Định nghĩa VPN
VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng ( Private Network) thông qua các mạng công cộng Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dùng như đường leased-line, mỗi VPN sử dụng các kết nối ảo được dẫn đường quaInternet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật VPN cung cấp các cơ chế mã hoá dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như một kết nối point-to-point trên mạng riêng Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hoá hay cơ chế giấu đi, chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng Dữ liệu được mã hoá một cách cẩn thận do đó nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể đọc được nội dùng vì không có khoá để giải mã Liên kết với dữ liệu được mã hoá và đóng gói được gọi là kết nối VPN Các đường kết nối VPN thường được gọi là đường ống VPN (Tunnel)
Hình 1: Mô hình mạng VPN
Lợi ích của VPN
VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thông và những mạng leased-line Những lợi ích đầu tiên bao gồm:
• Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí khi truyền tới 20-40% so với những mạng thuộc mạng leased-line và giảm việc chi phí truy cập từ xa từ 60-80%
• Tính linh hoạt cho khả năng kinh tế trên Internet: VPN vốn đã có tính linh hoạt và có thể leo thang những kiến trúc mạng hơn là những mạng cổ điển,băng cách nào đó nó có thể hoạt động kinh doanh nhanh chóng và chi phí một cách hiệu quả cho việc kết nối từ xa của những văn phòng, những vị trí ngoài quốc tế, những người truyền thông, những người dùng điện thoại di động, những người hoạt động kinh doanh bên ngoài như những yêu cầu kinh doanh đã đòi hỏi
• Đơn giản hóa những gánh nặng
• Những cấu trúc mạng ống, vì thế giảm việc quản lý những gánh nặng: Sử dụng một giao thức Internet backbone loại trừ những PVC tĩnh hợp với kết nối hướng những giao thức như là Frame Relay và ATM
• Tăng tính bảo mật: Các dữ liệu quan trọng sẽ được che giấu đối với những người không có quyền truy cập và cho phép truy cập đối với những người dùng có quyền truy cập
• Hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP
• Bảo mật địa chỉ IP: Bởi vì thông tin được gửi đi trên VPN đã được mã hoá do đó các địa chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet
Chức năng của VPN
VPN cung cấp 4 chức năng chính
• Sự tin cậy (Confidentiality): Người gửi có thể mã hoá các gói dữ liệu trước khi truyền chúng ngang qua mạng Bằng cách làm như vậy, không một ai có thể truy nhập thông tin mà không được phép, mà nếu lấy được thông tin thì cũng không đọc được vì thông tin đã được mã hoá
• Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra rằng dữ liệu đã được truyền qua mạng Internet mà không có sự thay đổi nào
• Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin
2 Định nghĩa “đường hầm” và “mã hoá”
Chức năng chính của một mạng riêng ảo VPN là cung cấp sự bảo mật thông tin bằng cách mã hoá và chứng thực qua một đường hầm (tunnel)
Cung cấp các kết nối logic, điểm tới điểm vận chuyển các gói dữ liệu mã hoá bằng một đường hầm riêng biệt qua mạng IP, điều đó làm tăng tính bảo mật thông tin vì dữ liệu sau khi mã hoá sẽ lưu chuyển trong một đường hầm được thiết lập giữa người gửi và người nhận cho nên sẽ tránh được sự mất cắp, xem trộm thông tin, đường hầm chính là đặc tính ảo của VPN
Các giao thức định đường hầm được sử dụng trong VPN như sau:
• L2TP (layer 2 Tunneling Protocol): Giao thức định đường hầm lớp 2
• PPTP (Point-to-Point Tunneling Protocol)
• L2F (Layer 2 Forwarding) Các VPN nội bộ và VPN mở rộng có thể sử dụng các công nghệ:
2.2 Cấu trúc một gói tin IP trong đường hầm:
Hình 2: Cấu trúc một gói tin IP trong đường hầm
2.3 Mã hoá và giải mã (Encryption/Deccryption):
Biến đổi nội dùng thông tin nguyên bản ở dạng đọc được (clear text hay plain text) thành một dạng văn bản mật mã vô nghĩa không đọc được (cyphertex), vì vậy nó không có khả năng đọc được hay khả năng sử dụng bởi những người dùng không được phép Giải mã là quá trình ngược lại của mã hoá, tức là biến đổi văn bản đã mã hoá thành dạng đọc được bởi những người dùng được phép
2.4 Một số thuật ngữ sử dụng trong VPN:
Hệ thống mã hoá (Crysystem): là một hệ thống để thực hiện mã hoá hay giải mã, xác thực người dùng, băm (hashing), và các quá trình trao đổi khoá, một hệ thống mã hoá có thể sử dụng một hay nhiều phương thức khác nhau tuỳ thuộc vào yêu cầu cho một vài loại traffic người dùng cụ thể
Hàm băm (hashing): là một kỹ thuật toàn vẹn dữ liệu mà sử dụng một công thức hoặc một thuật toán để biến đổi một bản tin có chiều dài thay đổi và một khoá mật mã công cộng vào trong một chuỗi đơn các số liệu có chiều dài cố đinh Bản tin hay khoá và hash di chuyển trên mạng từ nguồn tới đích Ở nơi nhận việc tính toán lại hash được sử dụng để kiểm tra rằng bản tin và khoá không bị thay đổi trong khi truyền trên mạng
