1

MỤC LỤC

MỤC LỤC 1
LỜI NÓI ĐẦU 3
CHƯƠNG 1. TỔNG QUAN VỀ VPN 9
1.1 Khái niệm VPN 9
1.2 Phân loại VPN 9
1.3 Các giao thức VPN 9
1.3.1. Giao thức PPTP 9
1.3.2. Giao thức L2TP 9
1.3.3. Giao thức IPSec 10
CHƯƠNG 2. CÁC NGUY CƠ MẤT AN TOÀN VPN 11
2.1 Virus 11
2.2 Tấn công giao thức VPN 12
2.2.1. Tấn công PPTP 12
2.2.2. Tấn công trên IPSec 13
2.3 Tấn công bằng kỹ thuật mật mã 14
2.3.1. Tấn công vào các văn bản viết bằng mật mã. 14
2.3.2. Tấn công vào các bản rõ đã biết(hình thức có thể hiểu được của các
văn bản mã hóa) 15
2.3.3. Tấn công vào các bản rõ được chọn 15
2.3.4. Tấn công người xen giữa (Man-in-the-Middle Attacks) 16
2.3.5. Tấn công bằng sức mạnh vật lý 16
2.3.6. Tấn công timing (timing attacks) 17
2

2.4 Tấn công từ chối dịch vụ: 17
2.4.1. SYN Foods 18
2.4.2. Cơn bão quảng bá ( Broadcast Storm). 19

dữ liệu phân bố……
Tuy nhiên khi internet làm giảm đi ranh giới giữa các nhà tổ chức, giữa
các cá nhân với nhau, thì nguy cơ mất an toàn, khả năng bị xâm phạm các bí mật,
các tài nguyên thông tin cũng tăng lên. Theo thống kê, số vụ tấn công và xâm
phạm tài nguyên thông tin trên internet mỗi năm tăng lên 100% so với năm
trước.
Làm sao để các tổ chức, các cá nhân đang sử dụng mạng cục bộ khi tham
gia internet vừa có thể bảo vệ an toàn được các dữ liệu quan trọng không bị sao
chép, sửa đổi hay phá hủy, vừa đảm bảo được tính sẵn sàng cao của dữ liệu mỗi
khi cần đến, đồng thời vẫn đảm bảo khả năng truy xuất thuận tiện, nhanh
chóng…. Vấn đề này đã trở nên hết sức quan trọng. Tuy nhiên để cho người
quản trị hệ thống mạng có thể đảm bảo yêu cầu trên, họ cần có những công cụ
hữu hiệu.
Với lý do trên, em chọn đề tài “Nguy cơ mất an toàn VPN và xây dựng mô
hình VPN an toàn” làm đề tài thực tập của em.
4

Nội dung báo cáo chia làm :
CHƯƠNG I: TỔNG QUAN VỀ VPN
Chương này giới thiệu qua khái niệm về mạng VPN là gì, lợi ích của nó đem
lại cho chúng ta và khi dùng mạng riêng ảo thì có những ưu nhược điểm gì.Giới
thiệu về các kiểu kết nối VPN và các yêu cầu cơ bản để thiết lập nên một mạng
VPN.
CHƯƠNG II: NGUY CƠ MẤT AN TOÀN VPN
Ở chương này là một số nguy cơ cho người sử dụng VPN có thể không được
an toàn nếu người dùng không sử dụng hiệu quả theo một tiêu chuẩn an toàn thì
khả năng bị các hacker kiểm soát được kết nối VPN là hoàn toàn có thể.
CHƯƠNG III: XÂY DỰNG VPN AN TOÀN
Dựa vào tính cấp thiết để đảm bảo an toàn cho người dùng VPN ta xây dựng
một mô hình VPN an toàn có thể đáp ứng được nhu cầu dùng VPN một cách

