Đồ án môn học: Sercurity+
ĐỀ TÀI: SECURITY FOR VPN
Chuyên ngành: Quản trị mạng
Hà Nội - 2011
BỘ GIÁO DỤC VÀ ĐÀO TẠO
Đồ án môn học: Sercurity+
ĐỀ TÀI: SECURITY FOR VPN
Chuyên ngành: Quản trị mạng
Hà Nội - 2011
MỤC LỤC
LỜI MỞ ĐẦU..................................................................................................................1
CHƯƠNG I: BẢO MẬT TRONG VPN
1.1-TỔNG QUAN VỀ VPN............................................................................................2
1.1.1.Định nghĩa..........................................................................................................2
1.1.2.Phân loại VPN...................................................................................................2
1.1.2.1.Mạng VPN truy nhập từ xa.........................................................................2
1.1.2.2.Mạng VPN điểm nối điểm...........................................................................3
1.1.3.Các giao thức VPN............................................................................................4
1.2-BẢO MẬT VPN........................................................................................................5
1.2.1.Các mối đe dọa đối với quá trình bảo mật............................................................5
1.2.1.1.Mối đe dọa từ bên ngoài.................................................................................5
1.2.1.2.Mối đe dọa từ bên trong.................................................................................6
1.2.1.3.Mối đe dọa từ hai phía....................................................................................7
1.2.2.Các kiểu tấn công VPN.........................................................................................8
1.2.2.1.Tấn công vào các thành phần VPN................................................................8
1.2.2.2.Tấn công giao thức VPN..............................................................................10
1.2.2.3.Tấn công bằng kỹ thuật giải mã...................................................................11
1.2.2.4.Tấn công từ chối dịch vụ..............................................................................13
1.2.3.Các công nghệ bảo mật VPN..............................................................................14
1.2.3.1.Kỹ thuật xác thực từ xa.................................................................................14
1.2.3.1.1.Authenticate Authorize Auditting(AAA)..............................................14
1.2.3.1.2.(RADIUS)..............................................................................................16
1.2.3.1.3.(TACACS).............................................................................................17
1.2.3.2.Các giải pháp bảo mật khác cho VPN..........................................................18
1.2.3.2.1.Tường lửa...............................................................................................18
1.2.3.2.2.Network Access Translation(NAT)......................................................20
1.2.3.2.3.Socket Server(SOCKS).........................................................................23
1.2.3.2.3.Sercure Socket Layer(SSL) và Transport Layer Sercurity(TLS).........24
CHƯƠNG II :MÔ HÌNH THỬ NGHIỆM
2.1. Mô hình thử nghiệm.................................................................................................26
2.2. Các bước cài đặt mô hình........................................................................................26
2.3. Kết quả thử nghiệm..................................................................................................32
KẾT LUẬN.....................................................................................................................33
Sercurity for VPN
LỜI MỞ ĐẦU
Ngày nay với sự phát triển cao của công nghệ thông tin, các hacker có thể dễ dàng
xâm nhập vào mạng hơn bằng nhiều con đường khác nhau. Vì vậy có thể nói điểm yếu
cơ bản nhất của mạng máy tính đó là khả năng bảo mật, an toàn thông tin. Thông tin là
một tài sản quý giá, đảm bảo được an toàn dữ liệu cho người sử dụng là một trong
những yêu cầu được đặt ra hàng đầu. Chính vì vậy em đã quyết định chọn đề tài
“Sercurity for VPN” với mong muốn có thể tìm hiểu, nghiên cứu, hiểu biết thêm đề
tài này.
Chúng em xin chân thành cảm ơn thầy giáo đã giúp đỡ em nhiệt tình trong suốt quá
trình làm đồ án cũng như xin được cảm ơn bạn bè đã góp ý giúp đỡ em hoàn thành đồ
án này. Vì đây là đề tài khá mới, nguồn tài liệu chủ yếu là Tiếng Anh nên đồ án này
chắc chắn sẽ không tránh được những sai sót, chúng em rất mong nhận được những ý
kiến đóng góp của thầy cô và các bạn.
3
Sercurity for VPN
CHƯƠNG 1:
BẢO MẬT VPN
1.1.TỔNG QUAN VỀ VPN
1.1.1.Định nghĩa VPN
Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ sở hạ
tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và bảo mật
giống như mạng cục bộ.
Hình 1.1: Mô hình VPN
Các thuật ngữ dùng trong VPN như sau:
-Virtual: nghĩa là kết nối là động, không được gắn cứng và tồn tại như một kết nối
khi lưu lượng mạng chuyển qua.
- Private- nghĩa là dữ liệu truyền luôn luôn được giữ bí mật và chỉ có thể bị truy cập
bởi những người sử dụng được trao quyền.
- Network- là thực thể hạ tầng mạng giữa những người sử dụng đầu cuối, những trạm
hay những node để mang dữ liệu.
1.1.2.Phân loại mạng VPN
1.1.2.1.Mạng VPN truy nhập từ xa
Hay cũng được gọi là Mạng quay số riêng ảo (Virtual Private Dial-up Network), đây
là dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhân viên có nhu cầu kết
nối tới mạng riêng (private network) từ các địa điểm từ xa.
