- Bồ sung các bộ lọc định tuyến để lọc các gói ICMP bị phân đoạn.
4.2.CÁC THÀNH PHẢN BẢO MẬT CỦA VPN 1 User Authenficafion Ở chứng thực người dùng
Cơ chế chứng thực người dùng được thực thi tại điểm truy xuất của VPN và được dùng để chứng thực sự truy xuất của người dùng đến một tài nguyên bên trong mạng. Chỉ có người dùng hợp lệ mới có thể truy xuất đến được các tài nguyên trên mạng. Việc chứng thực có thể thực hiện tách biệt hoặc kết hợp các cơ chế sau:
se Login ID and password. eẹ S/Kecy password.
e Remofte Access Dial-in User Service (RADIUS).
eẹ Kỹ thuật token hai thành phần (Two-factor token-based technique).
ỞỞỞ=Ở=Ở=Ở=ỞỞỞỞẾẰẼ<Ở
GVHD: Ths. Trương Ngọc Bảo
ỞỞmm.Ở>>Ở->-sadẻrszằễrz-.rsrrrăẳễz.-.-ờơờơ-ợỀnơờơờơ-zsszzzzz-ơợnơnngzzzớứiớẳtnơnazss-ỀợợỀ-ẳn
4.2.2 Controlling Access Ở điều khiển truy xuất
Sau khi một user được chứng thực thành công, mặc định là người ấy sẽ có quyền truy xuất đến tất cả các tài nguyên, dịch vụ và những ứng dụng đặt bên trong mạng. Điều này chứng tỏ đây là một môi đe dọa bảo mật nghiêm trọng bởi vì có thể vô tình hoặc cô ý mà người truy xuất đến mạng có thể làm đảo lộn đữ liệu bên trong những thiết bị khác nhau. Vì vậy cần phải có chắnh sách điều khiển việc truy xuất mạng. Việc điều khiển truy xuất dựa trên sự nhận dạng người dùng. Tuy nhiên, một sô thông số khác như địa chỉ IP nguồn, IP đắch, địa chỉ port, nhóm ứng dụng cũng đóng vai trò quan trọng trong phương pháp điểu khiển truy xuất. Các cơ chế điều khiển truy xuất cải tiến ngày nay cũng được dựa trên các thông số thời gian, ứng dụng, dịch vụ, phương pháp chứng thực và cơ chế mã hóa.
4.2.3. Encrypting data Ở việc mã hóa dữ liệu
Sự mã hóa đữ liệu là một trong những thành phần quan trọng nhất của bảo mật VPN. Và đóng vai trò quan trọng trong việc bảo vệ dữ liệu trong suốt quá trình vận chuyển. Một hệ thống mã được phân loại bởi số khóa mà nó sử dụng. Một khóa có thể là một con số, một từ hoặc một nhóm từ được dùng cho mục đắch mã hóa và giải mã. Có hai hệ thống mã hóa:
4.2.3.1 Symmetric Crypfosystem: hệ thống mã đối xứng
Hệ thống mã đối xứng dựa trên một khóa đơn, là một chuỗi bit có độ đài được định trước. Vì vậy, cơ chế mã hóa này còn được gọi là single-key encryption. Trước khi trao đổi đữ liệu hai bên phải chia sẽ khóa chung với nhau. Sau đó, phắa gởi sẽ mã hóa thông điệp gốc bằng việc sử dụng private key và gởi cho phắa nhận. Khi nhận được thông điệp đã được mã hóa, phắa nhận sẽ dùng khóa giống như bên gởi để giải mã thông điệp.
Secret Key
Cipher Text : Cipher Text
_Intemediate ` HỢ
Ừ Newok J7
ậender RecIplent
Hình 4.4: Quá trình xử lý trong hệ thống mã đối xứng.
Như đã nói trên, cả phắa gởi và phắa nhận đều phải chia sẽ một khóa chung. Một phương pháp chia sẽ khóa chung đòi hỏi rằng phắa gởi phải đắch thân cung câp khóa bắ mật cho phắa nhận. Điều này không chỉ mắt thời gian mà còn làm hao phắ toàn bộ mục
đắch của mạng. Một phương pháp chuyển khóa khác đó là thông qua điện thoại.