Hình 3.6: Tường lửa nằm sau máy chủ VPN 31
Hình 3.7: Mô hình VPN đặt sau tường lửa 32
Hình 3.8: Mô hình triển khai NAT 33
Hình 3.9: Mô hình NATs tĩnh 34
Hình 3.10: Mô hình NATs động 34
Hình 3.11: Mô hình NATs động quá tải 35
Hình 3.12: Mô hình NATs động chồng lấp 36
Hình 3.13: Mô hình triển khai SOCKS trên VPN 37
Hình 3.14: Hai lớp của SSL 39
Hình 3.15: Mô hình VPN+NPS 40
Hình 3.16: Cài Active Directory certlcate server 41
Hình 3.17: Chọn giao diện xin CA 41
Hình 3.18: Cài đặt Network policy and access services 42
Hình 3.19: Cài role service 42
Hình 3.20: Vào network server 43
Hình 3.21: Chọn chính sách yêu cầu cho VPN 44
Hình 3.22: Chính sách được truy cập 44
Hình 3.23: Tạo chính sách không được truy cập 45
Hình 3.24 : New network policy được truy cập 45
Hình 3.25: New network policy không được truy cập 46
Hình 3.26: Chính sách cho VPN 47
Hình 3.27: Chọn giao thức kết nối 47
Hình 3.28: Chọn cơ chế mã hóa 48
7

Hình 3.29: Cài đặt VPN 49
Hình 3.30: Cấu hình IP để VPN cấp 49
Hình 3.31: Enable this enfocenert client 50
Hình 3.32: Start dịch vụ mạng 50
Hình 3.33: Cấu hình VPN trên Client 51

TPSec
08
Generic Routing Encapsulation
GRE
09
Network Policy Server
NPS
09
Network Address Translation
NAT
10
Terminal Access Controller Access
Controller System
TACACS
11
Remote Access Dial- In-User Service
RADIUS
12
Authentication Authirization Accounting
AAA
13
SOCKet Server
SOCKS
14
Secure Socket Layer
SSL
15
Transport Layer Security
TLS


1.3.3. Giao thức IPSec
IPSec là một kiến trúc an toàn dựa trên chuẩn mở, có đặc điểm sau:
- Cung cấp tính xác thực, mã hóa, toàn vẹn dữ liệu và bảo vệ sự phát lại
- Cung cấp khả năng tạo và tự động làm tươi các khóa mật mã một cách an
toàn. 11

CHƯƠNG 2. CÁC NGUY CƠ MẤT AN TOÀN VPN
VPN có thể bị tấn công bằng rất nhiều đường:
- Virus
- Tấn công vào các giao thức của VPN
- Tấn công bằng cách giải mã
- Tấn công từ chối dịch vụ
2.1 Virus
VPN đem lại cho ta rất nhiều tiện ích như là khả năng an toàn mà chi phí
cấu hình lại giảm nhưng thực tế thì cũng có một số vấn đề không được an toàn
tuyệt đối nếu như người dùng không sử dụng chính sách mạnh thì việc phá vỡ
VPN là hoàn toàn có thể. Chính vì những lý do đó mà hệ thống VPN của chúng
ta phải thiết lập chặt chẽ hơn để giảm thiểu nguy cơ mất an toàn đối với VPN.
Sau đây ta phân tích một số nguy cơ mất an toàn đối với người dùng VPN không
cẩn trọng đó là virut.
Virut Keystroke logger là ẩn phần mềm ngồi giữa phần cứng bàn phím và
hệ điều hành hệ thống nó có thể ghi lại tất cả các quy trình của người dùng khi
gõ bàn phím và được truyền tải qua thư điện tử hoặc trang web hoặc lưu trên
cùng một hệ thống như một tập tin ẩn.
Keystroke logger ghi tên ứng dụng, thời gian và ngày ứng dụng được mở
ra và tổ hợp phím liên quan tới ứng dụng đó. Keystroke logger có khả năng nắm
bắt thông tin trước khi nó có thể được mã hóa để truyền qua mạng.

Chú ý :GRE sử dụng cơ chế định tuyến một cách tự động, điều này ảnh
hưởng nghiêm trọng đến VPN. Để ngăn các gói tin địn tuyến tự động, VPN yêu
cầu bạn phải sử dụng cơ chế định tuyến tĩnh. Một giải pháp khác là cho dữ liệu
đi qua tường lửa sau khi GRE header được gỡ bỏ.
13

