Tải bản đầy đủ (.docx) (50 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Bảo mật kết nối với VPN Firewall

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.36 MB, 50 trang )

LỜI MỞ ĐẦU
I.LÝ DO CHỌN ĐỀ TÀI
Mạng Internet ngày càng phát triển, không chỉ vậy việc tận dụng nguồn tài nguyên
“vô tận” trên đây đem lại những hiệu quả vô cùng to lớn. Vấn đề trao đổi thông tin là cực
kì quan trọng, đặc biệt với những tổ chức-công ty có trụ sở hoặc chi nhánh đặt khắp tại
nhiều nơi, hoặc các công ty muốn tạo môi trường làm việc chung với đối tác của mình.
Đã có rất nhiều giải pháp được đưa ra nhưng mà nó phải đáp ứng nhu cầu bảo mật
thông tin khi nó được truyền qua Internet – môi trường không bảo mật. Những giải pháp
có thể tính đến để khắc phục vấn đề này là thuê những đường Leased line, như vậy vừa
có tính bảo mật vừa có băng thông nhiều nhưng mà giải pháp này không khả thi khi kết
nối ở những nơi cách xa nhau. Một số giải pháp có thể sử dụng là Frame Relay hoặc
ATM từ nhà cung cấp dịch vụ, tuy nhiên đây cũng là giải pháp không nên sử dụng vì chi
phí khá cao.
VPN chính là giải pháp khả thi nhất vì vừa đảm bảo yếu tố bảo mật mà chi phí của
nó cũng tương đối phải chăng. Ngày nay, VPN đang được sử dụng rộng rãi và đang được
phát triển lên. Tuy vậy, nhưng VPN thông thường cũng có những nhược điểm của nó, đó
là các vấn đề bảo mật, dễ dàng làm thất thoát tài sản thông tin của công ty cũng như tổ
chức, cá nhân.
II. MỤC TIÊU CỦA ĐỀ TÀI
Nghiên cứu và triển khai VPN để phục vụ cho hệ thống mạng của doanh nghiệp,
từ đó khắc phục những điểm yếu cố hữu tồn tại trên hệ thống VPN thường.
III. ĐỐI TƯỢNG NGHIÊN CỨU
-Các công nghệ được sử dụng trong mô hình VPN
-Cách thức triển khai một mô hình VPN
IV. PHẠM VI NGHIÊN CỨU
-Tìm hiểu cách thức hoạt động của mô hình VPN
-Cách thức bảo mật trên mô hình VPN
V. CÔNG CỤ
Trang 1



VMWARE WORKSTATION 10 và Packet tracer
IV. Ý NGHĨA
Ý nghĩa khoa học:
-Cung cấp lý thuyết về mô hình VPN
-Các công nghệ được sử dụng và một số vấn đề về bảo mật trong dạng mô hình
VPN
-Tìm được điểm ưu việt của mô hình VPN thông thường so với mô hình VPN sau
khi đã kết hợp các dich vụ bảo mật.
Ý nghĩa thực tiễn:
-Triển khai được một mô hình VPN.

Trang 2


CHƯƠNG I : KIẾN THỨC CƠ SỞ
I.Tổng quan về bảo mật mạng
1.Thông tin sơ lược
Hiệp hội an toàn thông tin Việt Nam cho biết: “Việt Nam là 1 trong 5 nước có
nguy cơ mất an toàn thông tin cao nhất”.
Hiện số thuê bao Internet chiếm gần 32% dân số Việt Nam. Đa số các doanh
nghiệp và các tổ chức có hệ thống mạng và website giới thiệu, quảng bá thương hiệu, với
gần 200.000 tên miền .vn, và hàng triệu tên miền thương mại. Có rất nhiều doanh nghiệp
đã ứng dụng thanh toán trưc tuyến vào công việc kinh doanh và giao dịch.
Thế nhưng, mạng Internet Việt Nam còn rất nhiều tiềm ẩn, nguy cơ về an ninh an
toàn thông tin. Năm 2010 được đánh giá là năm thực sự nóng bỏng của an ninh an toàn
thông tin trên thế giới chung và an ninh mạng Việt Nam nói riêng. Hàng loạt website lớn
bị tấn công với mức độ phức tạp ngày càng gia tăng. Ở nước ta, theo đánh giá của một số
chuyên gia về an ninh mạng, các tên miền .vn đang đứng hàng thứ 3 trong bảng xếp hạng
các tên miền có nguy cơ bị tấn công. Cách đây chưa lâu, cuộc tấn công quy mô lớn, liên
tục và kéo dài đã phá hủy hầu như gần hết cơ sở dữ liệu đã lưu trữ 10 năm của báo

Vietnamnet.
Các cuộc tấn công trên mạng chủ yếu có mục tiêu vụ lợi, có tổ chức và mang tính
quốc tế đang nở rộ với quy mô lớn. Thủ phạm các cuộc tấn công nhằm vào các website
có trình độ cao, hình thức tấn công tinh vi, chuyên nghiệp và rất khó chống đỡ. Mục tiêu
của hacker không chỉ là các tổ chức, doanh nghiệp tài chính, ngân hàng mà là tất cả hệ
thống. Các cuộc tấn công trên là một lời cảnh báo về an toàn thông tin đối với các báo
điện tử và những website quan trọng của Việt Nam.
Năm 2011, đã có 38.961 dòng virus xuất hiện mới, lây lan nhiều nhất là virus
W32.Sality.PE. Virus này đã lây nhiễm trên 4.2 triệu lượt máy tính. Cũng trong 2011, đã
có 2,245 website của các cơ quan, doanh nghiệp tại Việt Nam bị tấn công, tính trung bình
mỗi tháng có 187 website bị tấn công.
Năm 2011 cũng có những cuộc tấn công DDOS làm tê liệt hệ thống trong thời
gian dài. Tấn công cướp tên miền của doanh nghiệp cũng đã diễn ra liên tiếp. Nguy hiểm
Trang 3