Xác thực (Authentication): Là quá trình của việc nhận biết một người sử dụng hay quá trình truy cập hệ thống máy tính hoặc kết nối mạng Xác thực chắc chắn rằng cá nhân hay một tiến trình là hoàn toàn xác định
IP AH ESP Header Data
Cho phép (Authorization): Là hoạt động kiểm tra thực thể đó có được phép thực hiện những quyền hạn cụ thể nào
Quản lý khoá (Key management): Một khoá thông tin, thường là một dãy ngẫu nhiên hoặc trông giống như các số nhị phân ngẫu nhiên, được sử dụng ban đầu để thiết lập và thay đổi một cách định kỳ sự hoạt động trong một hệ thống mật mã Quản lý khoá là sự giám sát và điều khiển tiến trình nhờ các khoá được tạo ra, cất giữ, bảo vệ, biến đổi, tải lên, sử dùng hay loại bỏ
Dịch vụ chứng thực CA (Certificate of Authority): Một dịch vụ mà được tin tưởng để giúp bảo mật quá trình truyền tin giữa các thực thể mạng hoặc các người dùng bằng cách tạo ra và gán các chứng nhận số như các chứng nhận khoá công cộng, cho mục đích mã hoá Một CA đảm bảo cho sự lien kết giữa các thành phần bảo mật trong chứng nhận
2.5 Thuật toán được sử dụng trong mã hoá thông tin:
• 3DES (Triple Data Encryption Security)
AH ( Authentication Header): La giao thức bảo mật giúp xác thực dữ liệu, bảo đảm tính toàn vẹn dữ liệu và các dịch vụ “anti-replay” (dịch vụ bảo đảm tính duy nhất của gói tin) AH được nhúng vào trong dữ liệu để bảo vệ
ESP (Encapsulation Security Payload): Là một giao thức bảo mật cung cấp sự tin cậy dữ liệu, bảo đảm tính toàn vẹn dữ liệu, và xác thực nguồn gốc dữ liệu, các dịch vụ “anti-replay” ESP đóng gói dữ liệu để bảo vệ Oakley và Skeme mỗi cái định nghĩa một phương thức để thiết lập một sự trao đổi khoá xác thực, cái đó bao gồm cấu trúc tải tin, thông tin mà các tải tin mang, thứ tự mà các khoá được sử lý và các khoá được sử dụng như thế nào
ISAKMP (Internet Security Association and Key Management):
IKE (Internet Key Exchange): Là giao thức lai mà triển khai trao đổi khóa
Oakley và trao đổi khoá Skeme bên trong khung ISAKMP (Protocol): Là một khung giao thức mà định nghĩa các định dạng tải tin, các giao thức triển khai một giao thức trao đổi khoá và sự trao đổi của một SA (Security Association)
SA (Security Association): Là một tập các chính sách và các khoá được sử dụng để bảo vệ thông tin ISAKMP SA là các chính sách chung và các khoá được sử dụng bởi các đối tượng ngang hang đàm phán trong giao thức này để bảo vệ thông tin của chúng
AAA (Authentication, Authorization và Accouting): là các dịch vụ bảo mật mạng mà cung cấp các khung chính qua đó điều khiển truy cập được đặt trên Router hay các Server truy cập Hai sự lựa chọn chính cho AAA là TACACS+ và RADIUS
TACACS+ (Terminal Access Controller Access Control System Plus): Là một ứng dụng bảo mật mà cung cấp sự xác thực tập trung của các người dùng cố gắng truy nhập tới Router hay mạng truy cập Server
RADIUS (Remote Authentication Dial-In User Service): Là một hệ thống phân tán client/server mà bảo mật các truy cập không được phép tới mạng
3 Các dạng kêt nối mạng riêng ảo VPN
3.1 Truy cập VPN (Remote Access VPNs)
Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức
Truy cập VPN (Remote Access VPNs)
Một số thành phần chính
Remote Access Server (RAS ): được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới
Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ở khá xa so với trung tâm
Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truy cập từ xa bởi người dùng
Hình 3 Thiết lập một non-VPN remote access Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet Thông tin Remote Access Setup được mô tả bởi hình vẽ sau:
Hình 4 Thiêt lập một VPN remote access
Thuận lợi chính của Remote Access VPNs
- Sự cần thiết của RAS và việc kết hợp với modem được loại trừ
- Sự cần thiết hỗ trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bởi ISP
- Việc quay số từ những khoảng cách xa được loại trừ, thay vào đó, những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ
- Giảm giá thành chi phí kết nối với khoảng cách xa
- Do đây là một kết nối mang tính cục bộ, do vậy tố độ kết nối sẽ cao hơn so với kết nối trực tiếp đến những khoảng cách xa
- VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch vụ truy cập ở mức độ tối thiểu nhật cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng.
Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác như
- Remote Access VPNs cũng không đảm bảo được chất lượng dịch vụ
- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể đi ra ngoài và bị thất thoát
- Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều này gây khó khăn cho quá trính xác nhận Thêm vào đó, việc nén dữ liệu IP và PPP- based diễn ra vô cùng chậm chạp và tồi tệ
- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm.
