Mơ hình hoạt động của SOCKS

Một phần của tài liệu Kỹ thuật mạng riêng ảo và giải pháp nâng cao tính bảo mật cho hệ thống mạng cục bộ tần số vô tuyến điện (Trang 79 - 88)

Mặc dù SOCKS ra đời sớm và được dùng phổ biến, nhưng SOCKS được IETF thông qua lần đầu tiên là SOCKS5. SOCKS ban đầu là hệ thống uỷ thác (Proxy) được sử dụng cho các ứng dụng như FTP, Telnet, v.vv, nhưng

không dành cho HTTP. SOCKS4 kiểm soát các kết nối TCP (là phần lớn các ứng dụng trên Internet), SOCKS5 còn hỗ trợ thêm UDP, ICMP, xác thực User (user authentication) và giải quyết hostname (DNS).

3.8.2.2 SOCKS kết hợp với VPN

Hiện nay, VPN thường được sử dụng kết hợp với SOCKSv5 để bảo vệ hệ thống mạng nội bộ theo các nguyên tắc trên. Bên cạnh đó SOCKS server cũng khơng để lộ các các thiết lập bên trong cũng như cấu trúc địa chỉ của mạng. Điều này làm cho các hacker và người dùng trái phép khó có thể truy cập và khai thác các dữ liệu bên trong mạng.

Do SOCKSv5 hoạt động tại lớp phiên (lớp thứ 5) trong mô hình OSI nên nó là sự bổ xung rất tốt cho giải pháp VPN với các giao thức lớp 2 và lớp 3 trong mơ hình OSI như PPTP, L2TP, IPSec. Ngoài ra SOCKS cũng hỗ trợ các cơ chế xác thực, mã hoá, các phương thức quản lý khố làm tăng tính bảo mật trong mạng VPN.

Chương 4: QUẢN LÝ MẠNG RIÊNG ẢO

Đảm bảo hoạt động liên tục của mạng, đặc biệt với hệ thống mạng lớn thì việc quản lý mạng là rất quan trọng. Người quản trị mạng phải nắm bắt được đầy đủ và thường xun các thơng tin về cấu hình, sự cố và tất cả số liệu liên quan đến việc truy cập, sử dụng mạng.

Các giải pháp VPN đã cách mạng hóa thực sự cho các kết nối mạng từ xa tại nhiều nơi trên thế giới. Việc triển khai VPN đã trở thành một phần tất yếu đối với các chính sách bảo mật của các tổ chức. Tuy nhiên, các tổ chức này thường bỏ qua hay thực hiện rất kém việc quản lý VPN. Để quản lý một VPN hiệu quả, cần phải nắm vững u cầu cho VPN để có những chính sách quản lý đúng đắn.

Do VPN được tạo nên từ các site, nên việc quản lý sẽ bắt đầu từ quản lý site trong VPN. Dưới đây là một số vấn đề liên quan đến mỗi site trong VPN:

- Số lượng nguời dùng tại mỗi site?

- Loại kết nối đến Internet, kết nối thường trực hay kết nối theo yêu cầu? - Lưu lượng mạng do site phát sinh, biến đổi của lưu lượng theo giờ,

theo ngày?

- Nếu là kết nối thường trực thì bao lâu kết nối được lưu dự phịng một lần. Nếu là kết nối theo yêu cầu thì bao lâu thì được yêu cầu? Độ tin cậy cần thiết phải có.

- Site có hỗ trợ người dùng từ xa khơng? Nếu có thì hỗ trợ bao nhiêu người.

Cần phải nắm rõ các loại lưu lượng phát sinh từ site và các loại ứng dụng làm phát sinh các lưu lượng đó. Đối với mạng LAN thì băng thơng đủ để đáp ứng cho các loại ứng dụng. Nhưng điều này đã thay đổi khi mà World

Wide Web ra đời, lưu lượng biến động thường xuyên và khơng thể dự đốn trước được. Khi mà các ứng dụng thời gian thực như điện thoại IP, hội nghị truyền hình (video conference)… phát triển. Điều đóđặt ra những yêu cầu mới đối với băng thông mạng. Kết nối WAN cũng ảnh hưởng đến VPN do về kiến trúc thì VPN và WAN đều lớn như nhau. Kết nối WAN truyền thống có băng thơng nhỏ hơn kết nối LAN rất nhiều. Do đó cần phải xem xét đến lưu lượng truyền trên kết nối. Băng thông là một vấn đề cần xem xét kỹ khi xây dựng một VPN, bởi vì kết nối giữa ISP và máy chủ tại site VPN cần phải có băng thơng đủ để xử lý một số lượng đường hầm đồng thời được tạo ra.