hơn, cũng đã xuất hiện nhiều cuộc tấn công âm thầm, cài đặt virus gián điệp đánh cắp tài
liệu của các cơ quan quan trọng.
2.Nhu cầu về an ninh mạng
Tại TP.HCM, số lượng các trường đào tạo về ngành An ninh mạng chưa nhiều, nên
số lượng nhân lực nhìn chung không đáp ứng đủ nhu cầu. Nhân lực ngành An Ninh Mạng
hiện nay lại vừa thiếu về số lượng vừa không mạnh mẽ về chuyên môn.
Căn cứ trên số liệu của Trung tâm Dự báo nhu cầu nhân lực và Thông tin thị
trường lao động TP.HCM trong giai đoạn 2011-2015, mỗi năm thành phố cần từ 8.000
-10.000 nhân lực ngành CNTT. Trong đó, ngành Hệ thống thông tin – An ninh mạng cần
khoảng 1.000 người, 50% số này cần có trình độ chuyên môn giỏi. Nhu cầu tuyển dụng
ngành CNTT năm 2011 vừa qua tăng 21,21% so với năm 2010 và tiếp tục có xu hướng
tăng trong những năm tới.
Đa số các Doanh nghiệp Việt Nam hiện nay đã ý thức được tầm quan trọng của
việc bảo đảm an toàn các thông tin trên hệ thống mạng vì đó chính là tài sản của Doanh

nghiệp. Đặc biệt là trong thời buổi mà hoạt động kinh doanh đang phát triển theo hướng
số hóa. Thất thoát thông tin cũng đồng nghĩa với việc túi tiền của Doanh nghiệp bị hao
hụt.
Các giao dịch ở VN và trên thế giới hiện tại và tương lai đa số diễn ra trên mạng.
Việc bảo mật thông tin thật sự vô cùng quan trọng. Chỉ tính riêng thống kê của Hiệp hội
Ngân hàng và chứng khoán VN, số lượng chi nhánh ngân hàng và các công ty chứng
khoán ở VN đã trên mức hàng ngàn. Hoạt động của các công ty chứng khoán và ngân
hàng đều dựa trên hệ thống CNTT. Giao dịch giữa các ngân hàng với nhau, giữa ngân
hàng với khách hàng… đều thông qua mạng Internet.
Không chỉ thiếu về số lượng, trình độ chuyên môn chung của đội ngũ chuyên gia
an ninh mạng hiện cũng rất thấp. Theo ông Nguyễn Thanh Tú, giám đốc điều hành một
công ty chuyên cung cấp các giải pháp an ninh mạng, có nhiều nguyên nhân: chất lượng
đào tạo chuyên sâu về công nghệ bảo mật chưa đạt yêu cầu; môi trường ứng dụng giải
pháp bảo mật tại các doanh nghiệp còn hạn chế. Cũng theo ông, vấn đề an ninh mạng của
doanh nghiệp hiện nay là thiếu nhân lực chuyên môn chứ không chỉ là giải pháp. Giám
Trang 4


đốc một doanh nghiệp thương mại điện tử chia sẻ: “Nhân lực cho vấn đề này rất khó, bởi
mặt bằng năng lực của đội ngũ này hiện còn rất thấp”.
Nếu tính một phép tính đơn giản, VN có hàng ngàn chi nhánh ngân hàng, hàng
ngàn cơ quan chính phủ trải đều khắp 64 tỉnh thành trong cả nước, và trên 200.000 doanh
nghiệp tư nhân có ứng dụng CNTT trong hoạt động kinh doanh, quản lý và sản xuất; mỗi
đơn vị cần bình quân một nhân viên phục vụ việc quản trị và an ninh mạng thì số lượng
nhân sự an ninh mạng cần đáp ứng ngay cho thị trường lao động VN phải tính trên chục
ngàn. Số lượng này là một thách thức rất lớn cho ngành đào tạo CNTT VN thời gian tới.
3.Thực trạng
Theo công ty nghiên cứu an ninh quốc gia Symantec, các cuộc tấn công của
hacker gây thiệt hại cho các doanh nghiệp lớn khoảng 2,2 triệu $ mỗi năm. Hành vi trộm
cắp thông tin cá nhân của khách hàng có thể làm giảm danh tiếng của doanh nghiệp dẫn

tới các vụ kiện. Hack có thể làm 1 công ty bị phá sản. Botnet có thể được sử dụng để khởi
động các loại Dos và các cuộc tấn công dựa trên web khác dẫn đến các doanh nghiệp bị
giảm doanh thu. Kẻ tấn công có thể ăn cắp bí mật công ty, thông tin tài chính, hợp đồng
quan trọng và bán chúng cho các đối thủ cạnh tranh.
4.Các loại tấn công mạng
4.1Tấn công hệ điều hành
Những kẻ tấn công tìm kiếm các lỗ hổng hệ thống và khai thác chúng để được truy
cập vào một hệ thống mạng. Một số lỗi hệ điều hành như
-

Tràn bộ đệm
Lỗi trong hệ điều hành
Hệ thống chưa được vá hệ điều hành

4.2Tấn công cấu hình sai
Các thông tin cấu hình của hệ thống bị chỉnh sửa, cấu hình sai bởi người quản trị
hoặc bị nhiễm virus, giúp hacker tận dụng những lỗ hổng này để khai thác và xâm nhập
vào hệ thống như chỉnh sửa sai DNS, thông tin cấu hình ip…

Trang 5


4.3Tấn công các cấp độ ứng dụng
Phần mềm ứng dụng đi kèm với nhiều chức năng và cả tính năng, nhưng chưa
kiểm tra lỗi kỹ dẫn đến lỗ hổng để hacker khai thác, bao gồm các cuộc tấn công như:
-

