Đề tài : NGHIÊN CỨU CÁC GIẢI PHÁP ĐẢM BẢO AN NINH CHO MẠNG RIÊNG ẢO VPN Luận văn được chia làm 03 chương : Chương 1 nói về tổng quan và các tiêu chuẩn, phân loại về mạng riêng ảo. Chương 2 đề cập đến các yếu tố ảnh hưởng đến an ninh mạng riêng ảo. Để có một mạng an toàn có nghĩa là các cơ chế bảo mật phải được đặt đúng nơi, đúng chỗ và các giải pháp đảm bảo an ninh cho mạng riêng ảo đó sẽ được trình bày trong Chương 3. Phần cuối cùng sẽ là kết luận của bản luận văn và hướng nghiên cứu tiếp theo.
Vài nét về mạng riêng
Mạng riêng là một mạng diện rộng bao gồm các thành phần công cộng nhưng được tổ chức kiểm soát Nó được thiết lập thông qua kết nối đường dây điện thoại hoặc đường thuê bao chuyên biệt từ các nhà cung cấp truyền thông, đảm bảo băng thông nhất định không bị chia sẻ với người khác, mặc dù băng thông này có thể không được sử dụng khi lưu lượng thấp.
Mạng máy tính ban đầu sử dụng hai kỹ thuật chính là đường thuê riêng và đường quay số cho các kết nối Mặc dù các mạng này có tính bảo mật cao, nhưng nhu cầu về lưu lượng dữ liệu thay đổi và tốc độ cao đã thúc đẩy sự phát triển của một kiểu mạng dữ liệu mới Các mạng riêng được xây dựng dựa trên các kênh lôgích, đáp ứng tốt hơn yêu cầu hiện đại.
“ảo” đầu tiên đã được xây dựng trên mạng chuyển mạch gói X.25, Frame relay vàATM.
Khái niệm mạng riêng ảo – VPN
Các yếu tố thúc đẩy sự phát triển của VPN
− VPN có thể được phát triển trên nhiều môi trường khác nhau: X.25, Frame
VPN phát triển với những đặc điểm kỹ thuật khác nhau tùy thuộc vào môi trường sử dụng, như Relay, ATM và Internet Sự khác biệt này cũng thể hiện rõ trong khả năng đáp ứng nhu cầu của khách hàng.
Sự phát triển của dịch vụ mạng riêng ảo (IP VPN) trên Internet đang trở thành xu hướng tất yếu, phản ánh quá trình hội tụ giữa Internet và các mạng riêng.
Các lý do dẫn đến quá trình hội tụ giữa Internet và các mạng dùng riêng:
Sự gia tăng nhân viên làm việc phân tán đã tạo ra thách thức trong việc quản lý các mạng riêng Nhu cầu giao tiếp trong khi công tác, cùng với xu hướng làm việc từ xa và sự mở rộng của các công ty, khiến cho các hệ thống mạng riêng không đáp ứng kịp thời các yêu cầu về mở rộng và bảo trì.
− Xu hướng làm việc với nhiều nhà cung cấp dịch vụ, sản phẩm cũng như đối với nhiều đối tượng khách hàng khác nhau
− Chi phí cho việc cài đặt và duy trì một mạng diện rộng là lớn
− Nhu cầu tích hợp và đơn giản hoá giao diện cho người sử dụng
Lợi ích của mạng riêng ảo VPN
− Giảm thiểu chi phí sử dụng so với việc kết nối mạng diện rộng dùng các kênh thuê riêng
− Giảm thiểu thiết bị sử dụng.
Sử dụng dịch vụ Internet phổ thông giúp giảm chi phí đáng kể, bởi khách hàng chỉ cần thanh toán theo lưu lượng sử dụng thực tế Điều này giúp hạn chế lãng phí băng thông và chỉ phải trả cho chi phí kết nối Internet thông thường, làm cho cước phí rẻ hơn so với việc thuê đường truyền riêng.
− Khả năng lựa chọn tốc độ tối đa từ tốc độ 9,6 Kbit/s tới T1/E1, hoặc sử dụng công nghệ DSL.
VPN trên mạng IP tích hợp mang lại khả năng cung cấp dịch vụ nhanh chóng nhờ vào liên kết lớn và mạng lưới sẵn có, giúp giảm thiểu thời gian cung cấp dịch vụ hiệu quả.
− Đối với nhà cung cấp dịch vụ:
+ Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ gia tăng giá trị khác kèm theo.
+ Tăng hiệu quả sử dụng mạng Internet hiện tại.
+ Đầu tư không lớn, hiệu quả đem lại cao.
+ Mở ra nhiều lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ,thiết bị sử dụng cho mạng VPN.
CHUẨN HOÁ, PHÂN LOẠI, CÔNG NGHỆ CÁC MẠNG RIÊNG ẢO LỚP 2 VÀ LỚP 3
Các chuẩn cho các mạng VPN
Mạng riêng ảo (VPN) có nhiều định nghĩa và phân loại khác nhau tùy thuộc vào đối tượng sử dụng Một trong những cách phân loại VPN là theo trách nhiệm quản lý, trong đó nổi bật là lớp PPVPN (Provider Provisioned VPN) Lớp này tiếp tục được chia nhỏ dựa trên công nghệ cơ bản, như mạng đường trục lớp 1, lớp 2, hoặc mạng điều khiển bởi giao thức IP/MPLS Các mạng PPVPN có thể được phân loại theo vị trí thiết bị, bao gồm mạng VPN dựa trên biên khách hàng và mạng VPN dựa trên biên nhà cung cấp Mạng VPN dựa trên biên nhà cung cấp, hay còn gọi là network-based VPN, được phân chia theo loại dịch vụ cung cấp: L1 VPNs cho dịch vụ lớp 1, L2 VPNs cho dịch vụ lớp 2 (như Ethernet, ATM, hay Frame Relay), và L3 VPNs cho dịch vụ lớp 3.
Giới thiệu về công nghệ
Có nhiều phương pháp để triển khai dịch vụ VPN, và việc phát triển các phương pháp thiết kế cũng đa dạng Hai nhóm làm việc của IETF sẽ hỗ trợ trong việc chuẩn hóa các phương pháp và tiêu chuẩn cho hệ thống VPN, tập trung vào các mạng VPN lớp 2 và lớp 3, được gọi là L2VPN và L3VPN.
Trong luận văn này, lớp 3 đồng nghĩa với giao thức internet (IP); như vậy, một mạng VPN lớp 3 (L3VPN) là một mạng IP VPN.
VPN lớp 2
L2VPN đã tồn tại hơn 30 năm, với các dịch vụ L2 chủ yếu dựa trên frame relay và ATM Nhiều nhà cung cấp dịch vụ đang phát triển các mạng L2 độc lập với mạng IP và mạng quang Một số nhà cung cấp nhận định rằng việc sử dụng mạng đa mục đích sẽ tiết kiệm chi phí hơn so với việc duy trì nhiều mạng riêng biệt Điều này dẫn đến xu hướng hội tụ hạ tầng mạng L2 thông qua một hạ tầng mạng đơn giản, đặc biệt là việc phân phối các dịch vụ L2 qua mạng IP lớp 3.
Trong L2VPN, có hai mô hình dịch vụ chính: mô hình điểm tới điểm và mô hình đa điểm qua Ethernet Mô hình điểm tới điểm, được hỗ trợ bởi công nghệ như frame relay và ATM, sử dụng các kênh ảo riêng biệt giữa hai đầu cuối định tuyến L3 và bao gồm dịch vụ điểm tới điểm Ethernet Mô hình đa điểm qua Ethernet cung cấp địa chỉ MAC và tái tạo gói tin để thực hiện dịch vụ WAN Ứng dụng của công nghệ L2VPN cho phép tạo ra cấu trúc mạng hình hub và lưới cục bộ từ các kết nối điểm-tới-điểm, kết nối các site VPN, điều này khác biệt với mô hình L3VPN, vốn cung cấp dịch vụ kiểu point-to-cloud.
Cơ cấu tổ chức của L2VPN cho phép truyền tải lưu lượng L2 qua mạng lõi bằng cách sử dụng các đường giả lập (pseudo-wires) Lưu lượng này được truyền trong các mạch ảo riêng biệt như mạng LAN ảo frame relay, ATM hoặc Ethernet (VLAN) Phương pháp này hỗ trợ cung cấp dịch vụ cho một số lượng lớn khách hàng, khi các thiết bị định tuyến chỉ cần nhận biết các đường hầm giữa hai thiết bị biên mà không cần biết đến tất cả các kết nối L2 riêng lẻ Tải L2 được đóng gói với mào đầu pseudo-wire, sau đó lại được đóng gói trong mào đầu đường hầm, với mào đầu pseudo-wire hoạt động như một trường tách kênh ở cuối đường hầm.
1.2.3.2 Phân loại L2VPN-over-Packet:
L2VPN-over-Packet là một tập hợp các dịch vụ có thể được cung cấp qua mạng IP thông qua đường hầm IP hoặc đường hầm chuyển mạch nhãn đa giao thức Hai loại L2VPN chính bao gồm dịch vụ dây riêng ảo điểm-tới-điểm (VPWS) và dịch vụ LAN riêng ảo đa điểm (VPLS) VPWS cung cấp các kết nối L2 cạnh tranh cho các nhận dạng kênh liên kết dữ liệu (DLCI) trong frame relay, các mạch ảo cố định (PVC) trong ATM, cũng như các khuôn dạng kênh thuê riêng và Ethernet.
Trong công nghệ VPWS của Ethernet, dịch vụ có thể được phân loại thành Ethernet relay service (ERS) và Ethernet wire service (EWS) ERS sử dụng số VLAN để cung cấp dịch vụ tương tự như frame-relay cho người dùng cuối, với số VLAN thay thế cho chức năng DLCI của frame relay Trong khi đó, EWS cung cấp dịch vụ dựa trên cổng, cho phép mọi dữ liệu được truyền qua cổng trên đường giả lập (pseudo-wire) mà không cần sửa chữa số VLAN đặc biệt.
Mạng riêng ảo VPWS bao gồm các mạch L2 hoặc đường giả lập, với việc tạo đường giả lập cho L2VPN phụ thuộc vào định nghĩa đóng gói, quản lý phiên, báo lỗi và khả năng tự động dò tìm Để triển khai hiệu quả, cần có khả năng dự phòng cùng với quản lý, bảo trì và khai thác dịch vụ (OAM).
Nội dung của các mào đầu đóng gói đường hầm và giả lập cần được truyền tải qua mạng gói, kết hợp với thông tin về tình trạng mạch Việc báo hiệu có thể áp dụng kỹ thuật điểm tới điểm hoặc truyền đại chúng, trong đó phương pháp điểm tới điểm yêu cầu điều khiển trực tiếp các phiên giữa từng cặp dây.
PE hỗ trợ trao đổi dữ liệu điều khiển thông qua phương pháp truyền đại chúng, giúp cải thiện cơ sở hạ tầng Border Gateway Protocol (BGP) giữa các mạng nhà cung cấp Phương pháp này cho phép thiết lập một kênh điều khiển duy nhất tới một BGP định tuyến phản hồi, từ đó gửi bản sao thông tin đến tất cả các thiết bị PE khác.
