TỔNG QUAN VPN
Table of Contents
Table of Contents........................................................................................................................................1
2. Lợi ích của VPN...................................................................................................................................4
3. Chức năng của VPN.............................................................................................................................5
4. Các dạng kết nối VPN...........................................................................................................................5
4.1Các thành phần cần thiết để tạo kết nối VPN.................................................................................5
4.2 Các dạng kết nối VPN.....................................................................................................................6
5. VPN và các vấn đề an toàn bảo mật trên Internet...........................................................................13
5.1 An toàn và tin cậy........................................................................................................................14
5.2 Hình thức an toàn........................................................................................................................14
1. Mã hoá trong VPN.............................................................................................................................16
1.1 Thuật toán mã hoá DES................................................................................................................16
1.3 Giải thuật hàm băm (Secure Hash Algorithm)..............................................................................19
1.4 Giải thuật RSA..............................................................................................................................19
2.1 Password Authentication Protocol (PAP): Giao thức chứng thực bằng mật khẩu........................21
2.2 Challenge Handshare Authentication Protocol (CHAP)................................................................21
3 Firewall...............................................................................................................................................22
3.1 Khái niệm về Firewall...................................................................................................................22
3.2 Các thành phần của Firewall........................................................................................................23
3.3 Những hạn chế từ Firewall...........................................................................................................27
3.4 Thiết lập chính sách cho Firewall.................................................................................................27
3.5 Một số loại Firewall......................................................................................................................28
3.6 Mô hình kết hợp Firewall với VPN...............................................................................................30
1. Giao thức IPSec (IP Security Protocol):..............................................................................................31
1.1 Cấu trúc bảo mật.........................................................................................................................32
1.2 Hiện trạng....................................................................................................................................32
1.3 Chế độ làm việc của IPSec..............................................................................................................33
1.3.1 Chế độ chuyển vận (Transport mode).......................................................................................33
1.3.2 Chế độ đường hầm ( Tunnel Mode ):........................................................................................33
1

2 Giao thức PPTP và L2TP......................................................................................................................34
2.1 Giao thức định đường hầm điểm tới điểm (Point-to-Point Tunneling.........................................34
Protocol)............................................................................................................................................34
2.2 Giao thức định đường hầm lớp 2 (Layer 2 Tunneling Protocol)...................................................35
2.3. Quan hệ giữa L2TP với PPP........................................................................................................36
2.4 Ứng dụng L2TP trong VPN............................................................................................................36
2.5 So sánh giữa PPTP và L2TP...........................................................................................................37
3. SSL......................................................................................................................................................38
3.1 Những bổ sung SSL Client (SSL Client Implementations)..............................................................39
3.2 SSL Protection..............................................................................................................................40
4.1 Kiểu kết nối, kiểu truy cập : .........................................................................................................40
4.2 Phần mềm khách (Client software): ...........................................................................................41
4.3 Độ tin cậy của thiết bị truy nhập hay mạng từ xa: .....................................................................41
4.4 Kiểm soát truy cập (Access Control): .........................................................................................42
4.5 Độ bảo mật (security): ................................................................................................................42
4.6 Tương thích Firewall, NAT: ..........................................................................................................43
4.7 Ứng dụng: ...................................................................................................................................43

2


I. Tổng quan về VPN.
Trong thời đại ngày nay. Internet đã phát triển mạnh mẽ về mặt mô hình
cho đến công nghiệp, đáp ứng các nhu cầu của người sử dụng. Internet đã được
thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người
sử dụng một cách tự do và nhanh chóng mà không xem xét đến máy và mạng mà
người sử dụng đó đang sử dụng. Để làm được điều này người ta sử dụng một máy
tính đặc biệt gọi là Router để kết nối các LAN và WAN với nhau. Các máy tính kết

nối vào Internet thông qua nhà cung cấp dịch vụ (ISP –Internet service Provider),
cần một giao thức chung là TCP/IP. Điều mà kỹ thuật còn tiếp tục phải giải quyết
là năng lực truyền thông của các mạng viễn thông công cộng. Với Internet, những
dịch vụ như giáo dục từ xa, mua hang trực tuyến, tư vấn y tế,và rất nhiều điều khác
đã trở thành hiện thực. Tuy nhiên do Internet có phạm vi toàn cầu và không một tổ
chức, chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn
dữ liệu cũng như trong việc quản lý các dịch vụ. Từ đó người ta đã đưa ra một mô
hình mạng mới nhằm thoã mãn những yêu cầu trên mà vẫn có thể tận dụng lại
những cơ sở hạ tầng hiện có của Internet, đó chính là mô hình mạng riên ảo
(Virtual Private Network – VPN ). Với mô hình mới này, người ta không phải đầu
tư thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm
bảo, đồng thời có thể quản lý riêng được sự hoạt động của mạng này. VPN cho
phép người sử dụng làm việc tại nhà riêng, trên đường đi hay các văn phòng chi
nhánh có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng
được cung cấp bởi mạng công cộng. Nó có thể đảm bảo an toàn thông tin giữa các
đại lý, người cung cấp, và các đối tác kinh doanh với nhau trong môi trường truyền
thông rộng lớn. Trong nhiều trường hợp VPN cũng giống như WAN (Wire Area
Network), tuy nhiên đặc tính quyết định của VPN là chúng có thể dùng mạng công
cộng như Internet mà đảmbảo tính riêng tư và tiết kiệm hơn nhiều.
1. Định nghĩa VPN
VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng ( Private
Network) thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng
rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các
mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng kết nối thực,
chuyên dùng như đường leased-line, mỗi VPN sử dụng các kết nối ảo được dẫn
đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ
xa. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính
an toàn và bảo mật VPN cung cấp các cơ chế mã hoá dữ liệu trên đường truyền tạo
ra một đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như một kết
3



nối point-to-point trên mạng riêng. Để có thể tạo ra một đường ống bảo mật đó, dữ
liệu phải được mã hoá hay cơ chế giấu đi, chỉ cung cấp phần đầu gói dữ liệu
(header) là thông tin về đường đi cho phép nó có thể đi đến đích thông qua mạng
công cộng một cách nhanh chóng. Dữ liệu được mã hoá một cách cẩn thận do đó
nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể đọc được nội
dùng vì không có khoá để giải mã. Liên kết với dữ liệu được mã hoá và đóng gói
được gọi là kết nối VPN. Các đường kết nối VPN thường được gọi là đường ống
VPN (Tunnel)

Hình 1: mô hình mạng vpn.

