Bảo mật trong VPN.
Tường lửa.
Mật mã truy cập:bao gồm mật mã riêng và mật mã chung.
Giao thức bảo mật Internet.
Máy chủ AAA (Authentication Authorization Accounting)kiểm soát việc cho phép thẩm định quyền truy cập.
Tường lửa.
Tường lửa (firewall): là rào chắn vững chắc giữa mạng
riêng và Internet. Bạn có thể thiết lập các tường lửa để
hạn chế số lượng cổng mở, loại gói tin và giao thức được
chuyển qua. Một số sản phẩm dùng cho VPN như router
1700 của Cisco có thể nâng cấp để gộp những tính năng
của tường lửa bằng cách chạy hệ điều hành Internet
Cisco IOS thích hợp. Tốt nhất là hãy cài tường lửa thật tốt
trước khi thiết lập VPN.
Mã truy cập. Mật mã truy cập: là khi một máy tính mã hóa
dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy đó
mới giải mã được. Có hai loại là mật mã riêng và mật mã
chung. Mật mã riêng (Symmetric-Key Encryption): Mỗi
máy tính đều có một mã bí mật để mã hóa gói tin trước
khi gửi tới máy tính khác trong mạng. Mã riêng yêu cầu
bạn phải biết mình đang liên hệ với những máy tính nào
để có thể cài mã lên đó, để máy tính của người nhận có
thể giải mã được.


Mật mã chung (Public-Key Encryption): kết hợp mã riêng
và một mã công cộng. Mã riêng này chỉ có máy của bạn
nhận biết, còn mã chung thì do máy của bạn cấp cho bất
kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để
giải mã một message, máy tính phải dùng mã chung được
máy tính nguồn cung cấp, đồng thời cần đến mã riêng của

nó nữa. Có một ứng dụng loại này được dùng rất phổ biến
là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu
như bất cứ thứ gì.
II.1.3. Giao thức bảo mật giao thức Internet (IPSec). Giao
thức bảo mật giao thức Internet (IPSec) cung cấp những
tính năng an ninh cao cấp như các thuật toán mã hóa tốt
hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn.
IPSec có hai cơ chế mã hóa là Tunnel và Transport.
Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói
tin còn Transport chỉ mã hóa kích thước. Chỉ những hệ
thống nào hỗ trợ IPSec mới có thể tận dụng được giao
thức này. Ngoài ra, tất cả các thiết bị phải sử dụng một mã
khóa chung và các tường lửa trên mỗi hệ thống phải có
các thiết lập bảo mật giống nhau. IPSec có thể mã hóa dữ
liệu giữa nhiều thiết bị khác nhau như router với router…..
Máy chủ AAA. AAA : là viết tắt của ba chữ Authentication
(thẩm định quyền truy cập), Authorization (cho phép) và
Accounting (kiểm soát). Các server này được dùng để
đảm bảo truy cập an toàn hơn. Khi yêu cầu thiết lập một


kết nối được gửi tới từ máy khách, nó sẽ phải qua máy
chủ AAA để kiểm tra. Các thông tin về những hoạt động
của người sử dụng là hết sức cần thiết để theo dõi vì mục
đích an toàn.
Mô hình AAA chung AAA cho phép nhà quản trị mạng biết được
các thông tin quan trọng về tình hình cũng như mức độ an toàn
trong mạng. Nó cung cấp việc xác thực (authentication) người
dùng nhằm bảo đảm có thể nhận dạng đúng người dùng. Một khi
đã nhận dạng người dùng, ta có thể giới hạn uỷ quyền