Tràn bộ đệm
XSS
Tấn công từ chối dịch vụ

Lừa đảo
Chiếm quyền điều khiển
Man-in-Middle attack

II. Mạng riêng ảo VPN
1.Giới thiệu về VPN
VPN là một mô hình mạng mới tận dụng lại những cơ sơ hạ tầng hiện có của
Internet. Với mô hình mạng mới này, doanh nghiệp không phải đầu tư thêm nhiều về cơ
sở hạ tầng mà các tính năng như bảo mật, độ tin cậy đảm bảo, đồng thời có thể quản lý
riêng được sự hoạt động của mạng này. VPN cho phép người sử dụng làm việc tại nhà,
trên đường đi hay văn phòng chi nhánh có kết nối an toàn đến máy chủ. Trong nhiều
trường hợp VPN cũng giống như WAN (Wire Area Network), tuy nhiên đặt tính quyết
định của VPN là chúng có thể dùng mạng công cộng như Internet mà đảm bảo tính riêng
tư và tiết kiệm hơn nhiều.
Khi tính phổ biến của Internet gia tăng, các doanh nghiệp đầu tư vào nó như một
phương tiện quảng bá và mở rộng các mạng mà họ sở hữu. Ban đầu là các mạng nội bộ
(Intranet) mà các site được bảo mật bằng mật khẩu được thiết kế cho việc sử dụng chỉ bởi
các thành viên trong công ty.
VPN được gọi là mạng riêng ảo vì đây là một cách thiết lập một mạng riêng qua
một mạng công cộng sử dụng các kết nối tạm thời. Những kết nối bảo mật được thiết lập
giữa hai host, giữa host và mạng hoặc giữa hai mạng với nhau.
Một VPN có thể xây dựng bằng cách sử dụng “Đường hầm” và “Mã hóa”. VPN có
thể xuất hiện ở bất cứ lớp nào trong mô hình OSI. VPN là sự cải tiến cơ sở hạ tầng mạng
WAN mà làm thay đổi hay làm tăng thêm tính chất của các mạng cục bộ.
2.Định nghĩa VPN
Trang 6


VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng (private network)
thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng lẻ sử dụng một

mạng chung (thường là internet) để kết nối cùng các site (các mạng riêng lẻ) hay nhiều
người dùng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường
lease line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng
của công ty tới các site hay các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua
mạng công cộng mà vẫn đảm bảo tính an toàn và bảo mật, VPN cung cấp cơ chế mã hóa
dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi
(Tunnel) giống như một kết nối point-to-point trên mạng riêng. Để có thể tạo ra một
đường ống bảo mật đó, dữ liệu phải được mã hóa hay che dấu đi, chỉ cung cấp phần đầu
gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đến đích thông qua
mạng công cộng một cách nhanh chóng. Dữ liệu được mã hóa một cách cẩn thận do đó
nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể đọc được nội dung
vì không có khóa để giải mã. Liên kết với dữ liệu được mã hóa và đóng gói được gọi là
kết nối VPN. Các đường kết nối VPN thường được gọi là đường ống VPN (VPN Tunnel).
3. Lợi ích và chức năng của VPN
Lợi ích:
-Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí từ 20% đến 40% so
với những mạng sử dụng leased-time và giảm chi phí trong việc truy cập từ xa từ 40%
đến 60%.Tính linh hoạt trong kết nối.
-Tăng tính bảo mật: Các dữ liệu quan trọng sẽ được che giấu đối với những người
không có quyền truy cập.
-Hỗ trợ các giao thức mạng thông dụng nhất hiện nay là TCP/IP.
-Bảo mật địa chỉ IP: Bởi vì thông tin được đi trên VPN đã được mã hóa, do đó các địa
chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet.
Chức năng:
VPN cung cấp 4 chức năng chính đó là:

Trang 7


-Sự tin cậy (Confidentiality): Người gửi có thể mã hóa các gói dữ liệu trước khi

truyền chúng ngang qua mạng. Bằng cách này, không một ai có thể truy cập thông tin mà
không được phép, mà nếu như gói dữ liệu bị bắt giữ lại thì cũng không thể đọc được vì
thông tin đã được mã hóa.
-Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra rằng dữ liệu được
truyền qua mạng Internet mà không có sự thay đổi nào.
-Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực nguồn gốc
của gói dữ liệu, đảm bảo và công nhận nguồn thông tin.
-Điều khiển truy cập (Access Control): VPN có thể phân biệt giữa những người dùng
hợp lệ và trái phép bằng nhiều cách như dựa vào chính sách bảo mật, sự chứng thực…
4. Ưu điểm của VPN
VPN có nhiều ưu điểm hơn so với các kênh leased line truyền thống. Các ưu điểm cơ
bản đó là:
-VPN làm giảm chi phí hơn so với mạng cục bộ: Tổng giá thành của việc sở hữu một
mạng VPN sẽ được thu nhỏ, do chỉ phải trả ít hơn cho việc thuê băng thông đường
truyền, các thiết bị mạng đường trục và hoạt động của hệ thống. Giá thành cho việc kết
nối LAN to LAN giảm từ 20-30% so với việc sử dụng đường truyền leased line truyền
thống. Việc truy cập từ xa thì giảm từ 60-80%.
-VPN tạo ra tính mềm dẻo cho khả năng quản lý Internet: Các VPN đã kế thừa phát
huy hơn nữa tính mềm dẻo và khả năng mở rộng kiến trúc mạng hơn là các mạng WAN
truyền thống. Điều này giúp các doanh nghiệp có thể nhanh chóng và hiệu quả kinh tế
cho việc mở rộng hay hủy bỏ kết nối của các trụ sở ở xa, các người sử dụng di động…,và
mở rộng các đối tác kinh doanh khi có nhu cầu.
-VPN làm đơn giản hóa cho việc quản lý các công việc so với việc sở hữu và vận
hành một mạng cục bộ: Các doanh nghiệp có thể cho phếp sử dụng một vài hay tất cả các
dịch vụ của mạng WAN, giúp các doanh nghiệp có thể tập trung vaofcacs đối tượng kinh
doanh chính thay vì quản lý một mạng WAN hay mạng quay số từ xa.
-VPN cung cấp các kiểu mạng đường hầm và làm giảm thiểu các công việc quản lý:
Một Backbone IP sẽ loại bỏ các PVC (Permanent Virtual Circuit) cố định tương ứng với
Trang 8