Do VPN khơng phải chỉ có 2 site liên lạc với nhau mà là tập hợp của rất nhiều site, nên cần phải lưu ý đến vị trí địa lý của các site. Cần phải xem xét đến tính tương tác giữa các site với nhau. Nếu 2 site liên lạc với nhau thường xuyên thì kết nối giữa chúng là kết nối thường trực, còn hiếm khi mới liên lạc với nhau thì kết nối theo yêu cầu. Mặc dù Internet cho phép các site có thể tạo những đường hầm nối thẳng với nhau nhưng nên tổ chức các site có phân cấp để dễ điều khiển lưu lượng.

Vị trí địa lý đóng vai trị quan trọng đối với việc bảo mật. Nếu một mạng VPN phủ trên nhiều quốc gia thì khơng chắc giải thuật mã hoá và chiều dài từ khoá ở nơi này lại được chính phủ nơi khác chấp nhận. Chính phủ Mỹ có thể thay đổi quan điểm của họ về việc xuất khẩu chiều dài từ khoá. Một số sản phẩm cịn phải được cơng nhận bản quyền từ phía Hoa Kỳ. Trong tình hình này phải xây dựng hệ thống hỗ trợ ít nhất là 2 chiều dài từ khố khác nhau.

Tính tức thời của dữ liệu cũng là một yếu tố cần quan tâm khi quản lý một VPN thương mại. Một dữ liệu thương mại đã cũ 2 năm thì khơng thể được xử lý như một dữ liệu mới 2 tuần. Khi mà nắm vững chu kỳ dữ liệu cần bảo

mật thì sẽ chọn được chiều dài từ khoá và giải thuật mã hoá hợp lý để bảo mật dữ liệu đó.

Khả năng mở rộng VPN thành Extranet cũng cần được quan tâm trong quá trình quản lý. Nếu như Extranet là một phần trong kế hoạch phát triển mạng thì cần quan tâm đến khả năng của mạng hiện tại và các ứng dụng được sử dụng trong tương lai.

Sau đây ta khảo sát một số vấn đề chính trong q trình quản lý VPN.

4.1 Các vấn đề về hạ tầng mạng

Một trong những vấn đề mạng cần phải quantâm đó là các thiết bị định tuyến và bảo mật. Có thể thêm phần cứng hoặc phần mềm vào bộ định tuyến để nó đóng vai trò là một cổng nối bảo mật trong VPN. Tuy nhiên, nếu như bộ định tuyến và tường lửa đã cố gắng tối đa nhưng vẫn không thay thế được các chức năng của VPN thì có 2 cách lựa chọn.

- Nâng cấp bộ định tuyến hoặc tường lửa để hỗ trợ các chức năng của VPN.

- Thay thế bộ định tuyến hay tường lửa bằng thiết bị thuộc thế hệ mới, tương thích hơn.

- Sử dụng thiết bị khác để cung cấp dịch vụ VPN.

Mã hố là mộttiến trình địi hỏi tính tốn, tuy nhiên nó thay đổi tuỳ theo giải thuật. Một số nhà cung cấp đã đưa ra một số card đồng xử lý mã hoá cho bộ định tuyến và tường lửa để tăng khả năng xử lý của VPN.

Một thiết bị cần quan tâm khi nâng cấp từ một mạng hiện có lên VPN là máy chủ truy cập từ xa RAS (Remote Access Server). Một trong những nỗ lực của VPN là cố gắng chuyển việc quản lý, hỗ trợ và thiết bị được yêu cầu từ mạng riêng sang ISP. Khi xây dựng một VPN thì vẫn có thể duy trì RAS cũ và dựa thêm vào hỗ trợ của ISP để cho RAS tương thích với VPN.

