Bảo mật mạng riêng ảo VPN, 7 tiêu chí bảo mật VPN bạn nên biết

bao mat vpn

Bảo mật VPN là gì? Bảo mật mạng riêng ảo VPN có những cách nào? Những tiêu chí để đánh giá và đảm bảo mật cho hệ thống VPN gồm những tiêu chí nào? Tất cả các thắc mắc của các bạn sẽ có trong bài viết Bảo mật mạng riêng ảo VPN, 7 tiêu chí bảo mật VPN bạn nên biết của Huỳnh Quí IT, xin mời các bạn xem qua.

Để có thể đảm bảo sự hoạt động liên tục của mạng, đặc biệt là những hệ thống mạng lớn là vấn đề có vai trò rất quan trọng. Người quản trị mạng phải nắm bắt được đầy đủ và thường xuyên các thông tin về cấu hình, sự cố nếu có và tất cả số liệu liên quan đến việc sử dụng mạng của hệ thống mình đang quản lý nói chung và việc bảo mật vpn nói riêng.

Việc quản lý mạng VPN bao gồm: quản lý bảo mật vpn, quản lý địa chỉ IP và quản lý chất lượng mạng. Đầu tiên, chúng ta cùng đi qua nội dung chính của bài viết ngày hôm nay là quản lý bảo mật vpn.

Xem thêm: bài viết trước Mạng riêng ảo VPN là gì? 5 ưu điểm nổi bật của VPN có thể bạn chưa biết

Quản lý bảo mật VPN (mật mã và xác thực)

Quản lý bảo mật vpn không chỉ bao hàm việc xác thực những người dùng từ những vị trí khác nhau, điều khiển quyền truy cập mà còn quản lý khoá, liên kết với các thiết bị VPN. Trong phần này ta sẽ thảo luận các vấn đề về bảo mật các máy tính, các mạng và dữ liệu nhé.

Trước tiên ta sẽ tìm hiểu về chính sách bảo mật thống nhất, những vấn đề liên quan đến bảo mật xung quanh việc quản lý bảo mật VPN. Sau đó, chúng ta sẽ tập trung vào chọn lọc một số giải thuật mã hoá và các chiều dài khoá, phân phối các khoá và liên kết thông tin trong tập liên kết bảo mật IPSec, cũng như xác thực người dùng và điều khiển truy cập.

IPSec đưa ra các chính sách bảo mật dữ liệu với bất kỳ giao thức nào và có nhiều lựa chọn nên việc quản lý bảo mật VPN sẽ tập trung trên nền IPSec, có bao hàm PPTP và L2TP ở những vị trí thích hợp.

Đầu tiên, trong các tiêu chí về bảo mật VPN, chúng ta sẽ đi qua tiêu chí thứ nhất là các chính sách bảo mật thống nhất.

Các chính sách bảo mật thống nhất:

Một khung làm việc bảo mật cho một tổ chức bao gồm các yếu tố: xác thực, tính bảo mật, tính nguyên vẹn, cấp quyền, tính sẵn sàng, quản lý và độ tin cậy. Một cơ chế bảo mật thống nhất cần thực hiện:

  • Xem xét những gì ta đang bảo mật.
  • Xem xét những gì ta cần bảo mật từ đâu.
  • Xác định các nguy cơ có thể.
  • Tiến hành đánh giá những việc bảo mật trong phương pháp xác thực giá.
  • Xem xét việc xử lý một cách liên tục.
  • Hoàn thiện mọi thời gian thực.

cac thanh phan he thong bao mat vpn

Chính sách bảo mật truyền thống nhận biết tất cả các tài sản, thông tin đang được bảo mật, cơ sở dữ liệu tập trung và phần cứng máy tính. Nhưng, khi các hệ thống thông tin đã trở nên phân tán hơn, nhiều hơn thì các chính sách bảo mật thống nhất bao hàm quản lý trên phạm vi các LAN.

Khi định nghĩa các chính sách bảo mật cho mạng thì cần nhận biết mọi điểm truy cập tới hệ thống thông tin và định nghĩa các nguyên tắc của chính sách để bảo mật các điểm vào/ra.

Một số vấn đề khi lập một chính sách bảo mật:

  • Việc tổ chức, lập kế hoạch sử dụng các dịch vụ Internet?
  • Các dịch vụ sẽ được sử dụng ở đâu?
  • Điều gì sẽ xảy ra khi liên kết việc cung cấp các dịch vụ và truy cập?
  • Định giá cái gì trong giới hạn của điều khiển và tác động trên mạng không tin cậy được cung cấp bảo mật ?
  • Cần bổ sung những gì (mã hoá, xác thực..) để có thể hỗ trợ?
  • Ngân sách để thực hiện việc bảo mật?

Toàn bộ kế hoạch bảo mật là khả năng giám sát và đáp ứng các biến cố, sự cố  phức tạp xảy ra.

 Các phương thức mã hoá trong bảo mật vpn

Khi xây dựng một mạng VPN thì tuỳ theo mức độ yêu cầu mà ta có thể thiết lập các mức độ bảo mật vpn với dữ liệu khác nhau.

