10 nguyên nhân khiến IPsec VPN thất bại potx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (148.34 KB, 3 trang )
10 nguyên nhân khiến IPsec VPN thất bại
Trong suốt thời gian thảo luận xung quanh vấn đề triển khai IPsec VPN, tôi đã
nghe được một ý kiến như sau: "Chúng tôi có một IPsec VPN, và nó được cấu
hình để sử dụng các thuật toán mã hóa. Vì thế nó tuyệt đối an toàn, và bạn có thể
dành thời gian cho các phần tử khác của mạng hơn là tiêu phí thời gian khảo sát
VPN". Điều này đôi khi là quá tự mãn và tin tưởng vào sự phổ biến rộng rãi đáng
ngạc nhiên của VPN IPsec, đặc biệt khi sử dụng các thuật toán mã hóa mạnh mẽ
như AES rất an toàn mà không cần bận tâm tới việc thiết kế và cấu hình chính
xác.
Cho đến bây giờ, hầu như mọi người đều biết rằng không phải là một ý tưởng hay
khi sử dụng các giải thuật toán yếu như 56- bít DES trên IPsec VPN.
Nhưng vẫn có những thứ đôi khi không thể giải thích được đó là dù một IPsec
VPN sử dụng các giải thuật tương đối mạnh như AES, thì mọi sức mạnh và sự bảo
vệ được đề xuất bởi những giải thuật này có thể bị suy yếu bởi thiết kế IPsec VPN
và cấu hình xấu.
Vì thế, nếu bạn có một IPsec VPN và không chắc chắn về cấu hình của nó thì đây
có thể là một ý tưởng tốt để gấp đôi sự kiểm tra xem bạn đã sử dụng các giải thuật
đúng hay chưa ngoài ra còn xem xét xem VPN cũng được thiết kế và cấu hình
đúng chưa.
Dưới đây là mười yếu điểm cần phải được kiểm tra khi truy cập VPN Ipsec:
1. Sử dụng các khóa chia sẻ yếu.
2. Sử dụng phương thức tấn công IKE/ISAKMP không thích hợp (khóa chia sẻ
yếu).
3. Phương pháp chứng thực không thích hợp (khóa chia sẻ khi chữ ký điện tử
[certificate] dựa trên chứng thực có thể thích hợp hơn).
4. Sử dụng nhóm các khóa hay wildcard không thích hợp (sử dụng nhiều giải pháp
sẽ khả quan hơn).
5. Sử dụng khóa chia sẻ đồng nhất với nhiều thiết bị tương đương (tương tự #4).
6. Sử dụng không thích hợp chứng thực mở rộng (XAuth, dễ bị tổn thương khi
được sử dụng với khóa chia sẻ và IKE/ ISAKMP).
7. Tính dễ bị tổn thương của NTP hoặc CRLs/ OCSP được PKI sử dụng cho cuộc
tấn công DOS (liên quan khi sử dụng chứng thực chữ ký điện tử).
8. Bảo mật yếu nơi lưu trữ khóa chính CA.
9. Lưu trữ các tập tin cấu hình cổng vào IPsec VPN chứa các chữ màu khóa chia
sẻ.
10. Sử dụng mã hóa không có chứng thực.
Mười yếu điểm trên mời chi mới bắt đầu. Vì thế, cần có sự đề phòng tốt cho đến
khi bạn đã bao quát mọi cơ sở và tuyệt đối thỏa mãn rằng VPN IPsec đã thật sự an
toàn.
Và nếu bạn cần nhiều thông tin thêm về mười điểm tôi đã liệt kê ở trên thì Google
là một công cụ tìm kiếm tốt. Nếu Google không thực hiện được điều này thì có thể
tham khảo trên một số sách trên Amazon.
