- L2TP cho phép người dùng từ xa chưa đằng địa chỉ IP hoặc sử dụng IP của
Các loại tường lửa :
Một số loại tường lửa thường gặp trong thực tế là: Các bộ lọc gói (Packet Filters), các Proxy kênh (Circuit Proxies), các Proxy ứng dụng (Application Proxies), kiểm tra trạng thái.
Các bộ lọc gói
Bộ lọc gói là loại tường lửa xuất hiện sớm nhất. Nó lọc gói dựa trên địa chỉ nguồn và địa chỉ đích của tất cả các gói IP đến để đưa ra quyết định cấm hay cho phép chuyển các gói này qua tường lửa dựa trên những quyền mà người quản trị mạng đã thiết lập. Ngồi ra nó cịn lọc gói dựa trên loại giao thức (ví dụ UDP hoặc TCP), dựa trên cổng TCP hoặc UDP, dựa trên số hiệu phân mảnh.
Tường lửa lọc gói có một số ưu điểm đó là: cơ chế đơn giản, xử lý gói rất nhanh, có thể tích hợp ngay trên phần mềm của bộ định tuyến và nó hoạt động mang tính trong suốt đối với các người dùng đầu cuối.
Tuy nhiên, tường lửa lọc gói cũng có những nhược điểm là: quá trình cấu hình tường lửa rất phức tạp, gặp nhiều khó khăn, đặc biệt là khi cần nhiều quyền để điều khiển một lượng lớn cho nhiều ứng dụng và nhiều người dùng khác nhau. Nhược điểm thứ hai của tường lửa lọc gói có thể coi là một thiếu sót đó là việc lọc gói hoạt động dựa trên những địa chỉ IP chứ không dựa trên quyền truy nhập của người dùng. Thứ ba là việc lọc
gói chỉ cung cấp một số tính năng bảo mật đối với những hoạt động “tấn cơng chính giữa” và khơng có tính năng bảo mật đối với các địa chỉ IP giả mạo. Ngồi ra, việc lọc gói cịn phụ thuộc vào một số cổng của gói IP và thường chỉ báo khơng chính xác về ứng dụng đang sử dụng, những giao thức như NFS (Network File System) sử dụng nhiều cổng khác nhau gây khó khăn trong việc tao quyền để điều khiển lưu lượng của chúng.
Những bộ lọc gói có thể sử dụng như một thành phần trong VPN để giới hạn lưu lượng chuyển qua một kênh. Tuy vây, việc lọc gói thường khơng yêu cầu phải sử dụng một tường lửa độc lập bởi vì chúng thường được kèm theo trong hầu hết các bộ định tuyến có hỗ trợ TCP/IP.
Các Proxy kênh và Proxy ứng dụng
Những tường lửa này cho phép nhiều người dùng cùng sử dụng một proxy để liên lạc với hệ thống bảo mật, che giấu những dữ liệu có giá trị bảo mật và bảo mật máy chủ tránh sự tấn công của nhưng kẻ phá hoại.
So với các bộ lọc gói thì các proxy kênh có tính bảo mật cao hơn. Bởi vì, một proxy kênh sẽ được cài tự động giữa bộ định tuyến mạng với Internet và proxy này đóng vai trị là đại diện cho cả mạng khi có nhu cầu liên lạc ra mạng ngồi. Do đó, các máy tính bên ngồi khơng thể lấy được thông tin địa chỉ cũng như số cổng bên trong
mạng.
Proxy có ưu điểm là có tính bảo mật cao hơn nhưng lại chạy chậm hơn so với các bộ lọc gói là do các proxy kênh phải tái tạo lại các tiêu đề IP cho mỗi gói để dảm bảo các gói tin đến đúng đích. Một hạn chế nữa của tường lửa proxy là nó thường được thiết kế để sử dụng những proxy agent khác nhau, mà mỗi agent chỉ điều khiển một dạng chỉ định mào đầu như lưu lượng của FTP hay TCP.
Chúng ta muốn chuyển nhiều dạng lưu lượng thơng qua proxy thì máy chủ proxy phải nạp và chạy nhiều proxy agent một lúc.
Các proxy ứng dụng thực hiện việc kiểm tra dữ liệu hiện thời trong một gói IP chuẩn bị được truyền đi nên ngăn cản bất cứ kẻ phá hoại nào sử dụng địa chỉ IP
mạo để lấy quyền truy cập trái phép. Do chức năng của một proxy ứng dụng thuộc lớp ứng dụng trong mơ hình OSI nên các proxy ứng dụng có thể dùng cho việc xác thực các khóa bảo mật khác, kể cả mật khẩu người dùng và những yêu cầu dịch vụ.
