NGHIÊN CỨU CÁC GIẢI PHÁP ĐẢM BẢO AN NINH CHO MẠNG RIÊNG ẢO VPN

Đề tài : NGHIÊN CỨU CÁC GIẢI PHÁP ĐẢM BẢO AN NINH CHO MẠNG RIÊNG ẢO VPN Luận văn được chia làm 03 chương : Chương 1 nói về tổng quan và các tiêu chuẩn, phân loại về mạng riêng ảo. Chương 2 đề cập đến các yếu tố ảnh hưởng đến an ninh mạng riêng ảo. Để có một mạng an toàn có nghĩa là các cơ chế bảo mật phải được đặt đúng nơi, đúng chỗ và các giải pháp đảm bảo an ninh cho mạng riêng ảo đó sẽ được trình bày trong Chương 3. Phần cuối cùng sẽ là kết luận của bản luận văn và hướng nghiên cứu tiếp theo.

Trang 1

Tôi xin cám ơn các thầy cô giáo Học viện Công nghệ Bưu chính Viễn thông

và các đồng nghiệp tại Viễn thông Hà Nội – nơi tôi công tác, đã có những giúp đỡ cho tôi trong quá trình công tác và học tập.

Cuối cùng, tôi xin gửi những lời cám ơn chân thành nhất tới cha mẹ, anh

em, bè bạn và vợ con của tôi, những người đã có nhiều động viên, khuyến khích với tôi trong cuộc sống cũng như trong học tập.

Hà Nội – 08/2008Nguyễn Minh Tuấn

Trang 2

MỤC LỤC

LỜI CẢM ƠN i

MỤC LỤC ii

THUẬT NGỮ VÀ CÁC CHỮ VIẾT TẮT vi

DANH MỤC HÌNH VẼ ix

MỞ ĐẦU 1

CHƯƠNG 1: TỔNG QUAN VÀ CÁC TIÊU CHUẨN VỀ MẠNG RIÊNG ẢO 2

1.1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO 2

1.1.1 Vài nét về mạng riêng : 2

1.1.2 Khái niệm mạng riêng ảo – VPN : 2

1.1.2.1 Các yếu tố thúc đẩy sự phát triển của VPN: 2

1.1.2.2 Lợi ích của mạng riêng ảo VPN 3

1.2 CHUẨN HOÁ, PHÂN LOẠI, CÔNG NGHỆ CÁC MẠNG RIÊNG ẢO LỚP 2 VÀ LỚP 3 4

1.2.1 Các chuẩn cho các mạng VPN 4

1.2.2 Giới thiệu về công nghệ: 4

1.2.3 VPN lớp 2: 5

1.2.3.1 Kiến trúc L2VPN: 6

1.2.3.2 Phân loại L2VPN-over-Packet: 6

1.2.4 VPN lớp 3: 10

1.2.4.1 Kiến trúc L3 VPN 10

1.2.4.2 Phân loại L3VPN 10

CHƯƠNG 2: CÁC YẾU TỐ ẢNH HƯỞNG ĐẾN AN NINH MẠNG VPN 15

2.1 XÁC ĐỊNH CÁC YÊU CẦU ĐỐI VỚI AN NINH MẠNG VPN 15

2.1.1 Tính tương thích (compatibility): 15

2.1.2 Tính bảo mật (security): 15

2.1.3 Tính khả dụng (Availability): 15

2.2 NHỮNG KIỂU ĐE DOẠ 16

2.3 ĐE DOẠ BẢO MẬT CÁC PHẦN TỬ CỦA VPN 17

Trang 3

2.4 TẤN CÔNG CÁC GIAO THỨC VPN 20

2.4.1 Tấn công vào PPTP 20

2.4.2 Tấn công vào IPSec 21

2.5 TẤN CÔNG GIẢI MÃ 22

2.5.1 Các tấn công chỉ nhằm vào văn bản mã hóa 22

2.5.2 Các tấn công plaintext đã biết được 23

2.5.3 Các tấn công plaintext được lựa chọn 23

2.5.4 Các tấn công Man-in-the-Middle 23

2.5.5 Các tấn công Brute Force 23

2.6 CÁC TẤN CÔNG TỪ CHỐI DỊCH VỤ 24

2.6.1 SYN floods 24

2.6.2 Broadcast Storm 25

2.6.3 Smurf DoS 25

2.6.4 Ping of Death 25

CHƯƠNG 3: GIẢI PHÁP ĐẢM BẢO AN NINH CHO MẠNG RIÊNG ẢO 26

3.1 AN TOÀN CƠ SỞ HẠ TẦNG 26

3.1.1 Những thách thức bảo mật doanh nghiệp 26

3.1.2 Chính sách bảo mật doanh nghiệp 26

3.1.3 Bảo mật doanh nghiệp 27

3.1.3.1 Bảo mật logic và bảo mật vật lý 28

3.1.3.2 Simple Network Management Protocol – SNMP 29

3.1.3.3 Nhận thực giao thức định tuyến – Routing Protocol Authentication 30

3.1.3.4 Bộ lọc định tuyến – Routing Filter 30

3.1.3.5 HTTP Access 31

3.2 CÔNG NGHỆ BẢO MẬT AAA 31

3.2.1 Sự bảo mật điều khiển truy nhập 31

3.2.1.1 Sự nhận thực 32

3.2.1.2 Cho phép (Authorization) 34

3.2.1.3 Sự thanh toán (Accounting) 35

Trang 4

3.2.2 Các giao thức AAA 35

3.2.2.1 TACACS+ 36

3.2.2.2 RADIUS 39

3.3 BẢO MẬT CHO ROUTER BIÊN 42

3.3.1 Unicast Reverse Path Forwarding 43

3.3.2 Chắn TCP (TCP Intercept) 44

3.3.3 Biên dịch địa chỉ mạng (Network Address Translation – NAT) 46

3.4 TẬP ĐẶC TÍNH TƯỜNG LỬA IOS 47

3.4.1 Sự điều khiển truy nhập dựa trên ngữ cảnh (Context-Based Access Control - CBAC) 48

3.4.1.1 Hỗ trợ giao thức điều khiển truy nhập dựa trên ngữ cảnh 49

3.4.1.2 Hoạt động của điều khiển truy nhập dựa trên ngữ cảnh 49

3.4.1.3 Điều khiển truy nhập dựa vào ngữ cảnh - CBAC và IPSec 52

3.4.2 Ánh xạ ứng dụng Cổng – Port Application Mapping 52

3.4.2.1 Ánh xạ System - defined 53

3.4.2.2 Ánh xạ User-defined 53

3.4.2.3 Ánh xạ Host-defined 53

3.4.3 Phát hiện sự xâm nhập tường lửa IOS 54

3.5 CÔNG NGHỆ MÃ HOÁ 55

3.5.1 Lợi ích của mã hoá 56

3.5.2 Mã hoá khoá đối xứng và bất đối xứng 57

3.5.2.1 Mã hoá khoá đối xứng 57

3.5.2.2 Mã hoá khoá bất đối xứng 59

3.5.2.3 Mã chung 62

3.6 INTERNET PROTOCOL SECURITY 62

3.6.1 Các kiểu gói IPSec 63

3.6.1.1 Mào đầu nhận thực – AH 63

3.6.1.2 Tải trọng bảo mật đóng gói 64

3.6.2 Các chế độ hoạt động IPSec 64

Trang 5

3.6.2.1 Chế độ Transport 64

3.6.2.2 Chế độ Tunnel 65

3.6.3 Quản lý khoá 67

3.6.3.1 Trao đổi khoá Internet (Internet Key Exchange – IKE) 67

3.6.3.2 Thoả thuận khoá Diffie-Hellman 68

KẾT LUẬN 69

PHỤ LỤC 1: Quá trình nhận thực Password Authentication Protocol (PAP) 71

PHỤ LỤC 2: Quá trình nhận thực Challenge Handshake Authentication (CHAP) 72

PHỤ LỤC 4: Quá trình điều khiển truy nhập dựa trên ngữ cảnh CBAC 75

PHỤ LỤC 5: Những giao thức lớp ứng dụng có thể được cấu hình toàn bộ cho CBAC 76

PHỤ LỤC 6: Các dịch vụ hỗ trợ cổng system-defined 77

PHỤ LỤC 7: Thuật toán RSA 78

PHỤ LỤC 8: Thuật toán Diffie-Hellman 79

TÀI LIỆU THAM KHẢO 80

THUẬT NGỮ VÀ CÁC CHỮ VIẾT TẮT

3DES Triple Data Encryption Standard Chuẩn mã dữ liệu 3DES

Trang 6

AAA Authentication – Authorization –

Accounting

Nhận thực – Cho phép – Thanhtoán

ACL Access Control List Danh sách điểu khiển truy nhậpBGP Border Gateway Protocol Giao thức cổng biên

CA Certification Authority Quyền Chứng nhận

CBAC Context-Based Access Control Sự điều khiển truy nhập dựa trên

ngữ cảnh CDS Certificate Distribution System Hệ thống phân phối chứng chỉ CEF Cisco Express Forwading Cơ chế chuyển tiếp dựa trên mô

hình lớp 3 cải tiến, nó tối ưu hoáhiệu năng mạng và cung cấp cácđặc tính lưu lượng internet chogiao thức IP

DES Data Encryption Standard Chuẩn mã dữ liệu

DLCI Data link channel identifier Nhận dạng kênh liên kết dữ liệu ERS Ethernet relay service Ethernet VPWS tính toán số

VLAN và đề xuất dịch vụ giốngnhư frame-relay cho người sửdụng

EWS Ethernet wire service Ethernet VPWS phân phối các

dịch vụ dựa trên cổng based service)

(port-FIB Forwarding Information Base Cơ sở thông tin chuyển tiếpIDS Intrusion detection system Hệ thống phát hiện xâm nhậpIKE Internet key exchange Trao đổi khóa Internet