các giao thức kết nối như là Frame Relay và ATM. Điều này tạo ra một kiểu mạng lưới
hoàn chỉnh trong khi giảm được độ phức tạp và giá thành.
5.Đường hầm và mã hóa
Chức năng chính của VPN đó là cung cấp sự bảo mật bằng cách mã hóa qua một
đường hầm.
Đường hầm (Tunnel): Các đường hầm chính là đặc tính ảo của VPN, nó làm cho
một kết nối dường như một dòng lưu lượng duy nhất trên đường dây. Đồng thời còn tạo
cho VPN khả năng duy trì những yêu cầu về bảo mật và quyền ưu tiên như đã được áp
dụng trong mạng nội bộ, bảo đảm cho vai trò kiểm soát dòng lưu chuyển dữ liệu. Đường
hầm cũng làm cho VPN có tính riêng tư. Mã hóa được sử dụng để tạo kết nối đường
hầm để dữ liệu chỉ có thể được đọc bởi người nhận và người gửi.
Mã hóa (Encryption): Chắc chắn bản tin không bị đọc bởi bất kỳ ai nhưng có thể
đọc được bởi người nhận. Khi mà càng có nhiều thông tin lưu thông trên mạng thì sự
cần thiết đối với việc mã hóa thông tin càng trở nên quan trọng. Mã hóa sẽ biến đổi nội
dung thông tin thành một văn bản mật mã mà nó trở nên vô nghĩa trong dạng mật mã
của nó. Chức năng giải mã để khôi phục văn bản mật mã thành nội dung thông tin có thể
dùng được cho người nhận. Mã hóa là tính năng tùy chọn nó cũng đóng góp vào đặc
điểm “riêng tư” của VPN. Chỉ nên sử dụng mã hóa cho những dòng dữ liệu quan trọng
đặc biệt, còn bình thường thì không cần vì việc mã hóa có thể ảnh hưởng xấu đến tốc độ,
tăng gánh nặng cho bộ xử lý.
6.Các giao thức sử dụng trong VPN:
Các giao thức để tạo nên cơ chế đường ống bảo mật cho VPN là L2TP, Cisco GRE và
IPSec.
6.1. L2TP
• Trước khi xuất hiện chuẩn L2TP (tháng 8 năm 1999), Cisco sử dụng Layer 2
Forwarding (L2F) như là giao thức chuẩn để tạo kết nối VPN. L2TP ra đời sau với
những tính năng được tích hợp từ L2F.
• L2TP là dạng kết hợp của Cisco L2F và Mircosoft Point-to-Point Tunneling
Protocol (PPTP). Microsoft hỗ trợ chuẩn PPTP và L2TP trong các phiên bản

WindowNT và 2000

Trang 9


• L2TP được sử dụng để tạo kết nối độc lập, đa giao thức cho mạng riêng ảo quay số

(Virtual Private Dail-up Network). L2TP cho phép người dùng có thể kết nối thông
qua các chính sách bảo mật của công ty (security policies) để tạo VPN hay VPDN
như là sự mở rộng của mạng nội bộ công ty.
• L2TP không cung cấp mã hóa.
• L2TP là sự kết hợp của PPP(giao thức Point-to-Point) với giao thức L2F(Layer 2

Forwarding) của Cisco do đó rất hiệu quả trong kết nối mạng dial, ADSL, và các
mạng truy cập từ xa khác. Giao thức mở rộng này sử dụng PPP để cho phép truy
cập VPN bởi những ngườI sử dụng từ xa.
6.2 GRE
• Đây là đa giao thức truyền thông đóng gói IP, CLNP và tất cả cá gói dữ liệu bên
trong đường ống IP (IP tunnel)
• Với GRE Tunnel, Cisco router sẽ đóng gói cho mỗi vị trí một giao thức đặc trưng
chỉ định trong gói IP header, tạo một đường kết nối ảo (virtual point-to-point) tới
Cisco router cần đến. Và khi gói dữ liệu đến đích IP header sẽ được mở ra
• Bằng việc kết nối nhiều mạng con với các giao thức khác nhau trong môi trường
có một giao thức chính. GRE tunneling cho phép các giao thức khác có thể thuận
lợi trong việc định tuyến cho gói IP.
6.3 IPSec
• IPSec là một tập giao thức được phát triển bởi IETF để thực thi dịch vụ bảo mật

trên các mạng IP chuyển mạch gói. Internet là mạng chuyển mạch gói công cộng
lớn nhất. Công nghệ IPSec VPN được triển khai có một ý nghĩa quan trọng là tiết

kiệm chi phí rất lớn so với mạng VPN sử dụng Leased-Line VPN.
• Dịch vụ IPSec cho phép chứng thực, kiểm tra tính toàn vẹn dữ liệu, điều khiển
truy cập và đảm bảo bí mật dữ liệu. Với IPSec, thông tin được trao đổi giữa các
site sẽ được mã hoá và kiểm tra. IPSec có thể được triển khai cả trên hai loại VPN
là Remote Access Client và Site-to-Site VPN - IPSec cung cấp dịch vụ bảo mật sử
dụng KDE cho phép thỏa thuận các giao thức và thuật tóan trên nền chính sách
cục bộ (group policy) và sinh ra các khóa bảo mã hóa và chứng thực được sử dụng
trong IPSec.
6.4 Point to Point Tunneling Protocol (PPTP):
Trang 10


• Được sử dụng trện các máy client chạy HĐH Microsoft for NT4.0 và Windows

95+ . Giao thức này đựơc sử dụng để mã hóa dữ liệu lưu thông trên Mạng LAN.
Giống như giao thức NETBEUI và IPX trong một packet gửI lên Internet. PPTP
dựa trên chuẩn RSA RC4 và hỗ trợ bởI sự mã hóa 40-bit hoặc 128-bit.
• Nó không được phát triển trên dạng kết nốI LAN-to-LAN và giới hạn 255 kết nối

tớI 1 server chỉ có một đường hầm VPN trên một kết nối. Nó không cung cấp sự
mã hóa cho các công việc lớn nhưng nó dễ cài đặt và triển khai và là một giảI pháp
truy cập từ xa chỉ có thể làm được trên mạng MS. Giao thức này thì được dùng tốt
trong Window 2000. Layer 2 Tunneling Protocol thuộc về IPSec.
III. Tường lửa bảo mật Firewall
1.Khái niệm Firewall
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn
chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được tích
hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin
nội bộ và hạn chế sự xâm nhâp không mong muốn vào hệ thống. Firewall được miêu tả
như là hệ phòng thủ bao quanh với các “chốt” để kiểm soát tất cả các luồng lưu thông

nhập xuất. Có thể theo dõi và khóa truy cập tại các chốt này.
Các mạng riêng nối với Internet thường bị đe dọa bởi những kẻ tấn công. Để bảo
vệ dữ liệu bên trong người ta thường dùng Firewall. Firewall có cách nào đó để cho phép
người dùng hợp lệ đi qua và chặn lại những người dùng không hợp lệ. Firewall có thể là
thiết bị phần cứng hoặc chương trình phần mềm chạy trên host bảo đảm hoặc kết hợp cả
hai. Trong mọi trường hợp, nó phải có ít nhất hai giao tiếp mạng, một cho mạng mà nó
bảo vệ, một cho mạng bên ngoài. Firewall có thể là gateway hoặc điểm nối liền giữa hai
mạng, thường là một mạng riêng và một mạng công cộng như là Internet. Các firewall
đầu tiên là các router đơn giản.
2. Chức năng

