành Windows NT, 2000, 2003, NetWare, Linux, Solaris, HP-UX,…

- Các máy tính lớn (Mainframe) chạy Multiple Virtual Storage (MVS) và Virtual Machine (VM),…

- Các thiết bị định tuyến của các hãng Cisco, Juniper, Nortel, Lucent,… - Các thiết bị chuyển mạch của các hãng Cisco, Foundry, Extreme,…

<i>1.3.2. Sử dụng các mơ hình an ninh mạng </i>

Một bước quan trọng nhất trong thiết kế và phân tích các hệ thống an ninh là mơ hình an ninh, bởi vì nó tích hợp chính sách an ninh mà bắt buộc phải tuân thủ trong hệ thống. Một mơ hình an ninh là một sử miêu tả trượng trưng của một chính sách an ninh. Nó ánh xạ các u cầu của chính sách an ninh, tạo thành các luật và các quy tắc của một hệ thống mạng. Một chính sách an ninh là một tập hợp các mục tiêu tổng quan và các u cầu mức cao, cịn mơ hình an ninh sẽ thực hiện nó.

Các mơ hình an ninh có ba phương án cơ bản được sử dụng để phát triển một mơ hình an ninh mạng. Thơng thường, các tổ chức thực hiện một sự kết hợp nào đó của ba phương án để đảm bảo an ninh mạng. Ba phương án thực hiện là:

- Mơ hình an ninh nhờ sự mù mờ (Security by obscurity model). - Mơ hình bảo vệ vịng ngồi (Perimeter defense model).

- Mơ hình bảo vệ theo chiều sâu (Defense in depth model).

</div><span class="text_page_counter">Trang 21</span><div class="page_container" data-page="21">

<i>1.3.3. Sử dụng các nguyên tắc an ninh </i>

Quyền hạn tối thiểu: nguyên tắc cơ bản nhất của một hệ thống an ninh mạng là cơ chế đặc quyền tối thiểu. Nguyên tắc này hạn chế phơi bày các yếu điểm của hệ thống và giảm các rủi ro có thể xảy ra và rủi ro do bị tấn cơng.

Phịng thủ theo chiều sâu: phịng thủ cần có nhiều lớp, nhiều hệ thống phịng thủ để chúng hỗ trợ lẫn nhau.

Nút thắt: nút thắt đặt tại các cổng vào/ra xác định. Cơ chế này bắt buộc đối phương chỉ có thể thâm nhập vào hệ thống qua một kênh hẹp (Nơi có thể giám sát và điều khiển được).

Điểm yếu nhất: phải xác định được đâu là điểm yếu nhất của hệ thống để tăng cường an ninh, vì các hacker thường tìm mọi cách để phát hiện ra những điểm yếu này và tập trung mọi tấn cơng vào đó.

Cơ chế tự động ngắt khi có sự cố: trong những trường hợp xấu khi một phần bảo vệ của toàn hệ thống gặp sự cố, hệ thống có thể tự ngắt hoặc ngắt phần bị sự cố, để ngăn chặn sự truy cập của đối phương vào hệ thống hoặc các vùng khác.

Mọi thành phần đều phải tham gia chế độ an ninh: tất cả các thành phần của hệ thống đều phải kết hợp thành một hệ thống bảo vệ, hỗ trợ và kiểm soát lẫn nhau. Nếu có một số phân hệ khơng tham gia chế độ an ninh, thì tồn bộ hệ thống đó coi như khơng đảm bảo an ninh.

Tính đa dạng của hệ thống phòng thủ: mức độ an ninh của hệ thống sẽ tăng lên nếu sử dụng nhiều mơ-đun hoặc nhiều phương án phịng thủ khác nhau.

Tính đơn giản: một hệ thống phức tạp thường có nhiều lỗi và rất khó kiểm sốt. Chính vì vậy, cần phải đơn giản hóa một hệ thống bảo vệ.

<i>1.3.4. Sử dụng các giải pháp an ninh </i>

<b>a) Giải pháp phân mảnh mạng. </b>

</div><span class="text_page_counter">Trang 22</span><div class="page_container" data-page="22">

Giải pháp phân mảnh mạng (network segmentation) là quá trình chia mạng máy tính thành các phân đoạn nhỏ hơn để tạo ra các phân vùng hoặc mạng con riêng biệt. Mục tiêu của phân mảnh mạng là giảm thiểu khả năng lan truyền các tấn công và giới hạn tác động của chúng trong hệ thống mạng.Các phương pháp phân mảnh mạng có thể bao gồm:

- Mạng con/vùng: Mạng con hoặc vùng là một mạng con riêng biệt được tạo ra bên trong mạng chính. Mỗi mạng con/vùng có thể có các tập luật riêng để kiểm soát truy cập và luồng dữ liệu. Việc sử dụng mạng con/vùng giúp ngăn chặn lan truyền tấn công từ một phân vùng sang phân vùng khác.

- Các tường lửa: Sử dụng tường lửa (firewall) để xác định và kiểm sốt luồng thơng tin giữa các phân đoạn mạng. Tường lửa giúp kiểm soát truy cập và chặn các tấn công từ một phân vùng mạng sang phân vùng khác.

- Mạng riêng ảo (Virtual Private Network - VPN): Sử dụng VPN để tạo ra kết nối bảo mật giữa các phân vùng mạng. VPN sử dụng các giao thức và mã hóa để bảo vệ dữ liệu khi truyền qua mạng công cộng và giới hạn truy cập từ các phân vùng khác.