Site – To – Site VPN
Intranet
Hình 6 Thiết lập Intranet sử dụng WAN backbone
Intranet VPNs hay còn gọi là các VPN nội bộ sẽ kết nối các mạng của trụ sở chính, văn phòng và các chi nhánh từ xa qua một cơ sở hạ tầng mạng dùng chung như Internet thành một mạng riêng tư của một tập đoàn hay một tổ chức gồm nhiều công ty và văn phòng làm việc mà các kết nối này luôn luôn được mã hoá thông tin
Intranet VPN được sử dụng để kết nối đến các chi nhánh văn phòng của tổ chức đến Corporate Intranet (Backbone Router) sử dụng campus router (Hình 7)
Theo mô hình bên trên sẽ rất tốn chi phí do phải sử dụng 2 Router để thiết lập được mạng, thêm vào đó, việc triển khai, bảo trì và quản lý mạng Intranet Backbone sẽ rất tốn kém còn tuỳ thuộnc vào lượng lưu thông trên mạng đi trên nó và phạm vi địa lý của toàn bộ mạng Intranet Để giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế bởi các kết nối Internet với chi phí thấp, điều này có thể một lượng chi phí đáng kể của việc triển khai mạng Intranet (Hình 1-5)
Hình 7 Thiếp lập Intranet dựa trên VPN
Những thuận lợi chính của Intranet setup dựa trên VPN theo hình 7
- Hiệu quả chi phí hơn do giảm số lượng router được sử dụng theo mô hình WAN backbone
- Giảm thiểu số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, các trạm ở một số remote site khác nhau
- Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những kết nối mới ngang hang
- Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiện Intranet
Những bất lợi chính kết hợp với cách giải quyết:
- Bởi vì dữ liệu vẫn còn tunnel trong quá trình chia sẻ trên mạng công cộng-Internet và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ (denial-of service), vẫn còn là một mối đe doạ an toàn thông tin
- Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng rất cao
- Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các tập tin multimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền thông qua Internet
- Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường xuyên, và QoS cũng không được bảo đảm.
Extranet VPNs (VPN mở rộng)
Extranet là sự mở rộng từ những Intranet liên kết các khách hàng, những nhà cung cấp, những đối tác hay những nhân viên làm việc trong các Intranet qua cơ sở hạ tầng dùng chung chia sẽ những kết nối
Không giốn như intranet và Remote Access –based, Extranet không an toàn cách ly từ bên ngoài (outer-world), Extranet cho phép truy nhập những tài nguyên mạng cần thiết kế của các đối tác kinh doanh, chẳng hạn như khách hang, nhà cung cấp, đối tác những người giữ vài trò quan trọng trong tổ chức
Hình 9 Thiết lập mạng Extranet theo truyền thống
Như hình trên, mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên intranet kết hợp lại với nhau để tạo ra một Extranet Điều này làm cho khó triển khai và quản lý do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công việc bảo trì và quản trị Thêm nữa là mạng Extranet dễ mở rộng do điều này sẽ làm rối tung toàn bộ mạng Intranet và có thể ảnh hưởng đến các kết nối bên ngoài mạng Sẽ có những vấn đề bạn gặp phải bất thình lình khi kết nối một Intranet vào một mạngExtranet Triển khai và thiết kế một mạng Extranet có thể là một cơn ác mộng của các nhà thiết kế và quản trị mạng
Một số thuận lợi của Extranet :
Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phân phối khi lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp ISP nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì Dễ dàng triển khai, quản lý và chỉnh sữa thông tin
- Sự đe doạ về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại
- Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet
- Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi diễn ra chậm chạp
- Do dựa trên Internet, QoS cũng không được bảo đảm thường xuyên.
VPN và các vấn đề an toàn bảo mật trên Internet
An toàn và tin cậy
Sự an toàn của hệ thống máy tính là một bộ phận của khả năng bảo trì một hệ thống đáng tin cậy được Thuộc tính này của một hệ thống đựơc viện dẫn như sự đáng tin cậy được Có 4 yếu tố ảnh hưởng đến một hệ thống đáng tin cậy:
• Tính sẵn sang: Khả năng sẵn sang phục vụ, đáp ứng yêu cầu trong khoản thời gian Tính sẵn sang thường đựơc thực hiện qua những hệ thống phần cứng dự phòng
• Sự tin cậy: Nó đình nghĩa xác xuất của hệ thống thực hiện các chức năng của nó trong một chu kỳ thời gian Sự tin cậy khác với tính sẵn sang , nó được đo trong cả một chu kỳ của thời gian Nó tương ứng tới tính liên tục của một dịch vụ
• Sự an toàn: Nó chỉ báo hiệu một hệ thống thực hiện những chức năng của nó chính xác hoặc thực hiện trong trường hợp thất bại một ứng xử không thiệt hại nào xuất hiện
• Sự an ninh: Trong trường hợp này sự an ninh có nghĩa như một sự bảo vệ tất cả các tài nguyên hệ thống Một hệ thống máy tính đáng tin cậy ở mức cao nhất là luôn đảm bảo an toàn ở bất kỳ thời gian nào Nó đảm bảo không một sự và chạm nào mà không cảnh báo thông tin có cảm giác, lưu tâm đến dữ liệu có cảm giác có 2 khía cạnh để xem xét:
Thuật ngữ tính bảo mật như được xác định có nghĩa rằng dữ liệu không thay đổi trong một ứng xử không hợp pháp trong thời gian tồn tại của nó Tính sẵn sang, sự an toàn và anh ninh là những thành phần phụ thuộc lẫn nhau Sự an ninh bảo vệ hệ thống khỏi những mối đe doạ và sự tấn công Nó đảm bảo một hệ thống an toàn luôn sẵn sang và đáng tin cậy.