Trang 11


Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và
Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và
mạng Internet. Cụ thể là:
-Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).
-Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào
Intranet).
-Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
-Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
-Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
-Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.
3. Phân loại
3.1 Firewall cứng
Tường lửa phần cứng là một lựa chọn hợp lý nếu bạn đang dùng các phiên bản
Windows trước đây. Nhiều điểm truy cập (access point) không dây sử dụng cho các mạng
gia đình đều được đóng gói dưới dạng tổng hợp tất cả-trong-một, tích hợp các tường lửa
phần cứng với các broadband router. Việc dùng một tường lửa cho hệ thống mạng của

bạn có thể đơn giản như việc thêm một máy trả lời điện thoại vào đường dây điện thoại
của bạn. Bạn chỉ cần đặt tường lửa vào kết nối Ethernet giữa modem cáp/DSL và máy
tính của bạn. (Đúng với hầu hết các loại tưởng lửa).
Đặc điểm của Firewall cứng:
-Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm quy
tắc như firewall mềm).
-Có thể quản lý tập trung.
-Đơn giản, dễ lắp đặt, cấu hình, quản lý.

Trang 12


-Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng
Transport).
-Firewall cứng không thể kiểm tra được nột dung của gói tin.
Ví dụ Firewall cứng: NAT (Network Address Translate).
3.2 Firewall mềm
Có rất nhiều nhà cung cấp Tường lửa phần mềm mà bạn có thể sử dụng nếu bạn dùng các
phiên bản Windows trước đây. Các nhà cung cấp cũng có các loại tường lửa khác có thể
sử dụng trên Windows XP. Dưới đây là danh sách một số nhà cung cấp:
-Internet Security Systems (ISS): BlackICE PC Protection.
-Network Associates: McAfee Personal Firewall.
-Symantec: Norton Personal Firewall.
-Tiny Software: Tiny Personal Firewall.
-Zone Labs: ZoneAlarm.
Đặc điểm của Firewall mềm: Tính linh hoạt cao như là có thể thêm, bớt các quy
tắc, các chức năng. Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng
dụng) Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa).
Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall…
4.Nguyên lý hoạt động của firewall

Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo
thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác
hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS …) thành
các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ có thể nhận dạng,
tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các
packet và những con số địa chỉ của chúng. Bộ lọc packet cho phép hay từ chối mỗi packet
mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó
có thỏa mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này

Trang 13


là dựa trên các thông tin ở đầu mỗi packet (header), dùng để cho phép truyền các packet
đó ở trên mạng. Bao gồm:
-Địa chỉ IP nguồn(Source)
-Địa chỉ IP đích( Destination)
-Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)
-Cổng TCP/UDP nơi xuất phát
-Cổng TCP/UDP nơi nhận
-Dạng thông báo ICMP
-Giao diện packet đến
-Giao diện packet đi
Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì packet đó được
chuyển qua, nếu không thỏa thì sẽ bị loại bỏ. Việc kiểm soát các cổng làm cho Firewall
có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào được hệ thống
mạng cục bộ. Cũng nên lưu ý là do việc kiểm tra dựa trên header của các packet nên bộ
lọc không kiểm soát được nội dụng thông tin của packet. Các packet chuyển qua vẫn có
thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. Trong
các phần sau chúng ta sẽ cùng tìm hiểu các kỹ thuật để vượt tường lửa.
5. Ứng dụng của Firewall

Nếu máy tính của bạn không được bảo vệ, khi bạn kết nối Internet, tất cả các giao
thông ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truy cập và lấy
cắp thông tin cá nhân cuả bạn trên máy tính. Chúng có thể cài đặt các đoạn mã để tấn
công file dữ liệu trên máy tính. Chúng có thể sử dụng máy tính cuả bạn để tấn công một
máy tính của gia đình hoặc doanh nghiệp khác kết nối Internet. Một firewall có thể giúp
bạn thoát khỏi gói tin hiểm độc trước khi nó đến hệ thống của bạn.
5.1 Nhiệm vụ của Firewall
Nhiệm vụ cơ bản của FireWall là bảo vệ những vấn đề sau :
Trang 14


-Dữ liệu: Những thông tin cần được bảo vệ do những yêu cầu về tính bảo mât, tính
toàn vẹn và tính kịp thời.
-Tài nguyên hệ thống.
-Danh tiếng của công ty sở hữu các thông tin cần bảo vệ.
5.2 Đối tượng Firewall hướng đến
FireWall là hệ thống bảo vệ chống lại những sự tấn công từ bên ngoài.
Tấn công trực tiếp:
-Cách thứ nhất là dùng phương pháp dò mật khẩu trực tiếp. Thông qua các chương
trình dò tìm mật khẩu với một số thông tin về người sử dụng như ngày sinh, tuổi, địa chỉ
v.v…và kết hợp với thư viện do người dùng tạo ra, kẻ tấn công có thể dò được mật khẩu
của bạn. Trong một số trường hợp khả năng thành công có thể lên tới 30%. Ví dụ như
chương trình dò tìm mật khẩu chạy trên hệ điều hành Unix có tên là *****.
-Cách thứ hai là sử dụng lỗi của các chương trình ứng dụng và bản thân hệ điều
hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được để chiếm quyền truy
cập (có được quyền của người quản trị hệ thống).
Nghe trộm: Có thể biết được tên, mật khẩu, các thông tin chuyền qua mạng thông
qua các chương trình cho phép đưa vỉ giao tiếp mạng (NIC) vào chế độ nhận toàn bộ các
thông tin lưu truyền qua mạng.
Giả mạo địa chỉ IP: Là Hacker thường dùng cách này để mạo danh là máy tính

hợp pháp nhằm chiếm quyền điều khiển trình duyệt web trên máy tính bị tấn công.
Vô hiệu hoá các chức năng của hệ thống (deny service): Đây là kiểu tấn công
nhằm làm tê liệt toàn bộ hệ thống không cho nó thực hiện các chức năng mà nó được
thiết kế. Kiểu tấn công này không thể ngăn chặn được do những phương tiện tổ chức tấn
công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng.
Lỗi người quản trị hệ thống: Yếu tố con người với những tính cách chủ quan và
không hiểu rõ tầm quan trọng của việc bảo mật hệ thống nên dễ dàng để lộ các thông tin
quan trọng cho hacker. Ngày nay, trình độ của các hacker ngày càng giỏi hơn, trong khi
đó các hệ thống mạng vẫn còn chậm chạp trong việc xử lý các lỗ hổng của mình. Điều
Trang 15


