- Các Router và Gateway trong môi trường mạng Internet thường được cấu hình để cho truyền qua lưu lượng được định tuyến tới các Router kế tiếp nhằm hướng tới mạng đích. Điều này hàm ý rằng chúng có thể “chuyển” một khối lượng lớn dữ liệu sang nơi khác. Tuy nhiên, hầu hết các Router không có khả năng lưu trữ một khối lượng lớn dữ liệu khi dữ liệu chuyển đến chúng. Kết quả là, hầu hết các Router rất dễ bị ảnh hưởng với các tấn công từ chối dịch vụ. Bằng việc giành được toàn bộ quyền kiểm soát Router, một kẻ xâm nhập có thể dễ dàng giành được quyền truy cập vào mạng gắn với nó và dẫn đến thiệt hại lớn với mạng Intranet. - Các Router chia sẻ thông tin định tuyến với các Router ngang hàng để có khả năng định danh không làm gián đoạn thêm luồng lưu lượng chúng nhận được. Kết quả là, các Router phải chia sẻ một quan hệ tin cậy với các Router ngang hàng. Đặc điểm này của các Router thường bị khai thác bởi những kẻ xâm nhập, những kẻ này sau khi thay đổi hoặc xoá các đường định tuyến đã tồn tại hoặc đưa các đường định tuyến giả tạo vào bảng định tuyến được duy trì bởi một hoặc nhiểu Router. Kết quả của việc thay đổi thông tin này là các Router mà các bảng định tuyến của chúng đã được cảnh giác có thể bắt đầu hoạt động như các Router giả tạo và chuyển tiếp luồng lưu lượng tới các Route “không đáng tin cậy” - Nếu đang lập kết hoạch thực thi nhiều Router và Gateway trong mạng Intranet, cần đảm bảo rằng tất cả hỗ trợ cùng mức bảo mật. Điều này sẽ ngăn chặn kẻ xâm nhập khai thác một điểm yếu bảo mật đơn lẻ để giành quyền truy cập tới mạng. Bởi các vấn đề đã xác định trên, ta nên cẩn thận khi chọn lựa các Router cho thiết lập mạng riêng ảo. Ngoài hiệu suất tốt, cũng nên tìm kiếm các Router có khả năng mã hoá và xác thực mạnh. Những khả năng này không chỉ bảo vệ các Router của ta, mà còn ngăn chặn việc quét và đọc trái phép các thông tin đang được chuyển qua bởi chúng 5.1.4.2. Các xem xét liên quan đến Firewall Mặc dù các Firewall có thể trợ giúp như các kỹ thuật bảo vệ chống lại các cuộc tấn công và xâm nhập từ bên ngoài, ta cần xem xét một số vấn đề sau trước khi thực thi một thiết lập mạng riêng ảo dựa trên firewall. Một số vấn đề này như sau: - Nếu đang lập kế hoạch thực thi các firewall hoạt động trên cơ sở các địa chỉ IP nguồn và đích, cổng nguồn và đích, giao thức được sử dụng nhưng không dựa trên nội dung của các gói dữ liệu, một kẻ xâm nhập có thể che dấu dữ liệu “độc hại” trong các gói dữ liệu được tải. Kết quả là, những dữ liệu độc hại này sẽ không bị phát hiện bởi Firewall. Vấn đề khác gắn với các Firewall này, cũng như với các Firewal lọc gói, đó là chúng không xử lý các giao dịch dựa trên nhiều kết nối động, chẳng hạn như các giao dịch FTP. Vì vậy, sẽ cần thiết lập các bộ lọc gói một cách rõ ràng để cho phép các luồng lưu lượng liên quan các giao dịch này. - Các Firewal khác, như các Firewal Proxy ứng dụng và các Firewal kiểm duyệt trạng thái gói, các hoạt động của chúng phần lớn dựa trên nội dung của gói dữ liệu thêm vào các địa chỉ IP, địa chỉ cổng và các giao thưc được dùng. Tuy nhiên, phải nhớ rằng các Firewall Proxy ứng dụng không xử lý luồng lưu lượng dựa trên HTTPS và SSH Kết quả là, đặc trưng này có thể bị khai thác bởi những người bên ngoài để xâm nhập Firewall. Chức năng của Firewall kiểm duyệt trạng thái gói dữ liệu rất giống với Firewal Proxy ứng dụng. Tuy nhiên, hiệu suất của chúng tốt hơn nhiều. Vì vậy, dù có thể phải đầu từ nhiều hơn cho Firewall kiểm soát trạng thái gói dữ liệu, ta sẽ thăng đáng kể hiệu suất của toàn bộ thiết lập mạng riêng ảo - Để vượt qua hầu hết các vấn đề liên quan đến