IKE SA IKE Security Association Liên kết bảo mật IKE

IPSec Internet Protocol Security Bảo mật giao thức internet

ISAKMP Internet Security Association Key

Management Protocol

Giao thức quản lý khoá liên kếtbảo mật Internet

GRE Generic Routing Encapsulation Giao thức mã hóa định tuyến

L2TP Layer 2 Tunneling Protocol Giao thức đường hầm lớp 2

Trang 7

L2VPN Layer 2 virtual private network Mạng riêng ảo lớp 2

L3VPN Layer 3 virtual private network Mạng riêng ảo lớp 3

MAC Media access control Điều khiển truy nhập thiết bịMEF Metro Ethernet Forum Forum Ethernet Metro

MIB Management Information Base Cơ sở thông tin quản lý

MPPE Microsoft point-to-point encryption Mã hóa điểm-tới-điểm của

Microsoft NAS Network Access Server Máy chủ truy cập mạng

NAT Network address Translation dịch chuyển địa chỉ mạng-

OAM Operation , administration , and

maintenance

Bảo dưỡng, quản lý, khai thác

PAM Port Application Mapping Ánh xạ ứng dụng cổng

PKI Public Key Infrastructure Cở sở hạ tầng của mã chung PPP Point-to-Point Protocol giao thức điểm-nối-điểm

PPTP Point-to-Point Tunneling Protocol Giao thức Tunnelling điểm nối

điểmPVC Permanent virtual circuit Kênh ảo cố định

RADIUS Remote Access Dial-In User Service Dịch vụ người sử dụng quay số

truy nhập từ xa

SHA Secure Hash Algorithm Thuật toán hash bảo mật

TACACS Terminal Access Controller Access

Control System

Hệ thống điều khiển truy nhậpnhững thiết bị điều khiển truynhập đầu cuối

TLS Transport Layer Security Bảo mật lớp truyền dẫn

User

VPLS Multipoint virtual private LAN

service

Dịch vụ LAN riêng ảo đa điểm

VPN Virtual Private Network Mạng riêng ảo

Trang 8

VPDN Virtual Private Dial-up Network Mạng riêng ảo Dial-up

VPWS The point-to-point virtual

private wire service

Dịch vụ dây riêng ảo điểm-tới-điểm

VPLS Multipoint virtual private LAN

service

Dịch vụ LAN riêng ảo đa điểm

DANH MỤC HÌNH VẼ

Hình 1.1: Kiến trúc L2VPN 5

Hình 1.2: Kiến trúc L2VPN 6

Hình 1.3: Kiến trúc đơn giản của VPLS 9

Hình 1.4: Hệ thống VPLS với PE phân bố 10

Hình 1.5: Các thành phần phổ biến của L3VPNs dựa trên nền mạng 11

Hình 2.1: Các phần tử của một mạng dựa trên VPN 18 Hình 2.2: Vai trò của một ISP giả trong việc truyền dữ liệu có hại cho một mạng

Trang 9

intranet của một tổ chức 19

Hình 2.3 Vai trò của một router giả trong việc truyền dữ liệu có hại cho một mạng intranet của một tổ chức 20

Hình 3.1: Mào đầu gói tin TACACS+ 36

Hình 3.2: Nhận thực TACACS+ 38

Hình 3.3: Quá trình cho phép TACACS+ 39

Hình 3.4: Quá trình nhận thực của RADIUS 41

Hình 3.5: Quá trình thanh toán của RADIUS 42

Hình 3.6: Bắt tay ba chiều TCP 45

Hình 3.7 : Hoạt động cơ bản của CBAC 50

Hình 3.8: Ví dụ về mã hoá khoá đối xứng 58

Hình 3.9: Ví dụ về mã hoá khoá bất đối xứng 60

Hình 3.10: Hai mode của IPSec 64

Hình 3.11: AH trong chế độ transport 65

Hình 3.12: ESP trong chế độ transport 65

Hình 3.13: AH trong chế độ tunnel 66

Hình 3.14: ESP trong chế độ tunnel 66

Hình 4.1: Nhận thực PAP một chiều 71

Hình 4.2: Nhận thực CHAP ba chiều 72

Trang 10

MỞ ĐẦU

Internet đã thay đổi cách người ta sống, làm việc, và vui chơi Thậm chí, nó

đã làm thay đổi cả phương thức điều hành doanh nghiệp cũng như phương thứctruyền thông tin Càng ngày càng nhiều doanh nghiệp đang sử dụng mạng riêng ảoVPN để điều hành các hoạt động kinh doang của doanh nghiệp Về nguyên tắc, cácmạng riêng ảo VPN có thể được xây dựng trên cơ sở hạ tầng mạng của một nhàcung cấp duy nhất hoặc được xây dựng dựa trên hạ tầng mạng của nhiều nhà cungcấp Sự phát triển của dịch vụ tạo mạng riêng ảo trên Internet (IP VPN) là một xuthế tất yếu trong quá trình hội tụ giữa Internet và các mạng dùng riêng Internet sởhữu khả năng vô tận cho doanh nghiệp, nhưng doanh nghiệp cũng phải cân nhắc về

sự an toàn cần thiết để bảo vệ doanh nghiệp Trong phạm vi luận văn, các mạngVPN được xem xét dựa trên hạ tầng mạng Internet toàn cầu có tính ứng dụng caohơn, quy mô lớn hơn và có nhiều vấn đề kỹ thuật cần giải quyết Khi xây dựngmạng riêng ảo thì cần đạt được 03 yêu cầu là tính xác thực, tính toàn vẹn và tínhbảo mật Các yêu cầu này được đề cập trong luận văn “Nghiên cứu các giải phápđảm bảo an ninh cho mạng riêng ảo VPN”

Luận văn được chia làm 03 chương Chương 1 nói về tổng quan và các tiêuchuẩn, phân loại về mạng riêng ảo Chương 2 đề cập đến các yếu tố ảnh hưởng đến

an ninh mạng riêng ảo Để có một mạng an toàn có nghĩa là các cơ chế bảo mật phảiđược đặt đúng nơi, đúng chỗ và các giải pháp đảm bảo an ninh cho mạng riêng ảo

đó sẽ được trình bày trong chương 3

Phần cuối cùng sẽ là kết luận của bản luận văn và hướng nghiên cứu tiếp theo

Trang 11

CHƯƠNG 1: TỔNG QUAN VÀ CÁC TIÊU CHUẨN VỀ MẠNG RIÊNG

ít lưu thông)

Mạng máy tính ban đầu được triển khai với 2 kỹ thuật chính: đường thuê riêng(leased line) cho các kết nối cố định và đường quay số (dial-up) cho các kết nốikhông thường xuyên Các mạng này có tính bảo mật cao, nhưng với lưu lượng dữliệu thay đổi và sự đòi hỏi tốc độ cao nên đã tạo sự thúc đẩy hình thành một kiểumạng dữ liệu mới Các mạng riêng được xây dựng trên các kênh lôgích có tính

“ảo” đầu tiên đã được xây dựng trên mạng chuyển mạch gói X.25, Frame relay vàATM

1.1.2 Khái niệm mạng riêng ảo – VPN :

Mạng riêng ảo (VPN) được định nghĩa như mạng thông tin giới hạn giữa cácđiểm kết nối sử dụng mạng đường trục chia sẻ lưu lượng với các loại thông tinkhác Từ cuối thế kỷ trước, các nhà cung cấp dịch vụ đã tìm cách cung cấp cho cáckhách hàng là doanh nghiệp dịch vụ VPN kết hợp với các yêu cầu khác sử dụnghiệu quả mạng lõi chuyển mạch gói

Về cơ bản, mạng riêng ảo VPN là một mạng riêng sử dụng hệ thống mạngcông cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa vớimột mạng LAN ở trụ sở trung tâm

1.1.2.1 Các yếu tố thúc đẩy sự phát triển của VPN:

 VPN có thể được phát triển trên nhiều môi trường khác nhau: X.25, Frame

Trang 12

Relay, ATM, Internet Tuy nhiên trên các môi trường khác nhau thì sự pháttriển của VPN có các đặc điểm khác nhau về mặt kỹ thuật cũng như về mặtđáp ứng yêu cầu của khách hàng

 Sự phát triển của dịch vụ tạo mạng riêng ảo trên Internet (IP VPN) là một xuthế tất yếu trong quá trình hội tụ giữa Internet và các mạng dùng riêng

Các lý do dẫn đến quá trình hội tụ giữa Internet và các mạng dùng riêng:

 Sự gia tăng số lượng nhân viên hoạt động phân tán gây khó khăn trong việcquản lý của các mạng dùng riêng Nhu cầu liên lạc trong khi đi công tác hay

xu hướng làm việc trong khi đi công tác hay xu hướng làm việc tại nhà, xuhướng hội nhập và mở rộng của các công ty diễn ra mạnh mẽ làm cho các hệthống mạng dùng riêng không kịp đáp ứng các yêu cầu mở rộng và bảo trìmạng riêng của chính công ty

 Xu hướng làm việc với nhiều nhà cung cấp dịch vụ, sản phẩm cũng như đốivới nhiều đối tượng khách hàng khác nhau

 Chi phí cho việc cài đặt và duy trì một mạng diện rộng là lớn

 Nhu cầu tích hợp và đơn giản hoá giao diện cho người sử dụng

1.1.2.2 Lợi ích của mạng riêng ảo VPN

 Giảm thiểu chi phí sử dụng so với việc kết nối mạng diện rộng dùng cáckênh thuê riêng

 Giảm thiểu thiết bị sử dụng

 Chi phí thấp: giảm thiểu việc lãng phí băng thông, khách hàng có thể trả theocước lưu lượng sử dụng và thực tế chỉ phải trả cho chi phí kết nối Internetthông thường, như vậy, cước phí của việc sử dụng đường truyền Internet phổthông sẽ rẻ hơn nhiều so với thuê đường truyền riêng

Trang 13

lưới sẵn có vì vậy giảm thiểu thời gian cung cấp dịch vụ.