4
Sercurity for VPN
Hình 1.2 : Mô hình mạng VPN truy nhập từ xa
1.1.2.2.Mạng VPN điểm nối điểm ( site - to - site)
VPN điểm-nối-điểm dành cho nhiều người để kết nối nhiều điểm cố định với nhau
thông qua một mạng công cộng như Internet. Loại này có thể dựa trên Intranet hoặc
Extranet
-VPN intranet (VPN nội bộ)
Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng
chung.
Hình 1.3: Mô hình mạng VPN cục bộ
-VPN extranet (VPN mở rộng)
Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những
nguồn tài nguyên mạng cần thiết để mở rộng những đối tượng kinh doanh như là các
đối tác, khách hàng, và các nhà cung cấp.
5
Sercurity for VPN
Hình 1.4: Mô hình mạng VPN mở rộng
1.1.3.Các giao thức VPN:
Application Layer
Presentation Layer
Session Layer
Transport Layer
Network Layer
Data Link Layer
L2F, PPTP, L2TP
Physical Layer
Bảng 1: Vị trí các giao thức trong mô hình OSI
Các giao thức được trình bày trong bảng sau:
6
Sercurity for VPN
7
Sercurity for VPN
Bảng 2: Các giao thức sử dụng trong VPN
1.2.BẢO MẬT TRONG VPN
1.2.1.Các mối đe dọa đối với quá trình bảo mật
VPN cũng bị đe dọa về việc bảo mật giống như các mạng khác.
1.2.1.1. Mối đe dọa từ bên ngoài
Thủ phạm thực hiện các vụ tấn công là các tin tặc, những kẻ nằm ngoài công ty. Các
tin tặc này có thể là chuyên gia nhưng cũng có thể chỉ là những kẻ nghiệp dư. Bọn
chúng có chung mục đích là xâm nhập bất hợp pháp vào hệ thống của công ty. Nguy
hiểm nhất là bọn chúng có thể gây ra những thiệt hại nặng nề cho công ty.
Hình 1.5: Một cuộc tấn công từ bên ngoài
Khó khăn lớn nhất khi đối đầu với những mối đe dọa từ bên ngoài là việc xác định
danh tính các tin tặc. Việc này thường rất khó làm. Động cơ của việc xâm nhập này
thường là: tò mò, vui thích, triệt hạ đối thủ, báo thù. Hai động cơ cuối cùng cực kỳ
nguy hiểm đối với công ty – báo thù và triệt hạ đối thủ cạnh tranh . Nếu chỉ đơn
thuần mua vui hoặc tò mò, các tin tặc thường không gây hại cho hệ thống. Các tin tặc
thường không muốn tấn công khi hệ thống đã bị phá vỡ. Ngược lại nếu động cơ của
các tin tặc là báo thù, bọn chúng thường gây thiệt hại nặng cho hệ thống. Dữ liệu sẽ
bị cướp và gây ra những thiệt hại rất lớn cho công ty.
1.2.1.2. Mối đe dọa từ bên trong
Thông thường người ta chỉ lo bảo vệ hệ thống và dữ liệu của họ khỏi các mối đe dọa
từ bên ngoài mà quên mất những kẻ thù từ bên trong. Theo thống kê những mối đe
dọa thường bắt đầu từ bên trong. Theo nghiên cứu của FBI's Computer Security
Institute and Ernst and Young thì 60% các vụ tấn công xuất phát từ bên trong.
8
Sercurity for VPN
Hình 1.6 : Một cuộc tấn công từ bên trong.
Động cơ của các vụ tấn công từ bên trong thường là: báo thù, hám lợi hoặc để đỡ
buồn. Có hai lọai đối tượng chính thực hiện các vụ tấn công này, một là những
chuyên gia trong lĩnh vực mạng, họ nắm những bí quyết công nghệ kỹ thuật cao, nắm
những vị trí trọng trách trong công tác quản trị mạng của công ty (như quản trị
mạng). Hai là những người không có trách nhiệm trong việc bảo mật mạng nhưng có
những hiểu biết nhất định về mạng. Cuối cùng mối đe dọa đến từ những kẻ không có
chút kỹ thuật nào về mạng .
Các nhân viên chịu trách nhiệm trong việc triển khai, bảo trì, và quản lý hệ thống
mạng của công ty thuộc về nhóm thứ nhất của các đối tượng có thể tấn công . Đối
tượng này có những hiểu biết sâu sắc về hệ thống mạng của công ty và cách tấn công
vào những vị trí nhạy cảm nhất. Nếu muốn, những đối tượng này có thể tấn công hệ
thống một cách dễ dàng. Hậu quả của những cuộc tấn công này vô cùng nặng nề,
phải mất hằng ngày hoặc không bao giờ để khôi phục lại hệ thống như cũ.
Các đối tượng thuộc nhóm thứ hai có kỹ thuật cao, họ sử dụng kiến thức mạng hoặc
các mối quan hệ xã hội để tìm kiếm các lỗ hổng bảo mật có giá trị lớn để xâm nhập
vào cơ sở dữ liệu. Thiêt hại có thể khắc phục được nhưng cũng có thể mất hết .
Đối tượng thứ ba họ thường sử dụng virus, trojan và worm.
1.2.1.3. Mối đe dọa từ hai phía (Collaborative Security Threats)
Những vụ tấn công nặng nề nhất cần có sự phối hợp từ bên ngoài và bên trong.
