2.2.2.1. Vai trò của mạng riêng ảo.
Mạng riêng ảo không phải là một khái niệm độc lập mà nó là sự kết hợp của các công nghệ để đảm bảo một kết nối đường hầm thông qua mạng công cộng khi việc truyền dữ liệu trên mạng công cộng là không đáng tin ậy hoặc không an toàn.
Nó tạo ra một kết nối an toàn dựa trên môi trường mạng công cộng giữa các cá nhân với cá nhân hoặc giữa cá nhân với tổ chức hoặc giữa các tổ chức với nhau.
2.2.2.2. Cơ chế bảo vệ dữ liệu của mạng riêng ảo.
Mạng riêng ảo sử dụng các phương pháp mã hóa để bảo vệ dữ liệu. Sau khi có kết nối. Mạng riêng ảo sử dụng cơ chế đường hầm để đóng gói dữ liệu đã được mã hóa thành một đường hầm an toàn có công khai tiêu đề và có thể vận chuyển thông qua mạng công cộng. Các gói tin đó được đảm bảo toàn vẹn dữ liệu trong quá trình truyền.
Bản thân mạng riêng ảo không hỗ trợ cơ chế xác thực người dùng ở mức độ cao. Người dùng chỉ cần nhập tên truy nhập và mật khẩu mà phía VPN server cung cấp thì có thể có được quyền truy cập vào mạng riêng ảo từ xa và không an toàn.
2.2.2.3. Một số mô hình mạng riêng ảo phổ biến
Trên thực tế hiện nay có nhiều mô hình mạng riêng ảo khác nhau. Tuy nhiên, sử dụng mô hình này thì tùy thuộc vào đặc điểm và bài toán cụ thể. Dưới đây là một số mô hình mạng riêng ảo [6]:
1/. Mạng riêng ảo truy cập từ xa.
Đây là một kết nối Local – to – Host cho cá nhân sử dụng thiết bị truy cập từ xa (máy tính PC, laptop hoặc điện thoại di động…) có nhu cầu kết nối vào mạng của tổ chức hoặc công ty. Đây là mô hình mạng riêng ảo an toàn vì các kết nối được mã hóa theo cách riêng của người dùng và tổ chức.
2/. Mạng riêng ảo nội bộ.
Là mô hình mạng riêng ảo dùng để kết nối nhiều điểm truy cập từ xa vào mạng cố định (Kết nối Lan – to – Lan)
3/. Mạng riêng ảo mở rộng.
Mô hình này tương tự như mô hình mạng riêng ảo cục bộ nhưng phạm vi của nó rộng hơn nhiều. Được sử dụng để kết nối các đối tác kinh doanh với nhau để làm việc với dữ liệu an toàn.
2.2.2.4. Phân loại mạng riêng ảo
1/. Mạng riêng ảo có sử dụng tường lửa.
Đây là loại mạng riêng ảo có kèm theo tường lửa để hạn chế quyền truy cập vào mạng nội bộ. Các tính năng có thể của mô hình này: dịch địa chỉ, xác thực người dùng, báo cáo thời gian thực và nhật ký kết nối.
2/. Mạng riêng ảo trên phần cứng.
Là loại mạng riêng ảo có khả năng cho phép tốc độ mạng cao, hiệu suất tốt hơn độ tin cậy cao hơn. Nhưng giá thành đắt hơn các loại khác.
3/. Mạng riêng ảo trên phần mềm.
Loại này linh hoạt trong cách quản lý các giao dịch. Loại này phù hợp với trường hợp khi điểm cuối không được kiểm soát bởi các bên tương đương.
4/. Mạng riêng ảo có sử dụng giao thức SSL.
Loại mạng riêng ảo cho phép người dùng kết nối thông qua một trình duyệt web. Giao thức SSL (Secure Sokets Layer) hoặc giao thức TLS (Transport Layer Security) dùng để mã hóa các kết nối giữa các trình duyệt web và các thiết bị Mạng riêng ảo SSL. Ưu điểm của loại này là người dùng không phải cài đặt hoặc cung cấp các phần mềm nào liên quan.