 Đối với nhà cung cấp dịch vụ:

 Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch

vụ gia tăng giá trị khác kèm theo

 Tăng hiệu quả sử dụng mạng Internet hiện tại

 Đầu tư không lớn, hiệu quả đem lại cao

 Mở ra nhiều lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ,thiết bị sử dụng cho mạng VPN

1.2 CHUẨN HOÁ, PHÂN LOẠI, CÔNG NGHỆ CÁC MẠNG RIÊNG ẢO

LỚP 2 VÀ LỚP 3

1.2.1 Các chuẩn cho các mạng VPN

Thuật ngữ mạng riêng ảo được hiểu rất rộng và nghĩa khác nhau đối với các đối

tượng khác nhau Hơn nữa, có nhiều cách để phân biệt mạng VPN Đầu tiên, cáchtiếp cận VPN được phân loại theo trách nhiệm quản lý Việc chuẩn hoá chú trọng

đến lớp PPVPN (Provider Provisioned VPN), lớp được phân loại nhỏ hơn nữa theo

cách tiếp cận công nghệ cơ bản: sử dụng mạng đường trục đặc biệt lớp 1 hay lớp 2hoặc là sử dụng mạng đường trục được điều khiển bởi các giao thức nền IP/MPLS.Các mạng PPVPN đã được phân loại theo vị trí đặt thiết bị VPN đặc biệt như là:mạng VPN dựa trên biên khách hàng (Customer edge-based VPNs) hay mạng VPN

dựa trên biên nhà cung cấp (Provider edge-base VPNs) Lớp mạng VPN dựa trên

biên nhà cung cấp cũng được hiểu như network-based VPN Lớp mạng VPN dựatrên biên nhà cung cấp lại được phân loại theo dịch vụ cung cấp: L1 VPNs cung cấpdịch vụ lớp 1, L2 VPNs cung cấp dịch vụ lớp 2 (Ethernet, ATM, hay Frame Relay)

và L3 VPNs cung cấp dịch vụ lớp 3

1.2.2 Giới thiệu về công nghệ:

Có nhiều cách để sắp đặt các dịch vụ VPN và cũng có nhiều cách dự định, pháttriển phương pháp thiết kế khác nhau Hai nhóm làm việc của IETF sẽ giúp đỡ giảmbớt các phương pháp và các chuẩn cho các hệ thống VPN Hai nhóm làm việc này

Trang 14

tập trung vào các mạng VPN lớp 2 và lớp 3 và được đặt tên tương ứng là L2VPN,L3VPN

Trong luận văn này, lớp 3 đồng nghĩa với giao thức internet (IP); như vậy, mộtmạng VPN lớp 3 (L3VPN) là một mạng IP VPN

1.2.3 VPN lớp 2:

L2VPN tồn tại trên 30 năm Hiện tại, các dịch vụ L2 dựa trên frame relay vàATM Tuy nhiên, nhiều nhà cung cấp dịch vụ đang xây dựng các mạng L2 tách biệtvới các mạng nền IP và tách biệt với mạng quang Một vài nhà cung cấp đã kết luậnrằng các mạng đa mục đích sẽ hiệu quả về giá hơn khai thác nhiều mạng mục đíchriêng biệt

Điều này khiến người ta nghĩ ngay đến phương pháp hội tụ hạ tầng mạng L2qua hạ tầng mạng đơn giản Phương pháp được quan tâm là phân phối các dịch vụL2 qua mạng IP lớp 3

Hình 1.1: Kiến trúc L2VPN

Có hai mô hình dịch vụ được phân phối trong L2VPN Đầu tiên là mô hìnhđiểm tới điểm, được đề nghị bởi công nghệ như frame relay và ATM dựa trên cáckênh ảo riêng biệt giữa hai đầu cuối định tuyến L3 Mô hình này bao gồm cả dịch

Trang 15

vụ điểm tới điểm Ethernet Mô hình thứ hai là dịch vụ đa điểm qua Ethernet, cungcấp các địa chỉ MAC và tái tạo gói tin để thực hiện dịch vụ WAN.

Ứng dụng của công nghệ L2VPN là tạo ra hub và cấu trúc mạng hình lưới, lướicục bộ từ các kết nối điểm-tới-điểm để liên kết các site VPN Điều này khác với môhình L3VPN, mô hình đưa ra dịch vụ kiểu point-to-cloud

1.2.3.1 Kiến trúc L2VPN:

Cơ cấu tổ chức của L2VPN có thể tóm tắt như hình 1.1 Lưu lượng L2 trongmạch ảo riêng biệt – mạng LAN ảo frame relay, ATM hay Ethernet (VLAN) - đượctruyền qua mạng lõi (IP hay MPLS) trong đường giả lập (pseudo-wires) Phươngpháp này giúp phạm vi dịch vụ cung cấp cho một số lượng rất lớn khách hàng khicác thiết bị định tuyến trong mạng gói chỉ cần biết về các đường hầm giữa hai thiết

bị biên mà không biết tất cả các kết nối L2 riêng biệt tồn tại giữa hai thiết bị biên

đó Tổng quát, tải L2 được đóng gói với mào đầu pseudo-wire và nó lại được đónggói trong mào đầu đường hầm Mào đầu pseudo-wire hoạt động như một trườngtách kênh ở cuối đường hầm

1.2.3.2 Phân loại L2VPN-over-Packet:

Hình 1.2: Kiến trúc L2VPN.

Trang 16

Hình 1.2 định nghĩa thuật ngữ được sử dụng khi phân loại các công nghệL2VPN-over-Packet Một tập các dịch vụ có thể được phân phối qua mạng IP hoặc

sử dụng đường hầm dựa trên IP hoặc sử dụng đường hầm chuyển mạch nhãn đagiao thức Hai loại L2VPN là dịch vụ dây riêng ảo điểm-tới-điểm (VPWS) và dịch

vụ LAN riêng ảo đa điểm (VPLS) VPWS cung cấp sự cạnh tranh các kết nối L2đối với các nhận dạng kênh liên kết dữ liệu (DLCI - Data link channel identifier)frame relay, các mạch ảo cố định (PVC) ATM, khuôn dạng kênh thuê riêng vàEthernet

Trong trường hợp Ethernet VPWS, dịch vụ có thể là Ethernet relay service(ERS) hoặc là Ethernet wire service (EWS) ERS đưa vào tính toán số VLAN và đềxuất dịch vụ giống như frame-relay cho người sử dụng cuối với số VLAN thay thếchức năng frame relay DLCI EWS phân phối các dịch vụ dựa trên cổng (port-basedservice) tức là bất cứ cái gì vận chuyển qua cổng trên đường giả lập (pseudo-wire)

và không có sự sửa chữa số VLAN đặc biệt nào

Một mạng riêng ảoVPWS là tập hợp các mạch L2 hoặc các đường giả lập.Việc tạo đường giả lập để thành hình một L2VPN phụ thuộc vào việc định nghĩađóng gói để giả lập hay truyền tải tunnel, mức điều khiển quản lý phiên và báo lỗi,khả năng tự động dò tìm Để triển khai, cần khả năng dự phòng và khả năng bảodưỡng, quản lý, khai thác (OAM) để quản lý dịch vụ

Nội dung của các mào đầu đóng gói đường hầm và giả lập cần được chuyểnbằng tín hiệu thông qua mạng gói, cùng với thông tin tình trạng mạch Báo hiệu cóthể sử dụng kỹ thuật điểm tới điểm (point-to-point) hoặc truyền đại chúng Phươngpháp điểm tới điểm yêu cầu trực tiếp điều khiển các phiên giữa mỗi đôi dây của các

PE để hỗ trợ trao đổi dữ liệu điều khiển Phương pháp truyền đại chúng thúc đẩycác cơ sở hạ tầng Border Gateway Protocol(BGP) hiện hữu giữa các mạng nhàcung cấp, cho phép một kênh điều khiển đơn tới một BGP định tuyến phản hồi được

sử dụng để gửi một bản sao thông tin của cho tất cả các thiết bị PE khác

Trang 17

Về mặt kỹ thuật cả hai phương pháp đều được tiến hành, và cuộc tranh luận vềphương pháp nào có hiệu quả nhất và tốt nhất để tiếp tục triển khai Vấn đề trungtâm là cuộc tranh luận quanh liệu dữ liệu cần được báo hiệu như một phần của mộtVPWS VPN cần truyền tới tất cả các thành viên khác của VPN đó Nếu cấu trúcVPWS là một Mesh đầy đủ, thì có các đối số tốt để gửi dữ liệu báo hiệu cho tất cảcác thành viên VPN Nếu cấu trúc đó không phải là một Mesh đầy đủ, thì yêu cầucho phát rộng các yếu tố báo hiệu tới tất cả các VPN ngang hàng là ít thuyết phụchơn Hiện nay có ít hơn 20% mạng nhà cung cấp triển khai các mạng riêng ảo L2VPN dùng cấu trúc Mesh đầy đủ

Trong điều kiện dự phòng gói mới căn cứ vào các đường truyền L2VPN, cũng

có hai phương pháp Trước tiên, lặp lại thói quen hiện tại, sử dụng tài liệu hoặc cácphương pháp quản lý mạng cơ bản Sau đó là một phương pháp dự phòng tự độngđược định rõ việc sử dụng cơ chế báo hiệu phát rộng hoặc cơ chế báo hiệu điểm tớiđiểm

Riêng dự phòng giả lập yêu cầu dự phòng các mạch đính kèm (AC attachment circuits) tại mỗi giao diện PE/CE, một đường giả lập chỉ rõ sự nhận biếtmạch ảo (VC - ID) và PE từ xa VC - ID phải là duy nhất giữa đôi dây của các PE

-Mô hình dự phòng tự động được căn cứ trên khái niệm “colored pools”, nghĩa làmỗi PE sẽ có nhóm các mạch nhận biết riêng biệt cho mỗi VPN khác nhau Cơ chếnày cũng yêu cầu các AC dự phòng, nhưng mỗi AC được đặt trong một nhóm màuđặc trưng Bằng cách tự động phát hiện, mỗi PE biết được tất cả các PE khác vớinhóm cùng màu

Những đề nghị sử dụng BGP như cơ chế tự động phát hiện là RADIUS cũngđược xem xét cho chức năng này

Tương tự VPWS, VPLS được xây dựng trên đường giả lập L2 Tuy nhiên, kiếnthức địa chỉ MAC nguồn, các khung unicast và broadcast, và chuyển tiếp dựa vàođịa chỉ MAC cũng được định nghĩa, vì vậy dịch vụ VPLS vận hành như một chuyểnmạch LAN tới người dùng cuối Điều này này được minh họa trong hình 1.3

Trang 18

Hình 1.3: Kiến trúc đơn giản của VPLS.