Thông thường những nhân viên bên trong sẽ cung cấp ID và mật khẩu, các tin tặc
bên ngoài có thể sử dụng những thông tin đó để tấn công hệ thống . Hệ thống bị đe
dọa từ bên ngoài và bên trong. Đối tượng trực tiếp tấn công là các tin tặc bên ngoài
nên rất khó để lần ra dấu vết .
9
Sercurity for VPN
Hình 1.7: Một cuộc tấn công phối hợp bên trong và bên ngoài.
1.2.2.Các kiểu tấn công VPN
Một hệ thống VPN có thể bị tấn công từ rất nhiều đường, ví dụ như :
-Security threats to VPN elements - Tấn công vào các thành phần của VPN
-Attacks against VPN protocols - Tấn công vào các giao thức của VPN
-Cryptanalysis attacks - Tấn công bằng cách giải mã
-DoS - Từ chối dịch vụ
1.2.2.1.Tấn công vào các thành phần của VPN
Các thành phần quan trọng của VPN (hình 1.8) gồm có :
-The dial-in remote user - Quay số vào của người dùng từ xa.
-The dial-in ISP segments - Quay số vào của phân đọan ISP
-The Internet
-The host network gateway - Cổng mạng máy chủ
Hình 1.8: Thành phần của VPN
Quay số vào là động tác đầu tiên để thực hiện kết nối VPN. Mối đe dọa lớn nhất là
người dùng có thể lộ mật khẩu và tên truy cập . Do đó người dùng cần chú ý bảo vệ
cẩn thận tên truy cập và mật khẩu khi thực hiện kết nối VPN . Thay đổi mật khẩu là
10
Sercurity for VPN
một cách để ngăn các tin tặc đóan mật khẩu. Bên cạnh đó người dùng cần cẩn thận để
không bị nhìn lén khi đang làm việc. Sử dụng chương trình bảo vệ mật khẩu của
window và khóa trạm làm việc của mình lại khi không làm việc nữa . Cẩn thận hơn
bạn cần khóa cửa phòng cũng như khóa máy lại cẩn thận.
Quay số vào của phân đọan ISP là một điểm yếu thứ hai của VPN. Phân đọan này sẽ
đưa thông tin của người dùng đến ISP's Network Access Server (NAS). Nếu dữ liệu
không được mã hóa cẩn thận, nó có thể bị đọc tại đầu cuối ISP. Dữ liệu cũng có thể
bị đọc trộm trên đọan đường từ đầu cuối người dùng và mạng nội bộ của ISP. Có thể
khắc phục việc này bằng cách mã hóa dữ liệu tại đầu cuối của người dùng trước khi
truyền đi đến đầu cuối ISP. Tuy nhiên nếu cơ chế mã hóa không tốt , nó có thể bị giải
mã ngược lại và lấy cắp thông tin cho các mục đích khác.
Chúng ta đã biết, kết nối internet và các đường hầm theo sau hoàn toàn độc lập theo
một ISP. Tuy nhiên nếu ý định của ISP là bất hảo, nó sẽ thiết lập một đường hầm giả,
cổng nối giả (Xem minh họa hình 1.9). Trong trường hợp này, những dữ liệu nhạy
cảm của người dùng sẽ được chuyển đến cổng nối giả, thông tin này sẽ bị cướp và sử
dụng cho mục đích riêng. Cổng giả cũng có thể thay đổi dữ liệu và chuyển nó đến
đầu cuối. Đầu cuối không hề nhận ra dữ liệu đã bị thay đổi và nghĩ đó là dữ liệu gốc
ban đầu. Do đó những dữ liệu nguy hiểm có thể xâm nhập vào hệ thống.
Hình 1.9: ISP giả tạo tải các tập tin dữ liệu nguy hiểm vào mạng nột bộ
Một điều cần nhấn mạnh là dữ liệu sẽ di chuyển qua đường hầm băng qua internet.
Các datagram sẽ được đi qua các router trung gian trước khi đến đích. Nếu chủ nhân
của router trung gian có ý đồ xấu. Họ có thể chỉnh sửa dữ liệu thực thành các dữ liệu
nguy hiểm.
11
Sercurity for VPN
Hình 1.10: Một router đang tải các dữ liệu nguy hiểm vào một mạng nội bộ.
1.2.2.2. Tấn công giao thức VPN
Các giao thức chính của VPN như : PPTP, L2TP, và IPSec đều có những lỗ hổng bảo
mật cực kỳ nguy hiểm.
- Tấn công PPTP
PPTP có hai điểm yếu :
- Generic Routing Encapsulation (GRE) – Quá trình đóng gói.
- Trao đổi mật khẩu trong quá trình xác thực.
Để bảo mật dữ liệu, người ta cần đóng gói dữ liệu. GRE là một giao thức đường hầm
để đóng gói các dữ liệu dạng văn bản. Nó không cung cấp cơ chế bảo mật cho dữ
liệu. Do đó các hacker dễ dàng bắt được các gói tin được đóng gói bằng GRE. Do đó
dữ liệu sau khi đóng gói cần được mã hóa trước khi truyền đi.