Firewall, ta phải định nghĩa một chính sách bảo mật, chính sách bảo mật lần lượt định nghĩa cách thức một Firewall tương tác với thiết lập mạng riêng ảo. Trong chính sách bảo mật, ta cũng sẽ phải quyết định loại luồng lưu lượng nào nên được cho phép đi qua Firewall. Một cách đề xử lý tất các luồng lưu lượng một cách hoàn toàn lúc cấu hình hệ điều hành Firewall là không cho phép tất cả lưu lượng và dịch vụ, sau đó xử lý để cho phép các lưu lượng và dịch vụ được yêu cầu cho đến khi xây dựng xong toàn bộ các luật. - Nếu đang lập kế hoạch để tạo một vùng DMZ(vùng mạng bảo vệ vành đai), đầu tiên ta sẽ cần quyết định những Server nào sẽ là một phần của vùng này. Một qui tắc để xác định là các Server chỉ đưa ra các dịch vụ mạng riêng ảo cần thiết nên là một phần của vùng này. - Mặc dù một cách hiệu qua và không mất chi phí lớn của việc bảo mật Intranet và thiết lập mạng riêng ảo là xây dựng một kiến trúc bảo mật phân cấp dựa trên firewall sử dụng các kiểu Firewall khác nhau, như minh hoạ trong hình 5.2. Ví dụ, Firewall giữa Internet và DMZ có thể là một loại và Firewall giữa DMZ và Intranet có thể là một loại khác. Điều này sẽ giảm khả năng khai thác các điểm yếu giống nhau trong hệ thống Firewall ngoại vi để giành được quyền truy cập các tài nguyên mạng Intranet Hình 5.2 Hệ thống Firewal phân cấp Bằng việc cấu hình các Firewall để ghi nhật ký mọi yêu cầu kết nối và hoạt động xẩy ra qua các Firewall, và bằng cách phân tích đều đặn các dữ liệu này, ta có thể xác định các điểm yếu trong hệ thống Firewall và đưa ra các bước phù hợp 5.1.4.3. Các xem xét liên quan đến NAT Luôn có hai vấn đề chính cần xem xét lúc thực thi giải pháp dựa trên NAT trong một môi trường mạng riêng ảo. Đó là - Mặc dù NAT có thể hoạt động tự do trên PPTP, xem xét các NAT quan trọng nhất do bởi trong trường hợp các giao dịch dựa trên IPSec. Với công nghệ, các địa chỉ IP tầng 3 phải được thay đổi. Ngược lại. IPSec mã hoá và/hoặc đóng gói các địa chỉ IP tầng 3 của một gói với các địa chỉ mạng khác. Kết quả là, số hiệu cổng UDP được mã hoá và giá trị của nó được bảo vệ với một FCS mật mã. Điều này làm cho luồng lưu lượng IPSec không được dịch chuyển bởi các NAT vè NAT không có khả năng làm việc trên gói sau khi dữ liệu sau khi gói dữ liệu đi qua các xử lý định đường hầm mạng riêng ảo L2TP dựa trên IPSec hoặc IPSec. Hơn thế nữa, trong trường hợp xác thực IPSec đầu cuối tới đầu cuối, một gói có địa chỉ bị thay đổi sẽ luôn xẩy ra lỗi kiểm tra tính toàn vẹn. Cho nên, NAT có thể phá vỡ một đường hầm dựa trên IPSec, vì Server VPN sẽ luôn loại bỏ các gói dữ liệu. Vì vậy, nên tránh sử dụng NAT nếu đang có kế hoạch thực thi mã hoá và xác thực IPSec. - NAT không xử lý dịch chuyển các địa chỉ IP tương ứng với các giao thức tầng ứng dụng. Vì vậy, không thể thực thi một giải pháp dựa trên NAT chuẩn. Ta sẽ phải tìm một NAT cao cấp để sử lý tình huống này 5.1.4.4. Các xem xét liên quan đến Client và Server mạng riêng ảo Các Client và Server mạng riêng ảo là các điểm cuối của một thiết lập mạng riêng ảo đầy đủ. Trong khi Server mạng riêng ảo cung cấp các dịch vụ liên quan đến mạng riêng ảo, thì các Client sử dụng các dịch vụ này. Kết quả là, một số lượng đáng kể rơi vào lựa chọn của các Client và Server mạng riêng ảo. Các xem xét chính liên quan tới các Server mạng riêng ảo bao gồm: - Server mạng riêng ảo phải có hiệu suất cao - Server chỉ chạy các dịch vụ cần thiết - Server phải có khả năng kết nối tới được và có khả năng xử lý để xác thực các Client mạng riêng ảo. Ta phải sử dụng các địa chỉ IP tĩnh cho chức năng đó. Nếu Server được cấp phát một địa chỉ riêng, bộ dịch