Điểm chính của dịch vụ VPLS là các site VPN kết nối giả lập phải sử dụng cấutrúc lưới đầy đủ như vậy đường biên phân chia có thể được sử dụng để ngăn chặncác vòng lặp Việc ngăn chặn này cần cho việc thực hiện giao thức cây trong lõi IP/MPLS Qui tắc đường biên phân chia được dùng để dừng các vòng lặp, bằng việcngăn chặn một PE chuyển dữ liệu thu được từ một đường giả lập trong một VPLStới bất kỳ đường giả lập nào khác; nó chỉ được chuyển tới các mạch đính kèm.Trong trường hợp VPWS, có những đề nghị cho sự thực hiện VPLS dựa vào

cơ chế báo hiệu điểm tới điểm và dựa vào cơ chế quảng bá dựa trên BGP

Virtual Private LAN Services over MPLS sử dụng một mạng truy nhập dựavào thẻ khách hàng khung Ethernet theo IEEE 802.1q, để giúp thay đổi dịch vụ vàgiảm giá bằng việc giảm chuyển mạch Ethernet như các khối thiết bị Khái niệmnày được minh họa trong hình 1.4

Trong hình này, các thiết bị PE có năng lực MPLS đắt hơn thường khôngđược dùng để mở rộng tới ranh giới của nhà cung cấp mạng

Trang 19

1.2.4.2 Phân loại L3VPN

Theo nhóm làm việc L3VPN của IETF, ba phương pháp nổi bật như nhữngtiêu chuẩn Đó là BGP/MPLS IP VPN, virtual router IP VPN, và CE-based IPSecVPN

Trang 20

Hình 1.5: Các thành phần phổ biến của L3VPNs dựa trên nền mạng.

Hình 1.5 miêu tả các phần tử phổ biến của hai phương pháp L3VPN dựa trêntrên nền mạng (RFC 2547 bis và VR):

• Cả hai phương pháp cung cấp cách để lưu trữ và duy trì sự chia tách giữanhững vùng địa chỉ chồng lấp của nhiều khách hàng VPN Đối với phương pháp

VR, đây là là bảng định tuyến của từng VR được cấu hình cho mỗi VPN; RFC 2547

chỉ rõ bảng định tuyến và chuyển tiếp VPN (VPN routing and forwading – VRF) cho từng VPN Tổng quát, các cơ chế này là trường hợp chuyển tiếp ảo (Virtual forwading instances – VFI).

Trang 21

• Cả hai nhà cung cấp những cơ chế tương tự để tiếp nhận những thông tin cóthể với tới được (các mạng IP hoặc những mạng subnets) từ mỗi vị trí Mỗi cơ chế

có thể sử dụng các giao thức định tuyến IP chuẩn hoặc cấu hình tĩnh

• Cả hai định địa chỉ yêu cầu để phân phối tính có thể với tới (reachability) vị

trí khách hàng (hoặc định tuyến) qua VPN, và dễ dàng phát hiện các thành viên củaVPN

• Cả hai sự hỗ trợ cấu trúc đường hầm tunnel giữa các PE hoặc các VR hỗ trợkhách hàng trong một VPN Các đường hầm làm đơn giản yêu cầu để bảo trì sựphân luồng dữ liệu giữa nhiều VPN khác nhau trong mạng của nhà cung cấp dịch

vụ Phương pháp VR có thể sử dụng bất kỳ loại cơ chế đường hầm nào được hỗ trợbởi mạng của nhà cung cấp dịch vụ, bao gồm các kênh ATM hoặc kênh Framerelay, trong khi đó RFC 2547bis chỉ định nghĩa việc sử dụng đường hầm dựa trênMPLS - hoặc IP

Cả hai phương pháp L3VPN RFC 2547bis lẫn VR có thể làm cho việc sử

dụng tự động phát hiện dựa trên BGP (BGP-based auto-discovery) để cung cấp các

khả năng tham gia VPN Tự động phát hiện dựa trên BGP là một cơ chế mà cácrouter PE (hoặc VR) điều khiển kết nối tới một VPN đặc biệt để phát hiện tất cả cácrouter PE khác (hoặc các VR) cùng được nối tới VPN đó Để tự động phát hiện dựatrên BGP làm việc, mỗi PE/VR sử dụng BGP để thông báo rằng nó kết nối tới mộtVPN cụ thể nào đó Tất cả các PE/VR khác trong mạng nhận các thông báo BGPnày

Trong RFC 2547 bis, SP phải sử dụng BGP trong mạng lõi BGP trao đổi các

lộ trình của mỗi VPN giữa tất cả các bộ định tuyến PE trong VPN đó Phương phápRFC 2547 bis chỉ rõ việc sử dụng các nhãn MPLS để xác định và phân luồng các

Trang 22

VPN khác nhau Điều này bảo đảm rằng tất cả các lộ trình từ nhiều VPN có thể duytrì sự phân tách, thậm chí trong nhiều trường hợp, nhiều VPN có thể chia sẻ cùngđịa chỉ IP đó.

RFC 2547 bis phụ thuộc vào các cơ chế MPLS trong mạng SP, và định nghĩalàm thế nào các nhãn MPLS và BGP, hoạt động như một loại cơ sở dữ liệu phânphối, cung cấp các cơ chế để chuyển giao các dịch vụ VPN Mỗi lộ trình VPN cóliên hệ với một nhãn MPLS, và khi một lộ trình VPN được truyền qua mạng SPbằng BGP, các nhãn MPLS được truyền cùng lộ trình

RFC 2547 bis thiết lập các đường hầm qua mạng đường trục SP giữa các PEtrong một VPN, và các gói MPLS di chuyển qua những đường hầm này tới PE đíchthích hợp RFC 2547 bis không nhất thiết yêu cầu các đường hầm MPLS qua mạngđường trục SP giữa các PE Các đường hầm có thể sử dụng IPSec Với bất kỳ kiểuđường hầm nào, kết quả vô cùng quan trọng của việc sử dụng các đường hầm vàđóng gói MPLS là các bộ định tuyến đường trục không tải bất kỳ kiến thức lộ trìnhnào của các VPN riêng biệt

Kiến trúc chủ yếu thứ hai trở thành tiêu chuẩn hóa cho các L3VPN trên nềnmạng được gọi đặt tên theo bộ phận quan trọng của nó, bộ định tuyến ảo Một VRcung cấp tất cả các khả năng của một bộ định tuyến vật lý riêng lẻ, nhưng là một sự

mô phỏng thật sự của một bộ định tuyến, được khởi tạo khi cần trên thiết bị PE của

SP Nhiều VR có thể tồn tại trên một thiết bị PE đơn Nhiều thiết kế PE thực hiệnkhái niệm VR với những kiến trúc bên trong khác nhau, nhưng tất cả cung cấp cácdịch vụ L3VPN trên nền VR với một tập các thuộc tính được định nghĩa

Như mô phỏng một bộ định tuyến vật lý, một VR cung cấp những cơ chế cùngloại đó, với những công cụ quản lý liên quan Nó cung cấp để cấu hình các giaodiện lôgíc và định tuyến giữa các giao diện liên quan, cùng với những phương tiệnchuyển đổi các giao diện lôgíc thành những giao diện vật lý của PE Các VR đạidiện cho các VPN khác nhau, như vậy chúng phải duy trì những bảng định tuyếnđộc lập, và chúng bị cô lập một cách logic, sao cho, sự hoạt động của một VR sẽkhông ảnh hưởng tới các VR khác trên PE đó Một khi các VR độc lập, một vùngđịa chỉ của VPN có thể chồng lên vùng địa chỉ của VPN khác

Trang 23

Từ quan điểm của khách hàng, VR xuất hiện như một bộ định tuyến liền kềtrong mạng khách hàng CE trao đổi thông tin định tuyến với VR CE gửi luồng dữliệu tới những site VPN khác qua VR VR nối tới một site CE chịu trách nhiệm traođổi thông tin định tuyến với tất cả các VR khác trong VPN đó.