Đường hầm GRE sử dụng cơ chế định tuyến một cách tự động, điều này ảnh hưởng
nghiêm trọng đến VPN. Để ngăn các gói tin định tuyến một cách tự động, VPN yêu
cầu bạn phải sử dụng cơ chế định tuyến tĩnh. Một giải pháp khác là cho dữ liệu qua
tường lửa sau khi GRE header được gỡ bỏ. Một điểm yếu của GRE là gói tin GRE sử
dụng một chuỗi để đồng bộ đường hầm. Tuy nhiên GRE không đưa ra cơ chế để
GRE chống lại các chuỗi bất hợp lệ. Lợi dụng điểm này, các tin tặc sẽ chèn các dữ
liêu nguy hiểm vào, các dữ liệu được biến đổi để đánh lừa điểm đích, điểm đích
tưởng đó là các chuỗi đồng bộ và không xử lý. Nhờ chiến thuật này, các dữ liệu nguy
hiểm sẽ lọt vào mạng nội bộ của công ty.
12
Sercurity for VPN
PPTP cũng có thể bị tấn công bằng “kỹ thuật tấn công từ điển”. PPTP dùng
Microsoft Point-to-Point Encryption (MPPE) để gửi mật khẩu đi mà không hề mã
hóa . Nếu kẻ xâm nhập có thể lấy được một phần của mật khẩu như : giải thuật mã
băm, mật khẩu được băm, chúng sẽ sử dụng các thông tin có được để khôi phục được
mật khẩu chính xác ban đầu.
Bây giờ, password có kích thước nhỏ do chuẩn mã hóa. Do đó nó có thể được xác
định bằng brute-force. Phụ thuộc vào hệ thống, password, và trình độ người tấn công
thì sự tấn công có thể thành công trong 1 ngày, 1 giờ hay chỉ vài giây.
- Tấn công trên IPSec
IPSec không phải là một giải thuật mã hóa cũng như một cơ chế xác thực. IPSec sẽ
kết hợp với các giải thuật khác để bảo vệ dữ liệu.Tuy nhiên IPSec vẫn có nhiều điểm
yếu :
Các tin tặc khai thác hai điểm yếu của việc triển khai IPSec để tấn công : sử dụng
giải thuật NULL, hai máy kết nối sẽ thống nhất một khóa yếu hơn nếu một trong hai
máy không có hỗ trợ khóa mạnh.
IPSec sử dụng DES-CBC để mã hóa và HMAC-MD5 và HMAC-SHA-1 để xác thực.
Bên cạnh đó giao thức IPSec cũng có thể sử dụng ESP và AH. Do IPSec cho sử dụng
giải thuật NULL nên một máy có thể không sử dụng DES-CBC trong quá trình
truyền thông trong khi máy còn lại có sử dụng. Máy không có sử dụng DES-CBC để
mã hóa chính là điểm yếu để các tin tặc khai thác. Điều này thường xảy ra khi các
nhà cung cấp dịch vụ mạng của bạn sử dụng các tiêu chuẩn khác nhau.
IPSec cho phép hai máy truyền thông tự thống nhất khóa mã hóa. Nếu một bên sử
dụng khóa yếu (40 bít) máy còn lại cũng phải sử dụng khóa yếu (40 bít) để thông tin
mặc dù khả năng hỗ trợ của nó có thể cao hơn (56 -128 bít). Muốn phá một khóa 56
bít phải mất hằng ngày hoặc hàng tháng , nhưng có thể dễ dàng phá một khóa 40 bít.
IPSec sử dụng IKE để quản lý khóa. Các tin tặc có thể khai thác điểm yếu của quá
trình trao đổi khóa : Nếu một máy kết thúc phiên làm việc, máy còn lại không thể
biết rằng phiên làm việc đã kết thúc. Như vậy máy đó vẫn mở port để trao đổi thông
tin với bên ngoài. Ngay lúc này, các tin tặc có thể giả dạng , trao đổi thông tin với
máy đó.
13
Sercurity for VPN
- Tấn công L2TP
Dễ bị tấn công bằng các kiểu tấn công như : Dictionary attacks, Brute Force attacks,
và Spoofing attacks. Tuy nhiên, L2TP hiếm khi được thực thi độc lập, nó thường
được thực thi trên IPSec
1.2.2.3. Tấn công bằng kỹ thuật giải mã
- Tấn công vào các văn bản viết bằng mật mã:
Trong kỹ thuật tấn công này, tin tặc không cần quan tâm đến nội dung dữ liệu gốc mà
chỉ cần các văn bản đã được mã hóa. Các tin tặc sẽ sử dụng các công cụ sẵn có để
khôi phục lại dữ liệu ban đầu từ dữ liệu mã hóa. Kỹ thuật này không hiệu quả lắm và
thường vô dụng đối với các kỹ thuật mật mã hiện đại.
- Tấn công vào plaintext đã biết (hình thức có thể hiểu được của một văn bản
được mã hóa)
Trong kỹ thuật này, các tin tặc đã giải mã một phần thông điệp mã hóa và sử dụng
những thông tin kinh nghiệm giải mã có được để giải mã phần còn lại. Ví dụ : các tin
tặc có thể giải mã một phần khóa, dựa vào đó để dự đóan phần còn lại của khóa , sau
đó dùng khóa đó để giải mã toàn bộ thông điệp.