Một điểm yếu khác của GRE là gói tin GRE sử dụng một chuỗi # để đồng
bộ đường hầm. Tuy nhiên GRE không đưa ra cơ chế để GRE chống lại các chuỗi
bất hợp lệ. Lợi dụng điểm này, các tin tặc sẽ truyền dữ liệu nguy hiểm vào các
dữ liệu bị biến đổi để đánh lừa điểm đích, điểm đích tưởng đó là các chuỗi đồng
bộ và không xử lý, nhờ chiến thuật này các dữ liệu nguy hiểm sẽ lọt vào mạng
nội bộ của công ty.
PPTP cũng có thể bị tấn công bằng “ kĩ thuật tấn công bằng từ điển”
.PPTP dùng Microsoft-Point-to-Point-Encryption (MPPE) để gửi mật khẩu đi mà
không hề mã hóa. Nếu kẻ xâm nhập có thể lấy được một phần của mật khẩu :
như giải thuật toán băm,mật khẩu được băm, chúng sẽ dùng những thông tin có
được để khôi phục được mật khẩu chính xác ban đầu.
Bây giờ password có kích thước nhỏ do chuẩn mã hóa. Do đó nó có thể
được xác định bằng brute-force. Phụ thuộc vào hệ thống, password và trình độ
người tấn công thì sự tấn công có thể thành công trong 1 ngày 1 giờ hay chỉ 1 vài
giây.
2.2.2. Tấn công trên IPSec
IPSec không phải là một giải thuật mã hóa cũng như cơ chế xác thực.
IPSec sẽ kêt hợp với các giải thuật khác để bảo vệ dữ liệu. Tuy nhiên IPSec vẫn
có điểm yếu :
 Tấn công chống lại việc triển khai IPSec
 Tấn công chống lại việc quản lý khóa
 Administrative and winlcard attacks
Các tin tặc khai thác hai điểm yếu của việc triển khai IPSec để tấn công:
sử dụng giải thuật null, hai máy kết nối sẽ thống nhất một khóa yếu hơn nếu một

Trong các kỹ thuật tấn công này, tin tặc không cần quan tâm đến nội dung
dữ liệu gốc mà chỉ cần các văn bản mã hóa. Các tin tặc sẽ sử dụng các công cụ
có sẵn để khôi phục lại dữ liệu ban đầu từ dữ liệu mã hóa. Kỹ thuật này không
hiệu quả lắm và thường vô dụng đối với các kỹ thuật mã hóa hiện đại.
15

 Chú ý: “Reverse engineering” là quá trình chuyển các thông tin được mã
hóa về trạng thái ban đầu trước khi được mã hóa. Phương pháp “hit-and-
miss” cần rất nhiều thời gian và nỗ lực.
Do các thông điệp thường có định dạng gần giống nhau. Thêm vào đó kinh
nghiệm phân tích các văn bản mã hóa sẽ giúp tin tặc xác định tin gốc ban đầu khi
chưa mã hóa.
Các kỹ thuật mã hóa mới đều có các cơ chế chống lại kỹ thuật tấn công
này nên hiện tại kỹ thuật này không có hiệu quả cao
2.3.2. Tấn công vào các bản rõ đã biết(hình thức có thể hiểu được của các văn
bản mã hóa)
Trong kỹ thuật này, các tin tặc đã giải mã một phần thông điệp mã hóa và
sử dụng những thông tin kinh nghiệm giải mã có được để giải phần mã còn lại.
Ví dụ : Các tin tặc có thể giải mã một phần khóa, dựa vào đó để dự đoán phần
còn lại của khóa, sau đó dùng khóa để giải mã toàn bộ thông điệp.
Kỹ thuật tấn công plaintext tuyến tính là kỹ thuật thông dụng nhất. Các bít
của plaintext đã biết sẽ được XORed với nhau, các bít của văn bản mã hóa cũng
được XORed với nhau. Sau đó sẽ lấy kết quả XORed với nhau. Nhiệm vụ là tìm
ra các bít là XOR của các bít khó. Nếu chúng ta XORed một số lượng lớn các
văn bản mã hóa và các plaintext với nhau chúng ta có thể xác định các khóa mã
hóa và giải mã toàn bộ phần còn lại. Để làm được điều này chúng ta cần có một
cơ sở dữ liệu lớn để giải mã.
2.3.3. Tấn công vào các bản rõ được chọn
Trong kỹ thuật này các tin tặc sẽ chọn ngẫu nhiên một đoạn văn bản đã
được mã hóa. Các tin tặc sẽ xác định khóa để mã hóa văn bản sau đó các khóa

40
lần thử. Với kỹ thuật hiện tại, mất khoảng một tuần
để phá khóa 40 bít, khoảng vài tháng để phá khóa 52 bít. Khóa 128 bít là an toàn
nhất.
17