Cả hai phương pháp đều được triển khai kỹ thuật, tuy nhiên, cuộc tranh luận về hiệu quả của từng phương pháp vẫn tiếp tục Vấn đề chính xoay quanh việc liệu dữ liệu cần được báo hiệu trong một VPWS VPN có cần thiết phải truyền tới tất cả các thành viên của VPN hay không Nếu VPWS có cấu trúc Mesh đầy đủ, việc gửi dữ liệu báo hiệu tới tất cả các thành viên VPN là hợp lý Ngược lại, nếu cấu trúc không phải là Mesh đầy đủ, yêu cầu phát rộng dữ liệu báo hiệu tới tất cả các VPN ngang hàng trở nên ít thuyết phục hơn Hiện tại, chỉ có dưới 20% các nhà cung cấp mạng triển khai mạng riêng ảo L2 VPN với cấu trúc Mesh đầy đủ.
Trong điều kiện dự phòng gói mới dựa trên các đường truyền L2VPN, có hai phương pháp chính Phương pháp đầu tiên là tiếp tục sử dụng tài liệu và các phương pháp quản lý mạng hiện tại Phương pháp thứ hai là áp dụng dự phòng tự động thông qua cơ chế báo hiệu phát rộng hoặc báo hiệu điểm tới điểm.
Dự phòng giả lập yêu cầu thiết lập các mạch đính kèm (AC) tại mỗi giao diện PE/CE, trong đó mỗi đường giả lập cần xác định rõ mạch ảo (VC - ID) và PE từ xa VC - ID phải được đảm bảo là duy nhất giữa các dây của các PE.
Mô hình dự phòng tự động dựa trên khái niệm "colored pools", trong đó mỗi PE có nhóm mạch nhận biết riêng cho từng VPN Cơ chế này yêu cầu các AC dự phòng, với mỗi AC thuộc một nhóm màu đặc trưng Qua tự động phát hiện, mỗi PE có khả năng nhận diện tất cả các PE khác trong cùng nhóm màu.
Những đề nghị sử dụng BGP như cơ chế tự động phát hiện là RADIUS cũng được xem xét cho chức năng này. b Công nghệ VPLS
VPLS, tương tự như VPWS, được xây dựng trên đường giả lập L2 nhưng có thêm khả năng xác định địa chỉ MAC nguồn, các khung unicast và broadcast, cùng với việc chuyển tiếp dựa trên địa chỉ MAC Do đó, dịch vụ VPLS hoạt động như một chuyển mạch LAN cho người dùng cuối, như được minh họa trong hình 1.3.
Dịch vụ VPLS (Virtual Private LAN Service) sử dụng cấu trúc lưới đầy đủ để kết nối các site VPN, giúp ngăn chặn các vòng lặp thông qua quy tắc đường biên phân chia Quy tắc này đảm bảo rằng một PE (Provider Edge) không chuyển dữ liệu từ một đường giả lập trong VPLS tới các đường giả lập khác, mà chỉ tới các mạch đính kèm, điều này rất quan trọng cho việc thực hiện giao thức cây trong lõi IP/MPLS Đối với VPWS (Virtual Private Wire Service), có những đề xuất triển khai VPLS dựa trên cơ chế báo hiệu điểm tới điểm và quảng bá dựa trên BGP.
Dịch vụ LAN riêng ảo qua MPLS sử dụng mạng truy cập dựa trên thẻ khách hàng Ethernet theo tiêu chuẩn IEEE 802.1q, nhằm tối ưu hóa dịch vụ và giảm chi phí bằng cách giảm thiểu chuyển mạch Ethernet giữa các thiết bị Khái niệm này được thể hiện rõ trong hình 1.4.
Trong hình này, các thiết bị PE có năng lực MPLS đắt hơn thường không được dùng để mở rộng tới ranh giới của nhà cung cấp mạng
Hình 1.4: Hệ thống VPLS với PE phân bố.
VPN lớp 3
L3VPN có thể được triển khai trên nền tảng mạng hoặc nền tảng CE Đối với L3VPN dựa trên mạng, nhà cung cấp dịch vụ VPN cần phải thực hiện cấu hình cho các thiết bị để đảm bảo kết nối an toàn và hiệu quả.
PE thiết lập kết nối VPN đến từng vị trí khách hàng, trong khi thiết bị CE chỉ cần thực hiện các chức năng định tuyến cơ bản Ngược lại, L3VPN trên nền CE có thể được xây dựng bởi khách hàng mà không cần sự can thiệp đặc biệt từ nhà cung cấp dịch vụ, ngoài việc cung cấp truy cập Internet Tuy nhiên, thiết bị CE phải có đầy đủ khả năng cần thiết để hỗ trợ VPN.
Theo nhóm làm việc L3VPN của IETF, ba phương pháp tiêu biểu được công nhận là tiêu chuẩn bao gồm BGP/MPLS IP VPN, virtual router IP VPN và CE-based IPSec VPN.
Hình 1.5: Các thành phần phổ biến của L3VPNs dựa trên nền mạng.
Hình 1.5 miêu tả các phần tử phổ biến của hai phương pháp L3VPN dựa trên trên nền mạng (RFC 2547 bis và VR):
Cả hai phương pháp đều cho phép lưu trữ và duy trì sự phân tách giữa các vùng địa chỉ chồng lấp của nhiều khách hàng VPN, giúp tối ưu hóa hiệu suất và bảo mật trong quá trình sử dụng dịch vụ.
VR refers to the routing table configured for each VPN, as specified in RFC 2547, which outlines the VPN routing and forwarding (VRF) for each VPN In general, these mechanisms are known as virtual forwarding instances (VFI).
Cả hai nhà cung cấp đều cung cấp cơ chế tương tự để tiếp nhận thông tin từ các mạng IP hoặc subnet từ nhiều vị trí khác nhau Các cơ chế này có thể sử dụng giao thức định tuyến IP chuẩn hoặc được cấu hình tĩnh.
Cả hai đều xác định địa chỉ yêu cầu để phân phối khả năng tiếp cận vị trí khách hàng qua VPN, đồng thời dễ dàng phát hiện các thành viên trong VPN.
Cả hai phương pháp hỗ trợ cấu trúc đường hầm tunnel giữa các PE hoặc VR đều đóng vai trò quan trọng trong việc cung cấp dịch vụ VPN cho khách hàng Các đường hầm này giúp duy trì sự phân luồng dữ liệu hiệu quả giữa nhiều VPN khác nhau trong mạng của nhà cung cấp dịch vụ Phương pháp VR có khả năng sử dụng nhiều loại cơ chế đường hầm khác nhau, bao gồm kênh ATM và kênh Frame relay, trong khi RFC 2547bis chủ yếu định nghĩa việc sử dụng đường hầm dựa trên MPLS hoặc IP.
Cả hai phương pháp L3VPN theo RFC 2547bis và VR đều hỗ trợ tự động phát hiện dựa trên BGP, giúp kết nối và tham gia vào các mạng VPN Cơ chế này cho phép các router PE hoặc VR nhận diện và kết nối với các router PE hoặc VR khác trong cùng một VPN thông qua việc sử dụng BGP để thông báo về kết nối của chúng Khi một PE hoặc VR thông báo rằng nó kết nối tới một VPN cụ thể, tất cả các PE hoặc VR khác trong mạng sẽ nhận được thông tin này, từ đó tạo điều kiện cho việc phát hiện và quản lý các kết nối VPN hiệu quả.
RFC 2547 bis mô tả cách mà một nhà cung cấp dịch vụ (SP) sử dụng mạng đường trục IP để triển khai các mạng L3VPN cho khách hàng thông qua MPLS Tài liệu này cũng giải thích sự tương tác giữa các router CE và PE, trong đó các router CE gửi thông tin định tuyến từ vị trí của khách hàng đến các router PE, thường thông qua một giao thức định tuyến.
Trong RFC 2547 bis, các nhà cung cấp dịch vụ (SP) cần sử dụng BGP trong mạng lõi để trao đổi các lộ trình VPN giữa các bộ định tuyến PE Phương pháp này quy định việc sử dụng nhãn MPLS nhằm xác định và phân luồng các kết nối trong mạng VPN.
Các VPN khác nhau đảm bảo rằng tất cả các lộ trình từ nhiều VPN có thể duy trì sự phân tách Trong một số trường hợp, nhiều VPN có thể chia sẻ cùng một địa chỉ IP.
RFC 2547 bis dựa vào các cơ chế MPLS trong mạng nhà cung cấp dịch vụ (SP) và xác định cách mà nhãn MPLS và BGP hoạt động như một cơ sở dữ liệu phân phối, cung cấp các phương thức để chuyển giao dịch vụ VPN Mỗi lộ trình VPN liên kết với một nhãn MPLS, và khi lộ trình VPN được truyền qua mạng SP thông qua BGP, nhãn MPLS sẽ được truyền đi cùng với lộ trình đó.
RFC 2547 bis thiết lập các đường hầm MPLS qua mạng đường trục SP giữa các PE trong một VPN, cho phép các gói MPLS di chuyển đến PE đích Tuy nhiên, RFC 2547 bis không yêu cầu bắt buộc sử dụng đường hầm MPLS, mà cũng có thể sử dụng IPSec Một điểm quan trọng là việc sử dụng các đường hầm và đóng gói MPLS giúp các bộ định tuyến đường trục không biết đến lộ trình của các VPN riêng biệt Trong bối cảnh này, các mạng L3VPN với bộ định tuyến ảo, hay còn gọi là Virtual Router VPNs, đóng vai trò quan trọng trong việc quản lý và tối ưu hóa lưu lượng mạng.
Kiến trúc L3VPN tiêu chuẩn hóa chủ yếu dựa trên bộ định tuyến ảo (VR), một yếu tố quan trọng trong mạng Bộ định tuyến ảo cung cấp đầy đủ chức năng của một bộ định tuyến vật lý, nhưng thực chất là một mô phỏng được khởi tạo khi cần thiết trên thiết bị PE.
CÁC YẾU TỐ ẢNH HƯỞNG ĐẾN AN NINH MẠNG VPN
XÁC ĐỊNH CÁC YÊU CẦU ĐỐI VỚI AN NINH MẠNG VPN
Mạng riêng cung cấp môi trường bảo mật cao, giảm thiểu khả năng bị truy cập trái phép Ngược lại, mạng riêng ảo VPN, do sử dụng Internet và các mạng công cộng như PSTN, có độ an toàn không cao Để xây dựng một mạng riêng ảo hiệu quả, cần đáp ứng ba yêu cầu chính.
Mỗi công ty và doanh nghiệp đều xây dựng hệ thống mạng riêng theo các thủ tục khác nhau, không tuân theo một chuẩn nhất định Nhiều hệ thống mạng không áp dụng chuẩn TCP/IP, dẫn đến việc không thể kết nối trực tiếp với Internet Để sử dụng IP VPN, các hệ thống mạng riêng cần chuyển đổi sang hệ thống địa chỉ theo chuẩn Internet và bổ sung các tính năng như tạo kênh kết nối ảo, cài đặt cổng kết nối Internet để chuyển đổi các thủ tục khác nhau sang chuẩn IP.
Tính bảo mật cho khách hàng là yếu tố quan trọng hàng đầu của giải pháp VPN, giúp người sử dụng yên tâm về độ an toàn của dữ liệu khi truyền qua mạng Để đảm bảo tính năng bảo mật hiệu quả, cần tập trung vào hai mục tiêu chính.
− Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu cho người sử dụng trong mạng và mã hoá dữ liệu khi truyền.
Quản lý và sử dụng hệ thống cần được thực hiện một cách đơn giản và thuận tiện, giúp người dùng cũng như nhà quản trị mạng dễ dàng trong việc cài đặt và quản lý.