Kiểu thứ ba của phương pháp L3VPN phân biệt rõ ràng với các mô hình VR

và RFC 2547 bis Nó nối liền các thiết bị CE tại nhiều site VPN qua Internet, traođổi các gói IP giữa các site Để cung cấp sự an toàn cho lưu lượng VPN trong khi

nó truyền qua Internet, gần như tất cả các VPN dựa trên CE sử dụng IPSec Nhưvậy, một VPN IPSec dựa trên CE có thể được xây dựng và quản lý bởi một tổ chức,hoặc do một SP cung cấp

Nhiều vùng quan trọng khác nhau cho các VPN IPSec nói riêng đã hoàn toànđược chỉ rõ bởi IETF, bao gồm :

Tunnel mode với transport mode: Mặc dù RFC 2401 hiện tại chỉ rõ rằng chế

độ đường hầm chỉ có thể được sử dụng giữa các cổng Gateway IPSec (các CE), chế

độ truyền áp dụng cho dữ liệu được đóng gói IP-in-IP cung cấp sự an toàn tươngđương và những thuộc tính tốt hơn để hỗ trợ định tuyến động RFC 2401 bis hiện tạicho phép transport mode giữa những cổng Gateway, nhưng quan trọng vẫn còn cótranh luận về việc làm thế nào để hai chế độ này tương tác với các giao thức địnhtuyến động

Chứng chỉ Số và IPSec: Việc sử dụng những chứng chỉ số bị ràng buộc tới cơ

sở hạ tầng khóa công khai (PKI) cung cấp những lợi ích an toàn cho các VPNIPSec, nhưng vô số tùy chọn để cấu hình các chứng chỉ, cùng với các điều kiện giớihạn để tự động thương lượng trong IKE, đã dẫn tới vài thực hiện chứng chỉ có thểhoạt động cung nhau trong môi trường VPN IPSec

Định tuyến động: Không có các tiêu chuẩn rõ ràng cho việc truyền và ứng

dụng các giao thức định tuyến giữa các cổng Gateway IPSec, và sự tương tác củađịnh tuyến động với các chức năng giống như tường lửa của IPSec, ặc biệt với chế

độ hầm

Trang 24

CHƯƠNG 2: CÁC YẾU TỐ ẢNH HƯỞNG ĐẾN AN NINH MẠNG VPN2.1 XÁC ĐỊNH CÁC YÊU CẦU ĐỐI VỚI AN NINH MẠNG VPN

Mạng riêng có môi trường bảo mật cao nên xác suất bị truy cập trái phép là rấtthấp Còn đối với mạng riêng ảo VPN do sử dụng Internet và các mạng công cộngkhác như PSTN để liên lạc do đó mà độ an toàn mạng không cao Có 3 yêu cầu cầnđạt được khi xây dựng mạng riêng ảo:

2.1.1 Tính tương thích (compatibility):

Mỗi công ty, mỗi doanh nghiệp đều được xây dựng các hệ thống mạng dựatrên các thủ tục khác nhau và không tuân theo một chuẩn nhất định của nhà cungcấp dịch vụ Rất nhiều các hệ thống mạng không sử dụng các chuẩn TCP/IP vì vậykhông thể kết nối trực tiếp với Internet Để có thể sử dụng được IP VPN tất cả các

hệ thống mạng riêng đều phải được chuyển sang một hệ thống địa chỉ theo chuẩn sửdụng trong Internet cũng như bổ sung các tính năng về tạo kênh kết nối ảo, cài đặtcổng kết nối Internet có chức năng trong việc chuyển đổi các thủ tục khác nhausang chuẩn IP

2.1.2 Tính bảo mật (security):

Tính bảo mật cho khách hàng là một yếu tố quan trọng nhất đối với một giảipháp VPN Người sử dụng cần được đảm bảo các dữ liệu thông qua mạng VPN đạtđược mức độ an toàn Việc cung cấp tính năng bảo đảm an toàn cần đảm bảo haimục tiêu sau:

 Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu chongười sử dụng trong mạng và mã hoá dữ liệu khi truyền

 Đơn giản trong việc duy trì quản lý, sử dụng Đòi hỏi thuận tiện và đơngiản cho người sử dụng cũng như nhà quản trị mạng trong việc cài đặt vàquản trị hệ thống

2.1.3 Tính khả dụng (Availability):

Một giải pháp VPN cần thiết phải cung cấp được tính bảo đảm về chất lượng,hiệu suất sử dụng dịch vụ cũng như dung lượng truyền Tiêu chuẩn về chất lượngdịch vụ (QoS): Tiêu chuẩn đánh giá của một mạng lưới có khả năng đảm bảo chất

Trang 25

lượng dịch vụ cung cấp đầu cuối đến đầu cuối QoS liên quan đến khả năng đảmbảo độ trễ dịch vụ trong một phạm vi nhất định hoặc liên quan đến cả hai vấn đềtrên.

Những kẻ đánh cắp thông tin và những kẻ phá hoại thường tập trung vàonhững nội dung sau:

 Dữ liệu: Dữ liệu của chúng ta có ba tính chất quan trọng cần được bảo vệ.

Đó là:

o Tính bí mật.

o Tính toàn vẹn.

o Tính sẵn sàng.

 Nguồn tài nguyên: Nguồn tài nguyên chính là hệ thống máy tính và tất cả các

chương trình được cài đặt trên đó Một khi chúng được sử dụng bởi một kẻ tấncông hay những kẻ phá hoại cho mục đích của chúng thì nguồn tài nguyên đó sẽkhông sẵn sàng để phục vụ cho chúng ta và có nguy cơ bị phá hoại

 Uy tín cá nhân: Một kẻ nào đó hoàn toàn không thích ai đó hoặc muốn gây

khó khăn họ, hắn có thể gửi thư điện tử hoặc những thông báo (message) có nộidung xấu đến cho một người khác thì uy tín cá nhân của người đó sẽ bị ảnhhưởng Hoặc những kẻ mạo danh dùng những gì mà anh ta biết về công ty của

họ để làm những việc gây mất đoàn kết, làm cho những người trong công ty mâuthuẫn với nhau Điều này cũng sẽ ảnh hưởng đến uy tín cá nhân của một ai đó

Kẻ xâm nhập thường giành được sự truy nhập bất hợp pháp vào các thiết bịmạng được biết như những đe dọa Có các kiểu đe doạ phổ biến sau đây:

 Unauthoized access - Sự truy nhập bất hợp pháp - Kẻ xâm nhập mạng có

thể giành được sự truy nhập bất hợp pháp tới thiết bị mạng qua nhiều cáchkhác nhau, ba trong các cách đó là:

 Vật lý - Nếu những kẻ tấn công có sự truy nhập vật lý tới một máy, chúng

sẽ có khả năng vào bên trong Kỹ thuật thường được sử dụng là giành sựtruy nhập thiết bị qua console để chiếm được một phần của hệ thống

Trang 26

 Hệ thống - Hệ thống truy nhập tưởng kẻ xâm phạm là một người sử dụngtài khoản trong hệ thống Những đặc quyền đúng được công nhận chongười sử dụng như vậy, kẻ xâm nhập được nhận thực và được cho phépthực hiện các chức năng thuộc trách nhiệm của chúng.

 Từ xa – Truy nhập từ xa liên quan đến những kẻ xâm nhập hệ thống quainternet, thường là qua các kết nối dial-up, hay qua mạng diện rộng haymạng nội hạt Kẻ xâm nhập kiểu này thường không có đặc quyền tàikhoản

 Eavesdropping – Việc nghe trộm được dùng để bắt các gói TCP/IP hay các

gói giao thức khác, điều này cho phép kể xâm nhập giải mã nội dung củagói sử dụng cách phân tích giao thức "Packet Sniffing – Phát hiện gói tin"

là một thuật ngữ chung đã mô tả là hành động của việc nghe trộm

 Data manipulation – Sự thao tác dữ liệu đơn giản là hành động thay đổi

các file trên những máy tính, phá hoại có chủ ý một trang web, hay thaythế các file FTP

 Protocol weakness – Giao thức được sử dụng nhiều nhất hiện nay là giao

thức TCP/IP Như đã biết, giao thức TCP/IP có vấn đề về sự an toàn, nhưtấn công smurf, IP spoofing, dự đoán số thứ tự của TCP, và SYN flood

 Session replay – Những kẻ xâm nhập có thể nghe trộm một hoặc nhiều

người sử dụng liên quan trong một phiên truyền thông tin và thao tác dữliệu

2.3 ĐE DOẠ BẢO MẬT CÁC PHẦN TỬ CỦA VPN

Như chỉ ra trong hình 2.1, những phần tử quan trọng nhất của một hệ thốngVPN bao gồm:

 Người sử dụng quay số từ xa

 Phân đoạn ISP quay số

 Mạng Internet

 Gateway mạng chủ

Trang 27

Hình 2.1: Các phần tử của một mạng dựa trên VPN.

Khách hàng quay số (hoặc người sử dụng kết cuối, người sử dụng từ xa) làđiểm bắt đầu một phiên dựa trên VPN Đe dọa bảo mật lớn nhất tới khách hàngquay số là sự giữ bí mật ID người sử dụng và mật khẩu khỏi rơi vào tay kẻ xấu.Thực hiện thay đổi mật khẩu thường xuyên sẽ giảm khả năng việc người sử dụngtrái phép đoán được mật khẩu Thêm vào đó, khách hàng quay số này cũng phải tiếnhành các bước bảo vệ một cách vật lí các node khi trang thiết bị không được trôngcoi, thậm chí chỉ trong một khoảng thới gian ngắn Chắn bảo vệ mật khẩu và thựchiện khóa trạm là những công cụ bảo mật tốt Trong những trường hợp tăng cường,

ta nên xem xét việc khóa thiết bị hoặc phòng chứa thiết bị

Phân đoạn quay số của ISP là một điểm thứ hai dễ bị tấn công trong một hệthống VPN Phân đoạn này cung cấp dữ liệu người sử dụng cho Server truy nhậpmạng (NAS) của ISP Nếu dữ liệu này không được mã hóa thì sẽ tồn tại nguy cơcao rằng những dữ liệu đó có thể đọc tại đầu cuối ISP Cũng như vậy, khả năng mà

dữ liệu bị đọc trong suốt phiên giữa người sử dụng đầu cuối và mạng Intranet củaISP là hoàn toàn cao Khả năng xem trộm bởi các thực thể bên ngoài có thể đượcgiới hạn bởi việc mã hóa dữ liệu tại kết cuối người sử dụng đầu xa trước khi gửi nótới đầu cuối ISP Tuy nhiên, nếu thuật toán mã hóa yếu, việc mã hóa không cungcấp sự bảo vệ đầy đủ chống lại các ISP nguy hiểm Những ISP nguy hiểm này cóthể giải mã dữ liệu và sử dụng nó cho mục đích lợi nhuận của họ

Như đã được biết, kết nối Internet và thiết lập tunnel sau đó đều phụ thuộc vàomột ISP Tuy nhiên, nếu định của ISP là không tốt thì nó có thể thiết lập một tunnelgiả và một gateway giả theo nó (Dạng hệ thống giả này được mô tả trong hình 2.2)

Trang 28

Trong trường hợp đó, dữ liệu quan trọng của người sử dụng có thể được truyền điqua tunnel tới gateway giả Sau đó, gateway giả này có thể lấy và kiểm tra dữ liệucho mục đích sử dụng và lợi nhuận của nó Gateway giả này cũng có thể thay thế dữliệu và chuyên nó đến gateway đích thật Gateway đích này sẽ chấp nhận dữ liệu vàcoi nó như từ nguồn dữ liệu đáng tin cậy ban đầu Trong cách thức này, dữ liệukhông mong muốn và nguy hiểm có thể xâm nhập vào mạng.

