Đồ án tốt nghiệp Đại học Chương 4. Bảo mật trong VPN
CHƯƠNG 4
BẢO MẬT TRONG VPN
Một trong những mối quan tâm chính của bất kỳ công ty nào là việc bảo
mật dữ liệu của họ. Bảo mật dữ liệu chống lại các truy nhập và thay đổi trái
phép không chỉ là một vấn đề trên các mạng. Việc truyền dữ liệu giữa các máy
tính hay giữa các mạng LAN với nhau có thể làm cho dữ liệu bị tấn công và dễ
bị thâm nhập hơn là khi dữ liệu vẫn còn trên một máy tính đơn.
Bảo mật không phải là vấn đề riêng của VPN mà thực tế là mối quan tâm
và thách thức của tất cả các tổ chức có nhu cầu sử dụng môi trường mạng
Internet để trao đổi thông tin. Để thực hiện bảo mật cho dữ liệu trong mạng
VPN người ta thực hiện hai quá trình đó là xác thực (Authentication) và mật mã
(Encryption).
4.1 Quá trình xác thực
Xác thực là một phần không thể thiếu được trong kiến trúc bảo mật của
một mạng VPN. Xác thực được dựa trên ba thuộc tính: Cái gì ta có (một khoá
hay một card token); cái gì chúng ta biết (một mật khẩu); hay cái gì chúng ta
nhận dạng (giọng nói, quét võng mạc, dấu vân tay,..). Xác thực là thuật ngữ
dùng chung, nó bao gồm hai khái niệm: Xác thực nguồn gốc dữ liệu và xác thực
tính toàn vẹn dữ liệu.
4.1.1 Xác thực nguồn gốc dữ liệu
a) Mật khẩu truyền thống
Thực tế cho thấy, các loại xác thực đơn giản, như số nhận dạng ID của
người dùng, mật khẩu không đủ mạnh cho việc bảo mật truy cập mạng. Mật
khẩu có thể bị đón bắt và giữ lấy trong suốt quá trình truyền dữ liệu của mạng.
Hệ thống mật khẩu một lần là phương pháp tốt sử dụng mật khẩu truyền thống.
* Hệ thống mật khẩu một lần
Để ngăn chặn việc sử dụng trái phép, các mật khẩu bị giữ lại và ngăn
không cho chúng không được dùng trở lại, bằng cách cầu một mật khẩu mới cho
phiên làm việc mới.
Những hệ thống này, thì mỗi khi người dùng đăng nhập vào mạng thì luôn

luôn phải chọn một mật khẩu mới cho mỗi phiên làm việc kế tiếp. Do đó để
khắc phục khó khăn này bằng cách tạo ra một cách tự động một danh sách mật
Đoàn Thanh Bình, D01VT
77
Đồ án tốt nghiệp Đại học Chương 4. Bảo mật trong VPN
khẩu có thể chấp nhận được cho người dùng. Nhược điểm của các hệ thống này
là khó có thể quản trị những danh sách mật khẩu cho một số lượng lớn người
dùng.
b) Giao thức xác thực mật khẩu PAP
Giao thức xác thực mật khẩu PAP (Passwork Authentication Protocol)
được thiết kế một các đơn giản cho một máy tính tự xác thực đến một máy tính
khác khi giao thức điểm-điểm PPP được sử dụng làm giao thức truyền thông.
PAP là một giao thức bắt tay hai chiều; đó là, máy tính chủ tạo kết nối gửi nhận
dạng người dùng và mật khẩu kép (passwork pair) đến hệ thống đích mà nó cố
gắng thiết lập một kết nối và sau đó hệ thống đích xác thực rằng máy tính đó
được xác thực đúng và được chấp nhận cho việc truyền thông. Xác thực PAP có
thể được dùng khi bắt đầu của kết nối PPP, cũng như trong suốt một phiên làm
việc của PPP để xác thực kết nối.
Khi một kết nối PPP được thiết lập, xác thực PAP có thể có thể được diễn
ra trong kết nối đó. Điểm ngang hàng gửi một nhận dnạg người dùng và mật
khẩu đến bộ xác thực cho đến khi bộ xác thực chấp nhận kết nối hay kết nối bị
huỷ bỏ. PAP không bảo mật bởi vì thông tin xác thực được truyền đi rõ ràng và
không có khả năng bảo mật chống lại tấn công trở lại hay lặp lại quá nhiều bởi
những người tấn công nhằm cố gắng dò ra mật khẩu đúng hay một cặp nhận
dạng người dùng.
c) Giao thức xác thực yêu cầu bắt tay CHAP
Giao thức xác thực mật khẩu yêu cầu bắt tay CHAP (Challenge Handshake
Authentication Protocol) được thiết kế cho việc sử dụng tương tự như PAP
nhưng là một phương pháp bảo mật tốt hơn đối với xác thực các kết nối PPP.
Người dùng