Giao thức trong VPN 1 Bộ giao thức IPSec (IP Security Protocol)
Cấu trúc bảo mật
IPSec được triển khai (1) sử dụng các giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin (packet) trong quá trình truyền, (2) phương thức xác thực và (3) thiết lập các thông số mã hoá
Xây dựng khái niệm về bảo mật trên nền tảng IP Một sự kết hợp bảo mật đơn giản khi kêt hợp các thuật toán và các thông số (ví dụ như các khoá-keys) là nền tảng trong việc mã hoá và xác thực trong một chiều Tuy nhiên trong các giao tiếp hai chiều, các giao thức bảo mật sẽ làm việc với nhau và đáp ứng quá trình giao tiếp Thực tế lựa chọn các thuật toán mã hoá và xác thực lại phụ thuộc vào người quản trị IPSec bởi vì IPSec bao gồm một nhóm các giao thức bảo mật đáp ứng mã hoá và xác thực cho mỗi gói tin IP
Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấp cho một gói tin outgoing (đi ra ngoài), IPSec sử dụng các thông số Security Parameter Index (SPI), mỗi quá trình Index ( đánh thứ tự và lưu trong dữ liệu – Index ví như một cuốn danh bạ điện thoại) bao gồm Security Association Database (SADB), theo suốt chiều dài của địa chỉ đích trong header của gói tin, cùng với sự nhận dạng duy nhất của một thoả hiệp bảo mật cho mỗi gói tin Một quá trình tương tự cũng được làm với gói tin đi vào (incoming packet), nơi IPSec thực hiện quá trình giải mã và kiểm tra các khoá từ SADB
Cho các gói multicast, một thoả hiệp bảo mật sẽ cung cấp cho một group, và thực hiện cho toàn bộ các receiver trong group đó Có thể có hơn một thoả hiệp bảo mật cho một group, bằng cách sử dụng các SPI khác nhau, tuy nhiên nó cũng cho phép thực hiện nhiều mức độ bảo mật cho một group Mỗi người gửi có thể có nhiều thoả hiệp bảo mật, cho phép xác thực, trong khi người nhận chỉ biết được các keys được gửi đi trong dữ liệu Chú ý các chuẩn không miêu tả làm thế nào để các thoả hiệp và lựa chọn việc nhân bản từ group tới các cá nhân
IPSec là một phần bắt buộc của IPv6, có thể được lựa chọn khi sử dụng IPv4 Trong khi các chuẩn đã được thiết kế cho các phiên bản IP giống nhau, phổ biến hiện nay là áp dụng và triển khai trên nền tảng IPv4
Các giao thức IPSec được định nghĩa từ RFCs 1825 -1829, và được phổ biến năm
1995 Năm 1998, được nâng cấp với các phiên bản RFC 2401-2412, nó không tương thích với chuẩn 1825-1829 Trong tháng 12 năm 2005, thế hệ thứ 3 của chuẩn IPSec,RFC 4301-4309 Cũng không khác nhiều so với chuẩn RFC 2401-2412 nhưng thế hệ mới được cung cấp chuẩn IKE second Trong thế hệ mới này IP security cũng được viết tắt lại là IPSec.
Chế độ làm việc của IPSec
2.1 Chế độ chuyển vận (Transport mode)
Chế độ này hỗ trợ truyền thông tin giữa các máy hoặc giữa máy chủ với máy khác mà không có sự can thiệp nào của các gateway làm nhiệm vụ an ninh mạng
Trong Transport mode, chỉ những dữ liệu bạn giao tiếp các gói tin được mã hoá và hoặc xác thực Trong quá trình Routing, cả IP header đều không bị chỉnh sữa hay mã hoá; tuy nhiên khi authentication header được sử dụng, địa chỉ IP không thể chỉnh sửa ( ví dụ như port number) Transport mode sử dụng trong tình huống giao tiếp host-tohost Điều này có nghĩa là đóng gói các thông tin trong IPSec cho NAT traversal được định nghĩa bởi các thông tin trong tài liệu của RFC bởi
2.2 Chế độ đường hầm ( Tunnel Mode ):
Chế độ này hỗ trợ khả năng truy nhập từ xa và liên kết an toàn các Website Chế độ chuyển vận sử dụng AH và ESP đối với phần của tầng chuyển vận trong một gói tin
IP Phần dữ liệu thực của giao thức IP này là phần duy nhất được bảo vệ trong toàn gói tin Phần header của gói tin IP với địa chỉ của điểm truyền và điểm nhận không bảo vệ Khi áp dụng cả AH và ESP thì AH được áp dụng sau để tính ra tính toàn vẹn của dữ liệu trên tổng lượng dữ liệu Mặt khác chế độ đường hầm cho phép mã hoá và tiếp nhận đối với toàn bộ gói tin IP Các cổng bảo mật sử dụng chế độ này để cung cấp các dịch vụ bảo mật thay cho các thực thể khác trên mạng Các điểm truyền thông đầu cuối được bảo vệ bên trong các gói tin IP đến trong khi các điểm cuối mã hoá lại được lưu trong các gói tin IP truyền đi Một gateway bảo mật thực hiện phân tách gói tin IP đến cho điểm nhận cuối cùng sau khi IPSec hoàn thành việc sử lý của mình. Trong chế độ đường hầm, địa chỉ IP của điểm đến được bảo vệ