Một thành phần vẫn cịn có thể sử dụng lại được trong VPN là hệ thống xác thực cho người dùng từ xa. Nhiều thiết bị VPN có thể sử dụng được hệ thống xác thực cho người dùng từ xa như TACACS+, xác thực dựa trên thể bài. Việc tương thích này cho phép tiếp tục duy trì hệ thống xác thực khi chuyển từ mạng truy cập từ xa RAN (Remote Access Network) lên VPN.

Hai vấn đề quan trọng cần phải giải quyết là định tuyến và phân giải tên. Có hai hướng để giải quyết vấn đề này. Hướng thứ nhất: xem mạng như một mạng đơn bao trùm lấy toàn bộ các site, hướng thứ hai là xem mỗi site như một phần mạng riêng và các site được kết nối với nhau thông qua đường hầm.

Có thể áp dụng định tuyến đầy đủ (full routing) giữa các phần của mạng kết nối bởi đường hầm và dùng tên thống nhất cho DNS. Một công ty không thể đăng ký được một mảng địa chỉ IP thực rộng lớn do tài nguyên địa chỉ IP đang dần bị cạn kiệt. Có thể dùng giải pháp gán địa chỉ IP nội bộ cho các host trong mạng và sử dụng dịch địa chỉ mạng NAT để chuyển đổi chúng thành các địa chỉ IP thực được cấp. Điều này có thể làm nảy sinh vấn đề đối với VPN khi mà 2 site cố gắng kết nối với nhau thơng qua đường hầm thì có thể có trường hợp 2 địa chỉ mạng trùng nhau, sẽ làm phá vỡ việc định tuyến và một số chức năng khác của mạng.

Một vấn đề nữa là khi quản lý VPN cần quan tâm đến vấn đề nâng cấp mạng lên IPv6 trong tương lai. Mặc dù IPv6 đang phát triển chậm nhưng cần chọn giao thức có thể hỗ trợ cho IPv6 (IPSec) để có thể dễ dàng nâng cấp mạng trong tương lai.

4.2 Các vấn đề về bảo mật

Quyền truy cập là vấn đề quan tâm khi xem xét tới việc bảo mật cho VPN. Bởi vì VPN có thể cho phép người dùng truy cập tới những mạng con hoặc thiết bị nhưng cũng có thể cấm truy cập tới những phần khác của mạng.

Tổng qt thì một đường hầm có thể cho phép người dùng truy cập vào mạng mà khơng có sự ngăn cấm nào. Tuỳ theo giao thức sử dụng và hệ điều hành mạng mà có thể chỉ định cho quyền truy cập đường hầm khi mà đường hầm được thiết lập.

Khi muốn kiểm sốt lưu lượng trên mạng thì cần quy hoạch VPN sao cho mọi lưu lượng đến phải thông qua tường lửa trước khi đến được mạng bên trong.

Một giải pháp phổ biến cho công ty khi muốn chia sẻ một phần thơng tin từ VPN của mình cho người dùng Internet hay khách hàng của họ trong khi vẫn bảo mật được tài nguyên riêng của họ đó là sử dụng vùng giới tuyến DMZ (Demilitarized Zone). DMZ bao gồm 2 tường lửa: một đặt giữa Internet mà tài nguyên muốn chia sẻ, một đặt giữa tài nguyên chi sẻ và mạng nội bộ bên trong. Máy chủ trong DMZ đóng vai tần số như nơi lưu trữ thông tin phụ sao cho nếu như nó bị hỏng thì thiệt hại xảy ra rất ít. Ví dụ như máy chủ Web trong DMZ lưu những bản sao trang web cịn bản chính thì nằm trên máy chủ ở trong mạng nội bộ.

Hai thành phần của bảo mật được xem là mới khi giới thiệu trong VPN đó là chuyển giao khoá (key exchange) và chứng nhận số liệu (digital certificate).

Khi quản lý VPN cần quyết định bao lâu thì khóa được chuyển một lần giữa các cổng nối bảo mật. Nếu VPN chỉ có một số lượng nhỏ cổng nối bảo mật thì chuyển khố bằng tay vẫn là một giải pháp có thể chấp nhận được. Tuy nhiên nó sẽ khơng khả thi khi VPN trải rộng trên cả một quốc gia hay khắp toàn cầu. Trong trường hợp như vậy phải sử dụng đến e-mail bảo mật hoặc gửi bưu phẩm bảo đảm.