Máy tính
xác thực
Yêu cầu truy cập
Thách đố
Đáp ứng
Cho phép
1
3
2
Hình 4.1: Hệ thống đáp ứng thách đố người dùng
Đoàn Thanh Bình, D01VT
78
Đồ án tốt nghiệp Đại học Chương 4. Bảo mật trong VPN
CHAP là một giao thức bắt tay ba chiều bởi vì nó bao gồm ba bước để thực
hiện kiểm tra một kết nối, sau khi kết nối được khởi tạo đầu tiên hay tại bất kỳ
thời điểm nào sau khi kết nối được thiết lập. Thay vì dùng một mật khẩu hay
tiến trình chấp nhận giống như trong PAP, CHAP sử dụng một hàm băm một
chiều (one-way hashing function).
1. Máy tính xác thực gửi một bản tin thách đố (challenge massage) đến máy
tính ngang cấp (peer).
2. Máy tính ngang cấp tính toán một giá trị sử dụng một hàm băm một chiều
và gửi lại cho máy tính xác thực.
3. Máy tính xác thực có thể đáp ứng chấp nhận nếu giá trị gửi lại tương ứng
với giá trị mong muốn.
Tiến trình này có thể lặp lại tại bất kỳ thời điểm nào trong suốt quá trình
kết nối để đảm bảo rằng kết nối luôn được nắm quyền và không bị suy yếu trong
mội trường hợp. Máy chủ điều khiển quá trình xác thực tại CHAP.
PAP và CHAP có nhược điểm giống nhau, đó là:
- Đều phụ thuộc vào một mật khẩu bí mật được lưu trữ trên máy tính
của người dùng ở xa và máy tính nội bộ. Nếu bất kỳ một máy tính

nào chịu sự điều khiển của một kẻ tấn công mạng và bị thay đổi mật
khẩu bí mật thì không thể xác thực được.
- Không thể đăng ký chỉ định những đặc quyền truy cập mạng khác
nhau đến những người dùng ở xa khác nhau sử dụng cùng một máy
chủ.
CHAP là một phương pháp mạnh hơn PAP cho việc xác thực người dùng
quay số nhưng CHAP không thể đáp ứng những yêu cầu mang tính mở rộng
mạng. Cho dù khi không có bí mật nào truyền qua mạng thì phương pháp này
vẫn yêu cầu một lượng lớn các bí mật dùng chung chạy qua hàm băm, nên yêu
cầu băng thông lớn nhưng hiệu suất mạng lại thấp.
d) Hệ thống điều khiển truy cập bộ điều khiển truy cập đầu cuối TACACS
TACACS (Terminal Access Controler Access Control System) là hệ thống
được phát triển để không chỉ cung cấp cơ chế xác thực mà còn thực hiện chức
năng: cho phép (authorization) và tính cước (accouting). TACACS được thiế kế
như một hệ thống client/server mềm dẻo hơn và đặc biệt trong việc quản lý bảo
Đoàn Thanh Bình, D01VT
79
Đồ án tốt nghiệp Đại học Chương 4. Bảo mật trong VPN
mật mạng. Trung tâm hoạt động của TACACS là một máy chủ xác thực
TACACS.
Máy chủ xác thực TACACS giữ các yêu cầu xác thực từ phần mềm client
được cài đặt tại một gateway hay một điểm truy cập mạng. Máy chủ duy trì một
cơ sở dữ liệu nhận dạng người dùng, mật khẩu, PIN và các khoá bí mật được sử
dụng để được chấp nhận hay bị từ chối các yêu cầu truy cập mạng.Tất cả xác
thực, cấp quyền và dữ liệu tính cước được hướng đến máy chủ trung tâm khi
một người dùng truy nhập mạng.
Ưu điểm của TACACS là nó hoạt động như một máy chủ Proxy đối với
những hệ thống xác thực khác. Các khả năng của Proxy làm cho việc chia sẻ dữ
liệu bảo mật của VPN với ISP được dễ dàng hơn, điều này cần thiết khi một
VPN là nguồn xuất.