Kỹ thuật tấn công plaintext tuyến tính là kỹ thuật thông dụng nhất. Các bít của
plaintext đã biết sẽ được XORed với nhau, các bít của văn bản mã hóa cũng được
XORed với nhau. Sau đó sẽ lấy kết quả XORed với nhau. Nhiệm vụ của bạn là tìm ra
các bít là XOR của các bít khóa. Nếu chúng ta XORed một số lượng lớn các văn bản
mã hóa và các plaintext với nhau, chúng ta có thể xác định các khóa mã hóa và giải
mã toàn bộ phần còn lại. Để làm được điều này chúng ta cần có một cơ sở dữ liệu lớn
để giải mã.
- Tấn công vào các plaintext được chọn
Trong kỹ thuật này các tin tặc sẽ chọn ngẫu nhiên một đọan văn bản đã được mã hóa.
Các tin tặc sẽ xác định khóa để mã hóa văn bản, sau đó các khóa này sẽ tiếp tục được
sử dụng để giải mã. Kỹ thuật giải mã vi sai. Trước hết tin tăc cần biết hai đọan
plaintext của văn bản mã hóa. Sau đó căn cứ vào sai lệch của văn bản được mã hóa,
tin tặc có thể xác định khóa. Cần phải phân tích nhiều cặp văn bản mã hóa để xác
14
Sercurity for VPN
định khóa mật mã. Giải thuật giải mã, ví dụ RSA, không bị ảnh hưởng bởi kỹ thuật
này. Có quá nhiều trường hợp cần được phân tích.
- Man-in-the-Middle Attacks
Kỹ thuật này thường được dùng tấn công trong quá trình trao đổi khóa hoặc truyền
thông mã hóa, ví dụ như : Diffie-Hellman. Trước khi hai máy trao đổi dữ liệu, tin tặc
sẽ chặn khóa mà hai máy trao đổi với nhau lại, sau đó thay bằng khóa của chính
mình. Do đó hai máy đầu cuối không hề nhận được khóa hợp lệ từ máy bên kia mà
nhận được khóa giả từ tin tặc. Máy đầu cuối nghĩ rằng đó là một khóa hợp lệ nên sử
dụng nó để mã hóa và giải mã cho phiên truyền thông này. Như vậy tin tặc hoàn toàn
có thể xác định nội dung của quá trình truyền thông.
- Timing Attacks
Đây là một kỹ thuật tấn công bằng phương pháp giải mã tương đối mới. Trước hết
các tin tặc cần xác định khoảng thời gian để tạo khóa, thông tin này sẽ được phân tích
để xác định giải thuật và khóa dùng để mã hóa. Kỹ thuật tấn công này không chú
trọng vào phần mềm mà chú trọng vào phần cứng. Bất kể người truyền tin sử dụng
kỹ thuật mã hóa nào, các tin tặc đều sử dụng cùng một cách phá mã. Kỹ thuật phá mã
càng hoàn hảo nếu tốc độ xử lý của phần cứng các tin tặc dùng càng cao.
1.2.2.4. Tấn công từ chối dịch vụ :
Denial-of-Service (DoS) là kỹ thuật tấn công khá lạ. Tin tặc có thể sử dụng một
mạng khác để tấn công, ví dụ như: mạo nhận, malware, virus để xâm nhập cơ sở dữ
liệu hoặc gây thiệt hại. Kỹ thuật này có thể gây ra nghẽn mạng ở các trang web. Tấn
công DoS là kỹ thuật khá phổ biến vì nó không cần bất kỳ một phần mềm đặc biệt
nào để xâm nhập vào mạng đích. Tin tặc này có thể làm nghẽn mạng bằng cách gửi
và load dữ liệu từ trang web. Việc này làm trang web không thể truy cập được, tất cả
các router muốn kết nối với máy chủ đặt web đều bị chặn lại. Hậu quả của việc tấn
công này có thể làm hư hỏng hoàn toàn máy đích.
15
Sercurity for VPN
Hình 1.11: Các tin tặc làm nghẽn mạng
DoS có rất nhiều thuận lợi. Đầu tiên, DoS rất đa dạng và tấn công vào nhiều mang
đích. Các tin tặc có thể tấn công bằng rất nhiều cách : gửi nhiều email hoặc gửi nhiều
yêu cầu IP. Thứ ba tin tặc dễ dàng giấu tên và danh tính. Xui xẻo là việc xác định
danh tính các tin tặc thực hiện tấn công DoS cực kỳ khó khăn vì bọn chúng thường
sử dụng địa chỉ IP giả. Một vụ tấn công DoS thành công có thể được thực hiện bằng
cách gửi một gói IP có dung lượng lớn vào mạng. Một số công cụ thực hiện một vụ
tấn công DoS như: SYN Floods, Broadcast Storm (cơn bão quảng bá), Smurf DoS,
Ping of Death, Mail Bomb(Bom mail), Spam Mailing…
1.2.3. Công nghệ bảo mật VPN
1.2.3.1. Kỹ thuật xác thực từ xa
Kỹ thuật xác thực từ xa bảo đảm rằng chỉ có người dùng có thẩm quyền mới có khả
năng truy cập vào mạng nội bộ. Cơ chế xác thực càng mạnh càng ngăn được những
kẻ xâm nhập với ý đồ xấu , tấn công mạng nội bộ hay ăn cắp các dữ liệu quan trọng.