Do các proxy ứng dụng dùng cho những ứng dụng chỉ định nên phải cài một proxy agent cho mỗi dịch vụ IP (như HTTP, FTP, SMTP…) và cần điều khiển việc
truy cập đến chúng. điều này dẫn đến hai điểm bất lợi của các proxy ứng dụng:
+ Ln tồn tại một đọ trì hoãn giữa việc gia nhập của các dịch vụ IP mới với các agent sẵn có trên mạng.
+ Proxy ứng dụng địi hỏi phải xử lý nhiều trên các gói gây ra hậu quả là hiệu suất mạng sẽ bị giảm sút.
Hơn nữa, nhiều loại Proxy ứng dụng yêu cầu phải hiệu chỉnh phần mềm client. Một đặc điểm quan trọng của các proxy ứng dụng là dung lượng của nó dành cho các người dùng và các trình ứng dụng chỉ định. Điều này làm tăng thêm tính bảo mật cho việc xác thực cho người dùng.
Kiểm tra trạng thái
Một tường lửa lý tưởng là một tường lửa cung cấp cơ chế bảo mật tốt nhất và hiêu suất cao nhất. Người ta đã phát triển một kỹ thuật gọi là kiểm tra đa lớp trạng thái SMLI (Stateful Multi-Layer Inspection) để việc bảo mật có tính chặt chẽ hơn trong khi vẫn đảm bảo tính dễ sử dụng và chi phí thấp, và hiệu suất không bị giảm sút.
SMLI cũng tương tự như một proxy ứng dụng. Trong trường hợp xét đến tất cả lớp trong mơ hình OSI, thay vì dùng một proxy để đọc và xử ký cho mỗi gói thơng qua các logic điều khiển trên dữ liệu, SMLI sử dụng giải thuật sàng lọc lưu lượng (traffic screen algorithm) để tối ưu việc phân tích dữ liệu có thơng lượng cao. Với SMLI, mỗi gói được xem xét và so sánh với các trạng thái đã biết của những gói thường gặp. SMLI là nguyên tắc cơ sở cho những sản phẩm tường lửa thế hệ mới có thể thích ứng với nhiều loại giao thức và có chức năng được nâng cao hơn, dễ sử dụng hơn.
Ưu điểm của SMLI ở chỗ: tường lửa sẽ đóng tất cả các cổng TCP, sau đó sẽ mở lại các cổng một cách linh động khí các kết nối có u cầu đến các cổng này (ví dụ HTTP sử dụng cổng mặc định là 80). Đặc điểm này cho phép việc quản lý các dịch vụ sử dụng đến các số cổng lớn hơn 1023 như HTTP có thể yêu cầu phải thay đổi trong việc cấu hình cho các tường lửa. Các tường lửa kiểm ra trạng thái cũng cung cấp những đặc điểm như ngẫu nhiên hóa số tuần tự các cổng TCP và thục hiện việc lọc gói UDP.
Tường lửa sử dụng trong VPN
Các tường lửa được đề cập như là một phần trong giải pháp bảo mật cho mạng công ty, nhưng chỉ với các tường lửa này thì khơng đủ để xây dựng nên VPN. Đó là vì tường lửa khơng thể giám sát hay ngăn cản việc thay đổi dữ liệu (tính tồn vẹn dữ liệu) có thể xảy ra khi một gói được truyển qua mạng Internet hay đóng vai trị là một tường lửa
kèm theo chức năng mã hóa.
Những yêu cầu đối với tường lửa
VPN của chúng ta cho dù sử dụng giao thức nào thì cần phải xem xét xem tường lửa có tương thích với các phần cịn lại trong cơ chế bảo mật, quản trị mạng, tránh trường hợp xảy ra xung đột hay trùng lặp.
Nếu muốn cài đặt nhiều tường lửa tại nhiều vị trí, ta phải duy trì một chính sách bảo mật chặt chẽ hơn nếu như tường lửa được lựa chọn hỗ trợ việc quản trị đồng bộ cho nhiều vị trí. Nếu một sản phẩm có kèm theo khả năng quản lý từ xa, ta phải đảm bảo tính bảo mật cho việc truy cập từ xa đến tường lửa.
4.2. Xác thực (Authentication)
Xác thực là một phần không thể thiếu được trong kiến trúc bảo mật của một mạng VPN. Xác thực được dựa trên ba thuộc tính: Cái gì ta có (một khố hay một card token); cái gì chúng ta biết (một mật khẩu); hay cái gì chúng ta nhận dạng (giọng nói, qt võng mạc, dấu vân tay,..). Xác thực là thuật ngữ dùng chung, nó bao gồm hai khái niệm: Xác thực nguồn gốc dữ liệu và xác thực tính tồn vẹn dữ liệu.
4.2.1. Xác thực nguồn gốc dữ liệu