- Quản lý quyền truy cập: Áp dụng các chính sách quản lý quyền truy cập để xác định quyền truy cập của người dùng và thiết bị trong từng phân vùng mạng. Quản lý quyền truy cập giúp đảm bảo rằng chỉ người dùng và thiết bị được ủy quyền mới có thể truy cập vào các phân vùng cụ thể.

- Giám sát và phát hiện xâm nhập: Sử dụng các công cụ giám sát và phát hiện xâm nhập để theo dõi hoạt động mạng và phát hiện các hoạt động bất thường hoặc xâm nhập trong các phân vùng mạng.

<b>b) Giải pháp quản lý các điểm truy nhập. </b>

Giải pháp quản lý các điểm truy cập (Access Management Solution) là một tập hợp các phương pháp và công nghệ được sử dụng để quản lý quyền truy cập vào hệ thống và các tài nguyên trong một tổ chức. Mục tiêu của giải pháp này là đảm bảo rằng chỉ những người dùng và thiết bị được ủy quyền mới có thể truy cập vào các tài nguyên quan trọng, trong khi ngăn chặn truy cập trái phép và bảo vệ an tồn thơng tin.

Một số yếu tố và giải pháp quan trọng trong quản lý các điểm truy cập bao gồm:

- Xác thực người dùng: Đây là quá trình xác định và xác minh danh tính của người dùng trước khi cho phép truy cập vào hệ thống. Phương pháp xác thực có

</div><span class="text_page_counter">Trang 23</span><div class="page_container" data-page="23">

thể bao gồm mật khẩu, xác thực đa yếu tố (2FA), chứng chỉ số, và các phương pháp xác thực sinh học như nhận dạng dấu vân tay hoặc nhận diện khuôn mặt.

- Quản lý quyền truy cập: Điều này liên quan đến việc xác định và quản lý quyền truy cập của người dùng đối với các tài nguyên và chức năng trong hệ thống. Quản lý quyền truy cập đảm bảo rằng người dùng chỉ có quyền truy cập vào những gì cần thiết để thực hiện cơng việc của họ, và khơng có quyền truy cập trái phép vào các tài nguyên nhạy cảm.

- Tạo chính sách quyền truy cập: Thiết lập và thi hành các chính sách quyền truy cập rõ ràng và cụ thể để quản lý quyền truy cập trong toàn bộ hệ thống. Chính sách này bao gồm các quy tắc về phân quyền, quyền truy cập, kiểm soát truy cập, và quản lý quyền truy cập.

- Giám sát và đánh giá: Việc giám sát và đánh giá quyền truy cập và hoạt động của người dùng là quan trọng để phát hiện các hoạt động bất thường hoặc xâm nhập. Các công cụ giám sát, nhật ký hệ thống và phân tích log được sử dụng để theo dõi và phát hiện các hành vi không phù hợp.

- Các công nghệ bảo vệ tiên tiến: Sử dụng các công nghệ bảo vệ tiên tiến như hệ thống giám sát hành vi người dùng (User Behavior Analytics - UBA), hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS), và công nghệ mã hóa để bảo vệ dữ liệu và ngăn chặn các mối đe dọa bảo mật.

Hình 1. 4. Mơ hình quản lý các điểm truy cập

</div><span class="text_page_counter">Trang 24</span><div class="page_container" data-page="24">

<b>c) Các bộ định tuyến và chuyển mạch. </b>

Hình 1. 5. Mơ hình định tuyến và chuyển mạch

Trong giải pháp an ninh mạng, các bộ định tuyến (routing) và chuyển mạch (switching) đóng vai trò quan trọng trong việc điều phối và điều khiển luồng thông tin trong mạng. Dưới đây là mô tả về hai khái niệm này:

- Bộ định tuyến (Routing): Bộ định tuyến là quá trình chọn đường đi tối ưu cho gói tin từ nguồn đến đích trên mạng. Nhiệm vụ của bộ định tuyến là xác định các định tuyến và gửi các gói tin qua các đường đi phù hợp. Các thiết bị định tuyến (như router) sử dụng các giao thức định tuyến như Routing Information Protocol (RIP), Open Shortest Path First (OSPF), hoặc Border Gateway Protocol (BGP) để trao đổi thông tin định tuyến và quyết định đường đi tốt nhất cho gói tin. Trong giải pháp an ninh mạng, bộ định tuyến có thể được cấu hình và quản lý để áp dụng các chính sách an ninh. Ví dụ, bộ định tuyến có thể được cấu hình để kiểm soát truy cập qua các kết nối mạng, áp dụng hệ thống tường lửa (firewall), hoặc thực hiện các phương pháp bảo mật như ảo hóa mạng riêng (Virtual Private Network - VPN).

- Chuyển mạch (Switching): Chuyển mạch là quá trình điều phối luồng dữ liệu giữa các thiết bị trong một mạng cục bộ. Thiết bị chuyển mạch (như switch) có nhiều cổng kết nối và quyết định đích đến cho gói tin dựa trên địa chỉ MAC (Media Access Control). Chuyển mạch cho phép kết nối trực tiếp giữa các thiết bị trong mạng cục bộ, cải thiện hiệu suất và khả năng truyền dữ liệu trong mạng.

