Cuối cùng là đưa ra một sự so sánh giữa hai giải pháp IPSec và SSL, đồng thời phân tích khả năng áp dụng chúng trong thực tế Câu hỏi ôn tập 1. RADIUS stands for __________. a. Remote Account Dial-In User Service b. Remote Access Dial-In User System c. Remote Access Dial-In User Service d. Remote Account Dial-In User System 2. TACACS is a proprietary protocol by ____________. a. Cisco Systems b. Netscape Communications Corporation c. Microsoft Corporation d. InterNIC 3. Keeping a tab on the duration of user activities is a part of ____________. a. Authentication b. Authorization c. Accounting d. Authentication and Accounting 4. Which of the following security solutions helps preserve IP addresses? a. SOCKS b. SSL c. TLS d. NAT 5. Which of the following firewalls keep an account of connection status in addition to checking the IP addresses carried by the datagram? a. Application proxy firewalls b. Static stateful firewalls c. Packet filter firewalls d. Stateful packet inspection firewalls 6. What is the difference between a firewall and a SOCKSv4 server? a. A firewall masks internal nodes from the outside world; SOCKS do not. b. SOCKS authenticates remote users; firewalls do not. c. Firewalls authenticate remote users; SOCKS do not. d. There is no difference between the two. 7. Which of the following requires compulsory two-way authentication for an HTTP-based transaction? a. SSL b. SOCKS c. TLS d. NAT PHẦN II XÂY DỰNG VÀ THỰC THI MẠNG RIÊNG ẢO Phần I đã trình bày chi tiết về những vấn đề liên quan đến công nghệ mạng riêng ảo. Bây giờ chúng ta đã biết rõ những yêu cầu của một mạng riêng ảo, các khối dựng sẵn của mạng riêng ảo, các kiến trúc mạng riêng ảo khác nhau, và các thành phần đảm bảo an toàn của một thiết lập mạng riêng ảo. Bây giờ ta đã có những kiến thức nền tảng khá vững chắc về công nghệ đường hầm và các giao thức đường hầm khác nhau như: PPTP, L2F, L2TP và IPSec. Với những kiến thức trên, trong phần này ta sẽ bước sang việc xây dựng và thực thi mạng riêng ảo. Chương V Xây dựng mạng riêng ảo Trong chương này ta sẽ nghiên cứu về các vấn đề và những điểm cần lưu ý khác nhau trong khi thiết kế một giải pháp dựa trên mạng riêng ảo cho các tổ chức. Ta sẽ xem xét các vấn đề thiết kế mạng riêng ảo như: bảo mật, đánh địa chỉ và định tuyến, hiệu suất, khả năng mở rộng và khả năng tích hợp. Các vấn đề liên quan đến việc thực thi FireWall, NAT, DNS, phân phối khoá, quan hệ tin cậy giữa các thực thể liên quan cũng được đề cập. Chúng ta cũng xem xét các môi trường mạng riêng ảo: Remote Access, Intranet, Extranet để hiểu rõ các vấn đề liên quan trong khi thực thi mạng riêng ảo trong các môi trường này. Cuối cùng, ta sẽ nghiên cứu các bước thông thường để thực thi mạng riêng ảo, lựa chọn sản phẩm và nhà cung cấp dịch vụ, kiểm thử kết quả, thiết kế và thực thi mạng riêng ảo, quản trị và giám sát các thiết lập 5.1. Các vấn đề khi thiết kế mạng riêng ảo Một bản thiết kế chi tiết và đầy đủ là cơ sở chính của một mạng. Và điều này cũng đúng với bất kỳ mạng riêng ảo nào. Nếu có sai sót trong việc phân tích các yêu cầu của một tổ chức và theo đó là kế hoạch cũng bị sai sót thì sẽ có ảnh hưởng