Trong chế độ đường hầm, có một phần header IP phụ được thêm vào, còn trong chế độ chuyển vận thì không có điều này IPSec định ra chế độ đường hầm để áp dụng cho AH và ESP
Khi host 1 muốn giao tiếp với host 2, nó có thể sử dụng chế độ đường hầm để cho phép các gateway bảo mật có thể cung cấp các dịch vụ để đảm bảo an toàn cho việc liên lạc giữa hai nút mạng trên mạng công cộng
IPSec cho phép chế độ bảo mật theo nhiều lớp và theo nhiều tuyến truyền Trong đó, phần header của gói tin nội tại được hoàn toàn bao bọc bởi phần header của gói tin được phát đi Tuy vậy, phải có một điều kiện là các tuyến truyền không được gối chồng lên nhau Đối với việc sử lý luồng dữ liệu truyền đi, tầng IP sẽ tham chiếu đến SPD (Security Policy Database ) để quyết định các dịch vụ bảo mật cần áp dụng Các bộ chọn lọc được lấy ra từ các phần header sử dụng để chỉ ra một cách thức hoạt động cho SPD Nếu hoạt động của SPD là áp dụng tính năng bảo mật thì sẽ có một con trỏ, trỏ đến SA trong SADB ( Security Association Database ) được trả về Trường hợp
SA không có trong SADB thì IKE sẽ được kích hoạt Sau đó các phần header AH và ESP được bổ xùng theo cách mà SA định ra và gói tin sẽ được truyền đi
Với việc sử lý luồng dữ liệu gửi đến, sau khi nhận được một gói tin, tầng có nhiệm vụ bảo mật sẽ kiểm tra danh mục các phương thức bảo mật để đưa ra các hành động sau đây: huỷ bỏ, bỏ qua hoặc áp dụng Nếu hành động là áp dụng mà SA không tồn tại thì gói tin sẽ bị bỏ qua Tuy nhiên, nếu SA có trong SADB thì gói tin sẽ được chuyển đến tầng tiếp theo để xử lý Nếu gói tin có chứa các phần header của dịch vụ IPSec thì stack của IPSec sẽ thu nhận gói tin này và thực hiện sử lý Trong quá trình sử lý, IPSec lấy ra phấn SPI, phần địa chỉ nguồn và địa chỉ đích của gói tin Đồng thời, SADB được đánh số theo các tham số để chọn ra SA nhất địn để sử dụng: SPT,địa chỉ đích hoặc là giao thức
+ IPSec cho phép thiết lập các mối truyền thông riêng biệt và đảm bảo tính bí mật trên mạng internet mà không cần biết đến các ứng dụng đang chạy trên máy đó hay các giao thức ở tầng cao hơn như tầng vận chuyển ( Transport layer)
+ IPSec là bộ giao thức có khả năng thẩm định dữ liệu ở cả hai phía người gửi và người nhận, đảm bảo tính bí mật và toàn vẹn dữ liệu bằng cách mã hoá chứng thực. IPSec có khả năng thích ứng với tất cả các trình ứng dụng chạy trên mạng IP
+ IPSec hoạt động hiệu quả và nhanh hơn các ứng dụng bảo mật hoạt động ở tầng ứng dụng ( Application layer)
+ IPSec có thể được coi như là một lớp dưới của giao thức TCP/IP, lớp này kiểm soát các người dùng truy nhập dựa vào một chính sách an toàn về mỗi máy tính và một tổ chức đàm phán an ninh giữa người gửi và người nhận
• Giao thức đóng gói an toàn ESP ( Encapsulation Security Payload): là giao thức số 50 được gán bởi IANA ESP là một giao thức bảo mật có thể được sử dụng cho việc cung cấp tính bảo mật và xác thực các gói dữ liệu khỏi sự nhòm ngó của người dùng không được phép ESP cung cấp phần tải tin của gói dữ liệu, ESP cung cấp sự xác thực cho gói tin IP nội bộ và phần tiêu đề ESP Sự xác thực cung cấp sự xác thực về nguồn gốc và tính toàn vẹn của gói dữ liệu ESP là giao thức hỗ trợ và kiểu mã hoá đối xứng như: Blowfish, DES Thuật toán mã hoá dữ liệu mặc định sử dụng trong IPSec là thuật toán DES 56 bit Trong các sản phẩm và thiết bị mạng của Cisco dùng trong VPN còn sử dụng việc mã hoá dữ liệu tôt hơn bằng cách sử dụng thuật toán 3DES( Triple Data
+ Giao thức ESP có thể được sử dụng độc lập hoặc kết hợp với giao thức chứng thực đầu mục AH ( Authentication Header ) tuỳ thuộc vào từng môi trường Hai giao thức ESP và AH đều cung cấp tính toàn vẹn, xác thực các gói dữ liệu
