- KE: Khoá trao đổi dữ liệu cho trao đổi khoá DifferHelman
Chương IV Một số công nghệ an toàn bổ sung cho các mạng riêng ảo
5.1.4.1. Các xem xét liên quan đến Router
Router(và các Gateway) giữ một vai trò đáng kể trong việc định tuyến luồng lưu lượng qua một mạng dựa trên IP. Vì có các thiết bị ngoại biên này, mối quan tâm chính liên quan đến chúng là về tính an toàn của chúng. Nếu Router của ta được bảo mật kiém, chúng có thể dễ dàng bị nhắm tới bởi những kẻ xâm nhập, là những kẻ phái sinh luồng lưu lượng giả tạo gây ra các tấn công từ chối dịch vụ. Chúng cũng có thể được dùng bởi những kẻ xâm nhập để tấn công các Router khác.
Các xem xét khác liên quan đến Router và Gateway trong thiết lập mạng riêng ảo bao gồm:
- Các Router và Gateway trong môi trường mạng Internet thường được cấu hình để cho truyền qua lưu lượng được định tuyến tới các Router kế tiếp nhằm hướng tới mạng đích. Điều này hàm ý rằng chúng có thể “chuyển” một khối lượng lớn dữ liệu sang nơi khác. Tuy nhiên, hầu hết các Router không có khả năng lưu trữ một khối lượng lớn dữ liệu khi dữ liệu chuyển đến chúng. Kết quả là, hầu hết các Router rất dễ bị ảnh hưởng với các tấn công từ chối dịch vụ. Bằng việc giành được toàn bộ quyền kiểm soát Router, một kẻ xâm nhập có thể dễ dàng giành được quyền truy cập vào mạng gắn với nó và dẫn đến thiệt hại lớn với mạng Intranet.
- Các Router chia sẻ thông tin định tuyến với các Router ngang hàng để có khả năng định danh không làm gián đoạn thêm luồng lưu lượng chúng nhận được. Kết quả là, các Router phải chia sẻ một quan hệ tin cậy với các Router ngang hàng. Đặc điểm này của các Router thường bị khai thác bởi những kẻ xâm nhập, những kẻ này sau khi thay đổi hoặc xoá các đường định tuyến đã tồn tại hoặc đưa các đường định tuyến giả tạo vào bảng định tuyến được duy trì bởi một hoặc nhiểu Router. Kết quả của việc thay đổi thông tin này là các Router mà các bảng định tuyến của chúng đã được cảnh giác có thể bắt đầu hoạt động như các Router giả tạo và chuyển tiếp luồng lưu lượng tới các Route “không đáng tin cậy”
- Nếu đang lập kết hoạch thực thi nhiều Router và Gateway trong mạng Intranet, cần đảm bảo rằng tất cả hỗ trợ cùng mức bảo mật. Điều này sẽ ngăn chặn kẻ xâm nhập khai thác một điểm yếu bảo mật đơn lẻ để giành quyền truy cập tới mạng.
Bởi các vấn đề đã xác định trên, ta nên cẩn thận khi chọn lựa các Router cho thiết lập mạng riêng ảo. Ngoài hiệu suất tốt, cũng nên tìm kiếm các Router có khả năng mã hoá và xác thực mạnh. Những khả năng này không chỉ bảo vệ các Router của ta, mà còn ngăn chặn việc quét và đọc trái phép các thông tin đang được chuyển qua bởi chúng