Hình 2.2: Vai trò của một ISP giả trong việc truyền dữ liệu có hại cho một

mạng intranet của một tổ chức.

Một điểm khác dễ bị tấn công là quá trình truyền dữ liệu qua các tunnel xuyênqua mạng Internet Tunnel dữ liệu được đặt xuyên qua nhiều router và nhóm dữ liệungười sử dụng được vận chuyển qua những router đấy, như được mô tả trong hình2.3 Do là một phần của tunnel, những router trung gian ở giữa này có thể kiểm tra

dữ liệu Nếu bất kì một trong những router này là giả thì router giả này không chỉchỉ kiểm tra dữ liệu mà còn chỉnh sửa nó, ngay cả khi các gói dữ liệu này được mãhóa

Trang 29

Hình 2.3 Vai trò của một router giả trong việc truyền dữ liệu có hại cho một

2.4 TẤN CÔNG CÁC GIAO THỨC VPN

Các giao thức chính của VPN như PPTP, L2TP và IPSec đều có thể bị tổnthương bởi các đe dọa bảo mật Phần này sẽ thảo luận về các loại hình tấn công vàonhững giao thức VPN này

2.4.1 Tấn công vào PPTP

PPTP bị tấn công trên hai mặt Hai mặt đó bao gồm:

 Đóng gói định tuyến chung (GRE)

 Trao đổi mật khẩu trong suốt quá trình nhận thực

Trang 30

Như đã biết, việc bảo mật dữ liệu truyền qua tunnel là nhiệm vụ của việc đónggói dữ liệu lớp dưới GRE là một giao thức tunnel và nó đóng gói đơn giản dữ liệudạng cleartext Nó không đáp ứng việc cung cấp một phương thức bảo mật cho quátrình truyền dữ liệu này Do đó, bất kì người tấn công hoặc hacker nào cũng dễ dàngbắt được những gói tin đóng gói kiểu GRE Nếu tải trọng đóng gói bằng gói GREcũng không được mã hóa, những kẻ tấn công mới có thể đọc dữ liệu đang đượctruyền Điều này cho phép những kẻ tấn công lấy thông tin (như các địa chỉ IP cóhiệu lực bên trong mạng Intranet) và thông tin này giúp anh ta tấn công vào dạngban đầu của dữ liệu và tài nguyên định vị bên trong các mạng riêng Thêm vào đó,những kẻ xâm nhập có lẽ sử dụng các router giả và phá vỡ lưu lượng

Một điểm yếu khác của GRE là các gói GRE sử dụng một số chuỗi để đồng bộhóa tunnel Tuy nhiên, đặc điểm này của GRE cũng không sử dụng một cơ chế sosánh tại node đích cho những số chuỗi bị nhân đôi hoặc không có giá trị (hoặc giả)

Do đó, node đích có thể lờ đi số chuỗi của gói và truyền qua phần còn lại của gói

Sử dụng chiến thuật này, một kẻ xâm nhập có thể dễ dàng đưa các gói tin không cógiá trị chứa dữ liệu nguy hiểm vào mạng Intranet

PPTP cũng dễ bị tổn hại bởi loại hình tấn công sictionary Một tấn côngsictionary liên quan tới một tấn công tìm ra mật khẩu trong một danh sách đặc biệtnhư một quyển từ điển tiếng Anh PPTP bị tổn hại bởi tấn công từ điển bởi PPTP sửdụng mã hóa điểm-tới-điểm của Microsoft (MPPE) mà MPPE có khuynh hướng gửicác mật khẩu dưới dạng dễ hiểu Nếu kẻ xâm nhập lấy được một phần thông tin liênquan tới mật khẩu nhạy cảm, như một mật khẩu hash hoặc thuật toán hash và sau đóthực hiện một chuỗi tính toán sử dụng bất kì sự hoán vị nào có thể thì mật khẩuchính xác có thể xác định được

2.4.2 Tấn công vào IPSec

IPSec không là một thuật toán mã hóa thuần nhất cũng không là một cơ chếnhận thực Thực tế, IPSec là sự kết hợp của cả hai cái trên và những thuật toán khácbảo vệ dữ liệu Nhưng, IPSec cũng có thể bị tổn hại do những dạng tấn công sau:

 Tấn công sự thực hiện IPSec

Trang 31

 Tấn công việc quản lí khóa.

 Tấn công thuộc về quản lí và wildcard

Kẻ xâm nhập và tấn công lợi dụng hai điểm yếu của sự thực hiện IPSec - việc

sử dụng thuật toán NULL và sự thỏa thuận một khóa yếu hơn khi một trong nhữngđiểm kết cuối truyền thông không hỗ trợ các khóa mạnh hơn

Như đã trình bày, IPSec sử dụng DES-CBC cho mục đích mã hóa và MD5 và HMAC-SHA-1 cho mục đích nhận thực Thêm vào đó, việc sử dụng cácgiao thức IPSec gồm ESP và AH là tùy chọn Do đó, IPSec cũng cho phép sử dụngcác thuật toán NULL Việc sử dụng các thuật toán NULL cho phép một kết cuốikhông sử dụng DES-CBC giao tiếp với những điểm kết cuối khác sử dụng DES-CBC Do đó, nhà cung cấp sử dụng thuật toán NULL sẽ làm cho hệ thống dễ bị tổnhại bởi những đe dọa bảo mật

HMAC-IPSec sử dụng IKE cho mục đích quản lí khóa Những tấn công nhằm vàoquản lí khóa khai thác một điểm yếu của IKE là nếu một trong những phía truyềnthông kết thúc phiên hiện tại thì không có cách nào cho kết cuối còn lại nhận biếtrằng phiên đó đã chấm dứt Điều đó tạo ra một lỗ hổng bảo mật mà kẻ thứ ba nhưnhững kẻ xâm nhập có thể sử dụng để bắt chước định danh của phía kết thúc và tiếptục trao đổi dữ liệu

Loại hình tấn công IPSec thứ ba này vẫn chưa sử dụng thực tế nhưng hiện nay

nó vẫn đang được thảo luận IPSec cung cấp một giao diện quản lí cho SA Điềunày làm tăng khả năng các thông số SA có thể bị tấn công bằng việc sử dụng đồngdạng wildcard

2.5 TẤN CÔNG GIẢI MÃ

Phụ thuộc vào các công nghệ và thuật toán mã hóa khác nhau mà có nhiều kiểutấn công giải mã khác nhau

2.5.1 Các tấn công chỉ nhằm vào văn bản mã hóa

Trong loại tấn công chỉ nhằm vào văn bản mã hóa, hacker không có sự truycập vào nội dung gói dữ liệu ban đầu nhưng truy nhập vào được văn bản mã hóa

Do đó, những kẻ xâm nhập này có thể thực hiện cơ chế đổi ngược để quay trở về

Trang 32

bản tin dang plaintext dựa trên nền tảng những bản tin đã mã hóa có sẵn Loại tấncông này, mặc dù lâu, mệt mỏi và vô nghĩa với những mã hóa hiện đại nhưng tạo rakết quả có mức thành công cao dựa trên phương thức giải mã thô sơ.

2.5.2 Các tấn công plaintext đã biết được

Trong loại tấn công plaintext đã biết được, kẻ xâm nhập biết được một phầncủa văn bản mã hóa và sử dụng các thông tin đó để đoán ra phần mật mã Ví dụ, nếuhacker biết một phần của khóa và đoán ra phần còn lại, anh ta có thể dễ dàng giải

mã thông tin

2.5.3 Các tấn công plaintext được lựa chọn

Trong loại hình tấn công plaintext được lựa chọn, hacker tự do lựa chọn ngẫunhiên một văn bản mã hóa Hacker sau đó có thể tính toán khóa sử dụng cho việc

mã hóa văn bản mã hóa được bảo vệ Khi hacker có khả năng tính toán khóa, nó cóthể được sử dụng cho việc giải mã sâu hơn những dữ liệu được mã hóa

2.5.5 Các tấn công Brute Force

Trong trường hợp tấn công Brute Force, một kể xâm nhập sẽ tạo ra ngẫu nhiêncác khóa và áp dụng chúng vào các văn bản mã hóa cho đến khi khóa chính xácđược phát hiện Do đã được tạo ra, khóa này sau đó được sử dụng để giải mã dữ liệu

và cuối cùng thu hồi lại được thông tin ban đầu

Độ dài khóa càng dài thì việc đoán ra nó càng khó và do đó thông tin càngđược bảo mật hơn

Trang 33

2.6 CÁC TẤN CÔNG TỪ CHỐI DỊCH VỤ

Các tấn công từ chối dịch vụ (DoS) khác biệt một chút so với các loại hình tấncông mạng khác Một kẻ xâm nhập có lẽ sử dụng các tấn công mạng khác như giảmạo, malware và virut để truy nhập vào tài nguyên cũng như làm hỏng chúng Tuynhiên, các tấn công DoS được sử dụng để làm cho một vài dịch vụ hoặc máy tínhchủ đích không thể truy cập được

Các tấn công DoS trở nên hoàn toàn thông dụng ngày nay bởi chúng khôngyêu cầu bất kì phần mềm hoặc truy cập đặc biệt nào tới mạng chủ đích Chúng dựatrên khái niệm nghẽn mạng Bất kì kẻ xâm nhập nào cũng có thể tạo ra nghẽn mạngbằng cách gửi các tải trọng và tải trọng của dữ liệu không có giá trị vào mạng Điều

đó làm cho các máy tính chủ đích không thể truy cập vào mạng và đôi khi tất cả cácrouter dẫn tới các máy tính đều bị khóa bởi nghẽn không có giá trị đó Quá tải củathông tin thậm chí có thể dẫn đến sự xáo trộn của các máy ví tính chủ đích