2. Lợi ích của VPN
VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thống và
những mạng leased-line. Những lợi ích đầu tiên bao gồm:
• Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí khi truyền tới
20-40% so với những mạng thuộc mạng leased-line và giảm việc chi phí
truy cập từ xa từ 60-80%
• Tính linh hoạt cho khả năng kinh tế trên Internet: VPN vốn đã có tính linh
hoạt và có thể leo thang những kiến trúc mạng hơn là những mạng cổ điển,
băng cách nào đó nó có thể hoạt động kinh doanh nhanh chóng và chi phí
một cách hiệu quả cho việc kết nối từ xa của những văn phòng, những vị trí
4


•
•
•
•

•

ngoài quốc tế, những người truyền thông, những người dùng điện thoại di
động, những người hoạt động kinh doanh bên ngoài như những yêu cầu kinh
doanh đã đòi hỏi.
Đơn giản hóa những gánh nặng.
Những cấu trúc mạng ống, vì thế giảm việc quản lý những gánh nặng: Sử
dụng một giao thức Internet backbone loại trừ những PVC tĩnh hợp với kết
nối hướng những giao thức như là Frame Relay và ATM
Tăng tính bảo mật: Các dữ liệu quan trọng sẽ được che giấu đối với những
người không có quyền truy cập và cho phép truy cập đối với những người
dùng có quyền truy cập
Hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP
Bảo mật địa chỉ IP: Bởi vì thông tin được gửi đi trên VPN đã được mã hoá
do đó các địa chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa
chỉ bên ngoài Internet

3. Chức năng của VPN
VPN cung cấp 4 chức năng chính
• Sự tin cậy (Confidentiality): Người gửi có thể mã hoá các gói dữ liệu trước
khi truyền chúng ngang qua mạng. Bằng cách làm như vậy, không một ai có
thể truy nhập thông tin mà không được phép, mà nếu lấy được thông tin thì
cũng không đọc được vì thông tin đã được mã hoá
• Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra rằng dữ
liệu đã được truyền qua mạng Internet mà không có sự thay đổi nào
• Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực
nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thong tin
4. Các dạng kết nối VPN
4.1Các thành phần cần thiết để tạo kết nối VPN.
• User Authentication: Cung cấp cơ chế chứng thưc người dùng, chỉ cho phép

người dùng hợp lệ kết nối và truy cập hệ thống VPN.
• Address Management: cung cấp địa chỉ IP hợp lệ cho người dung sau khi gia
nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ.
• Data Encryption: cung cấp giải pháp mã hóa dữ liệu trong quá trình truyển
nhằm đảm bảo tính riêng tư và toàn vẹn dữ liệu.

5


• Key Management: cung cấp giải pháp quản lý và các khóa dung cho quá
trình mã hóa và giải mã dữ liệu .

4.2 Các dạng kết nối VPN
a. remote Access VPNs:
Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile,
và các thiết bị truyền thong của nhân viên các chi nhánh kết nối đến tài nguyên
mạng của tổ chức.
Remote Access VPN mô tả việc những người dùng ở xa sử dụng các phần
mềm VPN để truy cập vào mạng Intranet của công ty thong qua gateway hoặc
VPN concentrator (bản chất của một sever). Vì lý do này, giải pháp này thường
được gọi là client/sever. Trong giải pháp này các người dùng thường sử dụng các
công nghệ WAN truyền thống để tạo lại các tunel về mạng HO của họ.
Một hướng phát triển khá mới trong remote access VPN là dùng wireless
VPN, trong đó một nhân viên có thể truy cập về mạng của họ thông qua các kết nối
không dây. Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm
wireless (wireless terminal) và sau đó về mạng của công ty. Trong cả hai trường
hợp, phần mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo mật, còn
được gọi là tunnel.
Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban
đầu nhằm để đảm bảo là yêu cầu được xuất phát từ một người tin cậy. Thường thì

giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty. Chính
sác này bao gồm: quy trình (procedure), kỹ thuật, sever (such as Remote
Authentication Dial-In User Service [RADIUS], Terminal Access Control System
Plus [TACACS+] …).
Một số thành phần chính:
- Remote Access Sever (RAS) : được đặt tại trung tâm có nhiệm vụ

xác nhận và chứng thực các yêu cầu gửi tới.
- Quay số kết nối tới trung tâm, điều này sẽ làm giảm chi phí cho một
số yêu cầu ở xa so với trung tâm.
6


- Hỗ trợ cho những người có nhiệm vụ cấu hình, vảo trì và quản lý

RAS và hỗ trợ truy cập từ xa bởi người dùng.