</div><span class="text_page_counter">Trang 25</span><div class="page_container" data-page="25">

Trong giải pháp an ninh mạng, chuyển mạch có thể được sử dụng để tạo ra các phân vùng mạng (VLAN) để cách ly và kiểm soát truy cập giữa các nhóm người dùng hoặc thiết bị. Các chính sách an ninh có thể được áp dụng trên switch để kiểm soát giao thông mạng và bảo vệ dữ liệu, chẳng hạn như xác thực và phân loại lưu lượng, giới hạn băng thông, và phát hiện các hoạt động khơng bình thường.

Tóm lại, bộ định tuyến và chuyển mạch là hai thành phần quan trọng trong giải pháp an ninh mạng, được sử dụng để điều phối và điều khiển luồng thông tin trong mạng và áp dụng các chính sách an ninh để bảo vệ hệ thống và dữ liệu.

<b>d) Giải pháp sử dụng tường lửa. </b>

Hình 1. 6. Mơ hình bức tưởng lửa

Giải pháp sử dụng tường lửa (Firewall Solution) là một hình thức bảo vệ mạng và hệ thống khỏi các mối đe dọa bằng cách kiểm soát và giám sát lưu lượng mạng. Tường lửa là một thành phần quan trọng trong việc xây dựng một hệ thống an ninh mạng. Nó có thể là phần cứng hoặc phần mềm, hoặc kết hợp cả hai.

Các tính năng và chức năng của giải pháp tường lửa bao gồm: - Kiểm soát truy cập: Tường lửa cho phép xác định và kiểm soát quyền truy cập vào mạng và các tài nguyên. Nó có thể áp dụng các quy tắc và chính sách để giới hạn truy cập từ bên ngoài mạng hoặc giữa các phân vùng mạng bên trong.

- Bộ lọc gói tin: Tường lửa có thể xem xét và kiểm tra các gói tin mạng dựa trên địa chỉ nguồn, đích, cổng và giao thức. Nó có khả năng chặn, loại bỏ hoặc chuyển tiếp gói tin dựa trên các quy tắc được cấu hình trước.

- Phát hiện xâm nhập (Intrusion Detection and Prevention System - IDS/IPS): Một số tường lửa có tích hợp chức năng phát hiện và ngăn chặn xâm

</div><span class="text_page_counter">Trang 26</span><div class="page_container" data-page="26">

nhập, cho phép phát hiện các hoạt động đáng ngờ hoặc tấn công mạng và thực hiện các biện pháp ngăn chặn.

- Nhật ký và giám sát: Tường lửa có khả năng ghi lại các sự kiện mạng, nhật ký và giám sát hoạt động mạng để phát hiện các hành vi không phù hợp hoặc xâm nhập.

- Cập nhật và quản lý: Giải pháp tường lửa yêu cầu cập nhật thường xuyên để đối phó với các mối đe dọa mới và lỗ hổng bảo mật. Nó cũng địi hỏi quản lý và cấu hình chính xác để đảm bảo hoạt động hiệu quả và bảo mật.

Giải pháp sử dụng tường lửa giúp ngăn chặn, kiểm soát và giám sát lưu lượng mạng, đảm bảo an ninh và bảo vệ hệ thống mạng khỏi các mối đe dọa bên ngồi. Nó là một phần quan trọng trong việc xây dựng một hệ thống an ninh mạng toàn diện.

<b>e) Giải pháp lọc nội dung. </b>

Hình 1. 7. Mơ hình giải pháp lọc nội dung

Giải pháp lọc nội dung (Content Filtering Solution) là một phương pháp để kiểm soát và giám sát nội dung truy cập trên mạng. Nó sử dụng các quy tắc và chính sách để lọc và kiểm tra lưu lượng dữ liệu dựa trên nội dung, giao thức, địa chỉ IP hoặc các tiêu chí khác. Mục tiêu của giải pháp lọc nội dung là ngăn chặn hoặc kiểm soát truy cập vào nội dung khơng phù hợp, độc hại hoặc khơng an tồn.

Các tính năng và chức năng chính của giải pháp lọc nội dung bao gồm:

- Bộ lọc URL: Giải pháp lọc nội dung có thể sử dụng bộ lọc URL để kiểm soát truy cập vào các trang web dựa trên danh sách đen (blacklist) hoặc danh sách trắng (whitelist). Bộ lọc URL giúp ngăn chặn truy cập vào các trang web độc hại, không phù hợp hoặc khơng an tồn.

</div><span class="text_page_counter">Trang 27</span><div class="page_container" data-page="27">

- Bộ lọc nội dung: Giải pháp lọc nội dung có thể quét và phân loại nội dung dựa trên các tiêu chí như từ khóa, cấu trúc, hoặc loại file. Nó có thể kiểm sốt hoặc chặn truy cập vào các loại tệp tin độc hại, đính kèm email khơng an tồn, hoặc nội dung khơng phù hợp.

- Quản lý ứng dụng: Giải pháp lọc nội dung có thể kiểm sốt và giám sát việc sử dụng ứng dụng trên mạng, bao gồm truy cập vào các dịch vụ mạng xã hội, trò chuyện trực tuyến, hoặc chia sẻ file. Nó có thể áp dụng các chính sách để kiểm soát và giới hạn việc sử dụng ứng dụng khơng an tồn hoặc khơng phù hợp.