Các tấn công DoS chứa rất nhiều lợi thế: Đầu tiên, các tấn công DoS có sự đadạng của các hình thức và có thể nhằm tới nhiều dịch vụ mạng Thứ hai, một kẻxâm nhập có thể tạo ra một tấn công DoS theo nhiều cách khác nhau, như gửi mộtlượng lớn thư không có giá trị hoặc gửi một lượng lớn các gói yêu cầu IP Và thứ

ba, một kẻ xâm nhập DoS có thể dễ dàng ẩn danh Không may là không tồn tại mộtdụng cụ nào để xác định liên tục định danh của kẻ xâm nhập đó Những kẻ xâmnhập sử dụng các tấn công DoS tận dụng một vài sai sót bẩm sinh trong các côngnghệ truyền thông và giao thức IP

Một vài phương thức được sử dụng phổ biến để tạo ra các tấn công DoS đượctrình bày sau đây:

2.6.1 SYN floods

Trong một SYN flood, tất cả các kết nối TCP được sử dụng, do đó ngăn cảnnhững người sử dụng hợp lệ khỏi truy cập tài nguyên thông qua các kết nối đó Một kết nối TCP có thể dẫn tới nghẽn mạng nếu một ai đó gửi một ID giảtrong gói SYN Nếu một gói ID giả được gửi, thì phía host nhận sẽ không bao giờnhận được sự các nhận Cuối cùng, khi thời gian dành cho kết nối hết và một kênh

Trang 34

mới đưa vào trở nên rỗi để nhận yêu cầu khác Một SYN flood gửi rất nhiều gói với

ID giả do đó tất cả các kênh mới đưa vào bị buộc phải đợi các xác nhận và không cógiao diện khả dụng cho những người sử dụng hợp lệ

2.6.2 Broadcast Storm

Một broadcast là một gói tin được gửi cho bất kì máy tính nào trong mạng.Nếu có nhiều broadcast thì dẫn đến có nhiều lưu lượng trên mạng này Mỗi máytính sẽ cố gắng chuyển những gói này tới một địa chỉ đích giả mạo xác định Bởi vìnhững địa chỉ này không tồn tại, các gói đó vẫn được giữ lại bên trong mạng,chuyển từ máy tính này sang máy tính khác cho đến khi chúng hoàn toàn làm nghẽnmạng Những công cụ như asping và gửi mail có thể được sử dụng để tạo raBroadcast Storm Broadcast Storm có thể ngăn chặn được một cách hiệu quả bởiviệc khóa những bản tin broadcast trái phép trong mạng

2.6.3 Smurf DoS

Các tấn công smurf được đặt tên theo chương trình được sử dụng để thúc đẩynhững tấn công này Những tấn công này đôi khi được coi như các tấn công mởrộng ICMP

Trong những tấn công này, một kẻ xâm nhập sử dụng một IP nguồn giả và gửimột số lượng lớn các yêu cầu echo ICMP cho địa chỉ IP broadcast của mạng.Những máy tính khác trong mạng gửi các bản tin đáp lại echo ICMP tới IP nguồngiả đó để đáp ứng cho yêu cầu echo IP broadcast

2.6.4 Ping of Death

Ping of Death liên quan tới một tấn công DoS khi một kẻ xâm nhập làm ngậptràn mạng với nhiều gói IP có kích cỡ lớn hơn 65535 byte Những gói này được gửicho các máy tính chủ đích Những máy tính này không thể xử lý được lượng lớn cácgói như vậy và do đó thường xuyên khởi động lại hoặc đóng băng Một số lượnglớn những gói như vậy trong mạng cũng có thể dẫn tới nghẽn mạng

Trang 35

CHƯƠNG 3: GIẢI PHÁP ĐẢM BẢO AN NINH CHO MẠNG RIÊNG

ẢO

Internet sở hữu một số lượng khả năng vô tận cho doanh nghiệp, nhưngdoanh nghiệp cũng phải cân nhắc giữa việc chỉ đạo doanh nghiệp trên Internet và sự

an toàn cần thiết để bảo vệ doanh nghiệp

3.1.1 Những thách thức bảo mật doanh nghiệp

Một trong những thách thức lớn nhất mà các nhà quản lý IT phải đối mặt làlựa chọn giải pháp bảo mật và nhà cung cấp giải pháp bảo mật Các nhà quản lý ITphải cân nhắc giữa giá thành sản phẩm bảo mật với hiệu suất, khả năng quan lý vàtính chuyển đổi Sau khi cân nhắc, các nhà quản lý IT phải lựa chọn giải pháp bảomật tương thích và an toàn nhất cho mạng của họ Giải pháp được lựa chọn phảikhông giới hạn quá mức và phải cho phép doanh nghiệp sử dụng các ứng dụng mới,các dịch vụ mới nếu cần

Sau khi nhà quản lý IT của tổ chức đã đoán nhận sự tồn tại của những đe dọabảo mật và đã chỉ đạo thay đổi để cải thiện tình thế hay quá trình bảo mật thông tin,

họ cần phải công thức hóa kế hoạch đánh địa chỉ Bước đầu tiên trong việc thựchiện kế hoạch này là sự phát triển một chính sách bảo mật

3.1.2 Chính sách bảo mật doanh nghiệp

RFC 2196 – Site Security Handbook, phát biểu rằng: "Một chính sách bảomật là tuyên bố chính thức những quy tắc mà người truy nhập thông tin và côngnghệ của tổ chức phải tuân theo" Mục đích chính của một chính sách bảo mật sẽthông tin cho bất cứ ai sử dụng mạng của doanh nghiệp những yêu cầu để bảo vệ tàisản công nghệ và thông tin của doanh nghiệp Chính sách cần phải chỉ rõ những cơchế thông qua đó đáp ứng những yêu cầu này Chính sách bảo mật là một tài liệuquan trọng nhất của doanh nghiệp

Để phát triển một chính sách bảo mật mà không hạn chế thái quá cho nhữngngười sử dụng, cân bằng sự không giàng buộc với mức độ bảo mật nhất định, và

Trang 36

điều đó thì được thi hành cả về mặt kỹ thuật và cả về mặt tổ chức, chính sách cầnphải chứa đựng tối thiểu một số những vấn đề sau đây:

 Acceptable use policy – Giải thích rõ ràng những người sử dụng được cho phép

và không được cho phép làm gì trên các thiết bị bên trong mạng; điều này baogồm cả kiểu của lưu lượng được phép trên mạng Chính sách cần phải càng rõràng càng tốt để tránh bất kỳ sự nhập nhằng hay sự hiểu lầm nào

 Remote access policy – Giải thích rõ ràng cách đối xử đối với những người sử

dụng được chấp nhận và những người sử dụng không được chấp nhận khi họ kếtnối tới mạng doanh nghiệp qua kết nối Internet, dial-up, hay qua một phươngthức kết nối từ xa khác

 Incident handling policy – Chính sách xử lý tình huống bất ngờ xẩy ra được

chứa đựng bên trong chính sách bảo mật thực tế nhưng vì cấu trúc chung nênchính sách này thường tồn tại như một chính sách con trong chính sách bảo mật

 Internet access policy – Định nghĩa cách sử dụng kết nối Internet đúng quy cách.

 Email policy – Định nghĩa cách sử dụng hệ thống email có thể chấp nhận được,

bao gồm các email cá nhân và email trên web

 Physical security policy – Định nghĩa các điều khiển đi đôi với bảo mật và truy

nhập thiết bị vật lý

Sau khi hoàn thành chính sách bảo mật doanh nghiệp, thì phải đưa ra mộtvạch ranh giới mà căn cứ vào đó sẽ thấy được hoạt động bình thường hay các đối xửcủa mạng mà trong nhiều trường hợp chúng còn đưa ra các kết quả cảnh báo khithấy mất an toàn Việc thông báo những sự kiện bất thường trong mạng có thể bắtđược những kẻ xâm phạm trước khi chúng có thể gây ra bất kỳ thiệt hại nào về sau

3.1.3 Bảo mật doanh nghiệp

Cơ sở hạ tầng doanh nghiệp có thể bị tổn thương đối với nhiều đe dọa antoàn khác nhau từ những kẻ xâm nhập Giải pháp cho vấn đề an toàn cơ sở hạ tầngcấu hình các thành phần trong mạng chống lại những vấn đề dễ bị tấn công dựa vàochính sách bảo mật mạng Đa số những vấn đề dễ bị tổn thương được biết đến, vànhững biện pháp được dùng để chống lại chúng sẽ được khảo sát chi tiết phần này

Trang 37

3.1.3.1 Bảo mật logic và bảo mật vật lý

Bảo mật logic và bảo mật vật lý bao gồm các phần sau:

Những cơ chế bảo mật vật lý được đặt đúng chỗ sẽ rất quan trọng Nếu cơchế bảo mật vật lý không được đặt đúng chỗ, kẻ xâm nhập có thể đi vòng qua mọi

cơ chế bảo mật lôgíc khác và truy nhập tới thiết bị Nếu kẻ xâm nhập có thể truynhập tới giao diện quản trị router, họ có thể xem và thay đổi cấu hình của thiết bị vàtruy nhập tới thiết bị nối mạng khác Điều đầu tiên cần phải làm để cản trở nhữngxâm nhập là đặt mật khẩu cho console Nếu kẻ xâm nhập đã truy nhập vật lý tớithiết bị, họ sẽ cố gắng truy nhập mạng thông qua cổng console Cổng console hỗ trợnhiều phương thức xác nhận người sử dụng và cho phép truy nhập

Telnet một giao thức cho phép người sử dụng thiết lập một kết nối từ xa tớimột thiết bị Các cổng Telnet trên router được nói tới như những cổng đầu cuối ảo