+ Giao thức ESP cũng có thể bảo vệ được tính duy nhất của gói tin bằng cách yêu cầu bên nhận đặt bit “ replay” trong tiêu đề để chỉ ra rằng gói tin đã được gửi
• Giao thức chứng thực mục đầu AH ( Authentication Header
Mã hoá và chứng thực trong VPN 1 Mã hoá trong VPN
Thuật toán mã hoá DES
Thuật toán mã hoá DES được IBM phát triển vào những năm 1970 sau đó được Uỷ ban tiêu chuẩn Quốc gia Hoa Kỳ (The National Bureau of Standard) Ngày nay là NIST chấp nhận ngày 15-5-1973 DES đã trở thành chuẩn mã hoá dữ liệu chính thức cho Chính phủ Hoa Kỳ và năm 1977 và trở thành hệ mật được sử dụng rộng rãi nhất trên thế giới
Thuật toán mã hoá DES có thể thoả mãn các yêu cầu sau:
• Thuật toán phải có độ an toàn cao
• Thuật toán phải được định nghĩa đầy đủ và hoàn toàn dễ hiểu
• Độ an toàn phải nằm ở khóa, không phụ thuộc vào tính bí mật của thuật toán
• Thuật toán phải sẵn sàng cung cấp cho mọi người dùng
• Thuật toán phải thích nghi được với việc dùng cho các ứng dụng khác nhau
• Thuật toán phải được cài đặt được một cách tiết kiệm trong các thiết bị điên từ
• Thuật toán khi sử dụng phải phát huy tối đa hiệu quả
• Thuật toán phải có khả năng hợp thức hoá
• Thuật toán phải có tính thương mại
Một mô tả đầy đủ về DES được nêu ra trong Công báo về chuẩn xử lý thông tin Liên bang số 46 ngày 15-1-1977 DES mã hoá một dòng bit rõ x có độ dài 64 với khoá K là dòng 56 bit, đưa ra bản mã y cũng là một dãy bit có độ dài 64
• Cho bản rõ x, ta tính được x0 qua việc hoán vị các bít của x theo hoán vị đầu IP:
L0 là 32 bit đầu tiên của x0, R0 là 32 bit còn lại và IP là hoán vị đầu cố định
Dấu “ө” thể hiện phép toán “ hoặc loại trừ” hai dãy bit, f là một hàm, ki là những dãy dài 48 bit được tạo từ khoá k bởi thuật toán riêng
Hình 38: Một vòng của DES
• Bản mã y được tính toán bởi hoán vị IP -1 của R16L16, chú ý đảo ngược vị trí của L16 và R16 Y= IP -1 (R 16 L 16 )
Các mẫu hoạt động của DES: như ta đã thấy, đầu vào của DES chỉ có 8 byte, vậy mà văn bản cần mã lại có thể rất dài, cỡ vài kbyte chẳng hạn Để giải quyết vấn đề này, người ta đã đề ra 4 mẫu hoạt động cho DES là:
• Cipher Block Chaining mode (CBC)
1.1.2 Ưu và nhược điểm của DES
- Ưu điểm: Thuật toán mã hoá DES tốc độ mã hoá dữ liệu rất nhanh
- Nhược điểm: Do DES có kích cỡ của không gian khoá 2 56 là quá nhỏ, không đủ an toàn, cho nên những máy có mục đích đặc biệt có thể sẽ bẻ gãy và dò ra khoá rất nhanh
1.1.3 Ứng dụng của thuật toán DES trong thực tế
Một ứng dụng rất quan trọng của DES là ứng dụng cho các văn bản trong giao dịch ngân hang sử dụng các tiêu chuẩn được hiệp hội các ngân hang Mỹ phát triển.DES được sử dụng để mã hoá các số nhận dạng cá nhân (Pins) và các văn bản về tài khoản được máy thu ngân tự động thực hiện (ATMs)…
Thuật toán mã hoá 3DES
Thuật toán mã hoá 3DES là một biến thể phụ của DES, như ta đã biết DES vẫn tồn tại nhiều nhược điểm như: Có thể bẽ gãy bằng những máy có mục đích đặc biệt để tìm ra khóa
Thuật toán mã hoá 3DES gồm 3 chìa khoá 64 bit, tức là toàn bộ chiều dài khoá là
Trong khi mã hoá riên tư, chúng ta đơn giản là nhập toàn bộ 192 bit khoá đơn là vào mỗi 3 chìa khoá cá nhân
Thủ tục mã hoá cũng tương tự DES nhưng nó được lặp lại 3 lần tức là tăng lên
3 lần DES Dữ liệu được mã hoá với chìa khoá đầu tiên, và được giải mã với chìa khoá 2, sau đó mã hoá lần nữa với chìa khoá thứ 3 để thu được dữ liệu mã hoá cuối cùng
+ Các mẫu hoạt động của 3DES:
• Triple ECB (Triple Electronic Code Book): Sách mã hoá điện tử
• Triple CBC (Triple Cipher Chaining): Móc nối khối ký số
1.2.2 Ưu và nhược điểm của 3DES
Des Encryption Des Encryption Des Encryption
- Ưu điểm: Khác với DES, thuật toán mã hoá 3DES được mã hoá 3 lần DES với kích cỡ không gian khoá 168 bit cho nên an toàn hơn rất nhiều so với DES
- Nhược điểm: Vì 3DES sử dụng 3 lần mã hoá DES cho nên tốc độ mã hoá sẽ chậm hơn rất nhiều so với DES Phần mềm ứng dụng tỏ ra rất chậm đối với hình ảnh số và một số ứng dụng dữ liệu tốc độ cao vì kích thước khối 64 bit vẫn còn là một nhược điểm đối với những hệ có tốc độ của thế kỷ 21.