Hình 1: The non-VPN remote access setup.
- Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc
các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung
cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua
Internet. Thông tin Remote Access Setup được mô tả bởi hình vẽ sau:

Figure 1-3: The Remote Access VPN setup
Từ hình trên ta có thể suy ra những thuận lợi chính của Remote Access VPNs:
- Sự cần thiết của RAS và việc kết hợp với modem được loại trừ.
- Sự cần thiết hỗ trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ
ca đã được tạo điều kiện thuận lợi bởi ISP.
7



- Việc quay số từ những khoảng cách ca được loại trừ, thay vào đó, những
kết nối với khoảng các xa sẽ được thay thế vởi các kết nối cục bộ.
- Giảm giá thành chi phí cho các kết nối với khoảng các xa.
- Do đây là mối kết nối mang tính cục bộ, do vậy tốc độ nối kết sẽ cao hơn
với kết nối trực tiếp đến những khoảng cách xa.
- VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn vì nó hỗ trợ dịch
vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các
kết nối đồng thời đến mạng.
Ngoài những thuận lợi trên VPNs cũng tồn tại mội số bất lợi khác như:
- Remote Access VPNs cũng không đảm bảo được chất lượng phục vụ.
- Khả năng mất dự liệu là rất cao, thêm nữa là các phân đoạn của gói dự liệu
có thể đi ra ngoài và bị thất thoát.
- Do độ phức tập của thuật toán mã hóa, protocol overhead tăng đáng kể, điều
này gây khó khăn cho quá trình xác nhận. Thêm vào đó, việc nén dự liệu lớn
như các gói dữ liệu truyền thông phim ảnh âm thanh sẽ rất chậm.
b. Site - To – Site (Lan – To - Lan):
- Site-to-site VPN (Lan-to-Lan VPN): được áp dụng để cài đặt mạng từ một vị
trí này kết nối tới mạng của một vị trí khác thông qua VPN. Trong hoàn
cảnh này thì việc chứng thực ban đầu giữa các thiết bị mạng được giao cho
người sử dụng. Nơi mà có một kết nối VPN được thiết lập giữa chúng. Khi
đó các thiết bị mày đóng vai trò như là một gateway, và đảm bảo rằng việc
lưu thông đã được dự tính trước cho các sote khác. Các router và Firewall
tương thích với VPN, và các bộ tập trung VPN chuyên dụng đều cung cấp
chức năng này.

8


Hình 3: site to site VPN

- Lan-to-Lan VPN có thể được xem như là Intranet VPN hoặc Extranet VPN
(xem xét về mặt chính sách quản lý). Nếu chúng ta xem xét dưới góc độ
chứng thực nó có thể được xem là một IntranetVPN, ngược lại chúng được
xem như một ExtranetVPN. Tính chặt chẽ trong việc truy cập giữa các site
có thể được điều khiển bởi cả hai( Intranet và Extranet VPN) theo các site
tương ứng của chúng. Giải pháp Site to Site VPN không hoàn toàn là một
Remote Access VPN nhưng nó được thêm vào đây vì tính chất hoàn thiện
của nó.
- Sự phân biệt giữa Remote Access VPN và Lan to Lan VPN chỉ đơn thuần
mang tính chất tượng trưng và xa hơn là nó được cung cấp cho muc đích
thảo luận. Ví dụ như các thiết bị VPN dựa trên phần cứng mới (Router Cisco
3002 chẳng hạn) ở đây để phân loại được , chúng ta phải áp dụng cả hai cách
, bởi vì hardware-based client có thể xuất hiện nết một thiết bị đang truy cập
vào mạng. mặc dù một mạng có thể có nhiều thiết bị VPN đang vận hành.
Một ví dụ khác như là chế độ mở rộng của giải pháp EZ VPN bằng cách
dùng router 806 và 17xx.
- Lan-to-Lan VPN là sự kết hợp nối hai mạng riêng lẻ thông qua một đường
hầm bảo mật. Đườn hầm bảo mật này có thể sử dụng các giao thức PPTP,
L2TP, hoặc IPSec, mục đích của Lan-to-Lan VPN là kết nối hai mạng không
có đường kết nối lại với nhau, không có việc thỏa hiệp tích hợp, chứng thực,
sự cẩn mật của dữ liệu . Bạn có thể thiết lập một Lan-to-Lan VPN thông qua
sự kết hợp của các thiết bị VPN Concentrators, Routers, và firewalls.
- Kết nốt Lan-to-Lan được thiết kế để tạo một kết nối mạng trực tiếp, hiệu quả
bất chấp khoảng cách vật lý giữa chúng. Có thể kết nối này luân chuyển
thông qua internet hoặc một mạng không được tin cậy. Bạn phải đảm bảo
vấn đề bảo mật bằng cách sử dụng sự mã hóa dữ liệu trên tất cả các gói dữ
liệu đang luân chuyển giữa các mạng đó.

9



b.1 Intranet VPNs:

Figure 1-4: The intranet setup using WAN backbone
- Intranet VPNs được sử dụng để kết nối đến các chi nhánh văn phòng của tổ
chức đến Corperate Intranet(backbone router) sử dụng campus Router,.
- Theo mô hình trên sẽ rất tốn chi phí do phải sử dụng 2 router để thiết lập
được mạng, thêm vào đó, việc triển khai, bảo trì và quản lý mạng Intranet
Backbone sẽ rất tốn kém còn tùy thuộc vào lượng lưu thông tin trên mạng đi
trên nó và phạm vi địa lý của toàn bộ mạng Intranet.
- Để giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế bởi
các kết nối Intranet với chi phí thấp, điều này có thể tiêu tốn một lượng chi
phí đáng kể của việc triển khai mạng Intranet:

Figure 1-5: The intranet setup based on VPN.

10


Những thuận lợi chính của Intranet setup dựa trên VPN theo hình 1-5:
- Hiệu quả chi phí hơn do giảm số lượng router được sử dụng theo mô hình
WAN backbone.
- Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn
cầu, các trạm ở một số Remote site khác nhau.
- Bởi vì Intranet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp
những kết nối mới ngang hàng.
- Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch
vụ, loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu
chi phí cho việc thực hiện Intranet.
Những bất lợi chính kết hợp với cách giải quyết:

- Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẻ trên mạng công
cộng- Internet và những nguy cơ tấn công, như tấn công bằng từ chối
dịch vụ(denial-of-service), vẫn còn là mối đe dọa an toàn thông tin.
- Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng rất cao.
- Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các
tập tin multimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền
thông qua Internet.
- Do là kết nối dựa trên Internet, nên tính hiệu quả không lien tục, thường
xuyên, và QoS(quality of service) không được đảm bảo.
b.2 Extranet VPNs:
- Không giống như Intranet và Remote Access- based, Extranet không hoàn
toàn cách li từ bên ngoài (Router-world), Extranet cho phép truy cập những
tài nguyên mạng cần thiết của các đối tác kinh doanh, chẳng hạn như khách
hàng, nhà cung cấp, đối tác những người dữ vai trò quan trọng trong tổ chức.