- Phòng ngừa đe dọa và mã độc: Giải pháp lọc nội dung có thể phát hiện và chặn các đe dọa mạng, mã độc và các cuộc tấn công từ các trang web, email hoặc tệp tin độc hại. Nó sử dụng các cơng cụ và quy tắc để xác định và chặn các hoạt động không mong muốn và nguy hiểm.

- Giám sát và báo cáo: Giải pháp lọc nội dung cung cấp khả năng giám sát và ghi lại các hoạt động mạng, nhật ký và báo cáo về lưu lượng dữ liệu và truy cập nội dung. Nó giúp tổ chức phát hiện và phân tích các hành vi khơng phù hợp hoặc xâm nhập trong mạng.

Giải pháp lọc nội dung giúp tổ chức kiểm soát và bảo vệ mạng khỏi nội dung khơng an tồn, độc hại hoặc khơng phù hợp. Nó giúp ngăn chặn các mối đe dọa mạng, tăng cường an ninh và quản lý rủi ro trong môi trường mạng.

<b>f) Giải pháp điều khiển truy nhập từ xa. </b>

Hình 1. 8. Mơ hình điều khiển truy cập từ xa

Giải pháp điều khiển truy cập từ xa (Remote Access Solution) là một phương pháp cho phép người dùng truy cập vào hệ thống và tài nguyên từ xa thông qua mạng. Điều khiển truy cập từ xa cho phép người dùng kết nối và làm việc với hệ thống nằm ở một địa điểm khác mà khơng cần có mặt trực tiếp.

</div><span class="text_page_counter">Trang 28</span><div class="page_container" data-page="28">

Các tính năng và chức năng chính của giải pháp điều khiển truy cập từ xa bao gồm:

- Kết nối VPN: Giải pháp này thường sử dụng kỹ thuật Mạng riêng ảo (Virtual Private Network - VPN) để tạo một kết nối an toàn và bảo mật giữa người dùng từ xa và hệ thống trong mạng nội bộ. Kết nối VPN cho phép mã hóa dữ liệu và bảo mật thông tin truyền qua mạng công cộng.

- Xác thực người dùng: Giải pháp điều khiển truy cập từ xa thường đòi hỏi người dùng phải xác thực danh tính của mình trước khi truy cập vào hệ thống từ xa. Điều này có thể bao gồm việc sử dụng mật khẩu, xác thực đa yếu tố (2FA), chứng chỉ số, hoặc các phương pháp xác thực khác để đảm bảo rằng chỉ người dùng hợp lệ mới có thể truy cập.

- Quản lý quyền truy cập: Giải pháp này cho phép quản lý và kiểm soát quyền truy cập của người dùng từ xa vào các tài nguyên và chức năng trong hệ thống. Người quản trị có thể thiết lập các quy tắc và chính sách để chỉ cho phép truy cập vào những gì là cần thiết và hạn chế truy cập không ủy quyền.

- Mã hóa dữ liệu: Giải pháp điều khiển truy cập từ xa thường sử dụng mã hóa dữ liệu để bảo mật thơng tin khi truyền qua mạng. Việc sử dụng mã hóa giúp ngăn chặn việc đánh cắp thông tin nhạy cảm và đảm bảo rằng dữ liệu không bị xem trộm trong quá trình truyền.

- Giám sát và đăng nhập: Giải pháp này có khả năng giám sát và ghi lại hoạt động truy cập từ xa, bao gồm lưu lượng mạng, hoạt động hệ thống và các sự kiện liên quan. Điều này giúp theo dõi và phát hiện các hoạt động bất thường hoặc xâm nhập từ các người dùng từ xa.

Giải pháp điều khiển truy cập từ xa giúp người dùng kết nối và làm việc từ xa một cách an toàn và bảo mật. Nó mở rộng khả năng truy cập và linh hoạt cho người dùng trong môi trường làm việc hiện đại, đồng thời đảm bảo an ninh và quản lý rủi ro.

- Quản lý các miếng vá (Patch Management).

- Các cổng lớp ứng dụng (Application Layer Gateway). - Giải pháp phát hiện và phòng chống xâm nhập.

</div><span class="text_page_counter">Trang 29</span><div class="page_container" data-page="29">

- Quản lý các sự kiện an ninh. - Quản lý các tổn thương. - Giải pháp mật mã.

<b>1.4. Tổng kết chương 1 </b>

Hiện nay, tình hình an ninh mạng, đặc biệt là an ninh hệ thống truyền thông mạng trên thế giới đã và đang có những diễn biến vơ cùng phức tạp.

Trong phạm vi chương này, báo cáo đã nhắc lại những nét khái quát về an ninh mạng, các nguyên tắc nền tảng; đề cập tới các nguy cơ mất an ninh mạng và khái quát một số giải pháp kỹ thuật trong lập kế hoạch an ninh mạng. Vô số vụ tấn công vào hệ thống cổng thông tin quan trọng của nhiều quốc gia. Nhiều hacker đã lên các chiến dịch để lây nhiễm và cài cắm mã độc. Thông tin cá nhân của hàng trăm triệu người dùng mạng internet được sử dụng trái phép. Từ thực trạng ấy đã chứng minh:

- Hoạt động tấn công mạng, gián điệp mạng đang có diễn biến hết sức phức tạp và ngày càng trở nên nguy hiểm hơn. Hiện nay đã xuất hiện nhiều cuộc tấn công mạng quy mô rộng lớn và mức độ nguy hiểm tăng dần.