e) Dịch vụ xác thực người dùng quay số từ xa- RADIUS
RADIUS (Remote Authentication Dial-In Use Service) cũng sử dụng kiểu
client/server để chứng nhận một cách bảo mật và quản trị các kết nối mạng từ xa
của các người dùng với các phiên làm việc. RADIUS giúp cho việc điều khiển
truy cập dễ quản lý hơn và nó có thể hỗ trợ các kiểu xác thực người dùng khác
nhau bao gồm PAP, CHAP.
Kiểu RADIUS client/server dùng một máy chủ truy cập mạng NAS để
quản lý các kết nối người dùng. NAS có trách nhiệm chấp nhận các yêu cầu kết
nối của người dùng, thu thập các thông tin nhận dạng người dùng, mật khẩu
đồng thời chuyển thông tin này một cách bảo mật tới máy chủ RADIUS. Máy
chủ RADIUS thực hiện xác thực để chấp nhận hay từ chối cũng như khi có bất
kỳ dữ liệu cấu hình nào được yêu cầu để NAS cung cấp các dịch vụ đến đầu
cuối người dùng. Các client RADIUS và máy chủ RADIUS truyền thông với
nhau thông với nhau một cách bảo mật bằng việc sử dụng các bí mật dùng
chung cho việc xác thực và mã hoá trong truyền mật khẩu người dùng.
RADIUS tạo cơ sở dữ liệu đơn và tập trung và được lưu giữ tại máy chủ
RADIUS nhằm quản lý việc xác thực người dùng và các dịch vụ. Một người
dùng ở xa sử dụng RADIUS client sẽ có quyền truy cập đến các dịch vụ như
nhau từ bất kỳ một máy chủ nào đang truyền thông với máy chủ RADIUS.
Đoàn Thanh Bình, D01VT
80
Đồ án tốt nghiệp Đại học Chương 4. Bảo mật trong VPN
f) Các hệ thống phần cứng cơ bản
+ Smart card
Card thông minh (Smart card) là thiết bị có kích thước giống như một thẻ
tín dụng, bao gồm: một bộ vi xử lý được gắn chặt vào card và một bộ nhớ. Một
thiết bị đọc tương đương cho Smart card được yêu cầu để giao tiếp với Smart
Card. Smart Card có thể lưu giữ một khoá riêng của người dùng cùng với một số
ứng dụng nhằm đơn giản hoá tiến trình xác thực. Một số Smart Card hiện nay
gồm một bộ đồng xử lý mã hoá và giải mã làm cho việc mã hoá dữ liệu dễ dàng

hơn và nhanh hơn.
Các hệ thống chứng nhận điện tử được sử dụng trong Smart Card, nó yêu
cầu người dùng nhập vào một số nhận dạng cá nhân PIN để tiến hành quá trình
xác thực, thường thì số PIN được lưu trên Smart Card.
+ Các thiết bị thẻ bài (Token Devices)
Các hệ thống thẻ bài thường được dựa trên các phần cứng riêng biệt dùng
để hiển thị các mã nhận dạng (passcode) thay đổi mà người dùng sau đó phải
nhập vào máy tính để thực hiện việc xác thực.
Cơ chế hoạt động của thẻ bài: một bộ xử lý bên trong thẻ bài lưu giữ một
tập các khoá mã hoá bí mật được dùng để phát cho các mã nhận dạng một lần.
Các mã nhận dạng náy chuyển đến một máy chủ bảo mật trên mạng, máy chủ
này kiển tra tính hợp lệ từ đó đưa ra các quyết định cấp quyền hay không? Sau
khi các mã được lập trình, không có người dùng hay nhà quản trị nào có quyền
truy cập đến chúng.
Trước khi các người dùng được phép xác thực, các thết bị thẻ bài yêu cầu
một PIN, sau đó sử dụng một trong ba cơ chế khác nhau để xác định người dùng
là ai.
- Cơ chế đáp ứng thách đố (Challenge response): là cơ chế thông dụng nhất,
theo cơ chế này thì máy chủ sẽ phát ra một con số ngẫu nhiên khi người
dùng đăng nhập vào mạng. Một số thách đố xuất hiện trên màn hình của
người dùng và người dùng nhập vào các con số trong thẻ bài. Thẻ bài mã
hoá con số thách đố này với khoá bí mật của nó và hiển thị kết quả lên màn
hình và sau đó người dùng nhập kết quả đó vào trong máy tính. Trong khi
đó, máy chủ mã hoá con số thách đố với cùng một khoá và nếu như hai kết
quả này phù hợp thì người dùng sẽ được phép truy cập vào mạng.
Đoàn Thanh Bình, D01VT
81
Đồ án tốt nghiệp Đại học Chương 4. Bảo mật trong VPN
- Cơ chế sử dụng sự đồng bộ thời gian (Time Synchronization), cơ chế này
thẻ hiển thị một số được mã hoá với khoá bí mật mà khoá này sẽ thay đổi