(authorization) mà người dùng có thể làm. Khi người dùng sử
dụng mạng, ta cũng có thể giám sát tất cả những gì mà họ làm.
AAA với ba phần xác thực (authentication), uỷ quyền
(authorization) và kiểm toán (accounting) là các phần riêng biệt
mà ta có thể sử dụng trong dịch vụ mạng, cần thiết để mở rộng
và bảo mật mạng. AAA có thể dùng để tập hợp thông tin từ nhiều
thiết bị trên mạng. Ta có thể kích hoạt các dịch vụ AAA trên router,
switch, firewall, các thiết bị VPN, server… Các dịch vụ AAA bao
gồm ba phần, xác thực (authentication), Uỷ quyền (accounting)
và kiểm toán (accounting). Ta sẽ tìm hiểu sự khác nhau của ba
phần này và cách thức chúng làm việc như thể nào. Xác thực
(Authentication) Xác thực dùng để nhận dạng (identify) người
dùng. Trong suốt quá trình xác thực, username và password của
người dùng được kiểm tra và đối chiếu với cơ sở dữ liệu lưu
trong AAA Server. Tất nhiên, tuỳ thuộc vào giao thức mà AAA hỗ
trợ mã hoá đến đâu, ít nhất thì cũng mã hoá username và
password. Xác thực sẽ xác định người dùng là ai. Ví dụ: Người
dùng có username là VIET và mật khẩu là Vieth@nIT sẽ là hợp lệ
và được xác thực thành công với hệ thống. Sau khi xác thực
thành công thì người dùng đó có thể truy cập được vào mạng.
Tiến trình này chỉ là một trong các thành phần để điều khiển


người dùng với AAA. Một khi username và password được chấp
nhận, AAA có thể dùng để định nghĩa thẩm quyền mà người dùng
được phép làm trong hệ thống. Uỷ quyền (Authorization) Uỷ
quyền cho phép nhà quản trị điều khiển việc cấp quyền trong một
khoảng thời gian, hay trên từng thiết bị, từng nhóm, từng người
dùng cụ thể hay trên từng giao thức. AAA cho phép nhà quản trị
tạo ra các thuộc tính mô tả các chức năng của người dùng được

phép thao tác vào tài nguyên. Do đó, người dùng phải được xác
thực trước khi uỷ quyền cho người đó. Uỷ quyền trong AAA làm
việc giống như một tập các thuộc tính mô tả những gì mà người
dùng đã được xác thực có thể có. Ví dụ: Người dùng VIET sau
khi đã xác thực thành công có thể chỉ được phép truy cập vào
server VIETHANIT_SERVER thông qua FTP. Những thuộc tính
này được so sánh với thông tin chứa trong cơ sở dữ liệu của
người dùng đó và kết quả được trả về AAA để xác định khả năng
cũng như giới hạn thực tế của người đó. Điều này yêu cầu cơ sở
dữ liệu phải giao tiếp liên tục với AAA server trong suốt quá trình
kết nối đến thiết bị truy cập từ xa (RAS). Uỷ quyền liên quan đến
việc sử dụng một bộ quy tắc hoặc các mẫu để quyết định những
gì một người sử dụng đã chứng thực có thể làm trên hệ thống. Ví
dụ: Trong trường hợp của một nhà cung cấp dịch vụ Internet, nó
có thể quyết định liệu một địa chỉ IP tĩnh được cho là trái ngược
với một địa chỉ DHCP được giao. Các quản trị hệ thống định
nghĩa những quy tắc này. Máy chủ AAA sẽ phân tích yêu cầu và
cấp quyền truy cập bất cứ yêu cầu nào có thể, có hoặc không
phải là toàn bộ yêu cầu là hợp lệ. Ví dụ: Một máy khách quay số
kết nối và yêu cầu nhiều liên kết. Một máy chủ AAA chung chỉ
đơn giản là sẽ từ chối toàn bộ yêu cầu, nhưng một sự thực thi
thông minh hơn sẽ xem xét yêu cầu, xác định rằng máy khách chỉ
được phép một kết nối dial-up, và cấp một kênh trong khi từ chối
các yêu cầu khác. Kiểm toán (Accounting) Kiểm toán cho phép
nhà quản trị có thể thu thập thông tin như thời gian bắt đầu, thời


gian kết thúc người dùng truy cập vào hệ thống, các câu lệnh đã
thực thi, thống kê lưu lượng, việc sử dụng tài nguyên và sau đó
lưu trữ thông tin trong hệ thống cơ sở dữ liệu quan hệ. Nói cách

