Tham khảo tài liệu 'giáo trình khởi tạo mạng riêng ảo - công nghệ mạng riêng ảo part 22', công nghệ thông tin, kỹ thuật lập trình phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
AMBIENT/
Chủ đề:
Nội dung Text: Giáo Trình Khởi Tạo Mạng Riêng Ảo - CÔNG NGHỆ MẠNG RIÊNG ẢO part 22
- Chú ý Không quan tâm đến phân đoạn kết nối, việc nghe trộm trên một phiên liên lạc có thể
cung câp cho tấn công có một địa chỉ IP máy chủ từ xa hợp lệ. Kẻ tấn công này sau đó
sử dụng thông tin này để giả mạo địa chỉ IP và phá vỡ hàng rào an toàn của tổ chức
mà không gặp trở ngại nào. Một vấn đề chính yếu khác gắn liền với phân đoạn kết
nối, dù là đường thuê riêng hay đường quay số, nếu chính ISP có ý đồ xấu thì nhà
cung cấp dịch vụ có thể dễ dàng đọc được tất các dữ liệu trong phiên liên lạc và như
vậy dễ dàng truy cập tới dữ liệu bí mật được truyền giữa một người dùng cuối và
mạng Intranet của tổ chức.
- Mạng công cộng: Một mạng công cộng, đặc biệt là Internet , không nằm
trong địa hạt của một cơ quan thẩm quyền đơn có thể kiểm soát tất cả các hoạt
động và giao dịch qua nó. Hơn nữa, các điểm trung gian, chẳng hạn như các bộ
định tuyến tạo nên Internet và hỗ trợ các đường hầm mạng riêng ảo có thể không
dùng riêng cho các đường hầm của một tổ chức đơn. Một bộ định tuyến trung gian
có thể đồng thời hỗ trợ nhiều đường hầm bắt nguồn từ nhiều mạng Intranet của
nhiều tổ chức. Kết quả là lưu lượng từ một tổ chức có thể không hoàn toàn được
biệt lập với lưu lượng của các tổ chức khác. Thêm vào đó, mạng công cộng bản
chất là dùng chung, nó có thể được truy cập bởi bất kỳ ai muốn sử dụng nó. Một ý
định của cá nhân hay một tổ chức với các trang thiết bị đúng và giỏi chuyên môn
có thể dễ dàng gắn vào một phương tiện liên lạc và sử dụng nó để đem lại lợi ích
riêng. Trong các trường hợp khác, một kẻ tấn công có thể giả mạo các gói dữ liệu
hoặc thay đổi nội dung dữ liệu dẫn đến nhiều thiệt hại cho một tổ chức.
- Điểm truy cập mạng đích: Một Router, Gateway, Firewall hoặc một thiết bí
NAT thường được đặt tại vành đai của mạng và các Server như là một điểm truy
cập Intranet của một tổ chức. Các thiết bị này không chỉ phải đối mặt với các mối
đe doạ bảo mật và các nổ lực xâm chiếm từ các thực thể bên ngoài mà còn cả từ
các thực thể bất mãn ở bên trong. Thêm vào đó, nếu tổ chức hỗ trợ một mạng
Extranet, các thiết bị ngày cũng dễ bị tấn công với các lưu lượng độc hại từ các đối
tác thương mại bên ngoài.
Hình 5.1 Bốn thành phần dễ bị tấn công của kết nối mạng riêng ảo
Ở trên ta đã thảo luận về các lỗ hổng bảo mật trong một thiết lập mạng riêng
ảo đầy đủ. Và như vậy, ta không thể bỏ qua các vấn đề bảo mật này. Ta cần giữ các
- bước hợp lý trong việc thực thi để đảm bảo rằng giải pháp mạng riêng ảo của ta là
có thể chịu được tất cả các kiểu tấn công, mà vẫn cho phép khai thác Internet và hạ
tầng mạng công cộng để giảm chi phí thực thi trong khi tăng mức độ an toàn của
các giao dịch, vì vậy bảo vệ được hầu hết các khả năng tấn công vào tổ chức - dữ
liệu.