TMNNEnnNNnnnnnnnnnnnnnnnnnssnnstẳazsaimỞỞỞỞỞằỮằằằằẢ-_-_---ỏằỏớớỮớớớơớơơớớ...--
GVHD: Ths. Trương Ngọc Bảo
_ỞỞmmmmẮờẦềmmmaxsayvaaaasaaasasaaarazzơơơơơơơợợợơợơợơơợgờnggaazazadơdơnơơợnguớửứớẳun
Nhưng phương pháp này dễ bị mắc rẽ (tapping) và bị nghe trộm. Ngoài ra còn có phương pháp gởi khóa thông qua e-mail, nhưng cũng giông như những phương pháp nêu trên, phương pháp này cũng dễ bị các hacker chặn bắt.
Bởi vì các phương pháp trao đổi khóa trên thực tế không an toàn, một giải pháp có thể cho vấn đề này đó là tạo các khóa có chiều dài thắch hợp. Bất kỳ hacker nào cũng cần phải bẻ khóa hoặc giải mã trước mới có thể xem được thông điệp gốc. Vì vậy, khóa càng dài, cơ chế mã hóa càng mạnh thì càng an toàn. Một sô thuật toán mã hóa đối xứng (synnetric encryption) phố biến được dùng trong VPN là:
- _ Data Encryption Standard (DES): DES đề xuất khóa có chiều dài tối đa 128 bit. Tuy nhiên, chiều đài khóa được giảm xuống còn 56 bit để tạo ra các thuật toán nhanh hơn. Viêc giảm chiều dài khóa đồng nghĩa với khả năng xử lý của hệ thống máy tắnh nhanh hơn nhưng khả năng bị bẻ khóa cũng dễ dàng hơn.
- - Triple Data Encryption Standard (3DES): giống như DES, 3DES cũng dùng một khóa 56 bit để mã hóa. Tuy nhiên, 3DES an toàn hơn bởi vì ba khóa khác nhau được dùng để mã hóa dữ liệu. Quá trình xử lý như sau: khóa đầu tiên dùng để mã hóa dữ liệu, khóa thứ hai sẽ giải mã dữ liệu vừa mới được mã hóa, cuôi cùng, khóa thứ ba sẽ mã hóa dữ liệu lần thứ hai. Toàn bộ quá trình mã hóa 3DES này là một thuật toán có tắnh bảo mật cao. Nhưng bởi vì tắnh phức tạp của thuật toán nên việc xử lý sẽ chậm mắt ba lần so với DES.
- RonỢs Code 4 (RC4): được phát triển bởi Ron Rivest, thuật toán này sử dụng các khóa có chiều dài thay đổi, có thể lên tới 256 byte. Do chiều dài của khóa,
RC4 được xem như là một cơ chế mã hóa mạnh mẽ, và nó cũng khá nhanh. (adsbygoogle = window.adsbygoogle || []).push({});
RC4 tạo ra một dòng các byte ngẫu nhiên và XOR chúng với dữ liệu gốc. Bởi vì
các byte được tạo ra một cách ngẫu nhiên, RC4 yêu cầu một khóa mới cho mỗi
Oufgoing message.
Hệ thống mã đối xứng đưa ra hai vấn đề như sau: thứ nhất, bởi vì chỉ có một khóa được dùng cho mã hóa cũng như giải mã nên nếu bị lộ, tất cả các giao tiếp sử dụng khóa này đều bị đe dọa. Kết quả là khóa nên được thay đổi định kỳ. Thứ hai là, nếu như số giao tiếp nhiều việc quản lý khóa trở nên khó khăn. Thêm nữa, kết hợp với sự thiết lập cặp khóa bắt đầu, phân bố và thay đổi khóa định kỳ sẽ tiêu tốn thời gian lẫn tiền bạc.
4.2.3.2. Asymmetric Cryptosystems Ở hệ thống mã bắt đối xứng
Thay vì khóa đơn được dùng trong hệ thống mã đối xứng, hệ thống mã bắt đối xứng sử dụng một cặp khóa toán học. Một trong số này là khóa riêng (private key) và chỉ được biết bởi chủ sỡ hữu nó. Khóa còn lại là chung (public key) và có thê phân phát tự do. Public key được dùng để mã hóa trong khi private key được dùng để giải mã các thông điệp.
Ở=ỞiiiiiỞỞỞ