Giải thuật hàm băm (Secure Hash Algorithm)
Đối với các sơ đồ chữ ký thông thường, ta chỉ có thể ký các bức điện nhỏ. Chẳng hạn khi dùng chuẩn chữ ký số DSS, một tài liệu dài 160 bit sẽ được ký bằng chữ dài 320 bit Trên thực tế ta cần ký các tài liệu dài hơn nhiều ( Chằng hạn, một tài liệu về pháp luật có thể dài nhiều Megabyte )
Giải pháp để giải quyết các vấn đề này là dùng hàm Hash mã khoá công khai nhanh Hàm này dựa trên nội dùng một tài liệu có độ dài tuỳ ý để tạo ra một “bản tóm tắt” của tài liệu với kích thước quy định (160 bit nếu dùng DSS) Sau đó, “bản tóm tắt” của tài liệu này (dữ liệu ra của hàm Hash) sẽ được ký Việc dùng hàm Hash với DSS được biểu diễn như sau
Bức điện: m: Độ dài tuỳ ý
Tính bản tóm lược thông báo: z=h(m)
Khi B muốn ký bức điện x, trước tiên B tạo một bản tóm tắt z của tài liệu bằng cách sử dụng hàm băm h và sau đó dùng khoá bí mật của mình để tìm chữ ký s(s=Sigk(z); trong đó Sigk là hàm mã hoá RSA với khoá bí mật của B) Tiếp theo, B gửi cặp (m,s) đến cho A Để xác thực trước hết A phải khôi phục bản tóm tắt của tài liệu bằng hàm h (z=h(m)) và sau đó thực hiện kiểm tra xem Verk(m,s) có bằng true hay không.
Giải thuật RSA
RSA là một hệ mật mã khoá công khai phổ biến và cũng đa năng nhất trong thực tế, được phát minh bởi Rivest, Shamir và Adleman được coi như là một hệ chuẩn đối với các hệ mật mã khoá công khai
RSA dựa trên tính khó của bài toán phân tích các số lớn thành ra thừa số nguyên tố: biết một số nguyên tố nhân chúng với nhau để thu được một hợp số là bài toán dễ Còn khi biết hợp số, để phân tích nó ra thành thừa số nguyên tố là bài toán rất khó mà hầu như không thực hiện được nếu 2 nguyên tố đó là những số lớn
Giả sử n là một số nguyên tố và là tích của hai số nguyên tố lớn khác nhau p và q (n=p.q) Ta chọn một số nguyờn tố với à(n)=(p-1)(q-1),và tớnh b=a -1 Mod à(n), tức là a.b ≡ 1 mod à(n)
Hệ RSA được mô tả như sau:
Lấy n=p.q, trong đó p và q là hai số nguyên tố.Đặt P=C=Zn:
Trong đó (n, b) là khoá công khai, còn a là khoá bí mật Với
K = (K ’ ,K ” ), K ’ = (n,b), K ” = a, ta định nghĩa ek’(x) = x b mod n dk”(y) = y b mod n
Ta thấy rằng với mọi x Є Zn * (Tức là x Є Zn và x là nguyên tố với n)
Với x ЄZn\Zn * ta vẫn có đẳng thức nói trên, vì khi đó hoặc x chia hết cho p và x nguyên tố với q hoặc x chia hết cho q và x nguyên tố với p Trong cả hai trường hợp đó ta đều có: x t.à(n) + 1 = x mod p x t.à(n) + 1 = x mod q
Từ đú suy ra ta cú x t.à(n) + 1 = x mod n.
Chứng thực trong VPN
Sự chứng thực là một bộ phận cấu trúc của sự an toàn mạng riêng ảo VPN, có thể ta có một hệ thống đáng tin cậy xác nhận những mạng, người dùng và dịch vụ mạng nhưng như vậy chưa hẳn đã là một hệ thống an toàn tuyệt đối, ta không thể kiểm soát được các truy nhập vào hệ thống tài nguyên mạng tập đoàn của ta trước những người dùng bất hợp pháp Cho nên một giải pháp có thể điều khiển và ngăn cản người dùng bất hợp pháp cố tình truy nhập hệ thống là ta sử dụng phương pháp chứng thực
Hình 40: Kịch bản của sự chứng thực
Sự chứng thực thì dựa vào một trong ba thuộc tính sau:
• Something you have : Chìa khoá hay một thẻ dấu hiệu
• Something you know: Mật khẩu
• Something you are: Tiếng nói hay quét võng mạc Người dùng có thể chứng thực bằng:
• Smart card PKI/ certificate IP
Tuy nhiên đó chỉ là những phương pháp chứng thực đơn, không thích hợp hay chưa đủ mạnh mẽ để bảo vệ những hệ thống, thay vào đó các chuyên gia an toàn giới thiệu phương pháp chứng thực mạnh mẽ, áp dụng hai trong những thuộc tính trước cho sự chứng thực
Sự đa dạng của những hệ thống mạng VPN sẵn có hiện thời phụ thuộc vào những phương pháp khác nhau của sự chứng thực hoặc những sự kết hợp của chúng, Ngoài các phương pháp chứng thực đơn, trong mạng riêng ảo VPN còn sử dụng sự chứng thực bằng giao thức
• Challenge Handshare Authentication Protocol (CHAP)
• Remote Authentication Dial-up User Services (RADIUS)
• Solaris Pluggable Authentication Modules (PAM)
2.1 Password Authentication Protocol (PAP): Giao thức chứng thực bằng mật khẩu
Giao thức chứng thực mật khẩu PAP trước kia được thiết kế ra chính là để một máy tính xác nhận máy tính khác thông qua giao thức từ điểm tới điểm PPP được sử dụng như thủ tục truyền tin Sự chứng thực PAP có thể được sử dụng tại nơi bắt đầu một mối liên kết PPP tức là khi một máy trạm truy nhập từ xa tới hệ thống mạng tập đoàn nó phải gửi ID (tên người dùng) và mật khẩu tới hệ thống mạng đích, ở đó máy chủ điều khiển truy nhập NAS có nhiệm vụ chứng thực máy trạm của người dùng đó có được phép truy nhập tới tài nguyên mạng của tập đoàn hay không
Tuy nhiên, sự chứng thực bằng giao thức chứng thực bằng mật khẩu chưa đủ sự an toàn và tin cậy vì thông tin chứng thực được trao đổi không an toàn trong môi trường mạng công cộng Internet nên các tội phạm tin học có thể nghe trôm, đánh cắp thông tin để từ đó đoán ra được mật khẩu truy nhập vào hệ thống
2.2 Challenge Handshare Authentication Protocol (CHAP)
Giao thức CHAP được thiết kế tương tự giao thức PAP nhưng có độ an toàn cao hơn nhiều Cũng như giao thức PAP, giao thức CHAP cũng có thể được sử dụng tại nơi bắt đầu một mối liên kết PPP và sau đó lặp lại sau khi mối liên kết đó được thiết lập.