này đòi hỏi người quản trị mạng phải có kiến thức tốt về bảo mật mạng để có thể giữ
vững an toàn cho thông tin của hệ thống. Đối với người dùng cá nhân, họ không thể biết
hết các thủ thuật để tự xây dựng cho mình một Firewall, nhưng cũng nên hiểu rõ tầm
quan trọng của bảo mật thông tin cho mỗi cá nhân, qua đó tự tìm hiểu để biết một số cách
phòng tránh những sự tấn công đơn giản của các hacker. Vấn đề là ý thức, khi đã có ý
thức để phòng tránh thì khả năng an toàn sẽ cao hơn.

CHƯƠNG II: BẢO MẬT KẾT NỐI VPN
I Vấn đề bảo mật mạng VPN
1.Những vấn đề bảo mật trong mạng riêng ảo
Nền tảng VPN có thể bị tấn công bằng rất nhiều cách. Dưới đây là một số loại tấn
-

-

công phổ biến vào và hệ thống VPN
Các mối đe dọa an ninh cho các thành phần VPN
Các cuộc tấn công các giao thức VPN

Các cuộc tấn công mật mã
Các cuộc tấn công từ chối dịch vụ
2.Tấn công các thành phần mạng riêng ảo
Thể hiện trong hình 2.1, các yếu tố quan trọng nhất của một thiết lập VPN bao
gồm:
Người dùng truy cập từ xa
Kêt nối trong phân đoạn ISP
Internet công cộng
Trang 16


-

Gateway của mạng

Hình 2. 1: Các yếu tố của một thiết lập dựa trên VPN

3. Tấn công giao thức mạng riêng ảo
Các giao thức VPN chính, PPTP, L2TP, và IPSec, cũng dễ bị tổn thương các mối
đe dọa an ninh. Những phần sau mô tả về các cuộc tấn công trên các giao thức VPN.
Tấn công trên PPTP

-

PPTP là dễ bị tổn thương trên hai khía cạnh. Chúng bao gồm:
Generic Routing Encapsulation (GRE)
Mật khẩu trao đổi trong quá trình xác thực
Tấn công trên IPSec

Như chúng ta biết IPSec không phải là thuật toán mã hóa thuần túy cũng không

phải một cơ chế xác thực. Trong thực tế, IPSec là một sự kết hợp của cả hai và giúp các

-

thuật toán khác bảo vệ dữ liệu.
Tuy nhiên, IPSec là dễ bị các cuộc tấn công:
Các cuộc tấn công chống lại thực hiện IPSec
Tấn công chống lại quản lý khóa
Các cuộc tấn công quản trị và ký tự đại diện

Trang 17


4. Tấn công mật mã
Mật mã như là một trong các thành phần bảo mật của một VPN. Tùy thuộc vào các
kỹ thuật mật mã và các thuật toán khác nhau, các cuộc tấn công giải mã được biết là tồn
-

tại. Những phần sau tìm hiểu về một số cách thức tấn công giải mã nổi tiếng:
Chỉ có bản mã (ciphertext-Only)
Tấn công biết bản rõ (know plaintext attacks)
Tấn công lựa chọn bản rõ
Man-in-the-Middle (tấn công trung gian)
Tấn công Brute Force (duyệt toàn bộ)
- Tấn công thời gian (Timing attacks)
5. Tấn công từ chối dịch vụ
Các cuộc tấn công DoS đang trở nên khá phổ biến ngày này vì nó không yêu cầu
bất kỳ phần mềm đặc biệt hoặc truy cập vào mạng mục tiêu. Chúng được dựa trên khái
niệm của sự tắc nghẽn mạng. Bất kỳ kẻ xâm nhập có thể gây ra tắc nghẽn mạng bằng
cách gửi các tải các dữ liệu rác vào mạng. Điều này làm cho các máy tính mục tiêu

không thể được truy cập trong một khoảng thời gian bởi đường truyền bị quá tải hoặc
máy tính mục tiêu không thể phục vụ do quá tải. Tình trạng quá tải thông tin thậm chí có
thể dẫn đến việc sụp đổ của máy tính mục tiêu.
Hình 2.2 minh họa làm thế nào tin tặc có thể gây ra tắc nghẽn mạng bằng cách gửi
các dữ liệu giả vào mạng.

Hình 2.2: Tin tặc gây nghẽn mạng.
Trang 18


-

Một số phương pháp thường được sử dụng để bắt đầu cuộc tấn công DoS như sau:
SYN Floods (lụt gói SYN)
Broadcast Storm (bão gói tin quảng bá)
Smurf DoS
Ping of Death

II. Công nghệ bảo mật mạng riêng ảo
1.Tính xác thực
Để thiết lập một kết nối VPN thì trước hết cả hai phía phải xác thực lẫn nhau để
khẳng định rằng mình đang trao đổi thông tin với người mình mong muốn chứ không
-

phải là một người khác. Một số phương pháp xác thực:
Xác thực bằng mật khẩu
Hệ thống điều khiển truy cập TASCAS
Hệ thống xác thực người dụng quay số RADIUS
Sử dụng phần cứng
Xác thực sinh trắc

2. Tính toàn vẹn
Xác thực tính toàn vẹn liên quan đến các khía cạnh sau khi truyền tin trên mạng:
Bảo vệ tính toàn vẹn của mẩu tin: bảo vệ mẩu tin không bị thay đổi hoặc có các
biện pháp phát hiện nếu mẩu tin bị thay đổi trên đường truyền.
Kiểm chứng danh tính và nguồn gốc: xem xét mẩu tin có đúng do người xưng tên
gửi không hay một kẻ mạo danh nào khác gửi.
Không chối từ bản gốc: trong trường hợp cần thiết, bản thân mẩu tin chứa các
thông tin chứng tỏ chỉ có người xưng danh gửi, không một ai khác có thể làm điều đó.
Như vậy người gửi không thể từ chối hành động gửi, thời gian gửi và nội dung của mẩu
tin.
Với mong muốn đáp ứng các yêu cầu trên, có 3 hàm lựa chọn sau đây được sử
dụng:
+ Mã mẩu tin bằng mã đối xứng hoặc mã công khai.
+ Mã xác thực mẩu tin (MAC): dùng khoá và một hàm nén mẩu tin cần gửi để
nhận được một đặc trưng đính kèm với mẩu tin và người gửi đó.
+ Hàm hash (hàm băm) là hàm nén mẩu tin tạo thành “dấu vân tay” cho mẩu tin.
Trang 19