2.2.2.5. Một số công nghệ đường hầm trong mạng riêng ảo
Công nghệ đường hầm sử dụng nhiều giao thức khác nhau và mỗi giao thức có các cơ chế mã hóa khác nhau và mức độ bảo mật khác nhau. Tùy từng nhu cầu sử dụng mà người dùng lựa chọn các giao thức cho phù hợp. Dưới đây là một số giao thức quan trọng [6]:
1/. Giao thức IPsec
Dùng để chuyển giao thông tin an toàn ở lớp thứ 3 của OSI thông qua mạng công cộng không an toàn. IPsec cho phép hệ thống lựa chọn và đàm phám một giao thức an ninh cần thiết, thuật toán và khóa bí mật được sử dụng trong các dịch vụ được yêu cầu. Ngoài ra IPsec cung cấp dịch vụ chứng thực cơ bản, toàn vẹn dữ liệu và mã hóa để bảo vệ dữ liệu trước việc truy cập trái phép.
2/. Giao thức PPTP
Là giao thức được xây dựng phía trên của giao thức PPP (PPP là một đa giao thức). Người dùng từ xa có thể truy cập vào mạng riêng thông qua PPTP bằng quay số ISP cục bộ. PPTP kết nối vào mạng đích bằng cách tạo ra một mạng ảo cho mỗi người dùng từ xa. PPTP cho phép một phiên PPP với giao thức non-TCP/IP để được đường hầm thông qua một mạng IP.
Cơ chế xác thực được sử dụng cho các kết nối PPP được hỗ trợ trong kết nối mạng riêng ảo PPTP bao gồm: EAP, MS-CHAP, CHAP, SPAP, PAP.
3/. Giao thức L2TP (adsbygoogle = window.adsbygoogle || []).push({});
Là sự kết hợp của PPTP và Cisco L2F. L2TP được sử dụng như một giao thức đường hầm để gói gọn PPP. Kết nối L2TP có cơ chế xác thực giống như các kết nối PPP, như là EAP, MS-CHAP, CHAP, SPAP, PAP. L2TP đường hầm được
thực hiện thông qua nhiều cấp độ. Các dữ liệu PPP được gói gọn trong một phần đầu của PPP và một phần đầu của L2TP.
Các gói tin L2TP đóng gói được thêm bao bọc trong một tiêu đề UDP với các cổng nguồn và cổng đích. Các gói tin cuối cùng được đóng gói với một IP header chứa các địa chỉ IP nguồn và đích của các VPN client và VPN server
Hình 2.6. Các cấp độ đóng gói phần header
Do L2TP có mức độ bảo mật thấp, vì thế nó thường được sử dụng kết hợp với IPsec và gọi là L2TP/IPsec. Khi L2TP đang chạy trên IPsec, dịch vụ bảo mật được cung cấp bởi IPsec, AH và ESP. Tất cả các điều khiển L2TP và dữ liệu xuất hiện như là đồng nhất các gói dữ liệu IP tới hệ thống IPsec.
4/. Giao thức SSL/TLS
SSL/TLS là một giao thức tầng vận chuyển (transport layer) có sử dụng cổng TCP 443. Có một số tính năng mã hóa được cung cấp bởi SSL/TLS và bao gồm: bảo mật, tính toàn vẹn, và chữ ký số. Không giống như IPsec, Ở đây hai bên giao tiếp đồng ý với chức năng mã hóa SSL/TLS sử dụng bộ mã hoá để xác định tập hợp các chức năng mã hóa cho một khách hàng và máy chủ để sử dụng khi giao tiếp.