IPSec đã được thảo luận chi tiết trong các chương của phần I được xem là câu
trả lời cho hầu hết các mối quan tâm bảo mật liên quan đến 4 thành phần dễ bị tấn
công trong mạng riêng ảo. Nó đảm bảo sự an toàn của dữ liệu trong khi truyền.
IPSec bảo mật dữ liệu bằng cách mã hoá mỗi gói dữ liệu với các thuật toán mã hoá
mạnh. Kết quả là kẻ nghe trộm hoặc thậm chí cả ISP trung gian không thể đọc
được dữ liệu. Hơn nữa, IPSec xác thực mỗi gói dữ liệu riêng lẻ ngoài việc xác thực
người dùng cuối một lần. Điều này làm giảm khả năng giả mạo.
Thêm hai khía cạnh bảo mật của bất kỳ giao dịch nào dựa trên mạng riêng ảo
là quan hệ tin cậy và trao đổi khoá giữa các bên liên quan. Nếu một trong hai khía
cạnh này bị tổn hại thì sự an toàn của toàn bộ thiết lập mạng riêng ảo có thể bị tổn
hại.
Vấn đề quan hệ tin cậy:
Tin cậy là một phần không thể thiếu của việc đảm bảo an toàn cho bất kỳ hệ
thống nào, bao gồm cả thiết lập mạng riêng ảo của ta. Tuy nhiên, sự tin cậy có thể
bị khai thác để giành được quyền truy cập vào thiết lập an toàn cẩn mật của ta. Vì
vậy, cần phải để ý các vấn đề sau khi quyết định mức tin cậy trong thiết lập của ta
với các thực thể bên ngoài:
+ Các ứng dụng như Telnet, FTP rất dễ bị tấn công. Cân nhắc để sử dụng các
ứng dụng an toàn hơn, như SSH để thay thế
Chú ý Vì sự phức tạp của các cơ chế bảo mật mà SSH sử dụng, hiệu suất của SSH
qua VPN sẽ bị chậm.
+ Không chạy các dịch vụ thêm trên Server VPN. Server VPN phải chạy
không chỉ tối thiểu các ứng dụng và dịch vụ liên quan đến mạng riêng ảo mà còn
- phải tối thiểu hoá các dịch vụ mà kẻ xâm nhập có thể truy cập trong trường hợp
xâm nhập thành công.
+ Mặc dù việc không tin cậy hoàn toàn các Client VPN đã xác thực là không
thích hợp, ta nên duy trì một mức không tin cậy hợp lý. Nếu cung cấp truy cập hạn
chế tới các tài nguyên và thiết bị, nhưng vẫn cho phép người dùng thực hiện các
hoạt động cần thiết liên quan đến công việc của họ, ta có thể giảm hậu quả của sự
xâm nhập trong đó kẻ tấn công nhằm vào các máy của người dùng cuối. Cũng có
thể dùng firewal để hạn chế các truy cập nói trên
Các xem xét liên quan đến trao đổi khoá:
Trao đổi khoá giữa các bên liên quan là một khía cạnh khác của bảo mật mà
khi bị tổn hại có thể dẫn đến tổn hại rất lớn trong mạng. Vì thế, điều cốt yếu là khả
năng phân phối các khoá một cách an toàn, đặc biệt trong trường hợp sử dụng mật
mã đối xứng, như ta đã biết, trong mật mã đối xứng thường sử dụng một khoá mật
cho cả lập mã và giải mã. Vì thế, nếu khoá này rơi vào tay một kẻ xâm nhập, nó sẽ
mang lại cho kẻ xâm nhập khả năng truy cập tới các giao dịch đang tiếp diễn. Sẽ là
hợp lý khi sử dụng IPSec, bảo mật SSH và các ứng dụng dựa trên SSL/TSL, nó
tránh được việc trao đổi khoá dưới dạng rõ.