11


Figure 1-6: The traditional extranet setup.
- Như hình trên, mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt
trên Intranet kết hợp lại với nhau để tạo một Extranet. Điều này làm cho khó
triển khai và quản lý do có nhiều mạng, đồng thời cũng khó khăn cho cá
nhân làm công việc bảo trì và quản trị. Thêm nữa là mạng Extranet sẽ khó
mở rộng do điều sẽ làm rối tung toàn bộ mạng Intranet và có thể ảnh hưởng
đến các kết nối bên ngoài mạng. Sẽ có những vấn đề khó kiểm soát xảy ra
khi kết nối một Intranet vào một mạng Extranet. Triển khai và thiết kế một
mạng Extranet có thể là một cơn ác mộng của các nhà thiết kế và quản trị
mạng.

Figure 1-7: The Extranet VPN setup

Một số thuận lợi của Extranet:
12


- Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phân phối
khi lựa chọn và đưa ra phương pháp giải quyết tùy theo nhu cầu của tổ chức.
- Bởi một phần Internet-connectivity được bảo trì bởi nhà cung cấp (ISP) nên
cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì.
- Dễ dàng triển khai, quản lý và chỉnh sửa thông tin.
Một số bất lợi của Extranet:

- Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn
tồn tại.
- Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet.
- Do dựa trên Internet nên khi mất dữ liệu là các loại high-end data thì
việc trao đổi diễn ra rất chậm chạp.
- Do dựa trên Internet, QoS(quality of service) cũng không được đảm
bảo thường xuyên.

5. VPN và các vấn đề an toàn bảo mật trên Internet.
Như chúng ta đã biết, sự phát triển bùng nổ và mở rộng mạng toàn cầu
Internet ngày càng tăng, hàng tháng có khoảng 10.000 mạng mới kết nối vào
Internet kèm theo đó là vấn đề làm sao để có thể trao đổi thông tin dữ liệu một
cách an toàn qua mạng công cộng như Internet. Hàng năm sự rò rỉ và mất cắp
thông tin dữ liêu đã gây thiệt hại rất lớn về kinh tế trên toàn thế giới. Các tội phạm
tin tặc “ hacker” luôn tìm mọi cách để nghe trộm, đánh cắp thông tin dữ liệu nhạy
cảm như: thẻ tín dụng, tài khoản người dùng, các thông tin kinh tế nhạy cảm... của
các tổ chức hay cá nhân. Vậy giải pháp sử dụng mạng riêng ảo VPN sẽ giải quyết
vấn đề an toàn và bảo mật thông tin trên Internet như thế nào? Câu trả lời để các tổ
chức, các doanh nghiệp, cá nhân cảm thấy yên tâm khi trao đổi thông tin dữ liệu

qua mạng Internet là sử dụng công nghệ mạng riêng ảo VPN. Thực chất công nghệ
chính được sử dụng trong mạng riêng ảo VPN là tạo ra một đường hầm (tunnel)
mã hoá và chứng thực dữ liệu giữa hai đầu kết nối. Các thông tin dữ liệu sẽ được
mã hoá và chứng thực trước khi được lưu chuyển trong một đường hầm riêng biệt,
qua đó sẽ tránh được những cặp mắt tò mò muốn đánh cắp thông tin.
13


5.1 An toàn và tin cậy.
Sự an toàn của hệ thống máy tính là một bộ phận của khả năng bảo trì một hệ
thống đáng tin cậy được. Thuộc tính này của một hệ thống đựơc viện dẫn như sự
đáng tin cậy được. Có 4 yếu tố ảnh hưởng đến một hệ thống đáng tin cậy:
o Tính sẵn sang: Khả năng sẵn sang phục vụ, đáp ứng yêu cầu trong khoản
thời gian. Tính sẵn sang thường đựơc thực hiện qua những hệ thống phần
cứng dự phòng.
o Sự tin cậy: Nó đình nghĩa xác xuất của hệ thống thực hiện các chức năng của
nó trong một chu kỳ thời gian. Sự tin cậy khác với tính sẵn sang , nó được
đo trong cả một chu kỳ của thời gian. Nó tương ứng tới tính liên tục của một
dịch vụ.
o Sự an toàn: Nó chỉ báo hiệu một hệ thống thực hiện những chức năng của nó
chính xác hoặc thực hiện trong trường hợp thất bại một ứng xử không thiệt
hại nào xuất hiện.
o Sự an ninh: Trong trường hợp này sự an ninh có nghĩa như một sự bảo vệ tất
cả các tài nguyên hệ thống.
Một hệ thống máy tính đáng tin cậy ở mức cao nhất là luôn đảm bảo an toàn ở
bất kỳ thời gian nào. Nó đảm bảo không một sự và chạm nào mà không cảnh báo
thông tin có cảm giác, lưu tâm đến dữ liệu có cảm giác có 2 khía cạnh để xem xét:
o Tính bí mật.
o Tính toàn vẹn
Thuật ngữ tính bảo mật như được xác định có nghĩa rằng dữ liệu không thay đổi

trong một ứng xử không hợp pháp trong thời gian tồn tại của nó. Tính sẵn sàng, sự
an toàn và anh ninh là những thành phần phụ thuộc lẫn nhau. Sự an ninh bảo vệ hệ
thống khỏi những mối đe doạ và sự tấn công. Nó đảm bảo một hệ thống an toàn
luôn sẵn sang và đáng tin cậy.
5.2 Hình thức an toàn
Sự an toàn của hệ thống máy tính phụ thuộc vào tất cả những thành phần của
nó. Có 3 kiểu khác nhau của sự an toàn:
- Sự an toàn phần cứng
- Sự an toàn thông tin
- Sự an toàn quản trị
o An toàn phần cứng:
Những mối đe doạ và tấn công có liên quan tới phần cứng của hệ thống. Nó có
thể được phân ra vào 2 phạm trù:
- Sự an toàn vật lý
- An toàn bắt nguồn