- Các hoạt động chiếm đoạt, sử dụng trái phép thông tin cá nhân, dữ liệu người dùng đang diễn ra cơng khai.

- Tình hình an ninh mạng đang có những diễn biến ngày càng phức tạp và có tác động lớn đến mọi mặt đời sống, kinh tế, chính trị, an ninh, quốc phịng của mỗi quốc gia và trên toàn thế giới.

Như vậy, giải pháp tăng cường an ninh mạng là một nhân tố quan trọng đóng góp vào tính an tồn của hệ thống truyền thơng mạng . Do đó, trong các phần tiếp theo của báo cáo này sẽ xem xét, triển khai một số giải pháp tăng cường cho hệ thống truyền thông mạng.

</div><span class="text_page_counter">Trang 30</span><div class="page_container" data-page="30">

<b>CHƯƠNG 2. GIẢI PHÁP TĂNG CƯỜNG AN NINH MẠNG 2.1. Hệ thống tường lửa (Firewall) </b>

<i>2.1.1. Khái niệm về Firewall </i>

Tường lửa (Firewall) là một hệ thống an ninh mạng, có thể dựa trên phần cứng hoặc phần mềm, sử dụng các quy tắc để kiểm soát lưu lượng truy cập vào, ra khỏi hệ thống. Tường lửa hoạt động như một rào chắn giữa mạng an toàn và mạng khơng an tồn. Nó kiểm sốt các truy cập đến nguồn lực của mạng thông qua một mơ hình kiểm sốt chủ động. Nghĩa là, chỉ những lưu lượng truy cập phù hợp với chính sách được định nghĩa trong tường lửa, mới được truy cập vào mạng, mọi lưu lượng truy cập khác đều bị từ chối.

Hình 2. 1. Firewall

<i>2.1.2. Chức năng chính của Firewall </i>

- Chức năng chính của Firewall là kiểm sốt luồng thơng tin từ giữa Intranet

- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.

</div><span class="text_page_counter">Trang 31</span><div class="page_container" data-page="31">

- Kiểm soát người dùng và việc truy nhập của người dùng. Kiểm sốt nội dung thơng tin thơng tin lưu chuyển trên mạng.

<i>2.1.3. Phân loại Firewall </i>

Firewall được chia thành 2 loại gồm: Firewall cứng và Firewall mềm.

<b>2.1.3.1. Đặc điểm Firewall mềm </b>

Firewall mềm được cài đặt trên các máy tính cá nhân trên mạng. Không giống như Firewall cứng, Firewall mềm có thể dễ dàng phân biệt các chương trình trên máy tính, điều này cho phép dữ liệu vào một chương trình trong khi chặn một chương trình khác. Firewall mềm cũng có thể lọc dữ liệu gửi đi, cũng như các phản hồi từ xa cho các yêu cầu gửi đi. Nhược điểm chính của Firewall mềm cho một doanh nghiệp là: yêu cầu cài đặt, cập nhật và quản trị trên mỗi máy tính cá nhân.

Firewall mềm được cài đặt trên các máy chủ riêng lẻ, giúp chặn mỗi yêu cầu kết nối và sau đó xác định xem u cầu có hợp lệ hay khơng. Firewall xử lý tất cả các yêu cầu bằng cách sử dụng tài nguyên máy chủ.

Trong khi so sánh với Firewall cứng, Firewall mềm hoặc Firewall Opensource (tường lửa mã nguồn mở) dễ cấu hình và thiết lập hơn.

Firewall mềm cung cấp cho người dùng quyền kiểm sốt hồn tồn lưu lượng truy cập Internet của họ thông qua giao diện thân thiện với người dùng yêu cầu ít hoặc khơng có kiến thức.

<b>2.1.3.2. Đặc điểm Firewall cứng </b>

Firewall cứng nằm giữa mạng máy tính cục bộ và Internet, Firewall cứng sẽ kiểm tra tất cả các dữ liệu đến từ Internet, đi qua các gói dữ liệu an tồn trong khi chặn các gói dữ liệu nguy hiểm tiềm ẩn.

Hình 2. 2. Firewall cứng

</div><span class="text_page_counter">Trang 32</span><div class="page_container" data-page="32">

Để bảo vệ đúng mạng mà không cản trở hiệu suất, tường lửa firewall cứng yêu cầu người thiết lập phải có kiến thức chuyên sâu. Do đó, điều này có thể khơng phải là giải pháp khả thi cho các cơng ty khơng có bộ phận cơng nghệ thông tin chuyên dụng. Tuy nhiên, đối với các doanh nghiệp có nhiều máy tính, có thể kiểm sốt an ninh mạng từ một thiết bị đơn giản hóa cơng việc.

Các doanh nghiệp thường có tường lửa phần cứng chuyên dụng, có nhiều cơng cụ khác nhau để giúp chặn các mối đe dọa ở ngoại vi của mạng. Bằng cách này, người quản trị có thể lọc email và lưu lượng truy cập web cho tất cả mọi người.

Tường lửa phần cứng được tích hợp vào bộ định tuyến nằm giữa máy tính và Internet. Người quản trị thường sử dụng lọc gói, có nghĩa là họ quét tiêu đề gói để xác định nguồn gốc, nguồn gốc, địa chỉ đích và kiểm tra với quy tắc người dùng hiện có được xác định để đưa ra quyết định cho phép / từ chối.