khác, kiểm toán cho phép giám sát dịch vụ và tài nguyên được
người dùng sử dụng. Ví dụ: thống kê cho thấy người dùng có tên
truy cập là VIET đã truy cập vào VIETHANIT_SERVER bằng giao
thức FTP với số lần là 5 lần. Điểm chính trong kiểm toán đó là
cho phép người quản trị giám sát tích cực và tiên đoán được dịch
vụ và việc sử dụng tài nguyên. Thông tin này có thể được dùng
để tính cước khách hàng, quản lý mạng, kiểm toán sổ sách. Giao
thức sử dụng trong dịch vụ AAA Giới thiệu Hình 3-2 Các giao
thức cho dịch vụ AAA Có hai giao thức bảo mật dùng trong dịch
vụ AAA đó là TACACS (Terminal Access Controller Access
Control System) và RADIUS (Remote Authentication Dial-In User
Service). Cả hai giao thức đều có phiên bản và thuộc tính riêng.
Chẳng hạn như phiên bản riêng của TACACS là TACACS+,
tương thích hoàn toàn với TACACS. RADIUS cũng có sự mở
rộng khi cho phép khách hàng thêm thông tin xác định được
mang bởi RADIUS. TACACS và RADIUS được dùng từ một thiết
bị như là server truy cập mạng (NAS) đến AAA server. Xem xét
một cuộc gọi từ xa như hình 3.2. Người dùng gọi từ PC đến NAS.
NAS sẽ hỏi thông tin để xác thực người dùng. Từ PC đến NAS,
giao thức sử dụng là PPP, và một giao thức như là CHAP hay
PAP được dùng để truyền thông tin xác thực. NAS sẽ truyền
thông tin đến AAA Server để xác thực. Nó được mang bởi giao
thức TACACS hoặc RADIUS. Tổng quan về TACACS TACACS là
giao thức được chuẩn hoá sử dụng giao thức hướng kết nối
(connection-oriented) là TCP trên port 49. TACACS có các ưu
điểm sau: Với khả năng nhận gói reset (RST) trong TCP, một thiết
bị có thể lập tức báo cho đầu cuối khác biết rằng đã có hỏng hóc
trong quá trình truyền. TCP là giao thức mở rộng vì có khả năng
xây dựng cơ chế phục hồi lỗi. Nó có thể tương thích để phát triển



cũng như làm tắc nghẽn mạng với việc sử dụng sequence
number để truyền lại. Toàn bộ payload được mã hoá với
TACACS+ bằng cách sử dụng một khoá bí mật chung (shared
secret key). TACACS+ đánh dấu một trường trong header để xác
định xem thử có mã hoá hay không. TACACS+ mã hoá toàn bộ
gói bằng việc sử dụng khoá bí mật chung nhưng bỏ qua header
TACACS chuẩn. Cùng với header là một trường xác định body có
được mã hoá hay không. Thường thì trong toàn bộ thao tác, body
của một gói được mã hoá hoàn toàn để truyền thông an toàn.
TACACS+ được chia làm ba phần: xác thực (authentication), cấp
quyền (authorization) và tính cước (accounting). Với cách tiếp
cận theo module, ta có thể sử dụng các dạng khác của xác thực
và vẫn sử dụng TACACS+ để cấp quyền và tính cước. Chẳng
hạn như, việc sử dụng phương thức xác thực Kerberos cùng với
việc cấp quyền và tính cước bằng TACACS+ là rất phổ biến.
TACACS+ hỗ trợ nhiều giao thức. Với TACACS+, ta có thể dùng
hai phương pháp để điều khiển việc cấp quyền thực thi các dòng
lệnh của một user hay một nhóm nhiều user: Phương pháp thứ
nhất là tạo một mức phân quyền (privilege) với một số câu lệnh
giới hạn và user đã xác thực bởi router và TACACS server rồi thì

Bài báo cáo này thực hiện việc tìm hiểu về mạng riêng ảo –Virtual Private
Network. Thông qua việc tìm hiểu đã cho thấy rằng:
Công nghệ VPN cung cấp một cách để mã hóa phần đầu trong kết nối Internet
của người dùng, cùng lúc đó nó cũng giúp che giấu cả địa chỉ IP và vị trí của người
dùng. Kết quả là giúp tăng cường sự riêng tư và bảo mật, cộng thêm khả năng mở
khóa các nội dụng hạn chế theo vị trí địa lý. Mặc dù không phải lúc nào cũng nên
dùng VPN đâu, nhưng đôi khi nó rất cần thiết .