14


Sự an toàn vật lý bảo vệ phần cứng trong hệ thống khỏi những mối đe doạ vật
lý bên ngoài như sự can thiệp, mất cắp thông tin, động đất và nước làm ngập lụt.
Tất cả những thông tin nhạy cảm trong những tài nguyên phần cứng của hệ thống
cần sự bảo vệ chống lại tất cả những sự bảo vệ này.
o An toàn thông tin:
Liên quan đến tính dễ bị tổn thương trong phần mềm, phần cứng và sự kết hợp
của phần cứng và phần mềm. Nó có thể được chia vào sự an toàn và truyền thông
máy tính. Sự an toàn máy tính bao trùm việc bảo vệ của các đối tượng chống lại sự
phơi bày và sự dễ bị tổn thương của hệ thống, bao gồm các cơ chế điều khiển truy
nhập, các cơ chế điều khiển bắt buộc chính sách an toàn, cơ chế phần cứng, kỹ
thuật mã hoá… Sự an toàn truyền thông bảo vệ đối tượng truyền.

o An toàn quản trị:
An toàn quản trị liên quan đến tất cả các mối đe doạ mà con người lợi dụng tới
một hệ thống máy tính. Những mối đe doạ này có thể là hoạt động nhân sự. Sự an
toàn nhân sự bao bao trùm việc bảo vệ của những đối tượng chống lại sự tấn công
từ những người dùng uỷ quyền. Mỗi người dùng của hệ thống có những đặc quyền
để truy nhập những tài nguyên nhất định. Sự an toàn nhân sự chứa đựng những cơ
chế bảo vệ chống lại những người dùng cố tình tìm kiếm được những đặc quyền
cao hơn hoặc lạm dụng những đặc quyền của họ, cho nên sự giáo dục nhận thức rất
quan trọng để nó thực sự là một cơ chế bảo vệ sự an toàn hệ thống. Thống kê cho
thấy những người dùng uỷ quyền có tỷ lệ đe doạ cao hơn cho một hệ thống máy
tính so với từ bên ngoài tấn công. Những thông tin được thống kê cho thấy chỉ có
10% của tất cả các nguy hại máy tính đựơc thực hiện từ bên ngoài hệ thống, trong
khi có đến 40% là bởi những người dùng trong cuộc và khoảng 50% là bởi người
làm thuê cũ.
I.

Mã hóa và chứng thực trong VPN.

Với sự phát triển nhanh chóng của Internet, các ứng dụng, dịch vụ trên mạng máy
tính: thư điện tử, chuyển và nhận tiền, thương mại điện tử, chính phủ điện tử… đã
trở nên phổ biến, thuận lợi và quan trọng thì yêu cầu về an toàn mạng, về an ninh
dữ liệu trên mạng ngày càng trở nên cấp bách và cần thiết. Tổ chức Interpol đã
khuyến cáo về các nguy cơ đối với mạng máy tính như:
• Sự truy nhập trái phép và ăn cắp thông tin.
• Sữa đổi dữ liệu máy tính.
• Sao chép trái phép.
• Làm tê liệt mạng máy tính.
• Những tấn công khác …
Do đó, thông tin trên mạng, dù đang truyền hay được lưu trữ đều cần được bảo
vệ hoặc các thông tin đó cần được giữ bí mật hoặc chúng phải được cho phép

15


người ta kiểm tra để tin tưởng rằng chúng không bị sửa đổi so với dạng nguyên
thuỷ của mình và chúng đúng là của người đã gửi cho ta, hơn nữa niềm tin đó phải
được pháp luật hỗ trợ. Do đó rất nhiều quốc gia trên thế giới rất quan tâm đến vấn
đề này, các nhà khoa học đã nghiên cứu và đưa ra các thuật toán mã hoá để bảo
mật thông tin ngày một tốt hơn tránh nguy cơ rò rỉ, mất mát thông tin cho người
dùng, các doanh nghiệp và các quốc gia khi giao dịch, trao đổi thông tin qua mạng
toàn cầu Internet. Trong ứng dụng công nghệ “ Mạng riêng ảo ” VPN, các thuật
toán mã hoá được ứng dụng trong từng lớp giao thức mà người dùng tuỳ chọn cách
mã hoá thông tin bằng thuật toán mã hoá như DES, 3-DES ..
1. Mã hoá trong VPN.
1.1 Thuật toán mã hoá DES
Thuật toán mã hoá DES được IBM phát triển vào những năm 1970 sau đó
được Uỷ ban tiêu chuẩn Quốc gia Hoa Kỳ (The National Bureau of Standard).
Ngày nay là NIST chấp nhận ngày 15-5-1973. DES đã trở thành chuẩn mã hoá
dữ liệu chính thức cho Chính phủ Hoa Kỳ và năm 1977 và trở thành hệ mật được
sử dụng rộng rãi nhất trên thế giới.
Thuật toán mã hoá DES có thể thoả mãn các yêu cầu sau:
o Thuật toán phải có độ an toàn cao.
o Thuật toán phải được định nghĩa đầy đủ và hoàn toàn dễ hiểu.
o Độ an toàn phải nằm ở khóa, không phụ thuộc vào tính bí mật của thuật
toán.
o Thuật toán phải sẵn sàng cung cấp cho mọi người dùng.
o Thuật toán phải thích nghi được với việc dùng cho các ứng dụng khác nhau.
o Thuật toán phải được cài đặt được một cách tiết kiệm trong các thiết bị điện
tử.
o Thuật toán khi sử dụng phải phát huy tối đa hiệu quả.
o Thuật toán phải có khả năng hợp thức hoá.