Kỹ thuật này đòi hỏi máy tính phải có cấu hình cực mạnh, một cơ sở dữ
liệu đủ lớn. Càng ngày công nghệ càng phát triển, máy tính càng mạnh, nguy cơ
tiềm ẩn càng cao.
2.3.6. Tấn công timing (timing attacks)
Đây là một kỹ thuật tấn công bằng phương pháp giải mã tương đối mới,
trước hết các tin tặc cần xác định khoảng thời gian để tạo khóa, thông tin này sẽ
được phân tích để xác định giải thuật và khóa dùng để mã hóa.
 Chú ý: kỹ thuật tấn công này không chú trọng vào phần mềm mà chú
trọng vào phần cứng. Bất cứ người truyền tin sử dụng kỹ thuật mã hóa nào,
các tin tặc đều sử dụng cùng một cách phá mã. Tốc độ phá mã càng hoàn
hảo nếu như tốc độ xử lý của phần cứng các tin tặc sử dụng càng cao.
2.4 Tấn công từ chối dịch vụ:
Denial-Of-Service (DoS) là kỹ thuật tấn công khá lạ, tin tặc sử dụng một
mạng khác để tấn công, ví dụ như : mạo nhận,malware, virus xâm nhập cơ sở dữ
liệu hoặc gây thiệt hại. Kỹ thuật này có thể gây ra nghẽn mạng ở các trang web.
Tấn công DoS là kỹ thuật khá phổ biến vì nó không cần bất kì phần mềm
đặc biệt nào để xâm nhập mạng đích. Tin tặc này có thể làm nghẽn mạng bằng
cách gửi vào load dữ liệu từ trang web. Việc này làm trang web không thể truy
cập được tất cả các router muốn kết nối với máy chủ đặt web đều bị chặn lại.
Hậu quả của việc tấn công này có thể làm hư hỏng hoàn toàn máy đích.

18
gói tin SYN. Nếu ID giả được gởi đi, máy chủ bên kia không bao giờ nhận
được thông tin thật. Thậm chí nếu vẫn còn kênh để kết nối máy chủ đối diện
sẽ bận rộn với nhiều yêu cầu giả để có thể kết nối với máy chủ cần thết.
 Để chống lại kĩ thuật tấn công DoS, có nhiều công cụ ví dụ như: phần
mềm Cisco IOS và tường lừa CiscoPix
2.4.2. Cơn bão quảng bá ( Broadcast Storm).
Thông tin quảng bá là thông điệp được gửi dến mọi cá nhân trọng mạng.
Càng nhiều thông tin quảng bá, càng nhiều thông điệp lưu thông trên mạng.
Người ta dùng thuật ngữ cơn bão quảng bá để mô tả kỹ thuật tấn công này.
Khi sử dụng kỹ thuật cơn bão quảng bá để tấn công, các tin tặc sẽ gửi một
lượng gói tin cực lớn chứa các địa chỉ giả vào mạng cá nhân. Do địa chỉ giả này
không tồn tại trong mạng, các gói tin này sẽ lưu thông trong mạng, di chuyển từ
máy này sang máy khác cho đến khi nó làm mạng hoàn toàn đóng băng. Các
công cụ như asping và gửi mail để tạo ra các cơn bão quảng bá. Chúng ta có thể
ngăn ngừa hình thức tấn công này bằng cách chặn các thông điệp quảng bá
không hợp lệ trong mạng.
2.4.3. Smurf DoS
Tấn công smurf được đặt tên sau khi chương trình này được sử dụng để
tấn công. Thỉnh thoảng nó còn có tên gọi khác là tấn công khuếch đại ICMP.
20

Để thực hiện kỹ thuật tấn công này các tin tặc sử dụng một địa chỉ IP giả
và gửi một lượng lớn các yêu cầu phản hồi ICMPI(ping). Các máy tính nhận
được yêu cầu này có trách nhiệm gửi trả lại thông điệp ICMP. Kết quả là một
lượng lớn các gói tin lưu thông trong mạng làm mạng trở nên tắc nghẽn.
Ghi chú: Nếu có hàng trăm máy tính trong mạng nội bộ, một máy sẽ trả lời
cho một yêu cầu cụ thể.
2.4.4. Ping of Death
Ping of death là tấn công DoS các tin tặc sẽ gửi một lượng lớn các gói tin
có dung lượng lớn 65,535 byte. Các gói tin đó sẽ được gửi vào máy của nạn