Mật mã phi đối xứng không giống như mật mã đối xứng, không dựa vào một
khoá cho việc giải mã và lập mã. Trái ngược với các mật mã đối xứng, mật mã phi
đối xứng trao đổi các khoá công khai giữa các bên liên quan và sử dụng các khoá
mật tương ứng với chúng cho chức năng giải mã. Tuy nhiên, các cơ chế này không
phải tuyệt đối an toàn và rất dễ bị tổn thương với các tấn công kiểu Man-in-the-
Middle. Trong kiểu tấn công này, kẻ xâm nhập có thể thay thế khoá công khai của
anh ta, và như vậy hoàn toàn truy cập được vào liên lạc giữa hai người dùng cuối
hợp lệ. Vì vấn đề này, ta cần phải xác nhận lại khoá công khai với những người
liên lạc khác sau khi pha trao đổi khoá hoàn tất, nhưng trước khi pha trao đổi dữ
liệu bắt đầu. Mặc dù để thực hiện như vậy mọi lúc là không thể, một sự kiểm tra
chéo ngẫu nhiên của các khoá công khai nhận được rất nên được thực hiện.
- Một điểm mà ta phải luôn lưu ý, bất kể mật mã đối xứng hay phi đối xứng thì
các khoá không bao giờ lưu trữ trên một điểm cuối VPN, nơi chúng dễ dàng bị truy
cập bởi kẻ xâm nhập. Một giải pháp khả thi cho vấn đề này là lưu trữ các khoá
trong một vị trí tập trung, được bảo vệ tốt thay vì lưu trữ tất cả các khó trên một
Server VPN riêng. Mặc dùng quá trình truy cập khoá có thể bị kéo dài, nhưng
trong thực tế, nó không chỉ giảm gánh nặng lưu trữ trên Server VPN mà còn nâng
cao việc bảo đảm an toàn cho các khoá.
5.1.2. Vấn đề đánh địa chỉ và định tuyến mạng riêng ảo
Một vấn đề quan trọng khác trong việc lập kế hoạch và thiết kế mạng riêng ảo
là việc đảm bảo rằng các địa chỉ IP cần được gán cho các thiết bị mạng riêng ảo
phải có kế hoạch và hợp lý. Hơn nữa, cũng cần phải đảm bảo rằng lược đồ định
tuyến không chỉ có khả năng điều khiển kết nối mạng công cộng dựa trên địa chỉ
IP toàn cục, mà còn sẽ có khả năng thích ứng với bất kỳ về lược đồ đánh địa chỉ IP
của ta trong tương lai. Ngoài ra, giới hạn hợp lý phải được giữ để đảm bảo rằng các
đối tác thương mại bên ngoài và các Client từ xa cũng có thể kết nối tới mạng riêng
ảo của chúng ta mà không gặp phải vấn đề trục trặc
5.1.2.1. Vấn đề đánh địa chỉ
Trong một mạng riêng, một công ty A không cần mua các địa chỉ IP duy
nhất(được biết như là các địa chỉ IP toàn cầu) từ một cơ quan có thẩm quyền, nhưu
InterNIC, IANA hoặc từ ISP. Công ty A có thể sử dụng các địa chỉ IP riêng hoặc
bất kỳ một địa chỉ IP nào mà họ thích bởi vì truyền thông trong một mạng riêng
không phải định tuyến ra ngoài phạm vi công ty. Kết quả là, các host và các thực
thể đặt trong một mạng riêng không thể liên lạc với các mạng qua Internet hay các
mạng công cộng khác và vì vậy nó biệt lập với thế giới bên ngoài
Chú ý: Các địa chỉ IP trong phạm vi 10.0.0.0 – 10.255.255.255, 172.16.0.0 –
172.31.255.255 và 192.168.0.0 – 192.168.255.255 được dùng như các địa chỉ IP
riêng và có thể được dùng trong một mạng riêng hoặc Intranet không sử dụng một
mạng công cộng để kết nối tới các nhánh ở xa và người dùng từ xa
- Lược đồ địa chỉ riêng không hoàn toàn đúng cho các mạng riêng ảo vì chúng
còn dựa trên một mạng đường trục công công để truyền thông. Điều này ngụ ý