Tường lửa phần cứng được thiết lập cho thời gian phản hồi nhanh hơn do phần cứng và phần mềm được đồng bộ một cách tối đa, giúp phát huy hết hiệu năng của tường lửa phần cứng giúp nó có thể xử lý nhiều lưu lượng truy cập hơn.

Tường lửa có hệ điều hành riêng, ít bị tấn công hơn, điều này lần làm giảm nguy cơ bảo mật và ngoài ra, tường lửa phần cứng có các điều khiển bảo mật nâng cao.

Tường lửa phần cứng là một thành phần mạng nội bộ và nó có thể được quản lý tốt hơn.

</div><span class="text_page_counter">Trang 33</span><div class="page_container" data-page="33">

<i>2.1.4. Kiến trúc cơ bản của Firewall </i>

<b>2.1.4.1. Kiến trúc Dual-homed Host </b>

Hình 2. 3. Kiến trúc Dual-homed Host

Dual-homed Host là hình thức xuất hiện đầu tiên trong việc bảo vệ mạng nội bộ. Dual-homed Host là một máy tính có hai giao tiếp mạng (Network interface): một nối với mạng cục bộ và một nối với mạng ngoài (Internet).

Hệ điều hành của Dual-home Host được sửa đổi, để chức năng chuyển các gói tin (Packet forwarding) giữa hai giao tiếp mạng này không hoạt động. Để làm việc được với một máy trên Internet, người dùng ở mạng cục bộ trước hết phải login vào Dual-homed Host, và từ đó bắt đầu phiên làm việc.

</div><span class="text_page_counter">Trang 34</span><div class="page_container" data-page="34">

<b>2.1.4.2. Kiến trúc Screend Subnet Host </b>

Hình 2. 4. Kiến trúc Screend Subnet Host

Với kiến trúc trên, hệ thống này bao gồm hai Packet-Filtering Router và một máy chủ. Kiến trúc này có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật: Network và Application, trong khi định nghĩa một mạng Perimeter Network. Mạng trung gian (DMZ) đóng vai trò của một mạng nhỏ, cô lập, đặt giữa Internet và mạng nội bộ. Cơ bản, một “Mạng trung gian” được cấu hình, sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng “Mạng trung gian”, và không thể truyền trực tiếp qua “Mạng trung gian”.

Và những thông tin đến, Router ngoài (Exterior Router) chống lại những sự tấn công chuẩn (như giả mạo địa chỉ IP), và điều khiển truy nhập tới mạng trung gian. Nó chỉ cho phép hệ thống bên ngoài truy nhập máy chủ. Router trong (Interior Router) cung cấp sự bảo vệ thứ hai, bằng cách điều khiển mạng trung gian truy nhập vào mạng nội bộ, chỉ với những truyền thông, bắt đầu từ Bastion Host (máy chủ).

</div><span class="text_page_counter">Trang 35</span><div class="page_container" data-page="35">

Với những thông tin đi, Router điều khiển mạng nội bộ truy nhập tới mạng trung gian. Nó chỉ cho phép các hệ thống bên trong truy nhập tới máy chủ. Quy luật Filtering trên Router ngoài yêu cầu sử dụng dịch vụ Proxy, bằng cách chỉ cho phép thông tin ra bắt nguồn từ máy chủ.

<b>2.1.4.3. Đánh giá về kiến trúc Dual-homed Host và kiến trúc Screend Subnet Host </b>

a. Đánh giá về Dual-homed Host

Để cung cấp dịch vụ cho những người sử dụng mạng nội bộ có một số giải pháp như sau:

- Kết hợp với các Proxy Server, cung cấp Proxy Service.

- Cấp các tài khoản người dùng trên máy Dual-homed Host và khi người sử dụng muốn sử dụng dịch vụ từ Internet, hay dịch vụ từ External Network thì họ phải logging in vào máy này.

Phương pháp cấp tài khoản người dùng trên máy Dual-homed Host khá phức tạp, vì mỗi lần người dùng muốn sử dụng dịch vụ thì phải logging in vào máy khác (Dual-homed Host) khác với máy của họ, đây là vấn đề không thuận tiện với người sử dụng.

Nếu dùng Proxy Server, khó có thể cung cấp được nhiều dịch vụ cho người sử dụng vì phần mềm Proxy Server và Proxy Client khơng phải loại dịch vụ nào cũng có sẵn. Hoặc khi số dịch vụ cung cấp nhiều thì khả năng đáp ứng của hệ thống có thể giảm xuống vì tất cả các Proxy Server đều đặt trên cùng một máy.

b. Đánh giá về kiến trúc Screend Subnet Host :

Kiến trúc cơ bản này phù hợp đối với những hệ thống yêu cầu cung cấp dịch vụ nhanh, an toàn cho nhiều người sử dụng, đồng thời cũng như khả năng theo dõi lưu thông của mỗi người sử dụng và dữ liệu trao đổi giữa các người dùng trong hệ thống cần được bảo vệ.

</div><span class="text_page_counter">Trang 36</span><div class="page_container" data-page="36">

Để tăng độ an toàn trong mạng nội bộ, kiến trúc Screened Subnet Host sử dụng thêm một mạng DMZ (DMZ hay Perimeter network) để che phần nào lưu thông bên trong mạng nội bộ. Tách biệt mạng nội bộ với Internet.