rất nhiều về sau. Chẳng hạn, có thể có nhiều thứ gặp sự cố và làm việc không như mong muốn, Ngoài ra người dùng cuối cũng phải chịu các hậu quả của việc lập kế hoạch không hợp lý. Lúc thiết kế mạng, người thiết kế cần phải luôn tuân thủ định hướng, không bỏ sót bất cứ thứ gì. Vấn đề chính mà ta cần phải xem xét lúc triển khai thiết kế mạng riêng ảo bao gồm như sau: - Bảo mật - Đánh địa chỉ IP và định tuyến - Các vấn đề liên quan đến DNS - Các vấn đề về Router/Gateway, Firewall và NAT - Các xem xét về Client và Server - Hiệu suất thực thi - Khả năng mở rộng và tính tương thích Sau đây, ta sẽ nghiên cứa riêng từng vấn đề này 5.1.1. Bảo mật Một mạng riêng ảo mở rộng qua một mạng công cộng “không an toàn” để kết nối một cách an toàn tới các nguồn tài nguyên và các mạng chi nhánh của một tổ chức. Tuy nhiên, hầu hết các quản trị mạng vẫn còn xem nhẹ vấn đề bảo mật của một mạng riêng ảo. Đây là vấn đề chính cần xem xét khi thiết kế một mạng riêng ảo bởi vì trong mạng riêng ảo có sử dụng các mạng công cộng làm trung gian, mạng công cộng thường là mở với tất cả các cá nhân, đặc biệt với những cá nhân có ý đồ đen tối. Điều này làm cho mạng riêng ảo dễ bị tấn công trước nhiều mối đe doạ, bao gồm cả giả mạo, bắt gói, sửa đổi nội dung thông tin, các tấn công kiểu brute-force, tân công từ chối dịch vụ và các tấn công trên các giao thức mạng riêng ảo. Khi xem xét các đặc điểm thiết lập mạng riêng ảo, bốn thành phần nổi bật của kết nối mạng riêng ảo rất dễ bị tấn công từ bên ngoài là: - Người dùng từ xa (người dùng cuối hoặc Client VPN). Thực thể này có thể là một phần trong các nhân viên di động của tổ chức hoặc một người dùng cuối truy cập Intranet của tổ chức từ nhà. Thực thể này sử dụng một ID và Password để làm việc từ xa. Kết quả là, người dùng từ xa thường bị tất công vào ID hoặc Password. Nếu kẻ tấn công hoặc các cá nhân có ý đồ xấu thu được các ID và Password này, hắn ta dễ dàng truy cập lại vào Intranet của tổ chức và các tài nguyên trong đó - Phân đoạn kết nối tới ISP. Một người dùng từ xa hay các chi nhánh yêu cầu một tuỳ chọn truy cập đề kết nối tới POP của ISP, nó sẽ lần lượt thiết lập kết nối tới mạng đích. Phân đoạn kết nối này có thể hoặc là một đường leased line hoặc một kết nối quay số từ xa. Kết nối đường Leased Line tồn tại giữa một chi nhánh ở xa và Intranet của ISP cung cấp thuê bao kết nối trực tiếp tới mạng ISP. Mặc dù một tuỳ chọn kết nối an toàn, đường leased line có thể bị mắc rẽ để nghe trộm và một kẻ tấn cộng có thể nghe trộm trên các cuộc truyền tin. Các kết nối quay số rẽ hơn khá nhiều so với đường thuê riêng leased line và thường được dùng để kết nối một người dùng từ xa với mạng của tổ chức. Các kết nối quay số có khả năng truy cập tới tất cả và do đó dễ dàng mắc rẽ vào để nghe trộm. Điểm yếu này làm cho chúng rất dễ bị nghe trộm. Vì vậy, các kết nối quay số không an toàn như đường leased line Ch ú ý Không quan tâm đến phân đoạn kết nối, việc nghe trộm trên một phiên liên lạc có thể cung câp cho tấn công có một địa chỉ IP máy chủ từ xa hợp lệ. Kẻ tấn công này sau đó sử dụng thông tin này để giả mạo địa chỉ IP và phá vỡ hàng rào an toàn của tổ chức mà không gặp