Các cơ chế xác thực được tích hợp vào trong VPN để nâng cao tính bảo mật của
VPN. Các cơ chế xác thực gồm có :
-Authentication Authorization Accounting (AAA)
-Remote Access Dial-In User Service (RADIUS)
-Terminal Access Controller Access Control System (TACACS)
1.2.3.1.1. Authentication Authorization Accounting (AAA)
16
Sercurity for VPN
Như tên của nó, AAA là một kiến trúc dùng để thực hiện ba chức năng chính: xác
thực, cấp phép và kiểm toán. Ngày nay AAA là một mô hình bảo mật thông dụng vì
nó cho phép người quản lý mạng nhận dạng và trả lời ba câu hỏi quan trọng sau:
+Ai là người truy cập vào mạng?
+Khi người dùng truy cập vào mạng , họ được phép làm gì, không được phép làm gì?
+Người dùng đang làm gì và khi nào ?
- Xác thực
Xác thực là bước đầu tiên để thực hiện bảo mật cho VPN. Quá trình xác thực sẽ nhận
dạng người dùng hợp pháp trước khi cho phép họ truy cập vào các tài nguyên của
mạng. Quá trình xác thực cung cấp nhiều cơ chế giúp nhận dạng đúng người dùng
đang truy cập vào tài nguyên trong mạng nội bộ. ID của người dùng và mật khẩu
tương ứng là cách truyền thống để làm việc này. Các cơ chế khác gồm có: thử thách,
trả lời đối thọai, hỗ trợ thông điệp, và thỉnh thoảng là mã hóa, dựa trên giao thức bảo
mật sử dụng. Các công cụ xác thực thông dụng hay dùng như : PAP, CHAP, EAP,
Shiva PAP (SPAP), and IPSec.
- Cấp phép
Cấp phép là cơ chế điều khiển các hành động cho phép người dùng hoạt động trong
mạng và sử dụng các tài nguyên. Cấp phép cung cấp một cơ chế điều khiển truy cập
từ xa, quá trình cấp phép xảy ra cho từng dịch vụ một , cho từng người dùng, hoặc
từng nhóm một. Tóm lại, một tập hợp các quyền truy cập, trao quyền, và thuộc tính
được kết hợp và chứa trong cơ sở dữ liệu để cấp phép. Thông thường, quá trình xác
thực xảy ra trước quá trình cấp phép. Tuy nhiên điều này không phải là bắt buộc. Một
ví dụ là máy chủ nhận một yêu cầu cấp phép mà không cần qua quá trình xác thực.
Quá trình xác thực sẽ xác định xem liệu người dùng có được quyền truy cập vào
mạng không và liệu có được thực hiện các dịch vụ mà người dùng yêu cầu không.
- Kiểm toán
Dịch vụ kiểm toán là một cơ chế để ghi lại các họat động của người dùng sau khi
đăng nhập thành công vào mạng. Dịch vụ kiểm toán bao gồm : tập hợp, kiểm định,
báo cáo về nhận dạng người dùng, các câu lệnh đã dùng trong suốt phiên làm việc, số
17
Sercurity for VPN
lượng các gói tin đã truyền. Khi các họat động của người dùng được ghi lại, một
đồng hồ tính thời gian cũng được khởi động, nó sẽ ghi lại chính xác người dùng đã
tiến hành họat động nào tương ứng thời gian nào. Các thông tin cụ thể về người dùng
giúp cho người quản trị mạng theo dõi được những cá nhân đang có hành vi mờ ám
và kịp thời ngăn chặn.
Thông thường dịch vụ kiểm toán được kích hoạt sau quá trình xác thực và cấp phép,
tuy nhiên thứ tự này là không cố định. Dịch vụ có thể xảy ra cho dù chưa có quá trình
xác thực và quá trình cấp phép.
Khi mô hình AAA được triển khai tại máy chủ đăng nhập từ xa, bất kỳ người dùng
nào đăng nhập vào máy chủ đều phải qua các quá trình xác thực, cấp phép và chịu sự
kiểm tra của dịch vụ kiểm toán. Trong mô hình AAA, các thông tin về người dùng dễ
dàng lưu lại , cập nhật và quản lý trên hệ thống máy chủ.
Hình 1.12: Cấu hình một mạng dùng AAA
1.2.3.1.2. Remote Access Dial-In User Service (RADIUS)-Dịch vụ người dụng
truy cập quay số từ xa.
Chương trình được phát triển bởi công ty Livingston dưới sự hỗ trợ của IETF,
RADIUS sẽ trở thành một khối chuẩn trong quá trình xác thực từ xa. Nó sẽ được hỗ
trợ trong các máy chủ truy cập từ xa, sản phẩm VPN, tường lửa.
