Một thành phần quan trọng khác của một mạng riêng ảo VPN là máy chủ chính sách bảo mật (security policy server). Các máy chủ này chịu trách nhiệm
bảo quản các danh sách điều khiển truy cập và thông tin khác liên quan đến người dùng mà công nối dùng để xác định lưu lượng và người sử dụng nào được cho
phép. Đối với một số hệ thống, ví dụ như những hệ thống dùng PPTP, việc truy
cập có thể được điều khiển thông qua một máy chủ RADIUS, khi IPSec được sử dụng, máy chủ có trách nhiệm quản lý các khóa dùng chung cho mỗi phiên làm việc.
Các công ty có thể lựa chọn để bảo quản các cơ sở dữ liệu, các chứng nhận
điện tử của riêng họ cho người dùng bằng cách cài đặt một máy chủ chứng nhận công ty (corporate certificate server). Đối với những nhóm người dùng nhỏ, việc
xác thực các khóa dùng chung có thê yêu cầu việc kiểm tra với một tổ chức thứ ba
đang duy trì những chứng nhận điện tử điện tử được kết hợp với các khóa mật mã dùng chung, những tổ chức thứ ba này được gọi là “giấy chứng nhận” điện tử CA
(certificate authorities). Nếu một mạng riêng ảo VPN của một công ty được phát
triển trong một mạng Extranet, thì một giấy chứng nhận điện tử CA bên ngoài có thể được dùng để xác thực những người đùng từ thành viên kinh doanh của công ty đó.
+ T
(TrữtmEtrirr-rr _~
CHƯƠNG 3:
BẢO MẬT TRONG MẠNG RIÊNG ÁẢO VPN
Một trong những mối quan tâm chính của bất kỳ hệ thống mạng nào là việc
bảo mật đữ liệu. Việc bảo mật đữ liệu nhằm chống lại các truy cập và thay đổi trái phép đữ liệu truyền đi trong mạng. Việc truyền dữ liệu giữa các máy tính hay giữa
các mạng LAN với nhau có thê làm cho đữ liệu dễ bị tấn công đo rình mò và dễ bị xâm nhập hơn là khi dữ liệu được lưu trữ trên một máy đơn.
Một khung bảo mật hoàn chỉnh cho một hệ thống mạng bao gồm 7 thành
phần: Xác thực (authentication), tin cậy (confidentially), tính toàn vẹn (integrity), cho phép (authorization), công nhận (nonrepudiation), quản trị (administrator) và
theo dõi kiêm toán (audit trail).
r
!_ Theo đối kiểm
Ị toán và quản trị
nệ thống trung gian —m. _
Tường lửa — hay ' Công nhận Ị
cổng nối bảo mật L__——~—~—~ i Dữ liệu
Hình 3. I- Các thành phần của một hệ thống bảo mật
Bởi vì các giao thức TCP/IP không được thiết kế dự phòng gắn liền cho bảo
mật, nhiều hệ thống bảo mật khác nhau được phát triển cho các ứng dụng và lưu
lượng (traffic) chạy trên một mạng Internet. Phần mềm có nhiệm vụ chuẩn bị dữ
liệu cho việc truyền trên một mạng cung cấp một số khả năng có thể áp đụng xác thực và mã hóa. Những ứng dụng trên được thực hiện trong một trong 3 lớp: Application, network, datalink của mô hình OSI. Một vài giao thức mã hóa cho các ứng dụng bao gồm Secure MIME (S/MIME) và Pretty Good Privacy (PGP) cho e-maiïl và Secure Sockets Layer (SSL/TSL) và Secure HTTP (SHTTP) cho các
ứng dụng Web. Nhưng cấu trúc quan trọng nhất của mạng VPN là xác thực và mã
hóa ở lớp Network và lớp Data Link.
3.1 Các kiểu tấn công trên mạng:
Việc truyền dữ liệu trên các mạng IP có thê phải chịu nhiều mối nguy hiểm
trong đó có một số nguy cơ phổ biến là: Đánh lừa (spoofing), ăn cắp phiên (session hijacking), đánh hơi (sniffing/clectronic eavesdropping) và người ở giữa (man in the middle).
3.1.1 Đánh lừa (Spoofing):
Giống như các mạng khác, các mạng IP sử dụng địa chỉ số cho các thiết bị
được gắn vào mạng. Địa chỉ của nguồn và người nhận được gắn vào trong mỗi gói
dữ liệu truyền đi trên mạng IP. Tấn công kiểu đánh lừa là việc một người tấn công
có thể sử dụng địa chỉ IP của một ai đó và giả vờ trả lời người khác.
Sau khi người tấn công C xác định được hai máy tính A và B đang giao tiếp
với nhau theo kiểu Client — Server, sẽ cố gắng thiết lập một kết nối với máy tính B
theo cách mà B có thể tin rằng đó là kết nối với A, nhưng thực tế là kết nối với C
máy tính của người tấn công.
Người tấn công thực hiện điều này bằng cách tạo ra một bản tin giả với địa chỉ nguồn là địa chỉ của A, yêu cầu một kết nối đến B. Khi B nhận được bản tin
này, B sẽ đáp ứng bằng một xác thực (Acknowlegment) có kèm theo những số tuần tự cho việc truyền đữ liệu với A. Những số tuần tự từ máy chủ B là duy nhất
đối với kết nối giữa hai máy tính.
Để hoàn tắt thiết lập phiên làm việc này giữa A và B, B sẽ đợi A xác thực
để cho người tấn công đóng vai bên A, người tấn công phải đoán con số tuần tự mà B sẽ sử dụng và phải ngăn chặn bên A trả lời. Tuy nhiên, trong những hoàn cảnh cụ thê sẽ không quá khó để có thể đoán được những con số tuần tự là gì.
Đề giữ cho máy tính A không đáp ứng được bất kỳ việc truyền đữ liệu nào
của B, người tấn công phải thường xuyên truyền một số lượng lớn các gói dữ liệu
đến A, làm cho A bị quá tải khi xử lý các gói này và ngăn chặn A không đáp ứng các bản tin của B.
Spoofing là kỹ thuật tấn công tương đối dễ để bảo mật bằng cách cầu hình bộ định tuyến để loại bỏ những gói quay về nào và bắt phải hình thành từ một máy
tính trong mạng nội bộ nhằm ngăn chặn bất kỳ máy tính bên ngoài nào lợi dụng
các quan hệ của phiên làm việc trong mạng nội bộ. Nếu có những quan hệ vượt
quá giới hạn của mạng, như trên Internet, thì việc bảo mật chống lại các đánh lừa IP sẽ khó khăn hơn.