Các yếu tố quan trọng nhất của một thiết lập VPN bao gồm: - Người dùng truy cập từ xa
- Kết nối trang phân đoạn ISP - Internet công cộng
- Gateway của mạng
Hình 2.1 Các thành phần của mạng riêng ảo
VPN-Client là người dùng đầu cuối hoặc người dùng từ xa. Các mối đe dọa an ninh lớn nhất đối với VPN-Client là các thông tin bí mật của người sử dụng như ID và mật khẩu của mình. Vì vậy người dùng đầu cuối phải bảo vệ ID và mật khẩu của mình, thay đổi mật khẩu thường xuyên làm giảm xác suất mà một người sử dụng trái phép sẽ đoán mật khẩu chính xác.
Kết nối phân đoạn ISP là thành phần dễ bị tổn thương thứ hai trong một thiết lập VPN. Phân đoạn này cung cấp dữ liệu người sử dụng máy chủ mạng của ISP (NAS). Nếu dữ liệu này không được mã hóa, có nguy cơ cao mà các dữ liệu có thể được đọc vào cuối ISP. Ngoài ra, khả năng các dữ liệu sẽ được
đọc trong quá trình giao dịch giữa người dùng cuối và mạng nội bộ của ISP là khá cao. Các cơ hội nghe trộm bởi các thực thể bên ngoài có thể được loại bỏ bằng cách mã hóa dữ liệu người dùng từ xa trước khi gửi nó đến ISP. Tuy nhiên, nếu các thuật toán mã hóa yếu, mã hóa không cung cấp bảo vệ đầy đủ chống lại các nhà cung cấp dịch vụ Internet muốn lấy thông tin của khách hàng có thể giải mã dữ liệu và sử dụng nó cho lợi nhuận của họ.
Như chúng ta biết, kết nối Internet và đường hầm phụ thuộc vào một ISP. Tuy nhiên, nếu những ý định của nhà cung cấp dịch vụ là không tốt, họ có thể thiết lập một đường hầm lừa đảo và một gateway giả mạo. Trong trường hợp này, người sử dụng các dữ liệu nhạy cảm sẽ được tạo đường hầm với gateway giả mạo, mà lần lượt có thể lấy và kiểm tra các dữ liệu để sử dụng cho mục đích riêng của họ và gateway giả mạo cũng có thể làm thay đổi các dữ liệu và chuyển tiếp đến gateway thực. Các gateway đích sẽ chấp nhận các dữ liệu giả định rằng nó là từ nguồn đáng tin cậy gốc. Theo cách này, dữ liệu không mong muốn và độc hại có thể xâm nhập vào mạng.
Một điểm của mối đe dọa bảo mật dữ liệu là khi gói tin đi qua các đường hầm qua mạng internet công cộng. Đường hầm dữ liệu được thiết lập qua nhiều thiết bị định tuyến. Là một phần của đường hầm, các bộ định tuyến trung gian có thể kiểm tra dữ liệu. Nếu có bộ định tuyến được cấu hình với mục đích xấu, các bộ định tuyến có thể không chỉ kiểm tra dữ liệu mà cũng có thể sửa đổi nó, ngay cả khi các gói dữ liệu được mã hóa.
PPTP và L2TP không cung cấp cơ chế bảo mật mạnh mẽ chống lại giả mạo nhà cung cấp dịch vụ Internet và các thiết bị định tuyến đường hầm. Tuy nhiên, khẳ năng mã hóa tiên tiến và toàn diện được cung cấp bởi IPSec cung cấp một mức độ cao của bảo vệ chống lại những yếu tố lừa đảo.
Các điểm đến cuối cùng của một gói dữ liệu đường hầm là gateway. Các gói dữ liệu dễ bị tấn công nếu gateway không sử dụng các cơ chế xác thực mật
mã bởi vì các cuộc tấn công, chẳng hạn như giả mạo địa chỉ và bắt gói tin, có thể truy cập các thông tin dạng cleartext rằng các cổng này sử dụng. Mặt khác, cơ chế xác thực mật mã cung cấp một số mức độ bảo mật, vì nó mất nhiều thời gian cho một kẻ tấn công hoặc một tin tặc đột nhập vào các thuật toán này. Tuy nhiên, kẻ tấn công nội bộ vẫn có thể truy cập các thông tin dạng cleartext được gửi vào mạng nội bộ bởi gateway [1,6].