3. Một số công nghệ bảo mật bổ sung
3.1.Công nghệ SSL/TLS
a. Giao thức SSL
Giao thức Secure Socket Layer (SSL), ban đầu định hướng là nhằm mục đích bảo
vệ thông tin trao đổi giữa Client và Server trong các mạng máy tính, là giao thức tầng
phiên, nó sử dụng các phương pháp mật mã cho việc bảo vệ thông tin. Dữ liệu được
truyền được giữ bí mật bằng việc mã hoá, trong khi việc tạo và kiểm tra chữ ký số đảm
bảo tính xác thực và toàn vẹn thông tin.
Trong giao thức SSL có sự kết hợp của mật mã đối xứng và bất đối xứng. Các
thuật toán mật mã bất đối xứng như: RSA và thuật toán Diffie – Hellman. Các hàm băm
như: MD5, SHA1. Các thuật toán mật mã đối xứng được hỗ trợ là RC2, RC4 và 3DES.

SSL hỗ trợ các chứng chỉ số thoã mãn chuẩn X.509
Thủ tục thăm dò trước (bắt tay) được thực hiện trước khi bảo vệ trực tiếp sự trao đổi

-

thông tin..
Khi thực hiện thủ tục này, các công việc sau được hoàn tất:
Xác thực Client và Server
Các điều kiện của thuật toán mật mã và nén sẽ được sử dụng
Tạo một khoá chủ bí mật
Tạo một khoá phiên bí mật trên cơ sở khoá chủ
b. Giao thức TLS
TLS được phát triển nhờ sử dụng SSL, giống như SSL, TLS cho phép các Server
và Client cuối liên lạc một cách an toàn qua các mạng công cộng không an toàn. Thêm
vào các khả năng bảo mật được cung cấp bởi SSL, TLS cũng ngăn chặn kẻ nghe trộm,
giả mạo, chặn bắt gói tin.
Trong các kịch bản mạng riêng ảo, SSL và TLS có thể được thực thi tạo Server
VPN cũng như tại Client đầu cuối. Tầng phiên là tầng cao nhất của mô hình OSI có khả
năng tạo các kết nối mạng riêng ảo. Lúc tạo các mạng riêng ảo trên tầng phiên, nó có
Trang 20


khả năng đạt hiệu suất cao và các tham số về mặt chức năng cho việc trao đổi thông tin,
kiểm soát truy cập là đáng tin cậy và dễ dàng quản trị.
Như vậy, lúc tạo các mạng riêng ảo trên tầng phiên, ngoài việc bổ sung thêm sự
bảo vệ bằng mật mã (bao gồm cả xác thực), nó cũng có khả năng thực thi các công nghệ
Proxy. SSL/TSL là hai giao thức thông dụng nhất hiện nay
3.2 Tường lửa
VPN thực chất chỉ là 1 mạng ảo, môi trường thực hiện vẫn là Internet mà Internet
thì vô cùng phức tạp và nguy hiểm vì vậy cần phải có sự can thiệp của tường lửa để bảo

vệ cho hệ thống đảm bảo tính bảo mật 1 cách an toàn nhất
Tường lửa ( Firewall ) dùng để bảo mật mạng nội bộ chống lại những cuộc tấn
công vào lưu lượng trên mạng và những kẻ phá hoại. Tường lửa có thể phân biệt các lưu
lượng dựa trên cơ cở người dùng, trình ứng dụng hoặc nguồn gốc. Tường lửa (firewall)
là rào chắn vững chắc giữa mạng riêng và Internet.
Có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức
được chuyển qua.

III. Bảo mật VPN kết hợp Firewall
1. Bảo mật mạng VPN kết hợp Firewall
Mạng riêng ảo cung cấp một phương tiện cho việc sử dụng một cơ sở hạ tầng dùng
chung như Internet để chia sẻ thông tin một cách an toàn giữa các trang web, các chi
nhánh của một doanh nghiệp, đối tác kinh doanh và nhân viên. Một hệ thống VPN an
toàn và hiệu quả nên có :
1. Thực thi chính sách an ninh mạng tổng thể
2. Đảm bảo rằng lưu lượng VPN là tùy thuộc vào mạng lưới kiểm soát truy cập
3. Bảo vệ các cổng VPN từ các mối đe dọa an ninh
4. Cung cấp một kiến trúc tổng thể tối ưu hóa hiệu suất VPN và tường lửa
5. Thích ứng môi trường mạng rất năng động và phát triển
6. Đơn giản hóa việc quản trị mạng và quản lý
Tích hợp giải pháp VPN tường lửa có thể đáp ứng các yêu cầu quan trọng trên bằng cách:
- Bảo vệ khỏi các mối đe dọa Internet : Với giải pháp tích hợp VPN / tường lửa, các
cuộc tấn công sẽ được phát hiện và xử lý bởi tường lửa được tích hợp.
- Kiểm soát truy cập cho tất cả các giao thông: Vị trí của cổng VPN nằm bên trong
thiết bị kiểm soát truy cập cho phép lưu lượng VPN được bảo vệ tốt hơn. Khi bức tường
Trang 21


lửa và VPN chia sẻ thông tin người dùng, cá nhân và các nhóm được xác định trước có
thể sử dụng các nguồn lực và dịch vụ mà họ đang truy cập nhan đề. Tất cả lưu lượng