chuyển địa chỉ mạng được yêu cầu và như vậy Server có thể truy cập được bởi các Host ở bên ngoài, đặc biệt nếu mạng Intranet cũng hỗ trợ Extranet. - Nếu NAT đang được sử dụng, nó phải được thực thi tại Server VPN để tránh các xung đột giữa NAT và VPN - Nếu Server VPN được kết nối trực tiếp với Internet và Firewall được đặt sau Server VPN (giữa Server VPN và Intranet), ta phải cấu hình Server chỉ cháp nhận luồng lưu lượng VPN và loại bỏ các gói dữ liệu không VPN. Tuy nhiên, nếu Server VPN nằm sau Firewall, cả Server cũng nhưu Firewall phải được cấu hình để chỉ chấp nhận các gói dữ liệu liên quan đến VPN. Còn khi lựa chọn và thực thi các Client VPN, ta phải xem xét các vấn đề sau: - Nên chọn lựa việc cấu hình thủ công các Client VPN chỉ nếu số lượng Client là giới hạn. Nếu thiết lập mạng riêng ảo hỗ trợ một số lượng lớn các Client, ta sẽ phải tìm kiếm các công cụ có thể giúp cấu hình các máy Client này. Ví dụ, nếu số lượng Client lớn, ta có thể xem xét sử dụng trình quản lý kết nối Microsoft trong môi trường mạng riêng ảo dựa trên Microsoft. - Nên chọn các Client VPN sau khi phân tích và hiểu rõ các yêu cầu của tổ chức. Điều này là quan trọng bởi vì, mặc dù ta có thể có một thiết lập đầy đủ và hiệu suất cao, một Client hiệu suất thấp có thể trở thành chỗ dễ bị tắc nghẽn khi nó không có khả năng duy trì với tốc độ nhanh của các giao dịch. 5.1.5. Hiệu suất thực thi Hiệu suất của một mạng riêng ảo phần lớn phụ thuộc vào các Server VPN và hạ tầng mạng. Với ý nghĩ này, điều quan trọng là phải biết một số qui định trách nhiệm mà việc tối ưu hiệu suất đòi hỏi: - Nên xem trước hiệu suất của các Server VPN một cách đều đặn, điều này sẽ giúp chúng ta định danh bất kỳ sự giảm sút nào về hiệu suất của các Server - Duy trì nhật ký hệ thống một cách chi tiết của mỗi và mọi hoạt động liên quan đến mạng riêng ảo là điều hợp lý, ta nên chuyển định kỳ các file nhật ký này tới một máy riêng và như vậy lúc một kẻ xâm nhập chiến được quyền truy cập tới bất kỳ Server VPN nào, anh ta không thể sửa đổi file nhật ký để tránh bị phát hiện sớm. - Nên giám sát toàn bộ hiệu suất mạng trên cơ sở quy tắc. Điều này giúp ta định danh các tắc nghẽn có thể xẩy ra và sẽ giúp ta xác định thiết lập mạng riêng ảo của ta có thể hỗ trợ bao nhiêu người dùng trước khi những người dùng này bắt đầu cảm thấy hiệu suất bị giảm sút. - Các thuật toán mật mã, các lược đồ xác thực có thể phát sinh overhead đáng kể, và như vậy làm chậm hoạt động thông thường cùng với các hoạt động mạng riêng ảo. Ta có thể tăng hiệu suất của toàn mạng bằng cách phân tích kỹ lưỡng những ưu và nhược điểm của các thuật toán có thể thực thi, cân bằng giữa hiệu suất và bảo mật - Các Client VPN là khía cạnh khác của hiệu suất mạng riêng ảo. Cần kiểm soát các Client VPN được đặt trong Intranet và báo cho các Client di động từ xa trên đó phần mềm Client và hệ điều hành dùng để các giao dịch giữa người dùng cuối và các Server VPN không bị cản trở bởi hiệu suất thấp của các Client VPN 5.1.6. Khả năng mở rộng và liên tác . Server mạng riêng ảo Các Client và Server mạng riêng ảo là các điểm cuối của một thiết lập mạng riêng ảo đầy đủ. Trong khi Server mạng riêng ảo cung cấp các dịch vụ liên quan đến mạng riêng ảo, . và Server mạng riêng ảo. Các xem xét chính liên quan tới các Server mạng riêng ảo bao gồm: - Server mạng riêng ảo phải có hiệu suất cao - Server chỉ chạy các dịch vụ cần thiết - Server phải. vụ mạng riêng ảo cần thiết nên là một phần của vùng này. - Mặc dù một cách hiệu qua và không mất chi phí lớn của việc bảo mật Intranet và thiết lập mạng riêng ảo là xây dựng một kiến trúc bảo