Kiến trúc trên sử dụng 2 Screening Router (bộ định tuyến lọc): Router ngoài và Router trong. Đồng thời, áp dụng qui tắc dư thừa có thể bổ sung thêm nhiều mạng trung gian (DMZ và perimeter network) càng tăng, khả năng bảo vệ càng cao.

Ngồi ra, cịn có những kiến trúc biến thể khác như: sử dụng nhiều Bastion Host (máy chủ) (Máy chủ), ghép chung Router trong và Router ngoài, ghép chung Bastion Host (máy chủ) (Máy chủ) và Router ngoài.

<b>2.2. Mạng riêng ảo </b>

<i>2.2.1. Định nghĩa VPN </i>

VPN được hiểu như một giải pháp mở rộng một mạng riêng, thông qua một mạng chung (thường là Internet). Mỗi VPN sẽ kết nối với một VPN khác, các site khác hay nhiều người dùng từ xa. Thay thế cho kết nối thực như leased– line, VPN sử dụng các kết nối ảo được dẫn từ các mạng nội bộ tới các site của người dùng từ xa.

Các giải pháp VPN được thiết kế cho những tổ chức có xu hướng tăng cường thơng tin từ xa, vì phạm vi hoạt động rộng (tồn quốc hay toàn cầu). Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn giúp tiết kiệm chi phí và thời gian.

VPN được gọi là mạng ảo bởi chúng chỉ sử dụng các kết nối tạm thời. Những kết nối bảo mật được thiết lập giữa các host, giữa host với mạng hay giữa hai mạng với nhau.

</div><span class="text_page_counter">Trang 37</span><div class="page_container" data-page="37">

Hình 2. 5. Mơ hình mạng VPN

<i>2.2.2. Các thành phần cấu tạo VPN </i>

<b>2.2.2.1. VPN Client </b>

VPN client có thể là một máy tính hoặc một bộ định tuyến. Loại VPN khách hàng sử dụng cho mạng của công ty phụ thuộc vào nhu cầu cá nhân của công ty đó. Mặt khác, nếu cơng ty có một vài nhân viên thường xuyên đi công tác xa và cần phải truy cập vào mạng của công ty trên đường đi, máy tính xách tay của nhân viên có thể thiết lập như VPN client.

Về mặt kỹ thuật, bất kỳ hệ điều hành nào đều có thể hoạt động như một VPN Client, miễn là nó có hỗ trợ các giao thức như: giao thức đường hầm điểm-điểm PPTP (Point to Point Tunneling Protocol), giao thức đường hầm lớp 2 L2TP (Layer 2 Tunneling Protocol) và giao thức bảo mật Internet IPSec (Internet Protocol Security). Ngày nay, với các phiên bản Windows mới thì khả năng truy cập mạng VPN càng được phát triển tối ưu hơn, do đó khơng tồn tại vấn đề khơng tương thích với các phiên bản hệ điều hành hiện nay.

<b>2.2.2.2. VPN Server </b>

VPN server hoạt động như một điểm kết nối cho các VPN client. Về mặt kỹ thuật, một máy chủ VPN có thể được cài đặt trên một số hệ điều hành như Window Server, Linux …

VPN Server khá đơn giản. Nó là một máy chủ được cài đặt dịch vụ máy chủ định tuyến và truy cập từ xa RRAS (Routing and Remote Access Server). Khi một

</div><span class="text_page_counter">Trang 38</span><div class="page_container" data-page="38">

một bộ định tuyến cung cấp cho khách hàng VPN có thể truy cập đến một mạng riêng.

<b>2.2.2.3. VPN Firewall </b>

Các thành phần khác, theo yêu cầu của mạng riêng ảo VPN (Virtual Private Network), là một tường lửa tốt. Máy chủ VPN chấp nhận kết nối từ mạng ngồi, nhưng điều đó khơng có nghĩa mạng ngồi cần phải có quyền truy cập đầy đủ đến máy chủ VPN. Do đó, cần phải sử dụng một tường lửa để chặn bất kỳ cổng nào không sử dụng.

Yêu cầu cơ bản cho việc thiết lập kết nối VPN là địa chỉ IP của máy chủ VPN có thơng qua tường lửa, để tiếp cận với máy chủ VPN.

Có thể đặt một máy chủ ISA giữa tường lửa và máy chủ VPN. Ý tưởng là có thể cấu hình tường lửa để điều chỉnh tất cả lưu lượng truy cập VPN có liên quan đến ISA Server, chứ khơng phải là máy chủ VPN. ISA Server sau đó hoạt động như một proxy VPN. Cả hai VPN Client và VPN Server chỉ giao tiếp với máy chủ ISA mà không bao giờ giao tiếp trực tiếp với nhau. Điều này có nghĩa là ISA Server che chắn các VPN Server từ các VPN Client truy cập đến, vì thế cho VPN Server sẽ có thêm một lớp bảo vệ.

<b>2.2.2.4. Giao thức đường hầm (Tunneling Protocol) </b>

VPN client truy cập vào một máy chủ VPN qua một đường hầm ảo. Đường hầm ảo này là một lối đi an tồn qua mơi trường cơng cộng (như Internet). Để có được đường hầm, cần phải sử dụng một trong các giao thức đường hầm. Một số giao thức để lựa chọn để tạo đường hầm như: IPSec, L2TP, PPTP và GRE. Nhưng để lựa chọn một giao thức đường hầm phù hợp cho một mô hình mạng ở một cơng ty hay một doanh nghiệp bất kỳ, là một quyết định quan trọng khi lập kế hoạch để triển khai hệ thống VPN cho doanh nghiệp, cơng ty đó.