trở ngại nào. Một vấn đề chính yếu khác gắn liền với phân đoạn kết nối, dù là đường thuê riêng hay đường quay số, nếu chính ISP có ý đồ xấu thì nhà cung cấp dịch vụ có thể dễ dàng đọc được tất các dữ liệu trong phiên liên lạc và như vậy dễ dàng truy cập tới dữ liệu bí mật được truyền giữa một người dùng cuối và mạng Intranet của tổ chức. - Mạng công cộng: Một mạng công cộng, đặc biệt là Internet , không nằm trong địa hạt của một cơ quan thẩm quyền đơn có thể kiểm soát tất cả các hoạt động và giao dịch qua nó. Hơn nữa, các điểm trung gian, chẳng hạn như các bộ định tuyến tạo nên Internet và hỗ trợ các đường hầm mạng riêng ảo có thể không dùng riêng cho các đường hầm của một tổ chức đơn. Một bộ định tuyến trung gian có thể đồng thời hỗ trợ nhiều đường hầm bắt nguồn từ nhiều mạng Intranet của nhiều tổ chức. Kết quả là lưu lượng từ một tổ chức có thể không hoàn toàn được biệt lập với lưu lượng của các tổ chức khác. Thêm vào đó, mạng công cộng bản chất là dùng chung, nó có thể được truy cập bởi bất kỳ ai muốn sử dụng nó. Một ý định của cá nhân hay một tổ chức với các trang thiết bị đúng và giỏi chuyên môn có thể dễ dàng gắn vào một phương tiện liên lạc và sử dụng nó để đem lại lợi ích riêng. Trong các trường hợp khác, một kẻ tấn công có thể giả mạo các gói dữ liệu hoặc thay đổi nội dung dữ liệu dẫn đến nhiều thiệt hại cho một tổ chức. - Điểm truy cập mạng đích: Một Router, Gateway, Firewall hoặc một thiết bí NAT thường được đặt tại vành đai của mạng và các Server như là một điểm truy cập Intranet của một tổ chức. Các thiết bị này không chỉ phải đối mặt với các mối đe doạ bảo mật và các nổ lực xâm chiếm từ các thực thể bên ngoài mà còn cả từ các thực thể bất mãn ở bên trong. Thêm vào đó, nếu tổ chức hỗ trợ một mạng Extranet, các thiết bị ngày cũng dễ bị tấn công với các lưu lượng độc hại từ các đối tác thương mại bên ngoài. Hình 5.1 Bốn thành phần dễ bị tấn công của kết nối mạng riêng ảo Ở trên ta đã thảo luận về các lỗ hổng bảo mật trong một thiết lập mạng riêng ảo đầy đủ. Và như vậy, ta không thể bỏ qua các vấn đề bảo mật này. Ta cần giữ các bước hợp lý trong việc thực thi để đảm bảo rằng giải pháp mạng riêng ảo của ta là có thể chịu được tất cả các kiểu tấn công, mà vẫn cho phép khai thác Internet và hạ tầng mạng công cộng để giảm chi phí thực thi trong khi tăng mức độ an toàn của các giao dịch, vì vậy bảo vệ được hầu hết các khả năng tấn công vào tổ chức - dữ liệu. IPSec đã được thảo luận chi tiết trong các chương của phần I được xem là câu trả lời cho hầu hết các mối quan tâm bảo mật liên quan đến 4 thành phần dễ bị tấn . sau: - Bảo mật - Đánh địa chỉ IP và định tuyến - Các vấn đề liên quan đến DNS - Các vấn đề về Router/Gateway, Firewall và NAT - Các xem xét về Client và Server - Hiệu suất thực thi - Khả. for __________. a. Remote Account Dial-In User Service b. Remote Access Dial-In User System c. Remote Access Dial-In User Service d. Remote Account Dial-In User System 2. TACACS is a proprietary. duration of user activities is a part of ____________. a. Authentication b. Authorization c. Accounting d. Authentication and Accounting 4. Which of the following security solutions helps