Để đảm bảo bảo mật cho dữ liệu cao nhấ thì tốt hơn hết là sử dụng hệ thống chuyển khoá tự động. Những khoá sử dụng cho mã hố và xác thực có

thể tự động thay đổi theo những quy luật sau: sau một số lượng gói được truyền đi, sau một khoảng thời gian, mỗi khi bắt đầu một phiên làm việc mới hoặc là tổ hợp của những quy luật trên. Tự động thay đổi khoá làm tăng khả năng chống lại các vụ tấn công.

Khi chọn một hệ thống quản lý khố thì kèm theo một số cơ chế phục hồi. Điều này đặc biệt hữu ích khi muốn khôi phục lại dữ liệu cũ cùng với khóa cũ trước đó.

Trong tiến trình mã hố khố chung có sử dụng một cặp khóa chung để xác thực tính hợp lệ của khóa. Việc xác thực tính hợp lệ này gọi là chứng nhận số. Những chứng nhận này nhằm ràng buộc khoá chung với một thực thể được mang tên, có thể là người dùng hay máy tính. nhiều tình duyệt web sử dụng chứng nhận điện tử để bảo đảm truyền thông bảo mật với máy chủ sử dụng secure sockets layer cho các mục đích thương mại điện tử. Một số hệ thống e- mail đưa ra khả năng mã hoá dựa trên chứng nhận điện tử và công nghệ được sử dụng để phân phối chúng: chứng nhận điện tử CA và cơ sở hạ tầng khố cơng cộng PKI (Public Key Infrastructures).

4.3 Các vấn đề về ISP

ISP có liên quan đến VPN theo nhiều hướng. Sử dụng đường hầm PPTP và L2TP cho phép ISP đưa ra nhiều dịch vụ gia tăng gía trị như bộ khởi tạo đường hầm và proxy hỗ trợ cho xác thực của VPN. Mặt khác, ISP cũng cung cấp đầy đủ nguồn xuất VPN.

Cần lưu ý là ISP đang cung cấp khơng phải là nhà cung cấp VPN duy nhất. Có thể sử dụng nhiều ISP cho VPN. Một lý do để sử dụng nhiều ISP là phạm vi địa lý rộng lớn của mạng VPN.

Nếu như có kế hoạch sử dụng PPTP hay L2TP để xây dựng VPN thì cần xem xét đến khả năng của thiết bị của ISP và họ xử lý vấn đề bảo mật như thế

nào. Nếu một ISP dùng máy chủ proxy RADIUS thì cần đảm bảo việc bảo mật chống lại truy cập của những khách hàng của ISP đó hoặc ngay cả các nhân viên đang làm việc tại ISP.

Giải pháp tối ưu là sử dụng một máy chủ RADIUS ngay tại VPN cho việc xác thực người dùng và cho phép máy chủ proxy của ISP làm việc dựa trên những dữ liệu do máy chủ đó cung cấp.

Chương 5: GIẢI PHÁP NÂNG CAO TÍNH BẢO MẬT CHO

HỆ THỐNG MẠNG CỤC TẦN SỐ VÔ TUYẾN ĐIỆN

Như chương 3 đã phân tích về những vấn đề và kỹ thuật cơ bản của mạng riêng ảo: các giao thức đường hầm, các thuật toán mã hoá và xác thực, kỹ thuật bảo mật v.v... Trong chương này, tôi xin đề xuất giải pháp nâng cấp hệ thống mạng tại Cục tần số vô tuyến điện trên cơ sở mạng riêng ảo nhằm mục đích đảm bảo tính bảo mật của toàn hệ thống, song vẫn đảm bảo hiệu quả đầu tư.

5.1 Khảo sát hiện trạng

Một phần của tài liệu Kỹ thuật mạng riêng ảo và giải pháp nâng cao tính bảo mật cho hệ thống mạng cục bộ tần số vô tuyến điện (Trang 79 - 88)

Tải bản đầy đủ (PDF)

(112 trang)