sau 60 giây. Người dùng được nhắc cho con số khi cố gắng đăng nhập vào
máy chủ. Do các đồnghồ trên máy chủ và thẻ được đồng bộ nên máy chủ có
thẻ xác thực người dùng bằng cách giải mã con số thẻ và so sánh các kết
quả.
- Cơ chế đồng bộ sự kiên (event Synchronzation); theo cơ chế này, một bộ
đếm ghi lại số lần vào mạng được thực hiện bởi người dùng. Sau đó mỗi lần
vào mạng, bộ đếm được cập nhật và một mã nhận dạng khác được tạo ra
cho lần đăng nhập sau.
g) Hệ hống sinh trắc học
Hệ thống sinh trắc học dựa vào một số dấu vết cá nhân duy nhất để xác
thực người dùng như: vân tay, giọng nói, võng mạc…Tuy nhiên hệ thống được
sử dụng rộng rãi trong thực tế bởi vì giá thành đắt và các hệ thống bảo mật này
thường tích hợp trong một, làm cho chúng khó khăn trong việc giao tiếp với các
hệ thống khác. Hệ thống sinh trắc học chỉ phù hợp cho những nơi cần độ bảo
mật cao nhất và trong một phạm vi nhỏ.
4.1.2 Xác thực tính toàn vẹn dữ liệu
Xác thực tính toàn vẹn dữ liệu (Data integrity) bao gồm hai vấn đề:
- Phát hiện các bản tin bị lỗi (corrupted message): Phát hiện các lỗi bit đồng
thời xác định nguyên nhân lỗi là do phương tiện truyền dẫn hoặc do thiết bị
xử lý, lưu trữ. Giải pháp cho vấn đề này là sử dụng một giản lược thông
điệp MD (Message Digest) cho mỗi bản tin. MD hoạt động như một dấu
vân tay cho phép xác định duy nhất một bản tin.
- Bảo vệ chống sửa đổi bất hợp pháp bản tin (unauthorized modification):
Phát hiện ra những bản tin đã bị sửa đổi một cách bất hợp pháp trong quá
trình truyền dẫn. Có hai giải pháp cho vấn đề này trên cơ sở sử dụng mật
mã khoá đối xứng và mật mã khoá công cộng. Giải pháp khoá đối xứng tạo
ra một mã xác thực bản tin MAC (Message Authentication Code) dựa trên
một hàm giản lược thông điệp có khoá tác động (Keyed message digest
function). Giải pháp khoá công cộng tạo ra một chữ ký số (digital signature)
bằng cách mật mã giản lược thông điệp MD với khoá công khai của người

gửi.
Đoàn Thanh Bình, D01VT
82
Đồ án tốt nghiệp Đại học Chương 4. Bảo mật trong VPN
a) Giản lược thông điệp MD dựa trên hàm băm một chiều
MD là phương pháp sử dụng để phát hiện lỗi truyền dẫn, nó được thực hiện
bằng các hàm băm một chiều. Các hàm băm một chiều được sử dụng để tính
MD. Một hàm băm được coi là tốt nếu thoả mã các yêu cầu:
- Việc tính MD đơn giản, hiệu quả cho phép tính MD của các bản tin có kích
thước nhiều GB.
- Không có khả năng tính ngược lại bản tin ban đầu khi biết giá trị MD của
nó. Đây là lý do có tên gọi là hàm băm một chiều.
- Giá trị MD phải phụ thuộc vào tất cả các bit của bản tin tương ứng. Dù chỉ
một bit trong bản tin bị thay đổi, thêm vào hoặc xoá bớt thì sẽ có khoảng
50% các bit trong MD sẽ thay đổi giá trị một cách ngẫu nhiên. Hàm băm có
khả năng thực hiện ánh xạ message-to-digest giả ngẫu nhiên, nghĩa là với
hai bản tin gần giống hệt nhau thì mã hash của chúng lại hoàn toàn khác
nhau.
- Do bản chất ngẫu nhiên của hàm băm và số lượng cực lớn các giá trị hash
có thể, nên hầu như không có khả năng hai bản tin phân biệt có cùng giá trị
hash. Với các ứng dụng thực tế hiện nay có thể coi đầu ra của hàm băm
thực hiện trên một bản tin là dấu vân tay duy nhất cho bản tin đó.
Tài liệu hoặc
bản tin
MD5 SHA-1
160 bit128 bit
Tài liệu hoặc
bản tin
Hàm hash
Message Digest

Hình 4.2: Hàm băm thông dụng MD5, SHA-1
MD có độ dài cố định hoạt động như một dấu vân tay duy nhất cho một bản
tin có độ dài tuỳ ý. Với độ dài thông thường của một MD từ 128 đến 256 bit thì
có thể đại diện cho 10
38
÷10
70
giá trị vân tay khác nhau.
Có hai hàm băm thông dụng là MD5 (Message Digest #5) và SHA
(Security Hash Function). MD5 do Ron Rivest (RSA Security Inc) phát minh,
tính giá trị hash 128 bit (16 Byte) từ một bản tin nhị phân có độ dài tuỳ ý. SHA
Đoàn Thanh Bình, D01VT
83