o Thuật toán phải có tính thương mại.
1.1.1 Mô tả DES
Cấu trúc tổng thể của thuật toán được thể hiện ở Hình 2: có 16 chu trình giống
nhau trong quá trình xử lý. Ngoài ra còn có hai lần hoán vị đầu và cuối (Initial and
final permutation - IP & FP). Hai quá trình này có tính chất đối nhau (Trong quá
trình mã hóa thì IP trước FP, khi giải mã thì ngược lại). IP và FP không có vai trò
xét về mật mã học và việc sử dụng chúng chỉ có ý nghĩa đáp ứng cho quá trình đưa
thông tin vào và lấy thông tin ra từ các khối phần cứng có từ thập niên 1970. Trước
16


khi đi vào 16 chu trình chính, khối thông tin 64 bit được tách làm hai phần 32 bit
và mỗi phần sẽ được xử lý tuần tự (quá trình này còn được gọi là mạng Feistel).
Cấu trúc của thuật toán (mạng Feistel) đảm bảo rằng quá trình mã hóa và giải mã
diễn ra tương tự. Điểm khác nhau chỉ ở chỗ các khóa con được sử dụng theo trình
tự ngược nhau. Điều này giúp cho việc thực hiện thuật toán trở nên đơn giản, đặc
biệt là khi thực hiện bằng phần cứng.

Hình 2: Cấu trúc thuật toán Feistel dùng trong DES
Ký hiệu : thể hiện phép toán XOR. Hàm F làm biến đổi một nửa của khối đang
xử lý với một khóa con. Đầu ra sau hàm F được kết hợp với nửa còn lại của khối
và hai phần được tráo đổi để xử lý trong chu trình kế tiếp. Sau chu trình cuối cùng
thì 2 nửa không bị tráo đổi; đây là đặc điểm của cấu trúc Feistel khiến cho quá
trình mã hóa và giải mã trở nên giống nhau.
1.1.2 Ưu và nhược điểm của DES
- Ưu điểm: Thuật toán mã hoá DES tốc độ mã hoá dữ liệu rất nhanh.
- Nhược điểm: Do DES có kích cỡ của không gian khoá 256 là quá nhỏ,
không đủ an toàn, cho nên những máy có mục đích đặc biệt có thể sẽ bẻ
17



gãy và dò ra khoá rất nhanh.
1.1.3 Ứng dụng của thuật toán DES trong thực tế.
Một ứng dụng rất quan trọng của DES là ứng dụng cho các văn bản trong
giao dịch ngân hang sử dụng các tiêu chuẩn được hiệp hội các ngân hang Mỹ
phát triển. DES được sử dụng để mã hoá các số nhận dạng cá nhân (Pins) và các
văn bản về tài khoản được máy thu ngân tự động thực hiện (ATMs)…
1.2

Thuật toán mã hoá 3DES.

Thuật toán mã hoá 3DES là một biến thể phụ của DES, như ta đã biết
DES vẫn tồn tại nhiều nhược điểm như: Có thể bẽ gãy bằng những máy có mục
đích đặc biệt để tìm ra khóa.
1.2.1 Mô tả 3DES.
Về cấu tạo, 3 DES có nghĩa là 3 lần dùng DES( mã hóa, giải mã, rồi lại mã
hóa) bằng các khóa khác nhau. Về độ bền thuật toán có khóa 3*56=168 bít, nhưng
trên thực tế chỉ có 2*56=112 bit. Về tốc độ, 3DES = 0.33 DES.
Des Encryption
Des Encryption
Des Encryption
Key 1
Ciphertext
Plaintext
Key 2
Key 3
Thủ tục mã hoá cũng tương tự DES nhưng nó được lặp lại 3 lần tức là tăng lên 3
lần DES. Dữ liệu được mã hoá với chìa khoá đầu tiên, và được giải mã với chìa
khoá 2, sau đó mã hoá lần nữa với chìa khoá thứ 3 để thu được dữ liệu mã hoá cuối
cùng.

∗ Các mẫu hoạt động của 3DES:
o Triple ECB (Triple Electronic Code Book): Sách mã hoá điện tử.
o Triple CBC (Triple Cipher Chaining): Móc nối khối ký số.
1.2.2 Ưu và nhược điểm của 3DES
- Ưu điểm: Khác với DES, thuật toán mã hoá 3DES được mã hoá 3 lần DES với
kích cỡ không gian khoá 168 bit cho nên an toàn hơn rất nhiều so với DES.

18


- Nhược điểm: Vì 3DES sử dụng 3 lần mã hoá DES cho nên tốc độ mã hoá sẽ
chậm hơn rất nhiều so với DES. Phần mềm ứng dụng tỏ ra rất chậm đối với hình
ảnh số và một số ứng dụng dữ liệu tốc độ cao vì kích thước khối 64 bit vẫn còn là
một nhược điểm đối với những hệ có tốc độ của thế kỷ 21.
1.3 Giải thuật hàm băm (Secure Hash Algorithm).
Đối với các sơ đồ chữ ký thông thường, ta chỉ có thể ký các bức điện nhỏ.
Chẳng hạn khi dùng chuẩn chữ ký số DSS, một tài liệu dài 160 bit sẽ được ký bằng
chữ dài 320 bit. Trên thực tế ta cần ký các tài liệu dài hơn nhiều ( Chằng hạn, một
tài liệu về pháp luật có thể dài nhiều Megabyte ). Giải pháp để giải quyết các vấn
đề này là dùng hàm Hash mã khoá công khai nhanh. Hàm này dựa trên nội dùng
một tài liệu có độ dài tuỳ ý để tạo ra một “bản tóm tắt” của tài liệu với kích thước
quy định (160 bit nếu dùng DSS). Sau đó, “bản tóm tắt” của tài liệu này (dữ liệu ra
của hàm Hash) sẽ được ký. Việc dùng hàm Hash với DSS được biểu diễn như sau.
Bức điện: m: Độ dài tuỳ ý Tính bản tóm lược thông báo: z=h(m) 160 bit.
Khi B muốn ký bức điện x, trước tiên B tạo một bản tóm tắt z của tài liệu
bằng cách sử dụng hàm băm h và sau đó dùng khoá bí mật của mình để tìm chữ ký
s (s=Sigk(z); trong đó Sigk là hàm mã hoá RSA với khoá bí mật của B). Tiếp theo,
B gửi cặp (m,s) đến cho A. Để xác thực trước hết A phải khôi phục bản tóm tắt của
tài liệu bằng hàm h (z=h(m)) và sau đó thực hiện kiểm tra xem Verk(m,s) có bằng
true hay không.

