1.1.1 .Giới thiệu về bảo mật thông tin
2.1. NGUY CƠ MẤT AN TOÀN THÔNG TIN TRONG MẠNG RIÊNG ẢO
2.1.1. Tấn công các thành phần mạng riêng ảo
Các yếu tố quan trọng nhất của một thiết lập VPN bao gồm: -Ngƣời dùng truy cập từ xa
-Kết nối trang phân đoạn ISP -Internet công cộng
-Gateway của mạng
Hình 2.1 Mô hình VPN cơ bản
VPN-Client là ngƣời dùng đầu cuối hoặc ngƣời dùng từ xa. Các mối đe dọa an ninh lớn nhất đối với VPN Client là các thông tin bí mật của ngƣời dùng nhƣ ID và mật khẩu của mình. Vì vậy ngƣời dùng đầu cuối phải bảo vệ thông tin quan trọng của mình, thay đổi mật khẩu thƣờng xuyên làm giảm xác xuất mà ngƣời khác có thể đoán đƣợc mật khẩu của họ.
liệu có thể đọc đƣợc vào cuối ISP. Ngoài ra khả năng các dữ liệu sẽ đƣợc đọc trong quá trình giao dịch giữa ngƣời dùng cuối và mạng nội bộ của ISP là khá cao. Các cơ hội nghe trộm của các thực thể bên ngoài có thể bị loại bỏ bằng cách mã hóa dữ liệu ngƣời dùng từ xa trƣớc khi gửi nó đến ISP. Tuy nhiên, nếu các thuật toán mã hóa yếu, mã hóa không cung cấp bảo vệ đầy đủ chống lại các nhà cung cấp dịch vụ Internet muốn lấy thông tin của khách hàng có thể giải mã dữ liệu và sử dụng nó cho lợi nhuận của họ.
Nhƣ chúng ta đã biết, kết nối Internet và đƣờng hầm phụ thuộc vào một ISP, nhƣng nếu những ý định của nhà cung cấp dịch vụ là không tốt, họ có thể thiết lập một đƣờng hầm giả mạo và một Gateway giả mạo. Trong trƣờng hợp này, ngƣời sử dụng các dữ liệu nhạy cảm sẽ đƣợc tạo đƣờng hầm với gateway giả mạo, mà lần lƣợt có thể lấy và kiểm tra các dữ liệu để sử dụng cho mục đích riêng của họ và gateway giả mạo cũng có thể làm thay đổi các dữ liệu và chuyển tiếp đến gateway thực. Các gateway đích sẽ chấp nhận các dữ liệu giả định rằng nó là từ nguồn đáng tin cậy gốc. Theo cách này dữ liệu không mong muốn và độc hại có thể xâm nhập vào mạng.
Một điểm nữa của mối đe dọa bảo mật dữ liệu là khi gói tin đi qua các đƣờng hầm qua mạng Internet công cộng. Đƣờng hầm dữ liệu đƣợc thiết lập qua nhiều thiết bị định tuyến. Là một phần của đƣờng hầm, các bộ định tuyến trung gian có thể kiểm tra dữ liệu. Nếu có bộ định tuyến đƣợc cấu hình với mục đích xấu, các bộ định tuyến có thể không chỉ kiểm tra dữ liệu mà còn có thể sửa đổi nó ngay cả khi dữ liệu đƣợc mã hóa.
PPTP và L2TP không cung cấp cơ chế bảo mật mạnh mẽ chống lại việc giả mạo nhà cung cấp dịch vụ Internet và các thiết bị định tuyến đƣờng hầm. Tuy nhiên khả năng mã hóa tiên tiến và khá toàn diện đƣợc cung cấp bởi IPSec cung cấp một mức độ bảo vệ cao chống lại những yếu tố lừa đảo.
Các điểm đến cuối cùng của một gói dữ liệu đƣờng hầm là gateway. Các gói dữ liệu dễ bị tấn công nếu gateway không sử dụng cơ chế xác thực mật mã, bởi vì các cuộc tấn công, chẳng hạn nhƣ giả mạo địa chỉ và bắt gói tin, có thể truy cập các thông tin dạng cleartext rằng các cổng này sử dụng. Mặt khác, cơ chế xác thực mật mã cung cấp một số mức độ bảo mật, vì nó mất nhiều thời gian cho một kẻ tấn công hoặc một tin tặc đột nhập vào các thuật toán này. Tuy nhiên kẻ tấn công nội bộ vẫn có thể truy cập các thông tin dạng cleartext đƣợc gửi vào mạng nội bộ bởi gateway [9].