Tương tự như bom mail spam mailling cũng nhắm vào hộp thư thoại
email. Spam mailling sử dụng một địa chỉ phản hồi giả. Khi bạn gửi thông tin
phản hồi cho thông điệp này, phản hồi sẽ đi đến một địa chỉ email không có thực.
Nếu có một lượng lớn các bức mail như vậy hoặc các bức mail có khả năng tự
nhân đôi, hộp thư mail bị quá tải và máy chủ có thể treo.
 Chống tấn công DoS
DoS là một vũ khí nhanh chóng và hữu hiệu của các tin tặc. Để chống lại,
có thể thực hiện các bước sau
 Vô hiệu hóa các dịch vụ mạng không dùng hoặc không cần thiết.
 Duy trì các bản sao.
 Tạo, duy trì đăng nhập thường ngày.
 Tạo các mật khẩu.
 Triển khai hệ thống phát hiện kẻ xâm nhập.
 Triển khai các bộ lọc lộ trình và các bộ lọc phân đoạn gói tin ICMP.
 Triển khai các hệ thống bảo mật nghiêm ngặt trên máy của bạn.
 Định cấu hình cho bộ lọc các gói tin IP giả.
 Đặt các bản vá, sửa lỗi để chống lại tấn công TCP SYN.
22

 Phân chia file hệ thống để chia các file ứng dụng.
 Triển khai các công cụ như tripwire để phát hiện các việc thay đổi
thông tin file cấu hình hoặc các file khác. 23

CHƯƠNG 3. XÂY DỰNG VPN AN TOÀN
3.1 Kỹ thuật xác thực từ xa
Kỹ thuật xác thực từ xa đảm bảo người dùng có thẩm quyển mới có khả
năng truy nhập vào mạng nội bộ. Các cơ chế xác thực được tích hợp vào VPN để

dùng có quyền truy nhập vào mạng không và liệu có được thực hiện các dịch vụ
mà người dùng yêu cầu không.
3.1.1.3 Dịch vụ tính toán
Là một cơ chế để ghi lại các hoạt động của người dùng sau khi đăng nhập
thành công vào mạng. Dịch vụ gồm : tập hợp, bill, kiểm định, báo cáo về nhận
dạng người dùng, các câu lệnh đã dùng suốt phiên làm việc, số lượng các gói tin
đã truyền. Thông thường dịch vụ tính toán được kích hoạt sau quá trình xác thực
và quá trình cấp phép, tuy nhiên thứ tự này không cố định. Dịch vụ tính toán có
thể xảy ra cho dù chưa có quá trình xác thực và quá trình cấp phép.
Mô hình AAA có thể triển khai tại các thiết bị mạng trung tâm (ví dụ máy
chủ đang nhập từ xa và máy chủ RADIUS)

25 Hình 3.1: Mô hình 1 mạng dùng AAA
AAA cũng có thể được triển khai ở các máy đơn. Tùy vào số lượng các
thiết bị mạng và độ phức tạp của mạng, quản trị mạng cân nhắc có triển khai hay
không. Khi mô hình AAA được triển khai từ máy chủ đăng nhập từ xa, bất kỳ
người dùng nào đăng nhập vào máy chủ đều phải qua các quá trình xác thực, cấp
phép và chịu sự kiểm tra của dịch vụ tính toán.
3.1.2. Dịch vụ người dùng truy nhập quay số từ xa
Chương trình được phát triển bởi công ty Livingston dưới sự hỗ trợ của
IETF, RADIUS sẽ trở thành một khối chuẩn trong quá trình xác thực từ xa. Nó
sẽ được hỗ trợ thành một khối chuẩn trong quá trình xác thực từ xa.
Trong hệ thống có tích hợp RADIUS, thông tin người dùng sẽ được lưu
trong cơ sở dữ liệu trung tâm. Tất cả các máy chủ truy nhập từ xa đều chia sẻ cơ
sở dữ liệu này. Khi máy chủ truy nhập từ xa được yêu cầu từ người dùng,
RADIUS cho phép quá trình truyền thông giữa cơ sở dữ liệu và máy chủ từ xa.
RADIUS sẽ xác thực định dạng và dòng có gói tin giữa cơ sở dữ liệu và máy chủ