1.4 Giải thuật RSA
RSA là một hệ mật mã khoá công khai phổ biến và cũng đa năng nhất trong
thực tế, được phát minh bởi Rivest, Shamir và Adleman được coi như là một hệ
chuẩn đối với các hệ mật mã khoá công khai. RSA dựa trên tính khó của bài toán
phân tích các số lớn thành ra thừa số nguyên tố: biết một số nguyên tố nhân chúng
với nhau để thu được một hợp số là bài toán dễ. Còn khi biết hợp số, để phân tích
nó ra thành thừa số nguyên tố là bài toán rất khó mà hầu như không thực hiện được
nếu 2 nguyên tố đó là những số lớn.
Giả sử n là một số nguyên tố và là tích của hai số nguyên tố lớn khác
nhau p và q (n=p.q). Ta chọn một số nguyên tố với μ(n)=(p-1)(q-1),và tính b=a-1
Mod μ(n), tức là a.b ≡ 1 mod μ(n).
Hệ RSA được mô tả như sau:
Lấy n=p.q, trong đó p và q là hai số nguyên tố.Đặt P=C=Zn:
K={(n,b,a):ab ≡ 1 mod μ(n)},
19


Trong đó (n, b) là khoá công khai, còn a là khoá bí mật
Với K = (K’,K”), K’ = (n,b), K” = a, ta định nghĩa
ek’(x) = xb mod n
dk”(y) = yb mod n
Với x, y Є Zn
Ta thấy rằng với mọi x Є Zn
* (Tức là x Є Zn và x là nguyên tố với n)
Dk” (ek’(x))= (xb)a = xab = xt.μ(n) + 1 = x mod n
Với x ЄZn\Zn
* ta vẫn có đẳng thức nói trên, vì khi đó hoặc x chia hết cho p và x
nguyên tố với q hoặc x chia hết cho q và x nguyên tố với p. Trong cả hai trường
hợp đó ta đều có:
xt.μ(n) + 1 = x mod p

xt.μ(n) + 1 = x mod q
Từ đó suy ra ta có xt.μ(n) + 1 = x mod n.
2. Chứng thực trong VPN.
Sự chứng thực là một bộ phận cấu trúc của sự an toàn mạng riêng ảo VPN,
có thể ta có một hệ thống đáng tin cậy xác nhận những mạng, người dùng và dịch
vụ mạng nhưng như vậy chưa hẳn đã là một hệ thống an toàn tuyệt đối, ta không
thể kiểm soát được các truy nhập vào hệ thống tài nguyên mạng tập đoàn của ta
trước những người dùng bất hợp pháp. Cho nên một giải pháp có thể điều khiển và
ngăn cản người dùng bất hợp pháp cố tình truy nhập hệ thống là ta sử dụng phương
pháp chứng thực. Sự chứng thực thì dựa vào một trong ba thuộc tính sau:
o Something you have : Chìa khoá hay một thẻ dấu hiệu
o Something you know: Mật khẩu
o Something you are: Tiếng nói hay quét võng mạc
Người dùng có thể chứng thực bằng:
o Password.
o One-time Password (s/key).
o USB ikey.
o Smart card.
o PKI/ certificate
o IP.
Tuy nhiên đó chỉ là những phương pháp chứng thực đơn, không thích hợp hay
chưa đủ mạnh mẽ để bảo vệ những hệ thống, thay vào đó các chuyên gia an toàn
20


giới thiệu phương pháp chứng thực mạnh mẽ, áp dụng hai trong những thuộc tính
trước cho sự chứng thực.
Sự đa dạng của những hệ thống mạng VPN sẵn có hiện thời phụ thuộc vào
những phương pháp khác nhau của sự chứng thực hoặc những sự kết hợp của
chúng, Ngoài các phương pháp chứng thực đơn, trong mạng riêng ảo VPN còn sử

dụng sự chứng thực bằng giao thức.
Giao thức chứng thực:
o Password Authentication Protocol (PAP).
o Challenge Handshare Authentication Protocol (CHAP).
o Extensible Authentication Protocol (EAP).
o Remote Authentication Dial-up User Services (RADIUS).
Máy chủ chứng thực:
o Radius.
o Kerberos.
o LDAP.
o NT domain.
o Solaris Pluggable Authentication Modules (PAM).
o Novell Directory Services (NDS).
2.1 Password Authentication Protocol (PAP): Giao thức chứng thực bằng mật
khẩu.
Giao thức chứng thực mật khẩu PAP trước kia được thiết kế ra chính là để
một máy tính xác nhận máy tính khác thông qua giao thức từ điểm tới điểm PPP
được sử dụng như thủ tục truyền tin. Sự chứng thực PAP có thể được sử dụng tại
nơi bắt đầu một mối liên kết PPP tức là khi một máy trạm truy nhập từ xa tới hệ
thống mạng tập đoàn nó phải gửi ID (tên người dùng) và mật khẩu tới hệ thống
mạng đích, ở đó máy chủ điều khiển truy nhập NAS có nhiệm vụ chứng thực máy
trạm của người dùng đó có được phép truy nhập tới tài nguyên mạng của tập đoàn
hay không.
Tuy nhiên, sự chứng thực bằng giao thức chứng thực bằng mật khẩu chưa
đủ sự an toàn và tin cậy vì thông tin chứng thực được trao đổi không an toàn trong
môi trường mạng công cộng Internet nên các tội phạm tin học có thể nghe trộm,
đánh cắp thông tin để từ đó đoán ra được mật khẩu truy nhập vào hệ thống.
2.2 Challenge Handshare Authentication Protocol (CHAP).
Giao thức CHAP được thiết kế tương tự giao thức PAP nhưng có độ an toàn cao
hơn nhiều. Cũng như giao thức PAP, giao thức CHAP cũng có thể được sử dụng

tại nơi bắt đầu một mối liên kết PPP và sau đó lặp lại sau khi mối lien kết đó được
thiết lập.
21