Một giải pháp VPN cần đảm bảo chất lượng, hiệu suất sử dụng dịch vụ và dung lượng truyền Tiêu chuẩn chất lượng dịch vụ (QoS) đánh giá khả năng của mạng trong việc cung cấp dịch vụ đầu cuối đến đầu cuối, liên quan đến việc đảm bảo độ trễ dịch vụ trong một phạm vi nhất định QoS là yếu tố quan trọng trong việc nâng cao trải nghiệm người dùng khi sử dụng dịch vụ VPN.
Những kẻ đánh cắp thông tin và những kẻ phá hoại thường tập trung vào những nội dung sau:
− Dữ liệu: Dữ liệu của chúng ta có ba tính chất quan trọng cần được bảo vệ. Đó là: o Tính bí mật. o Tính toàn vẹn. o Tính sẵn sàng.
Nguồn tài nguyên bao gồm hệ thống máy tính và các chương trình cài đặt trên đó Khi những tài nguyên này bị kẻ tấn công hoặc kẻ phá hoại lợi dụng, chúng sẽ không còn sẵn sàng phục vụ cho người dùng và có nguy cơ bị hư hại.
Uy tín cá nhân có thể bị ảnh hưởng nghiêm trọng khi một người gửi thông điệp tiêu cực hoặc thư điện tử xấu đến người khác, nhằm gây khó khăn cho họ Ngoài ra, những kẻ mạo danh có thể lợi dụng thông tin về công ty để tạo ra mâu thuẫn và mất đoàn kết giữa các thành viên, từ đó làm suy giảm uy tín cá nhân của những người liên quan.
NHỮNG KIỂU ĐE DOẠ
Kẻ xâm nhập thường có khả năng truy cập trái phép vào các thiết bị mạng, tạo ra những mối đe dọa nghiêm trọng Dưới đây là một số kiểu đe dọa phổ biến mà người dùng cần lưu ý.
Kẻ xâm nhập mạng có thể đạt được sự truy nhập bất hợp pháp vào thiết bị mạng thông qua nhiều phương thức khác nhau, trong đó có ba cách chính.
Nếu kẻ tấn công có quyền truy cập vật lý vào một máy tính, họ có khả năng xâm nhập vào hệ thống Một trong những kỹ thuật phổ biến là sử dụng console để chiếm quyền truy cập thiết bị, từ đó kiểm soát một phần của hệ thống.
Hệ thống truy cập cho phép kẻ xâm nhập sử dụng tài khoản hợp lệ, điều này có nghĩa là họ có thể thực hiện các chức năng được phân quyền Những quyền hạn này được công nhận cho người sử dụng, tạo điều kiện cho kẻ xâm nhập thực hiện các hoạt động mà họ không nên có quyền truy cập.
Truy nhập từ xa đề cập đến việc kẻ xâm nhập tiếp cận hệ thống qua internet, thường thông qua các kết nối dial-up hoặc mạng diện rộng, mạng nội hạt Những kẻ xâm nhập này thường không có quyền truy cập đặc biệt vào tài khoản.
Eavesdropping, hay nghe trộm, là hành động thu thập các gói TCP/IP hoặc các gói giao thức khác, cho phép kẻ xâm nhập giải mã nội dung của chúng thông qua phân tích giao thức Thuật ngữ "Packet Sniffing" được sử dụng để mô tả hành động này, nhấn mạnh sự quan trọng của việc phát hiện gói tin trong bảo mật mạng.
Sự thao tác dữ liệu đề cập đến hành động thay đổi các tệp tin trên máy tính, có thể bao gồm việc phá hoại có chủ ý một trang web hoặc thay thế các tệp FTP.
Giao thức TCP/IP, mặc dù phổ biến hiện nay, gặp phải nhiều vấn đề về an toàn, bao gồm các cuộc tấn công smurf, IP spoofing, dự đoán số thứ tự TCP và tấn công SYN flood.
− Session replay – Những kẻ xâm nhập có thể nghe trộm một hoặc nhiều người sử dụng liên quan trong một phiên truyền thông tin và thao tác dữ liệu.
ĐE DOẠ BẢO MẬT CÁC PHẦN TỬ CỦA VPN
Như chỉ ra trong hình 2.1, những phần tử quan trọng nhất của một hệ thống VPN bao gồm:
− Người sử dụng quay số từ xa.
− Phân đoạn ISP quay số.
Hình 2.1: Các phần tử của một mạng dựa trên VPN.
Khách hàng quay số, hay người sử dụng từ xa, là điểm khởi đầu của phiên VPN, và mối đe dọa bảo mật lớn nhất đối với họ là việc bảo vệ ID người sử dụng và mật khẩu khỏi kẻ xấu Để giảm nguy cơ bị đoán mật khẩu, việc thay đổi mật khẩu thường xuyên là rất cần thiết Ngoài ra, khách hàng quay số cần thực hiện các biện pháp bảo vệ vật lý cho các node khi thiết bị không được giám sát, ngay cả trong thời gian ngắn Sử dụng mật khẩu bảo vệ và khóa trạm là những công cụ bảo mật hiệu quả Trong các trường hợp cần tăng cường bảo mật, việc khóa thiết bị hoặc phòng chứa thiết bị cũng nên được xem xét.
Phân đoạn quay số của ISP là một điểm yếu trong hệ thống VPN, nơi dữ liệu người dùng được gửi đến Server truy nhập mạng (NAS) của ISP Nếu dữ liệu không được mã hóa, nguy cơ bị đọc tại đầu cuối ISP là rất cao Ngoài ra, khả năng dữ liệu bị truy cập trong quá trình kết nối giữa người dùng và mạng Intranet của ISP cũng rất lớn Mặc dù việc mã hóa dữ liệu tại đầu cuối người dùng có thể hạn chế khả năng xem trộm từ bên ngoài, nhưng nếu thuật toán mã hóa yếu, sự bảo vệ sẽ không đủ trước các ISP độc hại Những ISP này có thể giải mã dữ liệu và lợi dụng cho mục đích riêng của họ.
Kết nối Internet và việc thiết lập tunnel phụ thuộc vào nhà cung cấp dịch vụ Internet (ISP) Nếu ISP không đáng tin cậy, nó có thể tạo ra một tunnel giả và một gateway giả, dẫn đến hệ thống không an toàn.
Trong trường hợp này, dữ liệu quan trọng của người dùng có thể bị chuyển qua một gateway giả, nơi mà dữ liệu sẽ bị thu thập và kiểm tra cho lợi ích của kẻ tấn công Gateway giả này có khả năng thay thế dữ liệu và gửi nó đến gateway thật, khiến gateway thật tin tưởng rằng dữ liệu đến từ nguồn đáng tin cậy Qua đó, dữ liệu độc hại có thể dễ dàng xâm nhập vào mạng.
Hình 2.2: Vai trò của một ISP giả trong việc truyền dữ liệu có hại cho một mạng intranet của một tổ chức.
Một điểm dễ bị tấn công trong quá trình truyền dữ liệu là việc sử dụng các tunnel qua mạng Internet Dữ liệu được vận chuyển qua nhiều router, và các router trung gian này có khả năng kiểm tra nội dung dữ liệu Nếu một trong những router này là giả mạo, nó có thể không chỉ kiểm tra mà còn chỉnh sửa dữ liệu, ngay cả khi các gói dữ liệu đã được mã hóa.
Router giả có vai trò quan trọng trong việc truyền dữ liệu có hại cho mạng intranet của tổ chức Gói dữ liệu cuối cùng được gửi đến gateway mạng chủ và dễ bị tấn công nếu gateway không sử dụng cơ chế nhận thực mã hóa, dẫn đến nguy cơ bị hack qua các hình thức tấn công như spoofing và sniffing Những gói dữ liệu này có thể bị truy cập thông tin cleartext mà gateway sử dụng Ngược lại, cơ chế nhận thực mã hóa cung cấp một mức độ bảo mật nhất định, buộc kẻ tấn công phải tốn nhiều thời gian hơn để phá vỡ các thuật toán bảo mật Tuy nhiên, kẻ tấn công từ bên trong vẫn có khả năng truy cập thông tin cleartext được gửi vào mạng intranet qua gateway.
TẤN CÔNG CÁC GIAO THỨC VPN
Các giao thức VPN chính như PPTP, L2TP và IPSec có thể gặp phải nhiều lỗ hổng bảo mật Bài viết này sẽ phân tích các hình thức tấn công nhắm vào những giao thức VPN này để nâng cao nhận thức về các mối đe dọa tiềm ẩn.
PPTP bị tấn công trên hai mặt Hai mặt đó bao gồm:
− Đóng gói định tuyến chung (GRE)
− Trao đổi mật khẩu trong suốt quá trình nhận thực
Việc bảo mật dữ liệu trong các tunnel là trách nhiệm của lớp đóng gói dữ liệu dưới, và giao thức GRE chỉ đơn giản đóng gói dữ liệu dạng cleartext mà không cung cấp phương thức bảo mật Điều này khiến cho các hacker dễ dàng bắt được gói tin GRE, và nếu tải trọng không được mã hóa, họ có thể đọc được dữ liệu đang truyền Thông tin như địa chỉ IP trong mạng Intranet có thể bị lộ, tạo điều kiện cho kẻ tấn công xâm nhập vào dữ liệu gốc và tài nguyên mạng riêng Hơn nữa, những kẻ xâm nhập có thể sử dụng router giả để phá vỡ lưu lượng mạng.
Một nhược điểm của GRE là việc sử dụng các chuỗi để đồng bộ hóa tunnel, nhưng điều này không áp dụng cơ chế so sánh tại node đích cho những chuỗi bị nhân đôi hoặc không có giá trị.
Do đó, node đích có thể lờ đi số chuỗi của gói và truyền qua phần còn lại của gói.
Sử dụng chiến thuật này, một kẻ xâm nhập có thể dễ dàng đưa các gói tin không có giá trị chứa dữ liệu nguy hiểm vào mạng Intranet.
PPTP dễ bị tấn công bởi phương pháp tấn công từ điển, trong đó kẻ tấn công cố gắng tìm ra mật khẩu từ một danh sách đã được xác định trước, như từ điển tiếng Anh Điều này xảy ra do PPTP sử dụng mã hóa điểm-tới-điểm của Microsoft (MPPE), vốn có xu hướng gửi mật khẩu dưới dạng dễ hiểu Nếu kẻ xâm nhập thu thập được thông tin nhạy cảm liên quan đến mật khẩu, chẳng hạn như mật khẩu hash hoặc thuật toán hash, họ có thể thực hiện một loạt các phép tính với các hoán vị khác nhau để xác định mật khẩu chính xác.
IPSec không chỉ là một thuật toán mã hóa hay một cơ chế xác thực đơn lẻ, mà là sự kết hợp của cả hai cùng với các thuật toán khác nhằm bảo vệ dữ liệu Tuy nhiên, IPSec vẫn có thể bị tổn hại bởi nhiều loại tấn công khác nhau.
− Tấn công sự thực hiện IPSec.
− Tấn công việc quản lí khóa.
− Tấn công thuộc về quản lí và wildcard.
Kẻ xâm nhập có thể tấn công hệ thống bằng cách khai thác hai điểm yếu trong việc thực hiện IPSec: việc sử dụng thuật toán NULL và việc thỏa thuận một khóa yếu hơn khi một trong các điểm kết cuối không hỗ trợ các khóa mạnh hơn.