Lợi thế lớn nhất mà L2TP hơn PPTP là nó dựa trên IPSec. IPSec mã hóa dữ liệu, cung cấp xác thực dữ liệu, dữ liệu của người gửi sẽ được mã hóa và đảm bảo không bị thay đổi nội dung trong khi truyền.

Mặc dù L2TP có vẻ là có lợi thế hơn so với PPTP, nhưng PPTP cũng có lợi thế riêng, đó là khả năng tương thích. PPTP hoạt động tốt với các hệ điều hành Windows hơn L2TP.

</div><span class="text_page_counter">Trang 39</span><div class="page_container" data-page="39">

<i>2.2.3. Đánh giá VPN </i>

<b>2.2.3.1. Ưu điểm của VPN </b>

VPN mang lại lợi ích thực sự và tức thời cho các công ty. Có thể dùng VPN để đơn giản hố việc thông tin giữa các nhân viên làm việc ở xa, người dùng từ xa, mở rộng Intranet đến từng văn phòng, chi nhánh. Khơng chỉ có thể triển khai Extranet đến tận khách hàng và các đối tác chủ chốt mà còn làm giảm chi phí cho các cơng việc trên thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng. Những lợi ích này dù trực tiếp hay gián tiếp đều bao gồm: tiết kiệm chi phí, tính mềm dẻo, khả năng mở rộng và một số ưu điểm khác.

<b>2.2.3.2. Nhược điểm của VPN </b>

Mặc dù phổ biến nhưng mạng riêng ảo VPN (Virtual Private Network) khi triển khai hệ thống cần lưu ý một số hạn chế.

VPN đòi hỏi sự hiểu biết chi tiết về vấn đề an ninh mạng, việc cấu hình và cài đặt phải cẩn thận, chính xác, đảm bảo tính an tồn trên hệ thống mạng Internet công cộng.

Độ tin cậy và hiệu suất của một VPN dựa trên Internet, khơng phải là dưới sự kiểm sốt trực tiếp của cơng ty, vì vậy giải pháp thay thế là sử dụng một nhà cung cấp dịch vụ Internet tốt và chất lượng.

Việc sử dụng các sản phầm VPN và các giải pháp của các nhà cung cấp khác nhau, không phải lúc nào cũng tương thích, do các vấn đề về tiêu chuẩn công nghệ VPN. Khi sử dụng pha trộn và kết hợp các thiết bị, sẽ có thể gây ra những vấn đề kỹ thuật hoặc nếu sử dụng khơng đúng cách sẽ lãng phí rất nhiều chi phí triển khai hệ thống.

Một hạn chế hay nhược điểm rất khó tránh khỏi của VPN đó là vấn đề bảo mật cá nhân, bởi vì việc truy cập từ xa hay việc nhân viên kết nối với hệ thống văn phịng bằng máy tính xách tay, máy tính riêng, khi đó nếu các máy tính của họ thực hiện hàng loạt các ứng dụng khác, ngoài việc kết nối tới văn phòng làm việc thì những tin tặc có thể lợi dụng yếu điểm từ máy tính cá nhân của họ tấn công vào hệ thống của công ty. Vì vậy, việc bảo mật cá nhân ln được các chuyên gia khuyến cáo phải đảm bảo an toàn.

</div><span class="text_page_counter">Trang 40</span><div class="page_container" data-page="40">

<i>2.2.4. Mạng Site-to-Site VPNs </i>

Bên cạnh Remote-access VPN là Site-to-Site VPN, đây là cách kết nối nhiều văn phịng trụ sở xa nhau, thơng qua các thiết bị chuyên dụng và một đường truyền được mã hố ở qui mơ lớn, hoạt động trên nền Internet. Site-to-Site VPN gồm 2 loại:

- Intranet-based: nếu cơng ty có các trụ sở xa nhau và muốn kết nối lại thành một mạng riêng duy nhất thì có thể tạo Intranet VPN và nối kết Lan-to-Lan.

- Extranet-based: khi cơng ty có quan hệ mật thiết với cơng ty khác (ví dụ như một đối tác, nhà cung cấp hay khách hàng), họ có thể xây dựng một Extranet VPN nhằm kết nối Lan-to-Lan và cho phép các công ty này cùng làm việc, trao đổi trong một môi trường chia sẻ riêng biệt (Trên nền Internet).

VPN có thể được phát triển trên nhiều mơi trường khác nhau: X.25, Frame Relay, ATM, Internet. Tuy nhiên, trên các mơi trường khác nhau thì sự phát triển của VPN có các đặc điểm khác nhau, về mặt kỹ thuật cũng như về mặt đáp ứng yêu cầu của khách hàng.

<i>2.2.5. Mạng VPN cục bộ (Intranet-based VPN) </i>

Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh, trên một cơ sở hạ tầng chung, sử dụng các kết nối ln được mã hố bảo mật. Điều này cho phép tất cả các địa điểm có thể truy nhập an tồn các nguồn dữ liệu được phép, trong toàn bộ mạng của công ty.

Những VPN này vẫn cung cấp những đặc tính của mạng WAN, như khả năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình như là một VPN Site- to-Site.

</div>