3 Firewall
3.1 Khái niệm về Firewall.
Firewall là một thuật ngữ có nguồn gốc từ một kỹ thuật thiết kế trong xây
dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall
là một kỹ thuật được tích hợp vào hệ thống mạng nhằm mục đích:
o Ngăn chặn và hạn chế các truy nhập trái phép, nhằm bảo vệ các nguồn tài
nguyên , thông tin dữ liệu.
o Cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên
Internet
Cũng có thể hiểu Firewall là một cơ chế để bảo vệ một mạng tin cậy khỏi các mạng
không tin cậy như mạng công cộng Internet. Thông thường Firewall được đặt giữa
mạng tin cậy bên trong như mạng Intranet của một công ty hay một tổ chức và
mạng không tin cậy như Internet.

Hình 4: Mô hình Firewall
Chức năng của tương lửa Firewall: Là kiểm soát luồng thông tin ra, vào giữa mạng
tin cậy (Intranet) và mạng không tin cậy Internet. Thiết lập cơ chế điều khiển các
luồng thông tin cụ thể là:
o Cho phép hoặc cấm những dịch vụ truy nhập từ mạng tin cậy ra ngoài mạng
không tin cậy (Từ mạng Intranet tới mạng Internet).
22


o Cho phép hoặc cấm những dịch vụ truy nhập từ mạng không tin cậy vào
trong mạng tin cậy.

o Theo dõi và điều khiển các luồng dữ liệu giữa Internet và Intranet.
o Kiểm soát các địa chỉ truy nhập hoặc cấm địa chỉ truy nhập.
o Kiểm soát người dùng và việc truy nhập của người dùng.
3.2 Các thành phần của Firewall.
Firewall có thể phân loại thành 3 dạng cơ bản:
o Bộ lọc gói (Packet Filters)
o Máy phục vụ uỷ nhiệm (Proxy Server) bao gồm
- Cổng ứng dụng (Application Gateway).
- Cổng mạch (Circuit level gateway).
o Bộ lọc gói có trạng thái (Statefull Packet Filters)
Để xây dựng Firewall hoạt động có hiệu quả nhất, nên sử dụng kết hợp tất cả các
thành phần trên
I.2.1 Bộ lọc gói (Packet Filtering Router).

Hình 43: Packet Filtering Router
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì
điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCP/IP.
Nguyên lý:
23


Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn
bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoã mãn một trong số các
luật lệ của bộ lọc packet hay không. Các luật lệ lọc packet này là dựa trên các
thông tin ở đầu mỗi packet (Packet header) dùng để cho phép truyền các packet đó
ở trên mạng. Đó là:
o Địa chỉ IP nơi xuất phát (IP Source address)
o Địa chỉ IP nơi nhận (IP Destination address)
o Những thủ tục truyền tin (TCP,UDP. ICMP, IP tunnel)
o Cổng TCP/UDP nơi xuất phát

o Cổng TCP/UDP nơi nhận
o Dạng thông báo ICMP (ICMP message type)
o Giao diện packet đến (Incomming interface of packet)
o Giao diện packet đi (outcomming interface of packet)
Nếu luật lệ lọc packet được thoã mãn thì packet được chuyển qua Firewall.Nếu
không thoã mãn, packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các
kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập
vào hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm
soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất
định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ (Telnet, SMTP, FTP
…) được phép mới chạy được trên hệ thống mạng cục bộ.
Ưu điểm
Đa số các hệ thống Firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm
của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được
bao gồm trong mỗi phần mềm Router. Ngoài ra, bộ lọc packet là trong suốt đối với
người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện, đào tạo
đặc biệt nào cả.
Hạn chế
Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, đòi hỏi
người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng
packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi về sự
lọc càng lớn, các luật lọc càng trở nên dài và phức tạp, rất khó để quản lý và điểu
khiển.
Do làm việc dựa trên header của các packet, rõ rang là bộ lọc packet không
kiểm soát được nội dùng thông tin của packet. Các packet chuyển qua vẫn có thể
mang theo những hành động với ý đồ lấy cắp thông tin hay phá hoại của kẻ xấu.
I.2.2 Cổng ứng dụng (Application-level gateway)

24



Hình 44: Application-level gateway
Nguyên lý:
Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát
các loại dịch vụ, giao thức được phép truy cập vào hệ thống mạng. Cơ chế hoạt
động dựa trên cách thức gọi là Proxy service. Proxy service là các bộ mã đặc biệt
cài đặt trên gateway cho từng ứng dụng. Nếu người quản trị mạng không cài đặt
Proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp
và do đó không thể chuyển thông tin qua Firewall. Ngoài ra, Proxy code có thể
được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quản
trị mạng cho là chấp nhận đựơc trong khi từ chối những đặc điểm khác. Một cổng
ứng dụng thường được coi như một pháo đài (bastion host), bởi vì nó được thiết kế
đặc biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp đảm bảo an ninh
mạng của một bastion host là:
o Bastion host luôn chạy các version an toàn (Secure version) của các phần
mềm hệ thống. Các version an toàn này được thiết kế chuyên cho mục đích
chống lại sự tấn công vào Openrating System, cũng như đảm bảo sự tích hợp
Firewall.
o Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt
trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó
không thể bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho
các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên
bastion host
o Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như:
user name, password hay smart card.
25