IPSec sử dụng DES-CBC để mã hóa và HMAC-MD5 cũng như HMAC-SHA-1 cho nhận thực, đồng thời cho phép tùy chọn sử dụng các giao thức ESP và AH Việc áp dụng các thuật toán NULL cho phép một điểm cuối không sử dụng DES-CBC có thể giao tiếp với các điểm cuối khác sử dụng DES-CBC Tuy nhiên, việc sử dụng thuật toán NULL có thể khiến hệ thống dễ bị tổn thương trước các mối đe dọa bảo mật.
IPSec sử dụng IKE để quản lý khóa, nhưng một lỗ hổng bảo mật xuất hiện khi một bên kết thúc phiên mà không thông báo cho bên còn lại Điều này cho phép kẻ xâm nhập giả mạo danh tính của bên kết thúc, từ đó tiếp tục trao đổi dữ liệu một cách trái phép.
Loại hình tấn công IPSec thứ ba vẫn đang được thảo luận mặc dù chưa được áp dụng thực tế IPSec cung cấp giao diện quản lý cho SA, điều này làm tăng khả năng tấn công các thông số SA thông qua việc sử dụng đồng dạng wildcard.
TẤN CÔNG GIẢI MÃ
Phụ thuộc vào các công nghệ và thuật toán mã hóa khác nhau mà có nhiều kiểu tấn công giải mã khác nhau
2.5.1 Các tấn công chỉ nhằm vào văn bản mã hóa
Trong các cuộc tấn công nhắm vào văn bản mã hóa, hacker không thể truy cập vào nội dung gói dữ liệu gốc nhưng có khả năng truy cập vào văn bản đã được mã hóa.
Những kẻ xâm nhập có thể sử dụng cơ chế đảo ngược để khôi phục lại bản tin dạng plaintext từ các bản tin đã mã hóa Mặc dù phương pháp này tốn thời gian và công sức, nó vẫn có thể đạt được kết quả thành công cao nhờ vào các kỹ thuật giải mã đơn giản, bất chấp sự phát triển của các mã hóa hiện đại.
2.5.2 Các tấn công plaintext đã biết được
Trong tấn công plaintext đã biết, kẻ xâm nhập có thông tin về một phần văn bản mã hóa, từ đó sử dụng để suy đoán phần mật mã còn lại Chẳng hạn, nếu hacker nắm được một phần khóa, việc giải mã thông tin sẽ trở nên dễ dàng hơn.
2.5.3 Các tấn công plaintext được lựa chọn
Trong tấn công plaintext, hacker chọn ngẫu nhiên một văn bản mã hóa và tính toán khóa bảo vệ nó Khi có được khóa, hacker có khả năng giải mã sâu hơn các dữ liệu đã được mã hóa.
2.5.4 Các tấn công Man-in-the-Middle
Trong loại hình tấn công này, một bên thứ ba không tin cậy chặn và gửi khóa giả mạo đến hai thực thể trước khi họ trao đổi dữ liệu Kết quả là, các thực thể không nhận được khóa hợp pháp và bắt đầu sử dụng khóa giả để mã hóa và giải mã thông tin Điều này cho phép bên thứ ba truy cập toàn bộ quá trình liên lạc mà không cần biết về các thực thể ban đầu.
2.5.5 Các tấn công Brute Force
Trong tấn công Brute Force, kẻ xâm nhập tạo ra ngẫu nhiên các khóa và áp dụng chúng vào văn bản mã hóa cho đến khi tìm ra khóa chính xác Khóa này sau đó được sử dụng để giải mã dữ liệu và khôi phục thông tin ban đầu Độ dài khóa càng lớn, việc đoán ra khóa càng khó, từ đó nâng cao mức độ bảo mật thông tin.
CÁC TẤN CÔNG TỪ CHỐI DỊCH VỤ
Các tấn công từ chối dịch vụ (DoS) khác biệt so với các loại hình tấn công mạng khác, vì chúng không nhằm mục đích truy cập hay làm hỏng tài nguyên mà là làm cho dịch vụ hoặc máy chủ trở nên không thể truy cập Trong khi các kẻ xâm nhập thường sử dụng các phương thức như giả mạo, malware và virus để xâm nhập, tấn công DoS tập trung vào việc ngăn chặn người dùng hợp pháp tiếp cận dịch vụ.
Các cuộc tấn công DoS đã trở nên phổ biến hiện nay vì chúng không yêu cầu phần mềm hay quyền truy cập đặc biệt vào mạng mục tiêu Những cuộc tấn công này dựa trên nguyên tắc nghẽn mạng, cho phép bất kỳ kẻ xâm nhập nào tạo ra tình trạng nghẽn bằng cách gửi các dữ liệu không có giá trị vào mạng Hệ quả là các máy tính mục tiêu không thể truy cập mạng, và đôi khi tất cả các router kết nối với máy tính đều bị khóa do tình trạng nghẽn này Sự quá tải thông tin có thể dẫn đến việc xáo trộn hoạt động của các máy tính mục tiêu.
Các tấn công DoS mang lại nhiều lợi thế, bao gồm sự đa dạng trong hình thức và khả năng nhằm vào nhiều dịch vụ mạng khác nhau Kẻ xâm nhập có thể thực hiện tấn công DoS bằng cách gửi lượng lớn thư rác hoặc các gói yêu cầu IP, và họ dễ dàng ẩn danh trong quá trình này Đáng tiếc, hiện không có công cụ nào có thể xác định liên tục danh tính của kẻ xâm nhập Những kẻ tấn công này thường khai thác các lỗi bẩm sinh trong công nghệ truyền thông và giao thức IP để thực hiện các cuộc tấn công.
Một vài phương thức được sử dụng phổ biến để tạo ra các tấn công DoS được trình bày sau đây:
Trong một cuộc tấn công SYN flood, tất cả các kết nối TCP bị chiếm dụng, khiến người dùng hợp lệ không thể truy cập tài nguyên Khi một gói SYN với ID giả được gửi, kết nối TCP có thể bị nghẽn, vì máy chủ nhận sẽ không nhận được xác nhận Cuối cùng, khi thời gian chờ kết nối hết, kênh sẽ trở nên rỗi để tiếp nhận yêu cầu mới Tấn công SYN flood thường bao gồm việc gửi một lượng lớn gói tin nhằm làm tê liệt hệ thống.
ID giả khiến tất cả các kênh mới phải chờ xác nhận, dẫn đến việc không có giao diện khả dụng cho người dùng hợp lệ.
Một broadcast là gói tin được gửi đến mọi máy tính trong mạng, nhưng nếu có quá nhiều broadcast, lưu lượng mạng sẽ tăng cao Mỗi máy tính cố gắng chuyển các gói tin này đến một địa chỉ đích giả mạo, và vì những địa chỉ này không tồn tại, các gói tin sẽ bị giữ lại trong mạng, gây ra tình trạng nghẽn mạng khi chúng liên tục chuyển từ máy tính này sang máy tính khác Công cụ như asping và gửi mail có thể tạo ra Broadcast Storm, nhưng tình trạng này có thể được ngăn chặn hiệu quả bằng cách khóa những bản tin broadcast trái phép trong mạng.
Tấn công smurf được đặt theo tên chương trình hỗ trợ các cuộc tấn công này, và chúng thường được xem là các tấn công mở rộng ICMP.
Trong các cuộc tấn công này, kẻ xâm nhập sử dụng địa chỉ IP giả mạo để gửi một lượng lớn yêu cầu echo ICMP đến địa chỉ IP broadcast của mạng Các máy tính khác trong mạng sẽ phản hồi lại bằng cách gửi các bản tin echo ICMP tới địa chỉ IP giả đó, nhằm đáp ứng yêu cầu echo IP broadcast.
Ping of Death là một dạng tấn công DoS, trong đó kẻ xâm nhập gửi nhiều gói IP có kích thước vượt quá 65535 byte đến các máy tính mục tiêu Những gói tin này khiến cho các máy chủ không thể xử lý, dẫn đến tình trạng khởi động lại hoặc đóng băng thường xuyên Hơn nữa, sự gia tăng đáng kể của các gói này trong mạng có thể gây ra tình trạng nghẽn mạng nghiêm trọng.
GIẢI PHÁP ĐẢM BẢO AN NINH CHO MẠNG RIÊNG ẢO
AN TOÀN CƠ SỞ HẠ TẦNG
Internet mang lại vô vàn cơ hội cho doanh nghiệp, nhưng các doanh nghiệp cần phải cân nhắc kỹ lưỡng giữa việc phát triển trực tuyến và việc đảm bảo an toàn để bảo vệ tài sản và thông tin của mình.
3.1.1 Những thách thức bảo mật doanh nghiệp
Một trong những thách thức lớn nhất đối với các nhà quản lý IT là lựa chọn giải pháp và nhà cung cấp bảo mật phù hợp Họ cần cân nhắc giữa chi phí, hiệu suất, khả năng quản lý và tính chuyển đổi của sản phẩm Sau khi xem xét kỹ lưỡng, các nhà quản lý phải chọn giải pháp bảo mật an toàn và tương thích nhất cho mạng lưới của họ Giải pháp này cần phải linh hoạt, không giới hạn quá mức và cho phép doanh nghiệp triển khai các ứng dụng và dịch vụ mới khi cần thiết.
Sau khi nhà quản lý IT nhận thức được các mối đe dọa bảo mật và chỉ đạo các biện pháp cải thiện, việc đầu tiên họ cần làm là xây dựng một kế hoạch đánh địa chỉ Một trong những bước quan trọng trong kế hoạch này là phát triển một chính sách bảo mật rõ ràng và hiệu quả.
3.1.2 Chính sách bảo mật doanh nghiệp
RFC 2196 – Site Security Handbook nhấn mạnh rằng chính sách bảo mật là tuyên bố chính thức về các quy tắc mà người dùng cần tuân theo khi truy cập thông tin và công nghệ của tổ chức Mục tiêu chính của chính sách này là thông báo cho người sử dụng mạng về các yêu cầu bảo vệ tài sản công nghệ và thông tin của doanh nghiệp Chính sách cần chỉ rõ cơ chế thực hiện các yêu cầu này và đóng vai trò là tài liệu quan trọng nhất của doanh nghiệp Để phát triển một chính sách bảo mật hiệu quả, cần cân bằng giữa sự linh hoạt cho người sử dụng và mức độ bảo mật cần thiết, đồng thời đảm bảo rằng chính sách được thi hành cả về mặt kỹ thuật và tổ chức, bao gồm tối thiểu một số vấn đề cơ bản.
Chính sách sử dụng chấp nhận được cần xác định rõ ràng những người dùng được phép và không được phép thực hiện các hành động nào trên thiết bị trong mạng, bao gồm cả loại lưu lượng được chấp nhận Độ rõ ràng của chính sách này rất quan trọng để tránh bất kỳ sự nhầm lẫn hay hiểu lầm nào.
Chính sách truy cập từ xa - Giải thích rõ ràng cách xử lý đối với những người dùng được phép và không được phép khi kết nối vào mạng doanh nghiệp qua Internet, dial-up, hoặc các phương thức kết nối từ xa khác.
Chính sách xử lý tình huống bất ngờ là một phần quan trọng trong chính sách bảo mật tổng thể, thường được trình bày dưới dạng chính sách con Điều này giúp tổ chức có kế hoạch rõ ràng để ứng phó hiệu quả với các sự cố không mong muốn, đảm bảo an toàn thông tin và giảm thiểu rủi ro.