Firewall
Firewall là một thuật ngữ có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn
Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng nhằm mục đích:
• Ngăn chặn và hạn chế các truy nhập trái phép, nhằm bảo vệ các nguồn tài nguyên , thông tin dữ liệu
• Cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet
Cũng có thể hiểu Firewall là một cơ chế để bảo vệ một mạng tin cậy khỏi các mạng không tin cậy như mạng công cộng Internet
Thông thường Firewall được đặt giữa mạng tin cậy bên trong như mạng Intranet của một công ty hay một tổ chức và mạng không tin cậy như Internet
Chức năng của tương lửa Firewall: Là kiểm soát luồng thông tin ra, vào giữa mạng tin cậy (Intranet) và mạng không tin cậy Internet Thiết lập cơ chế điều khiển các luồng thông tin cụ thể là:
• Cho phép hoặc cấm những dịch vụ truy nhập từ mạng tin cậy ra ngoài mạng không tin cậy (Từ mạng Intranet tới mạng Internet)
• Cho phép hoặc cấm những dịch vụ truy nhập từ mạng không tin cậy vào trong mạng tin cậy
• Theo dõi và điều khiển các luồng dữ liệu giữa Internet và Intranet
• Kiểm soát các địa chỉ truy nhập hoặc cấm địa chỉ truy nhập
• Kiểm soát người dùng và việc truy nhập của người dùng
3.2 Các thành phần của Firewall
Firewall có thể phân loại thành 3 dạng cơ bản:
• Bộ lọc gói (Packet Filters)
• Máy phục vụ uỷ nhiệm (Proxy Server) bao gồm 1.
Cổng ứng dụng (Application Gateway)
2 Cổng mạch (Circuit level gateway)
Bộ lọc gói có trạng thái (Statefull Packet Filters)
Hình 42 Để xây dựng Firewall hoạt động có hiệu quả nhất, nên sử dụng kết hợp tất cả các thành phần trên
3.2.1 Bộ lọc gói (Packet Filtering Router)
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCP/IP
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoã mãn một trong số các luật lệ của bộ lọc packet hay không Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (Packet header) dùng để cho phép truyền các packet đó ở trên mạng. Đó là:
• Địa chỉ IP nơi xuất phát (IP Source address)
• Địa chỉ IP nơi nhận (IP Destination address)
• Những thủ tục truyền tin (TCP,UDP ICMP, IP tunnel)
• Cổng TCP/UDP nơi xuất phát
• Cổng TCP/UDP nơi nhận
• Dạng thông báo ICMP (ICMP message type)
• Giao diện packet đến (Incomming interface of packet)
• Giao diện packet đi (outcomming interface of packet)
Nếu luật lệ lọc packet được thoã mãn thì packet được chuyển qua Firewall.Nếu không thoã mãn, packet sẽ bị bỏ đi Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ (Telnet, SMTP, FTP …) được phép mới chạy được trên hệ thống mạng cục bộ Ưu điểm Đa số các hệ thống Firewall đều sử dụng bộ lọc packet Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm Router
Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện, đào tạo đặc biệt nào cả
Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, đòi hỏi người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường Khi đòi hỏi về sự lọc càng lớn, các luật lọc càng trở nên dài và phức tạp, rất khó để quản lý và điểu khiển
Do làm việc dựa trên header của các packet, rõ rang là bộ lọc packet không kiểm soát được nội dùng thông tin của packet Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ lấy cắp thông tin hay phá hoại của kẻ xấu
3.2.2 Cổng ứng dụng (Application-level gateway)
Nguyên lý: Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được phép truy cập vào hệ thống mạng
Cơ chế hoạt động dựa trên cách thức gọi là Proxy service Proxy service là các bộ mã đặc biệt cài đặt trên gateway cho từng ứng dụng Nếu người quản trị mạng không cài đặt Proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua Firewall Ngoài ra, Proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quản trị mạng cho là chấp nhận đựơc trong khi từ chối những đặc điểm khác
Một cổng ứng dụng thường được coi như một pháo đài (bastion host), bởi vì nó được thiết kế đặc biệt để chống lại sự tấn công từ bên ngoài Những biện pháp đảm bảo an ninh mạng của một bastion host là:
• Bastion host luôn chạy các version an toàn (Secure version) của các phần mềm hệ thống Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào Openrating System, cũng như đảm bảo sự tích hợp Firewall
• Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn công Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host
• Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như: user name, password hay smart card
• Mỗi một proxy được đặt cấu hình để cho phép truy nhập chỉ một số các máy chủ nhất định Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống
• Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại
• Mỗi proxy độc lập với các proxies khác trên bastion host Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ một proxy đang có vấn đề Ưu điểm:
