VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG TRẦN QUỐC TRỌNG VẤN ĐỀ AN NINH TRONG MẠNG RIÊNG ẢO VPN Chuyên ngành: Kỹ thuật Viễn thơng Mã số: 60.52.02.08 TĨM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT HÀ NỘI – 2016 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS LÊ NGỌC GIAO Phản biện 1: Phản biện 2: Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng Vào lục: ngày tháng năm Có thể tìm hiểu luận văn tại: ‐ Thư viện Học viện Cơng nghệ Bưu Viễn Thơng MỞ ĐẦU Với Internet dịch vụ trước chưa có giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế nhiều dịch vụ khác trở thành thực Tuy nhiên, Internet có phạm vi tồn cầu khơng có tổ chức, phủ quản lý nên khó khăn việc bảo mật an toàn liệu việc quản lý dịch vụ Từ người ta đưa mơ hình mạng nhằm thỏa mãn yêu cầu mà tận dụng lại sở hạ tầng có Internet Đó mơ hình mạng riêng ảo VPN (Virtual Private Network) Trong mạng VPN, người ta quan tâm đến tính an tồn bảo mật để cho việc truyền tín hiệu mạng VPN đáp ứng u cầu tính an tồn tính tin cậy Đây yếu tố then chốt mạng VPN mạng VPN mạng riêng để truyền liệu, thông tin nội nên để thông tin bị mát Hơn nữa, ngày kĩ thuật công vào mạng ngày tinh vi đặt thách thức lớn cho việc bảo mật mạng VPN Xuất phát từ sở khoa học thực tiễn đó, em định chọn đề tài: “Vấn đề an ninh bảo mật mạng riêng ảo VPN” Nội dung đề tài bao gồm chương có nội dung sau: Chương 1: Chương giới thiệu tổng quan mạng VPN để người đọc có nhìn khái qt khái niệm, tính chất, phân loại, cấu trúc mạng VPN Chương 2: Do đặc điểm hệ thống kết nối mạng riêng nên yếu tố bảo mật quan tâm hàng đầu Chương giới thiệu phương pháp giao thức sử dụng để đảm bảo an toàn cho mạng VPN Chương 3: Chương tổng hợp, phân tích số nguy ảnh hưởng đến bảo mật mạng VPN Từ đưa giải pháp xử lý nguy để bảo đảm an tồn cho truyền thơng 2 CHƯƠNG 1: TỔNG QUAN MẠNG RIÊNG ẢO VPN 1.1 Định nghĩa VPN VPN hiểu đơn giản mở rộng mạng riêng (private network) thông qua mạng công cộng Thay cho việc sử dụng kết nối thực, chuyên dụng đường leased line, VPN sử dụng kết nối ảo dẫn đường qua Internet từ mạng riêng công ty tới site hay nhân viên từ xa Để gửi nhận liệu thông qua mạng công cộng mà bảo đảm tính an tồn bảo mật VPN cung cấp chế mã hóa liệu đường truyền tạo đường hầm bảo mật nơi nhận nơi gửi (Tunnel) giống kết nối point-to-point mạng riêng Để tạo đường ống bảo mật đó, liệu phải mã hóa hay che giấu cung cấp phần đầu gói liệu (header) thơng tin đường cho phép đến đích thơng qua mạng cơng cộng cách nhanh chóng Hình 0.1: Mơ hình chung mạng VPN 1.2 Tính chất mạng VPN 1.2.1 Ưu điểm - Tiết kiệm chi phí thuê đường truyền giảm chi phí phát sinh cho nhân viên xa Tính linh hoạt cho khả kinh tế Internet Tăng tính bảo mật Bảo mật dải địa IP Băng thông không bị hạn chế Cho khả mở rộng tối đa 3 - Tích hợp hệ thống cơng nghệ cao Camera quan sát, điện thoại tảng Internet, Voice chat 1.2.2 Nhược điểm - Bị phụ thuộc nhiều vào chất lượng mạng Internet Bị thiếu giao thức kế thừa hỗ trợ Yêu cầu chuẩn: đầu đường hầm phải sử dụng thiết bị để đảm bảo khả liên vận hành Mọi giao thông qua VPN mã hóa bất chấp nhu cầu có cần mã hóa hay khơng dẫn đến tượng tắc nghẽn cổ chai Không cung cấp bảo vệ bên mạng 1.3 Phân loại Mạng VPN chia thành hai loại sử dụng phổ biến thực tế VPN truy cập từ xa (Remote-Access) VPN điểm đến điểm (site-to-site) 1.3.1 VPN truy cập từ xa (Remote-Access VPN) Hình 0.2: Remote-access VPN Các VPN truy nhập từ xa cung cấp khả truy nhập từ xa cho người sử dụng 1.3.2 VPN điểm đến điểm (Site-to-site VPN) Được chia thành loại: Loại dựa Intranet (VPN nội bộ): VPN nội cung cấp đặc tính mạng WAN khả mở rộng, tính tin cậy hỗ trợ cho nhiều kiểu giao thức khác với chi phí thấp đảm bảo tính mềm dẻo 4 Loại dựa Extranet (VPN mở rộng): VPN mở rộng cấu VPN điểm tới điểm, cung cấp đường hầm bảo mật khách hàng, nhà cung cấp đối tác thông qua sở hạ tầng mạng công cộng 1.4 Các thành phần mạng VPN Tunnel – Đường hầm: Đây phần ảo cung cấp kết nối logic, vận chuyển gói liệu mã hoá đường hầm riêng biệt qua mạng IP, điều làm tăng tính bảo mật thơng tin liệu sau mã hố lưu chuyển đường hầm thiết lập người gửi người nhận Các giao thức đường hầm sử dụng VPN sau: - L2F (Layer Forwarding): Được Cisco phát triển PPTP (Point-to-Point Tunneling Protocol): Được PPTP Forum phát triển, giao thức hỗ trợ mã hóa 40 bit 128 bit L2TP (Layer Tunneling Protocol): Là sản phẩm hợp tác thành viên PPTP Forum, Cisco IETF L2TP kết hợp tính PPTP L2F IPSec (IP Security): Được phát triển IETF Mục đích việc phát triển IPSec cung cấp cấu bảo mật lớp (network layer) mơ hình OSI GRE (Generic Routing Encapsulation): Đây giao thức truyền thơng đóng gói IP dạng gói liệu khác bên đường ống Giống IPSec, GRE hoạt động tầng mơ hình tham chiếu OSI, nhiên GRE khơng mã hóa thơng tin HA - Home Agent: HA nhận xác nhận yêu cầu gửi đến để xác thực chúng từ host ủy quyền FA - Foreign Agent: Các nút khởi tạo dùng FA để yêu cầu phiên VPN từ HA mạng đích Hình 0.3: Mơ hình VPN Nhằm mục đích dễ hiểu q trình hoạt động công nghệ tunneling chia làm giai đoạn: - Giai đoạn 1: Nút khởi tạo (hoặc người dùng từ xa) yêu cầu phiên làm việc VPN xác nhận HA tương ứng Giai đoạn 2: liệu thực chuyển qua mạng thông qua tunnel 1.5 Cấu trúc gói tin VPN Một tunnel packet bao gồm phần: - Routing protocol header: chứa địa nguồn (FA) đích (HA) - Tunnel packet header: Là phần thêm vào khối thông tin để định hướng truyền tunnel - Payload: Phần liệu, thơng tin cần gửi tới đích Hình 0.4: Gói liệu VPN Trong Tunnel packet header chứa trường: - Protocol type Trường loại giao thức gói liệu nguyên gốc - Kiểm tra tổng (Checksum) - Khóa (Key) - Số (Sequence number) - Source routing Kết luận chương 1: Trong chương giới thiệu khái quát kỹ thuật VPN Bên cạnh kỹ thuật cịn có ưu nhược điểm VPN Chương đề cập đến loại mạng VPN sử dụng Ngồi ra, chương cịn đề cập đến cấu trúc VPN cấu trúc gói tin truyền mạng VPN Đối với người dùng phổ thông cai trị quan trọng nhật VPN khả bảo mật cao chi phí đầu tư hợp lý 6 CHƯƠNG 2: CÁC VẤN ĐỀ AN TOÀN BẢO MẬT TRÊN MẠNG VPN 2.1 Biện pháp tường lửa (Fire wall) Tường lửa rào chắn vững mạng riêng Internet, đứng mạng lõi giới bên 2.1.1 Khái niệm tường lửa Một tường lửa bao gồm router tập hợp router sử dụng biên mạng riêng nơi mạng riêng kết nối với mạng công cộng Bất yêu cầu truy nhập dù nhận thực hay chưa phải thông qua điểm bảo mật Dựa lọc bảo mật mà ta thiết lập sách mà ta sử dụng, tường lửa cho phép từ chối yêu cầu truy cập 2.1.2 Các kiến trúc xây dựng tường lửa a) Các Router ngăn chặn gói lọc gói b) Bastion host c) DMZ mạng biên d) Các proxy server 2.1.3 Sử dụng tường lửa VPN Có thể sử dụng tường lửa VPN theo cách: - Tường lửa đặt sau VPN server Hình 0.1: Trường hợp tường lửa đặt sau VPN server - Tường lửa đặt trước VPN server Hình 0.2: Trường hợp tường lửa đặt trược VPN server 2.2 Mã hóa Để đảm bảo thông tin đọc người nhận người gửi liệu phải mã hố với thuật tốn phức tạp Việc mã hóa liệu có đảm bảo tính chất sau thơng tin: - Tính bí mật (confidentiality) - Tính tồn vẹn (integrity) - Tính xác thực (authentication) - Tính khơng chối bỏ (non-repudiation) Hệ thống mã hóa chia làm hai loại đối xứng bất đối xứng 2.2.1 Hệ thống mã hóa đối xứng Mã hóa đối xứng (Hay cịn gọi mã hóa khóa bí mật) phương pháp mã hóa mà key mã hóa key giải mã Để thực mã hóa thơng tin hai bên bên gửi bên nhận cách phải thóa thuận secret key (khóa bí mật) dùng để mã hóa giải mã Hình 0.3: Hệ thống mã hóa đối xứng Các thuật tốn mã hóa đối xứng thường gặp: DES, 3DES, AES 2.2.2 Hệ thống mã hóa bất đối xứng hệ thống mã hóa bất đối xứng sử dụng cặp khóa liên quan với cách tốn học Một khóa khóa riêng biết người sở hữu khóa Một khóa thứ hai khóa chung phân phối tự Khóa chung sử dụng cho mục đích mã hóa khóa riêng sử dụng để giải mã tin Trong giải pháp VPN, hai hệ thống mã hóa bất đối xứng sử dụng thông dụng Deffie-Hellman (DH) Rivest Shamir Adlerman (RSA) a) Thuật tốn Diffie-Hellman Hình 0.4: Trao đổi liệu sử dụng thuật toán Diffie-Hellman Trong thuật toán này, thực thể kết nối nhận cặp khóa, hai phân phối tới thực thể kết nối khác lại giữ riêng b) Thuật tốn Rivest Shamir Adlerman Hình 0.5: Trao đổi liệu sử dụng thuật toán RSA Do chế mã hóa mạnh mình, RSA lên chuẩn phổ biến hệ thống mã hóa bất đối xứng Người nhận có tin ban đầu cách sử dụng khóa chung người gửi 2.2.3 Public key infrastructure – Kiến trúc khóa cơng khai Public Key Infrastructure (PKI) chế bên thứ ba (thường nhà cung cấp chứng thực số ) cung cấp xác thực định danh bên tham gia vào trình trao đổi thông tin Cơ chế cho phép gán cho người sử dụng hệ thống cặp public/private Một số sở hạ tầng khóa cơng khai bao gồm: - PKI client - Certification Authority (CA) – Ủy quyền thẻ chứng thực - Registration Authority (RA) – Ủy quyền đăng ký - Digital certificates (DC) – Thẻ chứng thực số (với khóa cơng khai nó) - Certificate Distribution System (CDS) – Hệ thống phân phối thẻ Ngoài cịn có thành phần khác: - Validation Authority (VA) – Ủy quyền xác nhận hợp lệ - Certificate revocation list (CRL): Chứa danh sách thẻ chứng thực bị thu hồi CA - Kỹ thuật mã hóa public key privte key - Các đối tác (partner)/Đối tượng (Subject): Có thể users, organizations service systems Hình 0.6: Hệ thống PKI 10 2.3 Bộ giao thức bảo mật IPSec Giao thức IPSec làm việc tầng mơ hình OSI Các giao thức bảo mật Internet khác SSL, TLS SSH thực từ tầng Transport trở lên (tầng đến tầng mơ hình OSI) Điều tạo tính mềm dẻo cho IPSec Giao thức hoạt động tầng với TCP, UDP hầu hết giao thức sử dụng tầng 2.3.1 Cấu trúc bảo mật IPSec sử dụng phương thức cung cấp mật mã (cryptographic) nhằm bảo mật gói tin (packet) trình truyền tải, phương thức xác thực thiết lập thơng số mã hố 2.3.2 Chế độ làm việc IPSec IPSec cung cấp hai chế độ “truyền tải” “đường hầm” a) Chế độ truyền tải (Transport Mode): Vấn đề bảo mật cung cấp giao thức lớp cao mơ hình OSI (từ lớp trở lên) Chế độ bảo vệ phần tải tin gói để phần tiêu đề IP ban đầu dạng gốc nguyên Địa IP ban đầu sử dụng để định tuyến gọi qua Internet b) Chế độ đường hầm (Tunnel Mode): Tồn gói tin IP ban đầu bao gồm tiêu đề xác thực mã hóa, sau đóng gói với tiêu đề IP Địa IP bên sử dụng để định tuyến gói IP qua Internet 2.3.3 Các thành phần bên IPSec a) Giao thức đóng gói tải tin an toàn ESP b) Giao thức chứng thực AH c) Giao thức trao đổi chìa khố Internet (IKE) 2.3.4 Các vấn đề tồn IPSec - Tất gói xử lý theo IPSec bị tăng kích thước điều làm cho thơng lượng hiệu dụng mạng giảm xuống Vấn đề khắc phục cách nén liệu trước mã hóa - Giao thức trao đổi khóa IKE công nghệ chưa thực khẳng định khả 11 - IPSec thiết kế để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ dạng lưu lượng khác - Việc tính tốn nhiều giải thuật phức tạp IPSec cịn vấn đề khó trạm làm việc máy PC lực yếu - Việc phân phối phần cứng phần mềm mật mã bị hạn chế phủ số quốc gia 2.4 Các công nghệ thẩm định quyền truy cập từ xa Các cơng nghệ gồm: Thẩm định quyền truy cập (AAA), Giao thức điều khiển tính cước thời gian thực cho dịch vụ người dùng (diameter), Hệ thống điều khiển truy nhập thiết bị điều khiển truy nhập đầu cuối (TACACS) 2.4.1 Thẩm định quyền truy cập - AAA AAA cho phép nhà quản trị mạng biết thơng tin quan trọng tình mức độ an tồn mạng Nó cung cấp việc xác thực (authentication) người dùng nhằm bảo đảm nhận dạng người dùng Một nhận dạng người dùng, ta giới hạn thẩm quyền (authorization) mà người dùng làm Khi người dùng sử dụng mạng, ta giám sát tất mà họ làm 2.4.2 Giao thức điều khiển tính cước thời gian thực cho dịch vụ người dùng (diameter) Diameter cung cấp tin mức ứng dụng để diều khiển trạng thái kết nối cho phép khôi phục trường hợp lỗi Diameter cho phép tin toán để định tuyến đến máy chủ khác tin xác thực/phân quyền Các thực thể diameter: Diameter client, Diameter server, Proxy, Relay, Redirect agent, Translation agent, Diameter node a) Các phiên Diameter Khi dùng thuật ngữ Phiên Context Diameter xem Phiên Diameter phiên đa phương tiện b) Dạng tin Diameter Một tin Diameter bao gồm tiêu đề 20 octet số AVP (attribute value pair) Chiều dài phần tiêu đề cố định, ln ln có tin Diameter Số 12 AVPs thay đổi, phụ thuộc vào tin Diameter thực tế Một AVP khối liệu (thường xác thực, phân quyền tốn) c) Cặp giá trị thuộc tính AVP Các tin Diameter giống tin RADIUS truyền tải tập hợp cặp giá trị thuộc tính (AVPs) Một AVP khối liệu hình 2.6 mô tả cấu trúc AVP Mỗi AVP chứa mã AVP, cờ, chiều dài AVP, ID sản xuất tùy chọn, Dữ liệu Hình 0.7: Cấu trúc AVP 2.4.3 Hệ thống điều khiển truy nhập thiết bị điều khiển truy nhập đầu cuối – TACACS TACACS giao thức chuẩn hóa sử dụng giao thức hướng kết nối (connectionoriented) TCP port 49 TACACS có ưu điểm sau: - Một thiết bị báo cho đầu cuối khác biết có hỏng hóc q trình truyền Tồn payload mã hóa với TACACS cách sử dụng khóa bí mật chung (shared secret key) TACACS chia làm ba phần: xác thực (authentication), cấp quyền (authorization) tính cước (accounting) TACACS hỗ trợ nhiều giao thức Với TACACS, ta dùng hai phương pháp để điều khiển việc cấp quyền thực thi dòng lệnh user hay nhóm nhiều user: Phương pháp thứ tạo mức phân quyền (privilege), Phương pháp thứ hai tạo danh sách dòng lệnh 13 2.5 Hệ thống phát xâm nhập IDS 2.5.1 Tổng quan IDS (Hệ thống phát xâm phạm) hệ thống phòng chống, nhằm phát hành động công vào mạng Mục đích phát ngăn ngừa hành động phá hoại vấn đề bảo mật hệ thống, hành động tiến trình công sưu tập, quét cổng Chức quan trọng : giám sát -cảnh báo - bảo vệ Chức mở rộng : - Phân biệt : "kẻ cơng từ bên bên ngồi" - Phát : dấu hiệu bất thường dựa biết nhờ vào so sánh thông lượng mạng với baseline 2.5.2 Phân loại IDS IDS có dạng chính: - Hệ thống phát xâm nhập dựa host (Host IDS) - Hệ thống phát xâm nhập dựa mạng (network IDS) - Hệ thống lai 2.6 Hệ thống điều khiển truy cập (Network access control-NAC) NAC sử dụng giao thức quản lý mạng SNMP NAC hỗ trợ cho 802.1x (các tiêu chuẩn mạng Ethernet) Ngồi ra, tính tích hợp mở cho phép thực nhiều công việc appliance Khi NAC cài đặt vào mạng, quản lý giao thơng mạng nhìn thấy thiết bị cố gắng truy cập vào mạng NAC tự động cấp phép truy cập dựa vào thông tin user ( người sử dụng, bảo mật ) Sau thiết bị phép vào mạng, NAC giới hạn chỗ người dùng vào mạng NAC sửa lỗi bảo mật thiết bị cuối Sau đó, NAC tiếp tục bảo vệ mạng cách quản lý hành vi thiết bị ngăn chặn công Sau cài đặt NAC, nhà quản trị viên sử dựa vào sở hạ tầng để xác định sách bảo mật phù hợp 14 2.7 Một số công nghệ bảo mật khác 2.7.1 Chuyển đổi địa mạng- NAT Ban đầu, NAT đưa nhằm giải vấn đề thiếu hụt địa IPv4 Giống router, NAT chuyển tiếp gói tin lớp mạng khác mạng lớn NAT dịch hay thay đổi hai địa bên gói tin gói tin qua router, hay số thiết bị khác NAT trì bảng thơng tin gói tin gửi qua Khi PC mạng kết nối đến website Internet header địa IP nguồn thay đổi thay địa Public mà cấu hình sẵn NAT server , sau có gói tin trở NAT dựa vào bảng record mà lưu gói tin, thay đổi địa IP đích thành địa PC mạng chuyển tiếp Có tất 03 phương án NAT: NAT tĩnh, NAT động, NAT overload (PAT) 2.7.2 Secure Socket Layer (SSL) SSL viết tắt giao thức (protocol) cho phép bạn truyền đạt thông tin cách bảo mật an toàn qua mạng , SSL kết hợp yếu tố sau để thiết lập giao dịch an tồn: Xác thực, Mã hố, Tồn vẹn liệu SSL thiết kế giao thức riêng cho vấn đề bảo mật hỗ trợ cho nhiều ứng dụng Giao thức SSL hoạt động bên TCP/IP bên giao thức ứng dụng tầng cao HTTP, IMAP FTP SSL giao thức đơn lẻ, mà tập thủ tục chuẩn hoá để thực nhiệm vụ bảo mật sau: Xác thực server, Xác thực Client, Mã hoá kết nối Các thuật toán mã hoá xác thực SSL sử dụng bao gồm: DES, 3-DES, DSA, KEA, MD5, RSA, RSA key exchange, RC2 and RC4, SHA-1 Kết luận chương 2: Khác với dịch vụ truyền tải liệu internet, mạng VPN có yêu cầu chặt chẽ nhiều độ bảo mật thông tin Ta phân tích biện pháp dùng gồm tường lửa, mã hóa, cơng nghệ thẩm định quyền truy cập từ xa, vài công nghệ bảo mật khác để đảm bảo an toàn sử dụng mạng riêng ảo 15 CHƯƠNG 3: NGUY CƠ MẤT AN TOÀN TRONG MẠNG VPN 3.1 Đe dọa bảo mật phần tử VPN Những phần tử quan trọng hệ thống VPN bị công gồm: - Người sử dụng quay số từ xa - Phân đoạn ISP quay số - Mạng Internet - Gateway mạng chủ 3.2 Tấn công giao thức VPN 3.2.1 Tấn công vào PPTP PPTP bị cơng hai mặt Hai mặt gồm: - Đóng gói định tuyến chung (GRE) - Trao đổi mật suốt trình thẩm định quyền truy cập 3.2.2 Tấn cơng vào IPSec IPSec khơng thuật tốn mã hóa nhất, khơng phải chế thẩm định quyền truy cập Thực tế, IPSec kết hợp thuật toán khác để bảo vệ liệu Nhưng IPSec bị tổn hại dạng cơng sau: - Tấn cơng q trình thực IPSec - Tấn cơng việc quản lý khóa - Tấn công thuộc quản lý wildcard 3.3 Tấn công giải mã 3.3.1 Các công nhằm vào văn mã hóa Hacker thực chế đổi ngược để quay trở tin dạng plaintext dựa tảng tin mã hóa có sẵn 16 3.3.2 Các công plaintext biết Trong kiểu công này, kẻ xâm nhập biết phần văn mã hóa sử dụng thơng tin để dốn phần mật mã 3.3.3 Các cơng plaintext lựa chọn Trong loại hình công này, hacker tự lựa chọn ngẫu nhiên văn mã hóa Sau hacker tính tốn khóa sử dụng cho việc mã hóa văn mã hóa bảo vệ Khi Hacker có khả tính tốn khóa sử dụng để giải mã sâu liệu mã hóa 3.3.4 Các công Man-in-the-Middle Kiểu xảy thuật tốn sử dụng dùng liên lạc mã hóa trao đổi kháo ví dụ Diffie-Hellman Trước thực thể cho phéo trai đổi liệu, nhóm khơng tin cậy thứ chặn trao đổi khóa gửi khóa riêng tới hai kết nối liên lạc cho phép 3.3.5 Các công Brute Force Hacker tạo ngẫu nhiên khóa áp dụng chúng vào văn mã hóa khóa xác phát Do tạo ra, khóa sau sử dụng để giải mã liệu cuối thu hồi lại thông tin ban đầu 3.3.6 Các công vào thời gian Khoảng thời gian thi hành hoạt động mũ hóa module sư dụng thuật tốn mã hóa tính tốn Khoảng thời gian khiến cho kẻ xâm nhập hacker đốn thuật tốn mã hóa khóa mã sử dụng 3.4 Các công từ chối dịch vụ Các công Dos sử dụng để làm cho vài dịch vụ máy tính chủ hay đích truy cập Kiểu công thông dụng chúng không yêu cầu phần mềm truy cập đặc biệt tới mạng chủ đích Bất kì kẻ xâm nhập tạo nghẽn mạng cách gửi gói tin khơng có giá trị vào mạng 17 Tấn công DoS chứa nhiều lợi thế, chúng có đa dạng hình thức nhắm tới nhiều dịch vụ mạng Thứ hai, hacker tạo công DoS theo nhiều cách khác Một vài phương thức sử dụng phổ biến để tạo cơng DoS trình bày sau đây: SYN floods, Broadcast Storm, Smurf DoS, Ping of Death, Mail bomb, Spam Mailing 3.4.1 SYN floods Trong SYN flood, tất kết nối TCP sử dụng, ngăn cản người sử dụng hợp lệ khỏi truy cập tài nguyên thông qua kết nối 3.4.2 Broadcast storm Một broadcast gói tin gửi cho máy tính mạng Mỗi máy tính cố gắng chuyển gói tới địa đích giả mạo xác định Bởi địa khơng tồn nên gói giữ lại bên mạng 3.4.3 Smurf attack Sinh cực nhiều giao tiếp ICMP (ping) từ IP nguồn giả tới địa Broadcast nhiều mạng với địa nguồn mục tiêu cần cơng Những máy tính khác mạng gửi tin đáp lại echo ICMO tới IP nguồn giả để đáp ứng cho yêu cầu echo IP broadcast 3.4.5 Ping of Death Kiểu công liên quan đến công DoS kẻ công gửi gói tin IP lớn số lượng bytes cho phép gói tin IP 65.536 bytes cho máy chủ đích Những máy khơng thể chịu lượng lớn gói tin nên bị khởi động lại, hay đơn giản bị gián đoạn giao tiếp Teardrop dạng cơng Ping of Death Gói tin IP lớn đến Router bị chia nhỏ làm nhiều phần nhỏ Nếu hệ điều hành nhận gói tin chia nhỏ không hiểu được, hệ thống cố gắng build lại gói tin điều chiếm phần tài ngun hệ thống, q trình liên tục xảy hệ thống khơng cịn tài ngun cho ứng dụng khác, phục vụ user khác 18 Tấn công Land dạng khác Ping of Death Kẻ xâm nhập giả mạo yêu cầu kết nối TCP từ host chủ đích Gói giả mạo sau gửi tới thiết bị chủ đích xuất thể thiết bị chủ đích cố gắng thiết lập kết nối với 3.4.5 Mail Attack Tấn công Mail Bomb nhằm tới Mail server Trong công này, copy giống hệt email gửi tới host chủ đích Spam Mailing nhắm vào server giống Mail Bomb Spam Mailing sử dụng địa đáp trả giả tin email 3.5 Bảo mật với dịch vụ website Web server mục tiêu công nhiều đối tượng giá trị cao khả dễ bị cơng Trong có bước: thu hoạch tài khoản, liệt kê đường dẫn nghiên cứu điều tra Với cơng ty xác định tài ngun để điều khiển tất khía cạnh bảo mật server Kết luận chương Chương phân tích nguy cơ, hình thái xâm nhập trái phép ảnh hưởng đến mạng VPN để hiểu lại có nguy đó, mức độ nghiêm trọng nguy ảnh hưởng đến mạng Từ nguy hữu phân tích, tìm phương hướng giúp nhà quản trị mạng chống công vào mạng VPN cách triệt để tường lửa, mã hóa 19 KẾT LUẬN Hiện nay, công nghệ mạng riêng ảo VPN nghiên cứu ứng dụng rộng rãi nước giới Giải pháp mạng riêng áo ứng dụng ngày nhiều với công nghệ cải tiến Chính việc bảo mật cho mạng VPN yêu cầu cấp thiết mà nhà khoa học đặt lên hàng đầu, để có mơi trường an tồn cho kết nối đâu giới Luận văn qua chương để nghiên cứu số vấn đề bảo mật mạng VPN: Chương 1: Tổng quan mạng VPN: Chương giới thiệu tổng quan mạng VPN để người đọc có nhìn khái qt khái niệm, tính chất, phân loại, cấu trúc mạng VPN, phân tích đánh giá tính chất mạng VPN Các loại mạng VPN áp dụng thực tế nay, thành phần mô hình triển khai mạng VPN định dạng gói liệu truyền mạng VPN Chương 2: Các biện pháp bảo mật mạng VPN: Phân tích biện pháp dùng gồm tường lửa, mã hóa, cơng nghệ thẩm định quyền truy cập từ xa, vài công nghệ bảo mật khác để đảm bảo an toàn sử dụng mạng riêng ảo Song song với biện pháp bảo mật đầu cuối giao thức bảo mật có vai trị quan trọng tiến trình bảo đảm an tồn truyền thông Chương 3: Các mối đe dọa lên mạng VPN: Phân tích nguy cơ, hình thái xâm nhập trái phép ảnh hưởng đến mạng VPN để hiểu lại có nguy đó, mức độ nghiêm trọng nguy ảnh hưởng đến mạng Từ tìm phương hướng giúp nhà quản trị mạng chống công vào mạng VPN cách triệt để tường lửa, mã hóa Đánh giá chung, em hoàn thành nội dung đề tài theo đề cương duyệt Tuy nhiên, với lực thời gian hạn chế nên đồ án tốt nghiệp em tránh khỏi khiếm khuyết Em mong muốn nhận bảo, góp ý chân thành Thầy Cơ giáo bạn để hoàn thiện 20 Một lần em xin chân thành cảm ơn thầy TS Lê Ngọc Giao thầy cô khoa Kỹ thuật Viễn thơng trường Học viện Cơng nghệ Bưu Viễn thơng, giúp đỡ, bảo tận tình cho em giúp em hoàn thành tốt luận văn này! Em xin chân thành cảm ơn! Hà Nội, tháng năm 2016 Học viên Trần Quốc Trọng ... vi đặt thách thức lớn cho việc bảo mật mạng VPN Xuất phát từ sở khoa học thực tiễn đó, em định chọn đề tài: ? ?Vấn đề an ninh bảo mật mạng riêng ảo VPN” Nội dung đề tài bao gồm chương có nội dung... mơ hình mạng nhằm thỏa mãn yêu cầu mà tận dụng lại sở hạ tầng có Internet Đó mơ hình mạng riêng ảo VPN (Virtual Private Network) Trong mạng VPN, người ta ln quan tâm đến tính an tồn bảo mật để... đảm bảo an toàn cho mạng VPN Chương 3: Chương tổng hợp, phân tích số nguy ảnh hưởng đến bảo mật mạng VPN Từ đưa giải pháp xử lý nguy để bảo đảm an tồn cho truyền thơng 2 CHƯƠNG 1: TỔNG QUAN MẠNG