Trong hệ thống mạng có tích hợp RADIUS, thông tin về người dùng được lưu trong
cơ sở dữ liệu trung tâm. Tất cả các máy chủ truy cập từ xa đều chia sẻ cơ sở dữ liệu
này. Khi máy chủ truy cập từ xa nhập được yêu cầu từ người dùng, RADIUS cho
phép quá trình truyền thông giữa cơ sở dữ liệu và máy chủ truy cập từ xa. RADIUS
sẽ xác định định dạng và dòng có gói tin giữa cơ sở dữ liệu và máy chủ truy cập từ
xa. Cơ sở dữ liệu cung cấp thông tin được yêu cầu. Máy chủ truy cập từ xa sử dụng
18
Sercurity for VPN
thông tin này để xác thực yêu cầu từ người dùng và cấp phép cho người dùng sử
dụng các tài nguyên của mạng.
RADIUS gồm 2 thành phần: RADIUS máy khách và RADIUS máy chủ (hình 1.13).
RADIUS máy chủ nhận yêu cầu AAA từ RADIUS máy khách. RADIUS máy chủ
sau khi nhập yêu cầu sẽ xác nhận nó đúng nếu nó chứa các thông tin liên quan. Nếu
thông tin yêu cầu được chứa trong cơ sở dữ liệu trung tâm hoặc các máy chủ
RADIUS hoặc TACACS khác, yêu cầu sẽ được chuyển đến thiết bị chứa thông tin
đó.
Hình 1.13: Hai thành phần của RADIUS.
Hình 1.14: Thực thi RADIUS.
1.2.3.1.3. Terminal Access Controller Access Control System (TACACS)
Hệ thống được phát triển bởi Cisco, TACACS khá giống với RADIUS. TACACS
cũng là một giao thức chuẩn dùng cho công nghiệp sản xuất. Các chức năng của
TACACS cũng tương tự như RADIUS. Như ta thấy (hình 1.14), khi máy khách từ xa
gửi yêu cầu xác thực đến NAS gần nhất, yêu cầu được chuyển đến TACACS.
TACACS sẽ chuyển tên truy cập và mật khẩu người dùng đến cơ sở dữ liệu trung
tâm (hoặc cơ sở dữ liệu của TACACS hoặc cơ sở dữ liệu bên ngoài). Thông tin cần
19
Sercurity for VPN
thiết từ cơ sở dữ liệu được chuyển về TACACS, thông tin sẽ cho phép hoặc không
cho phép người dùng kết nối.
Hình 1.14: Xác thực từ xa TACACS.
Có hai phiên bản TACACS được cung cấp bởi Cisco.
-XTACACS (eXtended TACACS). Phiên bản mở rộng của TACACS. Nó cung cấp
nhiều tiện ích cho quá trình xác thực.
-TACACS+. Máy chủ này cung cấp dịch vụ xác thực , cấp phép, kế toán độc lập.
1.2.3.2. Các giải pháp bảo mật khác của VPN
Các giải pháp và công nghệ được triển khai thành công trong mạng LAN và WAN
cũng được tích hợp trong VPN để tăng tính bảo mật của dữ liệu trong quá trình giao
tác.
1.2.3.2.1. Tường lửa
Tường lửa là một công cụ cực kỳ hiệu quả để bảo mật dữ liệu trong mạng khỏi các
tác nhân bên ngoài. Tường lửa không chỉ ngăn ngừa người dùng bất hợp pháp truy
cập vào mạng mà còn ngăn không cho các tin tặc từ bên ngoài tấn công, phá họai
mạng.
Tường lửa là một thành phần trong mạng nên bất cứ yêu cầu nào dù hợp lệ hay
không đều phải đi qua nó. Tùy theo bộ lọc được thiết lập, tường lửa sẽ cho qua các
yêu cầu nó cho là hợp lệ và chặn các yêu cầu bị cấm. Như vậy mạng bên trong sẽ
được bảo vệ khỏi cuộc tấn công của các tin tặc. Tường lửa sử dụng danh sách điều
20
Sercurity for VPN
khiển truy cập (ALC) để lọc các gói tin đi vào mạng. ALC cho qua các gói tin “vô
hại” và chặn các gói tin từ các nguồn không rõ xuất xứ hoặc các nguồn bị cấm. Có ba
lọai tường lửa :
-Tường lửa lọc gói tin
-Tường lửa giám sát trạng thái gói tin
-Application proxy firewalls.
Có thể thực thi tường lửa trong VPN bằng hai cách :
-Tường lửa sau máy chủ VPN
-Máy chủ VPN sau tường lửa
Nếu thực thi tường lửa sau VPN, máy chủ VPN có thể kết nối trực tiếp với mạng
công cộng và tường lửa nằm giữa máy chủ VPN và mạng nội bộ riêng (Hình 11-6).
Trong trường hợp này cần cấu hình để cho phép duy nhất lưu lượng VPN đến máy
chủ VPN. Cần định cấu hình lên bộ lọc tường lửa để chỉ cho qua các gói tin VPN.
Hình 1.16: tường lửa nằm sau máy chủ VPN
Như mô tả ở hình 11-6, khi máy chủ VPN nhận gói tin , nó giải mã gói tin đường
hầm và chuyển đến tường lửa. Tường lửa sẽ kiểm tra gói tin dựa theo tiêu chuẩn lọc
đã được định cấu hình. Nếu gói tin là “vô hại” nó sẽ được chuyển đến nút đích ở bên
trong mạng. Nếu gói tin đến từ một máy khác máy của máy khách đã được xác thực,
gói tin sẽ bi hủy, tường lửa không cần mất công kiểm tra vì VPN đã được định cấu
hình chỉ nhận dữ liệu từ máy khách.