− Internet access policy – Định nghĩa cách sử dụng kết nối Internet đúng quy cách.
− Email policy – Định nghĩa cách sử dụng hệ thống email có thể chấp nhận được, bao gồm các email cá nhân và email trên web.
− Physical security policy – Định nghĩa các điều khiển đi đôi với bảo mật và truy nhập thiết bị vật lý.
Sau khi hoàn thành chính sách bảo mật doanh nghiệp, cần thiết lập một ranh giới để xác định hoạt động bình thường của mạng Điều này giúp phát hiện các hành vi bất thường và đưa ra cảnh báo khi có dấu hiệu mất an toàn Việc thông báo kịp thời về những sự kiện đáng ngờ trong mạng có thể ngăn chặn kẻ xâm phạm trước khi chúng gây ra thiệt hại.
Cơ sở hạ tầng doanh nghiệp thường phải đối mặt với nhiều mối đe dọa an ninh từ kẻ xâm nhập Để bảo vệ hệ thống, cần cấu hình các thành phần trong mạng theo chính sách bảo mật nhằm giảm thiểu các lỗ hổng Phần này sẽ khảo sát chi tiết các vấn đề dễ bị tấn công đã được xác định và các biện pháp bảo vệ hiệu quả.
3.1.3.1 Bảo mật logic và bảo mật vật lý
Bảo mật logic và bảo mật vật lý bao gồm các phần sau: a Securing console access
Cơ chế bảo mật vật lý đóng vai trò quan trọng trong việc ngăn chặn xâm nhập vào thiết bị mạng Nếu không được thiết lập đúng cách, kẻ xâm nhập có thể vượt qua các biện pháp bảo mật lôgíc và truy cập vào giao diện quản trị router Để bảo vệ thiết bị, việc đầu tiên cần thực hiện là đặt mật khẩu cho cổng console, vì đây là điểm truy cập chính mà kẻ xâm nhập có thể lợi dụng Cổng console hỗ trợ nhiều phương thức xác thực người dùng, do đó, việc bảo vệ nó là rất cần thiết để ngăn chặn việc truy cập trái phép vào mạng.
Telnet là một giao thức cho phép người dùng kết nối từ xa tới thiết bị, với các cổng Telnet trên router được gọi là cổng đầu cuối ảo Kết nối Telnet tương tự như kết nối console, tuy nhiên, cần thiết lập các cơ chế bảo mật lôgíc phù hợp để đảm bảo chỉ những cá nhân có trách nhiệm mới được phép truy cập Các cổng đầu cuối ảo cung cấp nhiều phương pháp xác nhận người dùng và cho phép truy cập an toàn.
Các mức đặc quyền trên router được cấu hình theo từng mức độ bảo mật, giúp kiểm soát quyền truy cập của người sử dụng Hệ điều hành router chứa 16 mức đặc quyền, trong đó từ mức 2 đến mức 14 có thể tùy chỉnh, cho phép cấu hình mức đặc quyền và mật khẩu để cấp quyền truy cập cho những người dùng cụ thể vào các lệnh đặc biệt.
Cài đặt mật khẩu là bước đầu tiên để bảo vệ thông tin khỏi kẻ xâm nhập Tuy nhiên, việc quên mật khẩu có thể xảy ra, dẫn đến nhu cầu phục hồi Trong một số trường hợp, cần hạn chế quy trình khôi phục mật khẩu để đảm bảo an toàn Việc cấu hình mã hóa mật khẩu cũng rất quan trọng trong việc bảo vệ dữ liệu.
Mật khẩu console và Telnet trên router được lưu trữ dưới dạng văn bản rõ ràng, khiến chúng dễ dàng bị đọc bởi kẻ xâm nhập Nếu cấu hình được lưu trữ trên server TFTP, kẻ xâm nhập chỉ cần truy cập vào máy TFTP và có thể dễ dàng đọc cấu hình bằng một trình soạn thảo văn bản đơn giản.
Bản tin banner có thể được sử dụng để thông báo cho người dùng về quyền truy cập vào router, chỉ rõ ai được phép và ai không được phép truy cập Những thông báo này cần nhấn mạnh sự nghiêm trọng của việc truy cập trái phép vào thiết bị.
3.1.3.2 Simple Network Management Protocol – SNMP
CÔNG NGHỆ BẢO MẬT AAA
Phần An toàn cơ sở hạ tầng tập trung vào các vấn đề bảo mật liên quan đến thiết bị mạng và những phương pháp cần thiết để giảm thiểu tác động của chúng Nội dung này nhấn mạnh đến việc ngăn chặn sự truy cập trái phép và từ chối dịch vụ trong môi trường doanh nghiệp, vì cả hai đều có thể nhanh chóng xâm nhập vào các thiết bị mạng nhạy cảm.
Bài viết này tập trung vào kiến trúc nhận thực, cho phép và thanh toán (AAA) cùng với hai giao thức chính là TACACS+ và RADIUS Mục tiêu chính là chuyển đổi cấu hình các dịch vụ truy cập mạng và kết nối thiết bị nhằm đảm bảo các đặc tính bảo mật của cấu trúc AAA.
3.2.1 Sự bảo mật điều khiển truy nhập
Sự điều khiển truy nhập là một thách thức lớn đối với cả quản trị viên và người dùng khi mạng ngày càng phát triển và hội tụ Sự gia tăng số lượng quản trị viên đòi hỏi tính linh hoạt trong việc xác định và kiểm soát quyền truy cập vào tài nguyên Các quản trị viên hiện đang phải đối mặt với những tình huống mới liên quan đến truy cập từ xa và yêu cầu bảo mật cao Trong nhiều mạng lưới, các quản trị viên có trách nhiệm khác nhau, dẫn đến nhu cầu về mức độ đặc quyền truy cập khác nhau.
Có ba thành phần tới sự điều khiển truy nhập:
− Xác định sự truy nhập được cho phép tới một mạng là ai.
− Xác định những dịch vụ gì chúng được cho phép truy nhập.
− Cung cấp tài liệu kiểm toán chi tiết của các dịch vụ được truy nhập.
Sự điều khiển truy nhập được dựa vào một kiến trúc mô đun được biết đến như sự nhận thực, sự cho phép và thanh toán (AAA)
Sự nhận thực là quá trình xác định người dùng hoặc thiết bị đã được khai báo, thường được thực hiện qua mật khẩu đăng nhập trong các mạng máy tính công cộng và riêng Người dùng đăng ký mật khẩu và phải sử dụng đúng mật khẩu đó cho các lần truy cập sau Quá trình này dựa trên việc mỗi người dùng có một tập tiêu chuẩn duy nhất để nhận quyền truy cập Các server AAA so sánh thông tin chứng thực của người dùng với dữ liệu lưu trữ trong cơ sở dữ liệu Nếu thông tin đúng, người dùng sẽ được cấp quyền truy cập; nếu không, truy cập sẽ bị từ chối.
Có nhiều dạng nhận thực, trong đó phương pháp phổ biến nhất là sử dụng tên người dùng và mật khẩu Các phương pháp chứng thực khác cung cấp bảo mật cao hơn nhưng đi kèm với chi phí tài chính và độ phức tạp cao hơn Trong khi đó, phương pháp miễn phí tuy yếu hơn về mặt bảo mật nhưng dễ quản lý hơn, trái ngược với các phương pháp mạnh mẽ hơn nhưng khó kiểm soát.
Tên người sử dụng và mật khẩu là phương pháp xác thực phổ biến trong môi trường client/server, được coi là phương pháp ít biến đổi nhất Mỗi người dùng có một tên và mật khẩu riêng, không thể quản lý trên quy mô nhóm Chúng thường được gán trong trạng thái tĩnh và chỉ thay đổi khi có sự can thiệp của quản trị viên hoặc người sử dụng Sau một thời gian, tên và mật khẩu có thể trở nên cũ và cần được cập nhật để đảm bảo tính bảo mật.
Token Cards hay Smart Cards là thiết bị nhỏ dùng để xác thực người dùng thông qua một thách thức từ server Người dùng cần chứng minh rằng họ sở hữu thẻ phần cứng đặc biệt và biết mã PIN để đáp ứng thách thức này Phương pháp xác thực này đã trở nên phổ biến trong những năm gần đây.
Chứng chỉ số là tài liệu điện tử do các tổ chức uy tín (Certificate Authority) cấp phát, chứa thông tin xác thực về người sử dụng Chứng chỉ bao gồm một chìa khóa công cộng, giúp đảm bảo tính xác thực của người dùng Chúng là thành phần quan trọng trong cơ sở hạ tầng khóa công cộng (PKI), quản lý việc phát hành và xác nhận chứng chỉ để xác định quyền truy cập của người dùng hoặc hệ thống vào các hệ thống khác Bên cạnh đó, các phương thức xác thực như PAP (Password Authentication Protocol) và CHAP cũng đóng vai trò quan trọng trong việc bảo mật thông tin.
Để thực hiện kết nối từ xa, người dùng cần cài đặt phần mềm, giao thức và trình điều khiển lớp liên kết trên thiết bị của mình Các liên kết point-to-point giữa các mạng nội hạt cung cấp kết nối vật lý cần thiết trong môi trường đa ứng dụng Nhiều tập đoàn sử dụng các liên kết point-to-point để cung cấp điểm truy cập Internet, tạo điều kiện cho việc truy cập hiệu quả các dịch vụ Giao thức point-to-point đã được cộng đồng Internet chấp nhận để truyền tải các gói dữ liệu IP qua các đường kết nối liên tiếp PPP, giao thức lớp liên kết dữ liệu, hỗ trợ kết nối router-to-router và host-to-network qua các kênh đồng bộ và không đồng bộ, với ba thành phần chính.
− Nó có phương thức đóng gói các gói dữ liệu qua các liên kết nối tiếp.
− Các giao thức điều khiển liên kết (Link Control Protocols – LCPs) thiết lập, cấu hình, nhận thực và kiểm tra kênh dữ liệu.
− Các giao thức điều khiển mạng (Network Control Protocols – NCPs) thiết lập, và cấu hình các giao thức lớp mạng khác.
Các giao thức điều khiển liên kết là thước đo an toàn cho sự xác thực trong PPP và PPP phản hồi Phương pháp này cho phép đích quay số xác định tính hợp lệ của máy khách dựa trên tên người sử dụng và mật khẩu đã được gán Hiện tại, giao thức PPP hỗ trợ hai giao thức nhận thực, trong đó có Giao thức Nhận thực Mật khẩu (Password Authentication Protocol).
PAP (Password Authentication Protocol) và CHAP (Challenge Handshake Authentication Protocol) là hai giao thức được sử dụng để xác thực máy khách trong quá trình quay số Đích quay số sử dụng một trong hai giao thức này để xác định xem máy khách có được xác nhận hay không.
PAP cung cấp một phương pháp dễ dàng cho máy khách từ xa thiết lập nhận dạng thông qua quá trình xác thực bắt tay một chiều trong khi diễn ra truyền thông giữa host và server truy cập Thông tin chi tiết có thể được tìm thấy trong phụ lục 1.
Sau khi thiết lập liên kết PPP, server truy nhập sử dụng giao thức CHAP để gửi một bản tin thách thức đến node từ xa Server sẽ kiểm tra đáp ứng bằng cách so sánh với giá trị hàm băm mà nó đã tính toán Nếu giá trị này khớp, quá trình xác thực sẽ được chấp nhận Thông tin chi tiết được trình bày trong phụ lục 2.