(virtual terminal ports) Telnet thật sự không có gì khác với kết nối console, và theo

cách thông thường thì các cơ chế bảo mật lôgíc thích hợp cần phải được đặt đúngchỗ để đảm bảo chỉ cá nhân chịu trách nhiệm được phép truy nhập Telnet Các cổngđầu cuối ảo hỗ trợ nhiều phương pháp khác nhau cho việc xác nhận người sử dụng

và cho phép truy nhập

c. Setting Privilege Levels

Các mức đặc quyền (Privilege levels) kết hợp với các lệnh của router theo

từng mức độ bảo mật được cấu hình trên router Điều này tính đến việc điều khiểnkhi hạn chế sự truy nhập của người sử dụng Có 16 mức đặc quyền được chứa đựngbên trong hệ điều hành router Mức 2 đến mức 14 là tùy biến được và cho phép bạncấu hình các mức đặc quyền và mật khẩu để cho phép những người sử dụng nhấtđịnh có sự truy nhập tới các lệnh đặc biệt

Trang 38

Cài đặt mật khẩu là việc làm đầu tiên chống lại những kẻ xâm nhập Đôi khimật khẩu bị quên và phải được phục hồi Tuy nhiên, có những tình huống nhất định

mà cần phải không cho phép sử dụng thủ tục khôi phục mật khẩu rộng rãi

Tất cả những mật khẩu console và Telnet đã cấu hình trên router được lưutrữ dưới dạng văn bản tường minh theo mặc định, như vậy làm chúng dễ dàng đọcđược Trường hợp khác là nếu lưu trữ cấu hình trên server TFTP thì kẻ xâm nhậpchỉ cần truy nhập vào trong máy TFTP, sau đó kẻ xâm nhập có thể đọc cấu hìnhbằng một trình soạn thảo văn bản đơn giản

Có thể sử dụng những bản tin banner để thông báo cho những người sử dụng,chỉ ra ai được cho phép và ai không được phép truy nhập vào router Những thôngbáo banner cần phải chỉ ra sự truy nhập không được phép vào thiết bị

Giao thức quản lý mạng đơn giản (SNMP) là một giao thức lớp ứng dụng, nó

giúp đỡ để tạo điều kiện thuận lợi cho sự trao đổi thông tin quản lý giữa các thiết bịmạng SNMP cho phép những người quản trị mạng để quản lý hiệu năng mạng, tìmkiếm và giải quyết những vấn đề mạng, và kế hoạch phát triển mạng Một mạngSNMP gồm có ba bộ phận chính: Thiết bị được quản lý, các agent, và hệ thốngquản lý mạng (NMSs) Thiết bị được quản lý là một nút mạng chứa một agentSNMP và cư trú trên mạng được quản lý Các thiết bị được quản lý có thể là router,các server truy nhập, switch, computer host hay các máy in Agent là một môđunphần mềm quản lý mạng, nó thường trú trong thiết bị được quản lý Agent có thôngtin quản lý và dịch thông tin đó thành dạng thích hợp với SNMP NMS thực hiệncác ứng dụng theo dõi và điều khiển các thiết bị được quản lý NMSs cung cấp tàinguyên xử lý và bộ nhớ Một thiết bị được quản lý bởi SNMP có các mức truy nhậpkhác nhau Như sau đây:

 Read-only – Cho phép truy nhập đọc cơ sở thông tin quản lý trên thiết bị.

 Read/write – Cho phép truy nhập đọc và ghi cơ sở thông tin quản lý trên thiết bị.

Trang 39

 Write-only – Cho phép truy nhập ghi cơ sở thông tin quản lý trên thiết bị.

Các router có thể gửi các thông báo tới các máy NMS khi một sự kiện đặcbiệt xuất hiện

Nhận thực giao thức định tuyến ngăn ngừa các bản tin định tuyến sai haykhông hợp pháp từ những nguồn không được thừa nhận Khi nhận thực được cấuhình, router sẽ xác nhận nguồn của từng gói tin mà nó nhận được từ các router liền

kề Các router trao đổi một chìa khóa chứng thực hay một mật khẩu mà được cấuhình trên mỗi router Chìa khóa hay mật khẩu phải phù hợp giữa các router liền kề

Có hai kiểu nhận thực giao thức định tuyến: Nhận thực văn bản đơn giản và nhậnthực MD5 (Message Digest 5) Sự nhận thực văn bản đơn giản dễ bị đọc trộm bởi vìchìa khóa chứng thực được gửi đi khắp mạng dưới dạng văn bản minh ngữ Sự nhậnthực MD5 tạo ra một trị hàm băm từ một khóa; trị hàm băm thay cho mật khẩu thực

tế được trao đổi giữa các router liền kề

Việc lọc định tuyến cho phép người quản trị mạng kiểm soát chặt nhữngquảng cáo định tuyến Các bộ lọc định tuyến bảo đảm rằng các routers sẽ quảng cáocũng như chấp nhận các mạng hợp pháp hóa Chúng làm việc bởi việc điều chỉnhluồng định tuyến mà được đưa vào hay đưa ra bảng định tuyến

Việc lọc các mạng quảng cáo ra khỏi quá trình định tuyến hay chấp nhận vàoquá trình định tuyến sẽ làm tăng sự an toàn Nó cũng tăng sự ổn định mạng Cấuhình sai được xác định là phần đóng góp lớn nhất vào sự bất ổn định mạng; tuynhiên, kẻ xâm nhập có thể đưa thông tin sai vào việc cập nhật định tuyến

Để ngăn ngừa các router trên một mạng nội hạt khỏi học cách định tuyến đưa

ra quảng cáo động trên giao diện, bạn có thể định nghĩa giao diện ở chế độ bị động.Việc định nghĩa giao diện ở chế độ bị động giữ cho các thông báo cập nhật địnhtuyến không gửi qua giao diện router, cản trở những hệ thống khác trên giao diệnhọc học cách định tuyến động từ router này Bạn có thể cấu hình một giao diện bị

động cho tất cả các giao thức định tuyến IP trừ giao thức BGP.

Trang 40

3.1.3.5 HTTP Access

Phần mềm IOS trên các router được trang bị giao diện người dùng trìnhduyệt Web và cho phép đưa các lệnh vào trong router qua giao diện Web ServerHTTP theo mặc định là không được phép (disable); khi nó được cho phép (enable),

nó đưa một số tính mất an toàn mới vào trong mạng Chức năng server HTTP đưacho tất cả các thiết bị client có kết nối lôgíc tới router khả năng hiển thị hay thay đổicấu hình của router Đây rõ ràng là một vấn đề bảo mật lớn

Tuy nhiên, phần mềm router cho phép bạn thay đổi cổng mặc định mà serverHTTP đang chạy trên đó Bạn có thể cũng cấu hình một danh sách truy nhập củacác host đặc biệt mà được cho phép truy nhập web tới router và áp dụng danh sáchtruy nhập tới server HTTP Sự nhận thực từng người sử dụng sẽ cung cấp sự an toàntốt hơn nếu lựa chọn sử dụng các chức năng server HTTP của router

Phần An toàn cơ sở hạ tầng bao trùm những vấn đề bảo mật phổ biến đến cácthiết bị mạng và các phương pháp đo cần thiết để giảm nhẹ tác động của các vấn đềnày Phần này nhằm vào những vấn đề về không cho phép lẫn từ chối truy nhập đốivới các môi trường doanh nghiệp, cả hai đều có khả năng xâm nhập nhanh tới thiết

bị mạng nhạy cảm

Bắt đầu xem xét chi tiết tới kiến trúc nhận thực, cho phép và thanh toán(AAA) và hai giao thức chính được sử dụng: TACACS+ và RADIUS Trọng tâmchuyển đổi cấu hình các dịch vụ truy nhập mạng và kết nối thiết bị để cung cấpnhững đặc tính bảo mật của cấu trúc AAA

3.2.1 Sự bảo mật điều khiển truy nhập

Sự điều khiển truy nhập là một vấn đề mà làm nản lòng cả những người quảntrị lẫn những người sử dụng Khi các mạng tiếp tục phát triển thành trạng thái hội

tụ, số lượng nhà quản trị ngày càng tăng thì cần tính linh hoạt để xác định và kiểmsoát sự truy nhập tới những tài nguyên Những người quản trị đang đối mặt vớinhững hoàn cảnh mới đang gắn liền với sự truy nhập từ xa kết hợp với sự bảo mật

Định dạng
Số trang	89
Dung lượng	2,28 MB

Tài liệu tham khảo	Loại	Chi tiết
1. Ph.D. Tran Tuan Anh, 04-2007, Viet Nam Network Security, Report APECTEL35	Khác
2. Charlie Scott, Paul Wolfe, Mike Erwin, 1999, Virtual Private Network, O’Reilly	Khác
3. Chris Mcnab, 2004, Network Security Assessment, O'Reilly 4. Cisco Systems, 2003 , Designing VPN Security	Khác
7. Jason Albanese, Wes Sonnenreich, 2006, Network Security Illustrated, McGraw-Hill	Khác
8. Joe Harris, 2002, Cisco Network Security Little Black Book, The Coriolis Group, LLC	Khác
9. Jon C. Snader, 2005, VPNs Illustrated: Tunnels, VPNs, and IPSec, Addison Wesley Professional	Khác
10. Managing Network Security, Ericsson White Paper, 284 23-3075 Uen Rev A - 10/2006	Khác
11. Matthew Strebe, 2004, Network Security Foundations, Sybex	Khác
12. Meeta Gupta, 2003, Building a Virtual Private Network, Premier Press	Khác
13. Michael H. Behringer, Monique J. Morrow, 2005, MPLS VPN Security, Cisco Press	Khác
14. Naganand Doraswamy, Dan Harkins, 2003, IPSec: The new security standard for the internet, intranets, and vpn, Prentice hall PTR	Khác
15. Paul Wouters, Ken Bantoft, 2006, Building And Integrating Virtual Private Networks With Openswan, Packt Publishing Ltd	Khác
16. D.Richard Kuhn, Miles C. Tracy, Sheila E. Frankel, 2002, Security for Telecommuting and Broadband Communications, National Institute of Standards and Technology	Khác
17. Vijay Bollapragada, Mohamed Khalid, Scott Wainner, 2005, IPSec VPN Design, Cisco Press	Khác