Các giao thức và giải thuật cho VPN

  • Các giao thức IPSec, PPTP và L2TP đưa ra các giải thuật cho phép để mã hoá dữ liệu.
  • Giao thức PPTP có thể sử dụng PPP, DES, 3DES để mã hoá dữ liệu. Microsoft đưa ra một phương thức mã hoá gọi là mã hoá điểm-điểm MPPE (Microsoft Point-to-Point Encryption) để sử dụng với đường hầm PPTP. MPPE sử dụng giải thuật RC4 với các khoá 40 bit hoặc 128 bit.
  • Giao thức L2TP có thể sử dụng PPP để mã hoá dữ liệu, tuy nhiên trong L2TP, thường sử dụng IPSec để mã hoá dữ liệu.
  • Trong IPSec, giải thuật mã hoá được mặc định để sử dụng trong ESP là DES và 3DES.

Chiều dài khoá

Cần phải xác định độ nhạy của dữ liệu để có thể tính toán nó nhạy bao lâu và nó sẽ được bảo mật trong bao lâu. Khi tính được, ta có thể chọn một giải thuật mã hoá và chiều dài khoá để đảm bảo thời gian phá lâu hơn nhiều thời gian nhạy của dữ liệu.

Quản lý khoá cho các cổng nối trong bảo mật vpn

Một tiêu chí bảo mật vpn tiếp theo là quản lý khoá cho các cổng (port): Các số khoá thường được yêu cầu đẩm bảo liên lạc giữa các cổng nối bao gồm:

  • Có một cặp khoá để nhận dạng 2 cổng nối khác nhau, các khoá này phải được kết nối cứng, thay đổi nhân công hoặc truyền qua các chứng nhận điện tử.
  • Các khoá phiên yêu cầu xác thực và mã hoá các gói được truyền giữa các cổng nối, cụ thể, sử dụng các tiêu đề AH, ESP của IPSec.

Các khoá khác nhau được yêu cầu cho mỗi tiêu đề IPSec và được xem xét qua các liên kết bảo mật. Ví dụ, nếu cả AH và ESP được sử dụng để xử lý các gói thì khi đó hai SA được xem xét giữa các cổng nối hoặc các host.

Nhận dạng các cổng nối

Một đường hầm bảo mật có thể được thiết lập giữa hai cổng nối bảo mật hoặc giữa một host từ xa và một cổng nối bảo mật, các thiết bị này đã được xác thực bởi một thiết bị khác và được chấp thuận trên một khoá. Xác thực ở đây không đồng thời với xác thực các gói sử dụng tiêu đề AH, mà là các thiết bị tự xác thực.

Các cổng nối sử dụng các cặp khoá chung có thể được xác thực nhân công, nhưng nó thường được kết nối cứng trong thiết bị trước khi nó được xắp xếp. Sau đó người quản lý mạng ghi các thiết bị mới với các cổng nối bảo mật khác trên VPN, đưa ra các cổng nối này khoá chung do đó có thể thay đổi các khoá phiên.

Nếu một cổng nối bảo mật không được xếp với các khoá két nối cứng, cổng nối sẽ thiết lập để đưa ra ngẫu nhiên cặp khoá của nó. Khi đó một chứng nhận điện tử sẽ được chỉ định với khoá riêng và gửi đến quyền đăng nhập chứng nhận thích hợp, một máy chủ chứng nhận nội bộ hoặc CA cấp 3 như Versign.

Khi chúng nhận được chấp thuận, chứng nhận này sẵn sàng từ CA để sử dụng bởi các cổng nối bảo mật khác và các client từ xa tới xác thực vị trí trước khi dữ liệu được thay đổi.

Điều khiển các khoá phiên

Nếu thay đổi khoá (giống như trong IPSec hay L2TP) được yêu cầu giữa các vị trí, phương thức cơ bản nhất là thay đổi nhân công các khoá. Một khoá phiên ban đầu được sinh ra ngẫu nhiên bởi một cổng nối bảo mật và sau đó người quản lý mạng phân phối khoá để quản lý thiết bị thứ cấp, cụ thể là máy điện thoại, ghi thư hoặc kết hợp thư tín.

Quản lý thứ cấp đặt khoá đến cổng nối bảo mật thứ cấp và một phiên bảo mật giữa hai cổng nối được thiết lập. Các khoá mới được sinh ra khi có yêu cầu và được phân phối cùng phương cách như trước.

Quản lý khoá cho các người dùng

Trong VPN kết nối LAN-LAN, các khoá được đưa ra và được phân phối một cách tương đối dơn giản để quản lý khi số lượng vị trí không quá lớn. Nếu số vị trí nhỏ hơn 100, một hệ thống động sử dụng các quyền chứng nhận bên ngoài hoặc máy chủ chứng nhận nội bộ nên không làm phức tạp việc quản lý tiêu đề.

Quản lý khóa đối với người dùng từ xa, với số lượng người dùng từ xa có thể lên tới hàng ngàn, cần phải xắp xếp và thực hiện tự động khi có thể. Để hỗ trợ số lượng lớn người đang truy cập từ xa với một cổng nối bảo mật thì cần phải thực liện liên kết bảo mật client một cách tập trung.