Sau khi người sử dụng được xác thực, họ cần phải được cho phép thực hiện các công việc nhất định Quá trình cho phép này giám sát việc thi hành các chính sách, xác định các hoạt động, tài nguyên hay dịch vụ mà người sử dụng có quyền truy cập Sau khi xác thực, người sử dụng có thể thử ban hành các lệnh, và quá trình cho phép sẽ quyết định xem họ có quyền thực hiện điều đó hay không Do đó, thiết bị mạng cần được cấu hình để kiểm soát quyền truy cập của người sử dụng, đảm bảo họ chỉ có thể thực hiện những chức năng mà họ đã được cho phép.
Khi sự cho phép được thiết lập, một tập hợp các thuộc tính sẽ mô tả các hoạt động mà người sử dụng có thể thực hiện Khi người dùng cố gắng truy cập vào hệ thống, thiết bị mạng sẽ xác định và áp dụng các quyền truy cập dựa trên thông tin chứa trong cơ sở dữ liệu và uỷ nhiệm thư chứng thực của người dùng Những thuộc tính này có thể được lưu trữ trong một cơ sở dữ liệu an toàn tại chỗ hoặc từ xa.
BẢO MẬT CHO ROUTER BIÊN
Phần này trình bày các vấn đề an toàn khi kết nối mạng doanh nghiệp với Internet và các công nghệ giúp giảm thiểu đe dọa từ kẻ xâm nhập Đặc biệt, sẽ thảo luận về Unicast Reverse Path Forwarding (Unicast RPF), công nghệ giúp giảm thiểu vấn đề từ địa chỉ IP giả mạo mà router biên nhận được Bên cạnh đó, bài viết cũng đề cập đến các cuộc tấn công TCP SYN-flooding và cách thức bảo vệ mạng thông qua TCP Intercept Cuối cùng, phần này sẽ bao gồm thông tin về dịch địa chỉ mạng (NAT) và dịch địa chỉ cổng (PAT) để giải quyết tình trạng cạn kiệt địa chỉ IP toàn cầu, kèm theo các đặc điểm bảo mật liên quan.
Unicast Reverse Path Forwarding (Unicast RPF) is a feature designed to prevent issues caused by packets with spoofed source IP addresses traversing a router It relies on the Cisco Express Forwarding (CEF) switching mechanism to enhance network security and ensure the integrity of data transmission.
Để router được phép sử dụng CEF (Cisco Express Forwarding), cần có giao diện đầu vào được cấu hình cho từng chuyển mạch CEF Tuy nhiên, router không có giao diện đầu vào này vì Unicast RPF thực hiện tìm kiếm qua FIB (Forwarding Information Base).
Cơ sở thông tin chuyển tiếp (Information Base) sử dụng các gói tin địa chỉ IP nguồn để tối ưu hóa quá trình chuyển mạch trên router Khi CEF được kích hoạt, mỗi giao diện có thể được cấu hình cho các chế độ chuyển mạch khác nhau Unicast RPF giúp ngăn chặn các gói tin có địa chỉ nguồn IP giả mạo, đảm bảo rằng chúng sẽ bị router chặn và không được chuyển tiếp.
Khi Unicast RPF được kích hoạt trên một giao diện, router sẽ xác minh địa chỉ nguồn của tất cả các gói tin nhận được Việc tìm kiếm chuyển tiếp chỉ hiệu quả khi CEF được bật, vì nó dựa vào sự hiện diện của FIB Nếu có một tuyến đường ngược lại trong FIB, gói tin sẽ được chuyển tiếp bình thường; ngược lại, nếu không có tuyến đường ngược lại, router sẽ coi gói tin là giả mạo Quyết định giữ lại hay chuyển tiếp gói tin sẽ phụ thuộc vào danh sách điều khiển truy cập (ACL) đã được cấu hình Nếu ACL có quy định cụ thể, Unicast RPF sẽ kiểm tra gói tin lỗi và quyết định giữ lại hay chuyển tiếp dựa trên trạng thái cho phép hay từ chối Ngoài ra, các sự kiện liên quan đến Unicast RPF có thể được ghi lại thông qua tùy chọn đăng nhập trong ACL, giúp thu thập thông tin về các vụ tấn công.
Unicast RPF có thể áp dụng cho các môi trường doanh nghiệp với một điểm truy cập mạng duy nhất, giúp lọc quyền và bảo vệ doanh nghiệp khỏi các gói tin giả mạo từ Internet Với định tuyến đối xứng, giao diện nhận gói tin cũng là giao diện gửi gói tin trở lại nguồn Ngoài ra, Unicast RPF cũng hoạt động hiệu quả trong môi trường có nhiều ISP và nhiều điểm truy cập mạng Khi được cấu hình trên router biên, tất cả các đường trở lại mạng đều được xem là có giá trị như nhau.
Unicast RPF mang lại lợi ích đáng kể trong việc ngăn chặn lừa đảo địa chỉ IP nhờ khả năng thích nghi với sự thay đổi trong bảng định tuyến, bao gồm cả các tuyến tĩnh Phương pháp này tiêu tốn ít CPU và có hiệu suất thấp hơn so với các công cụ chống lừa đảo truyền thống, đặc biệt là khi so sánh với các phương pháp cấu hình danh sách truy cập Tuy nhiên, Unicast RPF không nên được áp dụng trên các giao diện bên trong vì các giao diện này thường gặp phải tình trạng định tuyến bất đối xứng.
Thực tế, router biên bên ngoài cung cấp ranh giới phòng vệ đầu tiên cho vấn đề liên quan tới bảo mật bên ngoài.
Chắn TCP là một tính năng phần mềm nhằm bảo vệ hệ thống khỏi các cuộc tấn công từ chối dịch vụ (DoS), cụ thể là tấn công SYN flooding Giao thức TCP thực hiện quá trình thiết lập kết nối end-to-end thông qua phương thức bắt tay ba chiều trước khi cho phép truyền dữ liệu.
Hình 3.6: Bắt tay ba chiều TCP
Khi Host B muốn kết nối với Host A qua Router C, nó gửi gói tin SYN để yêu cầu kết nối Host A phản hồi bằng gói tin SYN/ACK, cho phép Host B hoàn tất quá trình bắt tay ba chiều bằng gói tin TCP ACK Sau khi hoàn tất, kết nối được thiết lập và dữ liệu có thể được truyền qua.
Tấn công TCP SYN xảy ra khi kẻ tấn công khai thác không gian bộ đệm của thiết bị mạng trong quá trình khởi tạo kết nối TCP Kẻ tấn công gửi một lượng lớn gói tin với bít SYN đến máy chủ đích, khiến máy chủ này xếp hàng bộ đệm cho các yêu cầu và phản hồi với gói tin SYN, ACK Tuy nhiên, vì các gói tin này có địa chỉ đáp lại không hợp lệ, các kết nối không bao giờ được thiết lập và giữ ở trạng thái half-open Khi số lượng yêu cầu half-open tăng lên, không gian bộ đệm sẽ cạn kiệt, dẫn đến tình trạng từ chối dịch vụ cho các yêu cầu hợp lệ do tài nguyên bị chiếm giữ Cuối cùng, máy chủ đích sẽ gặp phải tình trạng hết thời gian chờ đáp ứng cho các yêu cầu thực.
Nhiều bổ sung TCP chỉ có khả năng điều khiển một số lượng nhỏ kết nối tồn tại trên một cổng, dẫn đến việc các cổng trở nên không sẵn có cho đến khi quá thời gian kết nối half-open Hơn nữa, cuộc tấn công này có thể khiến máy chủ cạn kiệt bộ nhớ hoặc phải xử lý lặp lại để duy trì thông tin trạng thái cho các kết nối này.
Chắn TCP được thiết kế để ngăn chặn tấn công DoS bằng cách xác thực các yêu cầu kết nối TCP Nó hoạt động trong hai chế độ: chế độ chặn và chế độ canh phòng Trong chế độ chặn, phần mềm sẽ chặn từng yêu cầu SYN, gửi phản hồi SYN/ACK giả mạo từ server, và chờ gói tin ACK từ client Khi nhận được gói tin ACK, gói tin SYN ban đầu sẽ được gửi đến server để thực hiện bắt tay ba chiều, kết nối hai đầu được liên kết bởi router.
Trong chế độ canh phòng, yêu cầu kết nối được chuyển qua router đến server nhưng chỉ được giám sát thụ động cho đến khi thiết lập hoàn tất Nếu có lỗi trong quá trình thiết lập trong vòng 30 giây hoặc quá thời gian cấu hình phần mềm, phần mềm sẽ gửi gói tin khởi tạo lại cho server nhằm xóa bộ đệm tiến trình, giúp server tái thiết lập bộ đệm cho các yêu cầu chính thống.
Sau khi một thiết bị bị tấn công ngập lụt SYN, hệ thống sẽ chuyển sang chế độ công kích khi số lượng kết nối vượt quá 1100 hoặc số lượng kết nối đến trong một phút vượt quá 1100 Khi chế độ công kích được kích hoạt, mỗi khi có một kết nối mới, một kết nối half-open cũ sẽ bị xóa, giúp router giảm thời gian thiết lập kết nối xuống một nửa.
Khi chặn TCP ở chế độ công kích, những điều sau đây sẽ xảy ra:
− Mỗi yêu cầu kết nối mới nhất gây ra một kết nối half-open cũ nhất bị xoá.
− Timeout phát lại ban đầu bị giảm đi một nửa tới 0.5 giây.
− Nếu chặn TCP được cấu hình ở chế độ canh phòng thì timeout canh phòng giảm đi một nửa.
3.3.3 Biên dịch địa chỉ mạng (Network Address Translation – NAT)
Sự cạn kiệt địa chỉ IP đang trở thành một thách thức lớn đối với internet hiện nay Để giải quyết vấn đề này, NAT (Network Address Translation) được giới thiệu trong RFC 1631, cung cấp phương pháp hiệu quả để tối ưu hóa việc sử dụng các địa chỉ IP.
TẬP ĐẶC TÍNH TƯỜNG LỬA IOS
Tập đặc tính tường lửa IOS có thể biến bộ định tuyến thành một thiết bị bảo mật mạnh mẽ, cung cấp các chức năng tương tự như tường lửa FIX Khi được cấu hình, bộ định tuyến với tường lửa IOS không chỉ mở rộng khả năng định tuyến mà còn mang đến sự linh hoạt trong bảo mật Phần mềm này tích hợp các dịch vụ bảo mật như kiểm soát truy cập, xác thực và mã hóa, đồng thời vẫn duy trì đầy đủ các tính năng định tuyến cơ bản.
Một số đặc tính chính của tập đặc tính tường lửa IOS được liệt kê:
− Sự điều khiển truy nhập dựa trên ngữ cảnh (CBAC) cung cấp việc lọc lưu lượng
IP an toàn cho từng phiên đối với nhiều ứng dụng
− Sự khóa Java bảo vệ chống lại applet Java cố tình làm hại, chỉ cho phép applets từ những nguồn được nhận dạng và tin cậy.
− Phát hiện và ngăn ngừa từ chối dịch vụ (DoS) bảo vệ những tài nguyên.
− Cảnh báo thời gian thực thông báo cho những nhà quản trị trong khi bị tấn công DoS và những điều kiện nhất định khác.
− Cơ chế theo dõi kiểm toán (Audit trail mechanisms) theo dõi các phiên bằng thời gian, địa chỉ nguồn và đích, các cổng và tổng số byte được truyền.