21
Sercurity for VPN
Phương pháp đặt VPN sau tường lửa thường được sử dụng nhiều hơn. Tường lửa sẽ
được kết nối trực tiếp với mạng công cộng, VPN nằm giữa tường lửa và mạng riêng
(hình 1.17 ).
Hình 1.17: VPN nằm sau tường lửa.
Hình trên cũng cho thấy máy chủ VPN là một phần của DeMilitarized Zone (DMZ).
DMZ là một phần hay một phân đọang của mạng được bảo vệ có thể được truy cập
bởi người dùng bên ngoài. Ví dụ như dịch vụ web hay FTP. Nó cho phép người dùng
truy cập vào một số tài nguyên nào đó trong mạng và ngăn không cho truy cập vào
các tài nguyên khác.
Trong “VNP sau tường lửa” , bộ lọc phải được cấu hình trên tường lửa. Không giống
trường hợp trên, tường lửa phải trực tiếp xử lý gói tin đường hầm. Chúng chỉ có thể
lọc dựa trên plaintext header của gói tin đường hầm. Máy chủ VPN sẽ được bảo vệ
an toàn thông qua cơ chế này.
Bất kỳ lọai tường lửa nào cũng đòi hỏi một chi phí đầu tư khá đắt. Tuy nhiên,
Network Address Translation (NAT) cung cấp một công cụ bảo mật giá rẻ hơn cho
bạn.
1.2.3.2.2. Network Address Translation (NAT)
NAT được phát triển bởi Cisco, ban đầu nó là một giải pháp cho vấn đề everdwindling IP addresses. Bên cạnh đó NAT cũng làm một công cụ hữu hiệu để ngăn
các tin tặc xâm nhập vào mạng máy tính. NAT cũng cho phép mạng nội bộ sử dụng
địa chỉ IP riêng để giao tiếp với bên ngoài mạng công cộng.
22
Sercurity for VPN
NAT là một cơ chế ngọai vi giống như tường lửa. NAT được thực thi tại điểm kết nối
giữa mạng nội bộ và mạng công cộng. Toàn bộ mạng cục bộ sẽ được đặc trưng bằng
một địa chỉ IP duy nhất. Khi một người dùng trong mạng muốn kết nối với bên
ngoài, nó sẽ chuyển yêu cầu đến thiết bị NAT (NAT thực chất là một router). Router
này sẽ che địa chỉ IP ban đầu của nút mạng trong mạng nội bộ và thay vào đó bằng
một địa chỉ IP đại diện cho toàn bộ mạng rồi gửi gói tin đó đến máy chủ bên ngoài.
Một cơ chế tương tự được áp dụng đối với các gói tin từ ngoài đi vào mạng nội bộ
(Thường sẽ có nhiều địa chỉ IP đại diện cho toàn mạng). Như vậy các tin tặc không
thể nào biết được địa chỉ IP của nút mạng mà bọn chúng nhắm tới trong mạng nội bộ
vì địa chỉ IP đã được che bởi NAT.
Hình 1.18: Thực thi NAT
Giải pháp NAT được thực thi theo hai cách.
-NATs tĩnh
-NATs động
Đối với NAT tĩnh , một địa chỉ IP chưa đăng kí luôn luôn được gán cho một địa chỉ
IP cố định. ( Minh họa hình 1.19 ). NATs tĩnh được dùng khi một thực thể bên ngoài
truy cập vào trong mạng riêng.
23
Sercurity for VPN
Hình 1.19: Công nghệ NAT tĩnh.
NATs động gán cho địa chỉ IP chưa đăng kí địa chỉ IP sẵn có trong số các địa chỉ IP
dùng làm địa chỉ toàn cục cho mạng riêng. (Minh họa ở hình 1.20). NATs động được
dùng khi một máy bên trong mạng riêng truy cấp một thực thể bên ngoài mạng.
Hình 1.20: Công nghệ NAT động.
Để thực thi thành công NATs với VPN, NAT phải gán thành công các dòng dữ liệu
vào một địa chỉ IP duy nhất. Bên cạnh đo người dùng cũng không quan tâm và không
nhìn thấy NAT. Tuy nhiên NAT làm việc khác với các giao thức chính của VPN như
PPTP, L2TP và IPSec. Lý do là vì NAT không những hoán đổi địa chỉ IP của nguồn
và đích mà còn hoán đổi port TCP của nguồn và đích, thay đổi header kiểm tra tổng
IP và TCP, thay đổi trật tự TCP, thay đổi địa chỉ IP chứa gói tin gốc. Đây là lý do
NAT có thể tương thích với VPN dựa trên giao thức này nhưng không thể tương
thích với VPN dựa trên giao thức khác.
Để thực thi thành công công nghệ VPN, lớp thứ 3 (IP) cần phải thay đồi. Khi VPN
được xây dựng dựa trên PPTP thì NAT sẽ được tích hợp vào để tăng tính bảo mật.
Tuy nhiên sẽ phải đối mặt với nhiều vấn đề nảy sinh nếu VPN sử dụng L2TP hoặc
L2TP over IPSec. Điều này làm cho L2TP hoặc L2TP over IPSec không tương thích
24