Một cổng SSL VPN có thể xác thực bản thân cho người sử dụng Web sử dụng một chứng chỉ máy chủ SSL ký bởi một CA đáng tin cậy (Certification Authority), để người dùng có thể xác minh rằng chúng ta đang nói chuyện với một máy chủ tin cậy thông qua trình duyệt của mình. Trong thực tế, một số SSL VPN có thể sử dụng một số giấy chứng nhận tự ký được bình thường không đáng tin cậy trong hầu hết các trình duyệt web. Trong trường hợp này, người sử dụng có thể cần thêm chứng chỉ máy chủ SSL VPN của danh sách riêng của người sử dụng chứng chỉ tin cậy, hoặc chấp nhận để tin tưởng chứng chỉ mặc định
2.2.2.5. Một số hạn chế và nguy cơ của mạng riêng ảo.
1/. Bị tin tặc tấn công.
Một máy client có thể bị tấn công hoặc là trung gian cho một cuộc tấn công. Kẻ xâm nhập trái phép lợi dụng lỗi hoặc cấu hình sai của một client hoặc sử dụng một công cụ tấn công để tấn công.
2/. Xác thực người dùng.
Mạng riêng ảo không cung cấp tính năng xác thực người dùng đủ tin cậy. Điều này khiến việc cập phép cho client truy cập vào mạng riêng ảo không đủ tin cậy.
3/. Nguy cơ phía người dùng
Bản thân client khi kết nối vào mạng riêng ảo bị tấn công (có thể nhiễm virus/malware, phần mềm gián điệp) thì nó sẽ nhanh chóng lây lan nhanh trong các mạng nếu hệ thống chống đỡ không hiệu quả.
4. Cấp quyền truy cập không đúng
Một số client khi truy cập vào mạng riêng ao không được cấp đúng quyền truy cập hoặc cung cấp nhiều hơn quyền đáng có. Điều đó cũng là nguy cơ mất an toàn trong mạng riêng ảo.
5. Khả năng tương thích giữa các phần mềm.
Không phải lúc nào các phần mềm phía Client và Server cũng tương thích với nhau. Đó cũng là những hạn chế của các loại mạng riêng ảo phụ thuộc vào cài đặt phần mềm thứ ba.
2.2.2.6. Một số chính sách tăng cường mức độ bảo vệ các hệ thống thông tin
Hiện nay nguy cơ mất an toàn cho các hệ thống thông tin là rất cao. Vì vậy, chỉ áp dụng đơn nhất một mô hình nào cũng đều không mang tính an toàn cao. Dưới đây là một số chính sách kết hợp các phương pháp khác nhau [6]:
1/. Kết hợp mạng riêng ảo với sử dụng tường lửa.
2/. Kết hợp mạng riêng ảo với hệ thống phát hiện và ngăn chặn truy cập trái phép IDS/IPS để theo dõi các cuộc tấn công hiệu quả hơn.
3/. Máy Server và Client cần được cài phần mềm diệt virus để ngăn chặn sự lây lan virus hoặc malware.
4/. Cần có hệ thống xác thực trước khi cấp phép truy cập vào mạng riêng ảo. 5/. Thường xuyên kiểm tra các file log để phát hiện các cuộc tấn công từ bên ngoài. 6/. Cần có đội ngũ quản trị mạng có trình độ cao, cung cấp cho đội ngũ nhân viên những kiến thức cơ bản để đảm bảo rằng họ đang làm việc trong môi trường an toàn nhất.
7/. Kiểm soát chặt chẽ việc phân phối, cấp quyền truy cập vào mạng riêng ảo. 8/. Không được chia sẻ đường hầm để truy cập Internet hay bất kỳ mạng không an toàn nào khác trong khi kết nối mạng riêng ảo. Nếu có thì phải sử dụng hệ thống phát hiện xâm nhập IDS để phát hiện bất kỳ cuộc tấn công nào đang diễn ra hoặc nguy cơ sẽ bị tấn công.
9. Hạn chế những truy cập không cần thiết vào mạng nội bộ và có cơ chế kiểm soát hiệu quả.