rằng chỉ VPN Client và Server liên quan trong một giao dịch là cần một địa chỉ IP
công cộng. Liên lạc thực sự trên giao diện VPN ảo sẽ làm việc với các địa chỉ IP
riêng. Kết quả là, công ty A sẽ đòi hỏi ít nhất một khối địa chỉ IP duy nhất toàn cầu
từ ISP. Ta sẽ xem xét các nhân tố sau lúc đánh địa chỉ các thiết bị mạng riêng ảo
- Nếu công ty A sử dụng đường leased line để kết nối tới ISP, các thiết bị
mạng riêng ảo sẽ được cấp phát các địa chỉ IP tính. Các trường hợp khác, nếu sử
dụng các kết nối quay số để kết nối tới ISP POP, các Client VPN được dùng bởi
những người dùng di động phải được cấp phát các địa chỉ IP động, mặc dù VPN
Server sẽ vẫn đòi hỏi một địa chỉ IP tính để có khả năng truy cập. Tuy nhiên, có
một sự kế thừa vấn đề gắn với các Client VPN sử dụng địa chỉ IP động. Ta không
thể giới hạn truy cập tới VPN Server trên cơ sở các địa chỉ IP mà ISP có thể cấp
phát cho các VPN Client mỗi lần khác nhau. Trong hoàn cảnh này, các VPN
Server rất dễ bị tấn công bởi các nguy cơ bảo mật mà một kẻ tấn công có thể hành
động như một người dùng tin cậy.
- Sẽ không vấn đề gì nếu sử dụng một VPN Server đơn hoặc nhiều VPN
Server, tất cả phải được cấp phát một địa chỉ IP tĩnh. Nếu các VPN Server sử dụng
các địa chỉ IP động, VPN Client không thể định vị được Server mong muốn.
- Nếu địa chỉ IP xung đột có thể cắt xén nếu cần hợp nhất hai mạng riêng, như
trong trường hợp sát nhập hai tổ chức. Trong kịch bản này, nếu các mạng được hợp
nhất sử dụng địa chỉ IP riêng thì rất có thể một số địa chỉ IP có thể xung đột. Việc
thay đổi các địa chỉ IP xung đột là dễ dàng nếu chỉ với số lượng nhỏ các IP bị xung
đột. Tuy nhiên, với một số lượng lớn thì có thể ta phải thay đổi lược đồ địa chỉ IP
của ít nhất một mạng hoặc xấu nhất là toàn bộ mạng sau khi hợp nhất. Việc thay
đổi lược đồ địa chỉ là rất mất nhiều thời gian. Có thể sử dụng khả năng cẩu hình địa
chỉ IP tự động, như sử dụng DHCP. Giao thức này cho phép một thiết bị mạng
nhận được thông tin cấu hình, bao gồm cả một địa chỉ IP động khi thiết bị đó khởi
động.
- - Nếu không có đủ địa chỉ IP duy nhất toàn cầu, cách thích hợp nhất là sử
dụng địa chỉ IP riêng trong mạng của công ty và một NAT tại vành đai mạng để
kết nối với thế giới bên ngoài. NAT sẽ cấp phát một địa chỉ IP duy nhất bất cứ lúc
nào một host bên trong cần kết nối tới Internet hoặc thiết lập một phiên mạng riêng
ảo. Cách này sẽ giúp ta đảm bảo rằng không có xung đột IP khi thiết lập kết nối
Internet hoặc một phiên mạng riêng ảo. Một điểm quan trọng ở đây là NAT và
VPN có thể xung đột vì việc ghi đè tiêu đề
Chúng ta giả thiết rằng công ty A trước đây có một mạng truyền thống, trong đó các mạng Intranet khác
nhau của công ty được kết nối với nhau qua các phương tiện thiết bị riêng, như đường leased-line hoặc
frame relay. Chúng ta cũng giả thiết rằng công ty A đã xây dựng một lược đồ địa chỉ cho mạng của họ. Vì
mạng là độc lập và đường trục sử dụng chỉ các phương tiện thiết bị riêng, công ty A có thể sử dụng hoặc
các địa chỉ IP nhập nhằng toàn cục(private) hoặc
Thêm vào BST
Báo xấu
Download
Vui lòng tải xuống để xem tài liệu đầy đủ