Phát hiện sự xâm nhập là quá trình cung cấp kiểm tra thời gian thực, giúp ngăn chặn và phản ứng kịp thời trước các hành vi sử dụng mạng không đúng cách, đồng thời hỗ trợ trong việc thiết lập các biện pháp tấn công và dò tìm dấu hiệu xâm nhập hiệu quả.
− Cung cấp sự nhiều dịch vụ hợp nhất, bảo mật tiên tiến cho các kết nối dialup, định tuyến tích hợp và bảo mật tại cổng vào Internet
3.4.1 Sự điều khiển truy nhập dựa trên ngữ cảnh (Context-Based Access
Sự điều khiển truy nhập dựa trên ngữ cảnh được thiết kế để làm việc với nhiều giao thức, khắc phục hạn chế của danh sách truy cập Trong các cuộc tấn công mạng, các gói không thuộc phiên hiện tại có thể được gửi đến máy đích hoặc xen lẫn vào phiên Thiết bị cấu hình sai cũng có thể gây ra gián đoạn dịch vụ bằng cách gửi gói không phù hợp Quá trình CBAC kiểm tra các phiên TCP và UDP để ngăn chặn các cuộc tấn công và vấn đề này, chỉ cho phép các gói trong phiên đáp ứng tiêu chuẩn nhất định Những gói không thuộc các phiên được công nhận hoặc không tuân thủ chính sách bảo mật sẽ bị loại bỏ.
Trong quá trình chuyển tiếp gói, bộ định tuyến sẽ nỗ lực tối ưu hóa việc gửi gói đến đích CBAC cải thiện quy trình này bằng cách kiểm tra và phân tích các hướng đi của từng gói trong bối cảnh phiên làm việc, nhằm xác định xem gói hoặc phiên có tuân thủ chính sách hay không Nếu gói hoặc phiên đáp ứng yêu cầu chính sách, chúng sẽ được chuyển tiếp; ngược lại, nếu không đạt, gói sẽ bị loại bỏ và phiên có thể bị kết thúc Để thực hiện các quy trình này, CBAC tích hợp thêm chức năng vào bộ định tuyến.
Mỗi phần tử bảo mật tiêu tốn bộ nhớ và tài nguyên xử lý, làm giảm hiệu suất chuyển tiếp gói của phần mềm IOS trên bộ định tuyến Cụ thể, CBAC cần 600 bytes bộ nhớ cho mỗi kết nối và sử dụng CPU trong quá trình kiểm tra danh sách truy cập.
3.4.1.1 Hỗ trợ giao thức điều khiển truy nhập dựa trên ngữ cảnh
CBAC có thể được cấu hình để kiểm tra những giao thức sau :
CBAC có khả năng được cấu hình để kiểm tra các giao thức lớp ứng dụng cụ thể Danh sách các giao thức lớp ứng dụng có thể được cấu hình cho CBAC được trình bày trong phụ lục 5.
Khi giao thức được cấu hình cho CBAC, lưu lượng của nó sẽ được kiểm tra và thông tin trạng thái sẽ được cập nhật và duy trì trong bảng trạng thái Lưu lượng phản hồi chỉ được phép quay lại qua tường lửa nếu bảng trạng thái có thông tin về gói thuộc một phiên hợp lệ CBAC kiểm soát lưu lượng của các phiên hợp lệ và cập nhật thông tin trong bảng trạng thái khi lưu lượng phản hồi được kiểm tra.
UDP là giao thức không kết nối, do đó không tồn tại "các phiên" thực sự CBAC thực hiện việc kiểm tra thông tin trong các gói UDP và theo dõi thông tin đó Để xác định xem gói có thuộc về "phiên" UDP hay không, CBAC so sánh thông tin thu thập được từ các gói tương tự trong khoảng thời gian timeout.
3.4.1.2 Hoạt động của điều khiển truy nhập dựa trên ngữ cảnh
CBAC kiểm tra lưu lượng mạng qua bộ định tuyến nhằm phát hiện và quản lý trạng thái của các phiên TCP hoặc UDP Thông tin trạng thái này giúp thiết lập quy trình mở tạm thời trong danh sách truy cập, cho phép lưu lượng trở lại từ cùng một phiên đó vượt qua tường lửa.
Hình 3.7 : Hoạt động cơ bản của CBAC.
Khi bộ định tuyến khởi tạo, nó bắt đầu với một bảng trống để duy trì trạng thái thông tin cho mỗi phiên Khi một máy chủ trong mạng nội bộ kết nối với máy chủ bên ngoài, bộ định tuyến nhận gói đầu tiên và so sánh với danh sách truy cập phản hồi Nếu gói được phép, CBAC sẽ ghi thông tin phiên vào bảng và thiết lập danh sách truy cập tạm thời để cho phép các gói trả về Quá trình này giúp chuyển mạch gói nhanh chóng cho các gói tiếp theo trong phiên, với các phiên TCP và UDP được xác định thông qua địa chỉ IP và số cổng Tường lửa sẽ kiểm tra các thuộc tính như số thứ tự TCP và cờ để bảo vệ phiên Các gói tiếp theo phải đến trong một khoảng thời gian nhất định, và sau khi phiên kết thúc, bản ghi sẽ bị hủy và kết nối sẽ được đóng lại.
Khi sử dụng CBAC, các giao thức cần được chỉ định rõ ràng và cấu hình giao diện cùng hướng giao diện CBAC chỉ kiểm tra các giao thức đã được chỉ định, và các gói dữ liệu chỉ được kiểm tra khi vượt qua danh sách truy nhập tại giao diện đầu vào và đầu ra Nếu một gói bị từ chối bởi danh sách truy nhập, nó sẽ không được kiểm tra bởi CBAC Hơn nữa, CBAC kiểm tra số thứ tự của tất cả các gói TCP và loại bỏ những gói có số thứ tự không nằm trong khoảng cho phép.
Một số giao thức như Telnet và SMTP chỉ tạo ra một kết nối duy nhất giữa client và server, được gọi là phiên đơn kênh Trong quá trình này, tất cả các gói tin đều được nhận dạng thông qua việc xác nhận các byte từ thiết bị khác Khi phiên kết thúc, một hoặc nhiều phía có thể bắt đầu quá trình kết thúc bằng cách gửi cờ FIN CBAC sẽ theo dõi quá trình này và khi nhận được ACK, nó sẽ loại bỏ danh sách điều khiển truy cập tạm thời Việc này giúp từ chối các gói từ mạng bên ngoài vào mạng nội bộ sau khi hai thiết bị trong phiên đã đồng ý kết thúc Trong suốt phiên, CBAC sẽ loại bỏ những gói vi phạm quy định, chẳng hạn như gói có giá trị sequence/acknowledgment không hợp lệ hoặc cờ không được thiết lập đúng cách.
Ngoài các phiên đơn kênh, một số ứng dụng sử dụng kênh điều khiển để tạo ra nhiều kênh dữ liệu bổ sung, được gọi là phiên đa kênh như FTP và H.323 Khi kênh điều khiển được thiết lập, CBAC sẽ theo dõi các dấu hiệu để nhận diện kênh dữ liệu tiếp theo Khi dấu hiệu này xuất hiện, CBAC sẽ cập nhật danh sách các phần tử điều khiển truy cập nhằm điều chỉnh các kênh dữ liệu Khi các kênh dữ liệu kết thúc, CBAC sẽ loại bỏ tạm thời danh sách các phần tử điều khiển truy cập.
Trong trường hợp đặc biệt liên quan đến xử lý SMTP và Java, nếu kiểm tra SMTP được cho phép, chỉ một tập lệnh SMTP duy nhất sẽ được chấp nhận qua tường lửa Nếu có lệnh khác từ mạng không tin cậy, CBAC sẽ gửi một gói TCP/IP giữa phiên đến các bên tham gia, thiết lập cờ RST để kết thúc phiên đó.
Một yêu cầu từ trình duyệt Web có thể dẫn đến việc khởi tạo nhiều phiên TCP giữa client và server để tải các phần bổ sung của trang, bao gồm văn bản, đồ thị, và có thể cả applet Java Nếu kiểm tra HTTP được bật và applet Java bị lọc, CBAC sẽ kiểm tra các phiên HTTP để phát hiện dấu hiệu của applet Java Khi phát hiện, CBAC sẽ chấm dứt phiên bằng cách gửi gói TCP với cờ RST đến cả client và server Mặc dù phiên bị chấm dứt, các phần còn lại của trang, bao gồm văn bản và đồ thị, vẫn sẽ được truyền tải qua các phiên TCP bình thường.
CÔNG NGHỆ MÃ HOÁ
Mật mã là phương pháp chuyển đổi dữ liệu từ văn bản tường minh (plaintext) thành văn bản mã hoá (ciphertext) không thể đọc được Đơn giản hơn, mã hoá là kỹ thuật lưu trữ và truyền dữ liệu mà chỉ người nhận có thể đọc và xử lý Nó đảm bảo an toàn cho thông tin khi người gửi mã hoá tin nhắn bằng khoá bí mật, chỉ có người gửi và người nhận biết Người nhận có khả năng giải mã để khôi phục thông tin Nếu không có quyền truy cập, người khác không thể giải mã tin nhắn mà không biết khoá bí mật Khoá thường là chuỗi bit có độ dài phù hợp, kết hợp với thuật toán mã hoá để thực hiện việc mã hoá và giải mã Các thuật toán này là tập hợp các quy luật toán học, trong đó nhiều thuật toán được công khai và không phải là quá trình mã hoá bí mật.
Các thuật toán mã hóa có thể được giữ bí mật nhờ vào khóa, được tạo từ chuỗi bit ngẫu nhiên lớn Mỗi thuật toán có một không gian khóa, là tập hợp các giá trị được sử dụng để xây dựng khóa Không gian khóa càng lớn, khóa tạo ra càng ngẫu nhiên, khiến cho kẻ xâm nhập khó khăn hơn trong việc tính toán ra khóa Thuật toán mã hóa sử dụng không gian khóa toàn vẹn và chọn các giá trị ngẫu nhiên để tạo thành khóa.
Sau khi bản tin được mã hóa, cả người và máy đều có khả năng giải mã, cho phép truyền tải thông tin bí mật qua các kênh không an toàn Dữ liệu lưu trữ trên máy tính thường được bảo vệ khỏi các truy cập trái phép Tuy nhiên, khi thông tin nhạy cảm được truyền qua mạng, nó dễ bị tấn công Nếu kẻ nghe lén chặn được bản tin giữa hai bên, họ có thể xem nội dung nếu không được mã hóa Ngược lại, nếu bản tin được mã hóa, kẻ nghe lén không thể xem nội dung, ngay cả khi họ biết thuật toán mà hai bên sử dụng, trừ khi họ có khóa mã.
Mã hóa hiện đại là kỹ thuật nhằm bảo vệ thông tin nhạy cảm bằng cách chuyển đổi nó thành dạng không thể đọc được Tuy nhiên, nhiều thuật toán mã hóa hiện nay có thể bị phá vỡ, và thông tin có thể bị lộ nếu kẻ tấn công có đủ thời gian và tài nguyên để tìm ra khóa.
3.5.1 Lợi ích của mã hoá
Mã hoá có thể được thực hiện thông qua phần cứng hoặc phần mềm, trong đó mã hoá cứng thường được ưa chuộng hơn nhờ vào việc sử dụng các mạch tổ hợp chuyên dụng cho các ứng dụng cụ thể.