Người dùng VPN từ xa thường sử dụng máy tính xách tay để truy cập, máy tính sách tay lại dễ bị lấy cắp nên các khoá lưu trữ trên máy tính xách tay rất dễ bị mất. Có 3 công nghệ chính để bảo mật các khoá:

  • Lưu trữ các khoá trên một thiết bị di dời được như đĩa, card thông minh.
  • Mã hoá khoá với một mật khẩu và yêu cầu client xác nhận mật khẩu trước khi truy cập.
  • Mã hoá các khoá với một mật khẩu và ngăn cản truy cập nếu sử dụng sai mật khẩu. Giới hạn số lần sai mật khẩu, ví dụ: nếu sai 3 lần liên tiếp thì không cho phép client có khoá đó truy cập tiếp.

Các dịch vụ xác thực trong bảo mật vpn

Các dịch vụ xác thực sẽ là tiêu chí tiếp theo không thể thiếu trong bảo mật vpn. Có nhiều cách khác nhau để xác thực người dùng vào mạng: sử dụng mật khẩu, các hệ thống lệnh/đáp ứng sử dụng RADIUS, sử dụng các thẻ bài, các chứng nhận điện tử… Nếu thiết bị của mạng đã hỗ trợ truy cập từ xa qua modem và máy chủ truy cập từ xa, khi đó cần liên kết nó tới cổng nối bảo mật để điều khiển xác thực và quyền truy cập của các người dùng VPN.

Các dịch vụ xác thực

Nếu sử dụng L2F, PPTP, hoặc L2TP để tạo các đường hầm, dùng ISP như một điểm cuối của đường hầm thì khi đó máy chủ xác thực của ISP uỷ quyền tới máy chủ xác thực của mạng riêng. Điều này cho phép duy trì điều khiển việc thiết lập các thông số xác thực và các quyền truy cập nhưng ngăn chặn ISP dùng thông tin đó để cung cấp quyền truy cập tới những người dùng từ xa.

Quản lý CA nội bộ trong bảo mật vpn

Quản lý CA nội bộ là tiêu chí tiếp theo trong bảo mật vpn. Các chứng nhận điện tử có một chu kỳ sống hữu hạn, sau khi các chứng nhận được cấp phát một thời gian chúng sẽ ngừng hoặc có thể bị huỷ bỏ. Các chứng nhận cũng có thể được tái lập và cần được dự phòng trong trường hợp các khoá cần được thu hồi sau một ngày.

Nếu muốn tiến hành quyền đăng nhập chứng nhận riêng trong nội bộ, quản lý hệ thống không chỉ đòi hỏi tạo các cặp khoá và cấp phát các chứng nhận mà còn quản lý các khoá và các chứng nhận này. Quản lý các chứng nhận bao gồm việc duy trì nơi chứng nhận, từ chối chứng nhận khi cần và cấp phát bản kê khai huỷ bỏ các chứng nhận CRL (Certification Revocation Lists). Quản lý  khoá đòi hỏi khoá dự phòng và thu hồi khoá, tự động cập nhật khoá (và các xác thực) và quản lý nguồn gốc khoá.

Điều khiển quyền truy cập trong bảo mật vpn

Tiêu chí tiếp theo của bảo mật VPN là điều khiển quyền truy cập. Một VPN được cấu tạo để cung cấp liên lạc giữa các host và các cổng nối bảo mật. Điều khiển truy cập ở đây không chỉ bao gồm điều khiển quyền truy cập vào mạng mà còn điều khiển các mức truy cập trong mạng.  

Tài nguyên trong công ty được phân thành các mức khác nhau, tuy theo công việc và mức độ quan trọng mà có thể được  truy cập vào các tài nguyên khác nhau. Ví dụ, nhân viên bán hàng không được phép truy cập tới tài nguyên của nhóm nghiên cứu, nhóm dự án hay quản lý.   

Tóm lại, Quản lý bảo mật VPN là một phần trong chính sách bảo mật, quản lý VPN. Vấn đề xác thực người dùng và điều khiển truy cập tới các tài nguyên của mạng đóng vai trò hết sức quan trọng. Phân phối khoá để xác thực các cổng nối bảo mật và các host từ xa là phần quan trọng trong việc quản lý VPN. Các quyền đăng nhập chứng nhận hay máy chủ chứng nhận nội bộ riêng có thể được sử dụng để cấp phát và điều khiển các chứng nhận điện tử.

Vậy là hôm nay, Huỳnh Quí IT đã giới thiệu đến các bạn bài viết Bảo mật mạng riêng ảo VPN, 7 tiêu chí bảo mật VPN bạn nên biết. Nếu mọi người thấy hay hãy share bài viết và vote 5* cho bài viết này nhé.

Nếu có ý kiến thắc mắc hãy liên hệ với mình qua Fanpage.

Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Phản hồi nội tuyến
Xem tất cả bình luận
0
Rất thích suy nghĩ của bạn, hãy bình luận.x