VPN sẽ được giải mã và kiểm tra để đảm bảo rằng chỉ có nội dung phù hợp mới được
thông qua bức tường lửa.
- Quản lý tập trung : Triển khai tích hợp VPN giúp đơn giản hóa việc quản trị một
chính sách an ninh, đặc biệt là trong môi trường nhiều bức tường lửa và VPN gateway
được yêu cầu. Cập nhật cơ sở dữ liệu và thay đổi chính sách bảo mật có thể được đồng
thời áp dụng cho tất cả các VPN / tường lửa, giảm thiểu khả năng lỗi cấu hình. Ngoài ra,
giải pháp tích hợp VPN/tường lửa cho phép người sử dụng những thông tin quan trọng
để chia sẻ giữa nhiều ứng dụng mạng trong toàn doanh nghiệp.
- Đăng nhập hợp nhất : Đó chỉ là những giải pháp tích hợp mạng rằng đối tượng,
người sử dụng, dịch vụ và quản trị dữ liệu được chia sẻ bởi các cổng VPN và tường lửa
có thể được thừa hưởng. Bằng cách này, tất cả các thông tin kiểm toán có sẵn trong file
log thống nhất.
- Khả năng mở rộng kiến trúc : Để mở rộng địa lý của mạng lưới các văn phòng chi
nhánh và khách hàng, các doanh nghiệp đòi hỏi giải pháp VPN có khả năng mở rộng quy
mô. Giải pháp VPN / tường lửa có thể được giới thiệu vào mạng VPN một cách hoàn hảo
và hầu như không có sự gián đoạn cho hoạt động mạng.
- Đơn giản hóa định tuyến : Khi dữ liệu đi qua các thiết bị mạng, mỗi con đường có
thể được thể hiện như một mục bảng định tuyến. Khi nguồn tài nguyên được thêm vào
một mạng, bảng định tuyến phải được tăng cường để trực tiếp truyền tải đến các bức
tường lửa và VPN gateway. Tích hợp VPN và tường lửa đơn giản hóa nhiệm vụ này bằng
cách loại bỏ sự cần thiết phải duy trì các tuyến đường riêng biệt để đến các thiết bị này.
- Hiệu suất : Tích hợp VPN / tường lửa có thể cung cấp hiệu suất tương đương hoặc cao
hơn VPN đọc lập bao gồm thông lượng, hỗ trợ kết nối đồng thời và chất lượng dịch vụ.
Tích hợp VPN / tường lửa có thể tối ưu hóa hiệu suất thông qua:
1. Mật mã tăng tốc
2. Tích hợp Quản lý băng thông - những giải pháp giải quyết vấn đề tắc nghẽn
mạng bằng cách cho phép các doanh nghiệp ưu tiên bang thông cho kinh doanh quan
trọng trong giao thông tùy ý và do đó tối ưu hóa sử dụng các liên kết WAN sẵn. Một số
giải pháp VPN tích hợp kết hợp quản lý băng thông, VPN, tường lửa và Network Address
Trang 22



Translation (NAT) biên tập chính sách vào một ứng dụng tích hợp duy nhất. Kết quả là,
các quản trị viên có thể nhanh chóng và đơn giản là mở rộng một tường lửa hoặc chính
sách VPN để bao gồm quản lý băng thông.
2.Mô hình VPN kết hợp Firewall
Mô hình 1 :

HÌnh 3.1 Vị trí gateway VPN đặt trước firewall

Một cổng VPN đặt ở phía trước tường lửa có vẻ như một ý tưởng tốt lúc đầu. Cấu hình
này cho phép lưu lượng VPN phải được kiểm tra bởi các bức tường lửa trước khi nó được
chuyển tiếp đến các mạng tin cậy. Tuy nhiên, có vấn đề với cách bố trí này:
Mối đe dọa từ Internet :
Thiết bị VPN đặt ở phía trước của bức tường lửa dễ bị đe dọa từ Internet. Với cấu
hình này, nếu một gateway VPN bị tổn hại bởi một cuộc tấn công như vậy, tất cả các
thông tin liên lạc VPN sẽ chấm dứt, hoặc tệ hơn nữa, có thể được truyền rõ ràng. Đây là
một kịch bản có khả năng tai hại cho khách hàng và đối tác kinh doanh khi sử dụng công
nghệ VPN.
Mô hình 2 :

Hình 3.2 Vị trí gateway VPN đặt sau firewall

Đặt độc lập gateway VPN phía sau tường lửa là một phương pháp giảm nhẹ tiếp xúc với
các mối đe dọa bảo mật Internet bằng cách cho phép bức tường lửa để bảo vệ nó. Mặc dù,
tiền đề này là hợp lý, sự thật mô hình này vẫn có những thiếu sót an ninh nghiêm trọng.
Mô hình 3
Trang 23



HÌnh 3.3 Gateway VPN đặt trong vùng DMZ

Bằng cách Đặt Gateway VPN trong vùng DMZ, lưu lượng VPN có thể được chuyển tiếp
đến các bức tường lửa sau khi giải mã để xác định kiểm soát truy cập có thể được thực
hiện, đồng thời bảo vệ các gateway VPN mối đe dọa từ Internet. Những lợi ích này đang
nhanh chóng giảm tuy nhiên, do mạng lưới phức tạp.

CHƯƠNG III.BẢO MẬT KẾT NỐI VPN BẰNG XÁC THỰC VÀ FIREWALL
I.Mạng hiện tại
1.Sơ đồ

2.Hạn chế

Trang 24


Thông tin khi truyền từ mạng trung tâm đến mạng chi nhánh. Mặc dù thông tin khi truyền
đi với kết nối VPN đã được mã hóa,nhưng những người dùng khác với mục đích xấu có
thể dễ dàng xâm nhập và đánh cắp những thông tin này.
Hệ thống này cũng rất kém bảo mật khi những người dùng trong công ty cũng có thể làm
thất thoát tài sản thông tin của công ty mình ra bên ngoài.
II.Mạng đề xuất
1.Sơ đồ

2.Phân tích:
Với việc kết hợp firewall cùng với xác thực RADIUS không chỉ giúp nâng cao
tính bảo mật của hệ thống mà còn giúp quản lý người dùng, tránh việc thất thoát tài sản
thông tin ra bên ngoài.
Lưu lượng VPN có thể được chuyển tiếp đến các bức tường lửa sau khi giải mã để
xác định kiểm soát truy cập có thể được thực hiện, đồng thời bảo vệ các gateway VPN

mối đe dọa từ Internet.
Với xác thực RADIUS, thông tin khi gửi từ mạng chi nhánh đến mạng trung tâm
đều đảm bảo tính trung thực.
III. Các bước cài đặt-cấu hình:
1.Chuẩn bị
Tạo group name: VPN
Trang 25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×