Application Specific Integrated Circuits (ASICs) and advanced signal processors deliver robust encryption services Encryption offers a variety of services, including enhanced data security and privacy protection.
− Sự tin cẩn – Confidentiality: Các thành viên không được phép thì không thể truy nhập thông tin.
Tính xác thực là yếu tố quan trọng trong việc xác nhận tính hợp lệ của nguồn tin, đảm bảo rằng người gửi được nhận diện đúng cách Điều này có nghĩa là các thiết bị ngang hàng đang trao đổi thông tin phải hợp pháp, không bị xâm phạm, và không phải là một phần của phiên bị cướp quyền điều khiển.
− Tính toàn vẹn – Integrity: Đảm bảo rằng bản tin không bị thay đổi trong quá trình truyền.
Tính không thể phủ nhận (nonrepudiation) đảm bảo rằng người gửi không thể từ chối việc đã gửi bản tin và người nhận không thể từ chối việc đã nhận nó Điều này mang lại sự kiểm chứng cho quá trình giao tiếp, xác nhận rằng bản tin đã được gửi và nhận thành công Chữ ký số không chỉ cung cấp sự xác thực cho người gửi mà còn gắn liền với bản tin, thường kèm theo thời gian gửi, tạo ra một lớp bảo mật và minh bạch trong giao dịch.
Nhiều bản tin và giao dịch yêu cầu các dịch vụ mà phương pháp mã hóa cung cấp Các tổ chức tài chính chú trọng đến sự tin cậy và tính toàn vẹn của dữ liệu truyền tải, cùng với cơ chế mã hóa Trong khi đó, các hãng thông tấn hợp pháp quan tâm đến tính xác thực của các bản tin mà họ nhận được.
3.5.2 Mã hoá khoá đối xứng và bất đối xứng
Các thuật toán mã hoá sử dụng hai phương pháp khoá chính: khoá đối xứng, còn gọi là khoá bí mật, và khoá bất đối xứng, hay khoá công khai.
3.5.2.1 Mã hoá khoá đối xứng
Mã hóa khóa đối xứng là phương pháp mã hóa phổ biến nhất, trong đó cả người gửi và người nhận đều sử dụng cùng một khóa bí mật để mã hóa và giải mã thông tin Thách thức lớn nhất của mã hóa đối xứng là việc tạo ra khóa bí mật cho cả hai bên Do đó, mức độ bảo mật của phương pháp này hoàn toàn phụ thuộc vào cách thức mà người dùng bảo vệ khóa bí mật của mình.
Mỗi cặp thiết bị ngang hàng cần có bộ khoá đồng nhất để trao đổi dữ liệu mã hoá bằng mã hoá khoá đối xứng.
Trong hình 3.8, Host A và Host B cần trao đổi thông tin thông qua mã hóa khóa đối xứng, trong đó cả hai bên đều nhận được cùng một bản khóa bí mật.
Hình 3.8: Ví dụ về mã hoá khoá đối xứng
Khi Host A muốn giao tiếp với một Host khác như Host C bằng mã hóa khóa đối xứng, Host A cần hai khóa: một cho Host B và một cho Host C Nếu Host A cần trao đổi thông tin với hàng trăm host khác, việc này sẽ yêu cầu Host A phải có một khóa riêng cho từng host, dẫn đến sự phức tạp và phiền toái trong quá trình quản lý khóa.
Mã hóa khóa đối xứng, mặc dù cung cấp tính tin cậy nhờ việc cả hai người dùng sử dụng chung một khóa để mã hóa và giải mã các bản tin, nhưng lại không đảm bảo tính xác thực và tính không thể phủ nhận của thông tin.
INTERNET PROTOCOL SECURITY
Internet Protocol Security (IPSec) là một tập hợp các tiêu chuẩn mở nhằm đảm bảo an toàn cho việc trao đổi thông tin qua mạng IP Được phát triển bởi tổ chức IETF, IPSec cung cấp tính tin cậy, tính toàn vẹn và tính xác thực cho dữ liệu truyền qua mạng công cộng Với các thành phần cần thiết, IPSec hỗ trợ triển khai các chính sách bảo mật một cách linh hoạt và hiệu quả.
IPSec là một phương pháp tiêu chuẩn nhằm thiết lập các dịch vụ mã hóa và xác thực giữa các đầu cuối, bao gồm không chỉ các thuật toán và biến đổi chuẩn mà còn cả các cơ chế quản lý và thương lượng khóa Nó cung cấp mã hóa ở lớp mạng và hỗ trợ nhiều định dạng gói mới Mào đầu xác thực đảm bảo tính toàn vẹn dữ liệu, trong khi tải trọng bảo mật đóng gói mang lại tính tin cậy Giao thức Diffie-Hellman được sử dụng để tạo ra khóa bí mật chia sẻ giữa hai thiết bị ngang hàng, và việc trao đổi khóa internet (IKE) được thực hiện dựa trên giao thức ISAKMP/Oakley để quản lý quá trình phát sinh và thực hiện các khóa.
Một tập hợp bảo mật (Security Association - SA) là chính sách thương lượng giữa hai thiết bị ngang hàng, với các thông số hoạt động được lưu trữ trong cơ sở dữ liệu tập hợp bảo mật (SAD) Đối với IKE và IPSec, các SA được thương lượng qua IKE thông qua các pha và chế độ khác nhau Trong pha 1, IKE thực hiện việc thương lượng các tập hợp bảo mật IPSec, với hai chế độ có thể được sử dụng trong quá trình này.
Trong pha 2, IKE thương lượng các tập hợp bảo mật IPSec và chỉ trao đổi trong pha 2 là chế độ Quick
IPSec là một tập hợp các mào đầu được thêm vào gói IP, nằm sau mào đầu IP và trước giao thức lớp 4 Những mào đầu này cung cấp thông tin cần thiết cho bảo mật tải của gói IP Hai giao thức chính là AH và ESP cung cấp các dịch vụ bảo mật, có thể được sử dụng riêng lẻ hoặc kết hợp, tuy nhiên, trong hầu hết các ứng dụng, chỉ cần một trong hai giao thức là đủ.
3.6.1.1 Mào đầu nhận thực – AH
AH đảm bảo tính toàn vẹn và tính xác thực của dữ liệu thông qua việc sử dụng mã thông tin nhận thực Hash (HMAC) được tạo ra tại điểm kết cuối gửi Mã hash này dựa trên một SA xác định, từ đó tính toán chuỗi chuyển đổi áp dụng cho gói tin Kết quả mã được gắn vào gói sau phần mào đầu của gói IP ban đầu Tại phía nhận, HMAC được giải mã để xác thực người gửi và đảm bảo tính toàn vẹn của gói tin.
AH không cung cấp tính tin cậy hay mã hoá, mà chỉ thêm một phần mào đầu vào gói IP, trong khi phần còn lại của gói tin vẫn giữ nguyên Hơn nữa, AH không đảm bảo tính toàn vẹn cho tất cả các trường trong phần mào đầu của gói IP, vì một số trường có thể bị thay đổi trong quá trình truyền Chỉ những trường không thể thay đổi trong quá trình truyền, như địa chỉ IP nguồn và đích, mới được AH bảo vệ.
3.6.1.2 Tải trọng bảo mật đóng gói
ESP đảm bảo tính tin cậy, toàn vẹn và xác thực của dữ liệu thông qua một trường tùy chọn dùng để xác thực Độ dài của trường tùy chọn này phụ thuộc vào thuật toán nhận thực được áp dụng Quá trình nhận thực luôn được thực hiện sau khi mã hóa dữ liệu.
ESP thực hiện mã hóa ở lớp gói IP, cung cấp nhiều thuật toán mã hóa đối xứng Thuật toán mặc định cho IPSec là chuẩn mã hóa dữ liệu 56 bit sử dụng DES-CBC Các dịch vụ mà ESP cung cấp phụ thuộc vào các tùy chọn được cấu hình trong quá trình thực thi IPSec và sau khi thiết lập tập hợp bảo mật IPSec.
3.6.2 Các chế độ hoạt động IPSec Định dạng và giá trị của mào đầu AH và ESP trong mỗi gói là khác nhau theo từng chế độ hoạt động IPSec hoạt động hoặc ở chế độ tunnel hoặc ở chế độ transport.
Hình 3.10: Hai mode của IPSec.
Chế độ transport được áp dụng khi có hai thiết bị ngang hàng, bao gồm máy chủ host hoặc một máy chủ host kết hợp với thiết bị cổng hoạt động như một máy chủ host Ưu điểm của chế độ này là chỉ thêm một vài byte vào mào đầu của mỗi gói, trong khi mào đầu ban đầu không được bảo vệ Thiết lập này cho phép các thiết bị trung gian truy cập vào địa chỉ nguồn và đích dựa trên nội dung của gói IP, mang lại lợi ích cho chất lượng dịch vụ (QoS) Tuy nhiên, nhược điểm là lưu lượng trên các gói tin có thể bị phân tích.
Khi sử dụng AH trong chế độ Transport, dịch vụ AH bảo vệ mào đầu IP theo tải dữ liệu, đảm bảo an toàn cho tất cả các trường bất biến trong mào đầu Mào đầu AH được đặt sau mào đầu IP và trước mào đầu ESP (nếu có), cũng như trước các giao thức lớp trên như TCP (nếu có) Hình 3.11 minh họa một ví dụ về việc áp dụng AH trong chế độ Transport.
Hình 3.11: AH trong chế độ transport
Khi ESP hoạt động trong chế độ transport, tải IP sẽ được mã hóa, nhưng các mào đầu ban đầu vẫn không được mã hóa Mào đầu ESP được chèn vào giữa mào đầu IP và mào đầu của giao thức lớp trên như TCP Các giao thức lớp trên sẽ được mã hóa và xác thực thông qua mào đầu ESP, trong khi mào đầu không được xác thực bởi ESP.
IP hay các thông tin lớp cao hơn như là số cổng TCP trong mào đầu lớp 4 chẳng hạn Hình 3.12 chỉ ra ESP trong chế độ transport.
Hình 3.12: ESP trong chế độ transport
Chế độ tunnel được áp dụng giữa hai thiết bị cổng, chẳng hạn như hai tường lửa PIX, hoặc giữa một máy chủ host và thiết bị cổng Trong chế độ tunnel, toàn bộ gói dữ liệu được mã hóa và truyền tải an toàn, đảm bảo tính bảo mật cho thông tin trong quá trình truyền.
Chế độ tunnel trong IPSec mã hóa gói IP ban đầu và tạo ra một gói IP mới với địa chỉ đích là thiết bị ngang hàng Điều này thiết lập một đường hầm bảo mật cho các gói IP từ host được bảo vệ qua router hoặc tường lửa đến một thiết bị cổng bảo mật khác Một lợi ích nổi bật của chế độ tunnel là cho phép các thiết bị trung gian như router thực hiện mã hóa mà không cần thay đổi hệ thống đầu cuối Tất cả thông tin trong gói tin ban đầu đều được bảo vệ, giúp ngăn chặn phân tích lưu lượng Mặc dù có thể xác định các đầu cuối của đường hầm, nhưng các đầu cuối nguồn và đích thực không thể được xác định do thông tin trong gói tin đã được mã hóa.
Khi sử dụng AH trong chế độ tunnel, mào đầu ban đầu sẽ được xác thực, trong khi mào đầu IP mới sẽ được bảo vệ Hình 3.13 minh họa AH hoạt động trong chế độ tunnel.
Hình 3.13: AH trong chế độ tunnel
