Trong hệ thống các mạng công nghiệp ngày nay, mạng riêng ảo áp dụng cho các doanh nghiệp, tổ chức được sử dụng phổ biến với mục tiêu xây dựng kênh truyền bảo mật bằng các kỹ thuật mật mã. Tuy nhiên, cấu hình mạng riêng ảo sẽ trở nên phức tạp khi số lượng chi nhánh mạng của doanh nghiệp hay tổ chức tăng thêm. Để có thể đơn giản việc cấu hình và giảm tải chi phí vận hành và bảo trì, giải pháp DMVPN của Cisco đã được đưa ra để giải quyết những vấn đề này.
DMVPN là sự kết hợp của các công nghệ: IPSec, mGRE và NHRP, là một giải pháp phần mềm tích hợp trên hệ điều hành IOS của các thiết bị phần cứng Cisco dùng để xây dựng IPSec+GRE VPN dễ dàng và có khả năng mở rộng hơn. Đây là công nghệ mạng riêng ảo có thể thực hiện kết nối số lượng lớn các mạng ở các vị trí địa lý khác nhau một cách linh hoạt và tự động [2].
Hình 1. Mô hình chung của DMVPN
Hình 2. Hub và Spoke cấu trúc liên kết đường hầm mGRE
Hình 3. Thiết lập NHRP trong DMVPN
Trong Hình 1, mô hình DMVPN bao gồm những thành phần chính sau:
- Hub: Đặt tại trung tâm (mạng trụ sở chính) và đóng vai trò là VPNgetway chính trong DMVPN. Hub thường là các thiết bị Router, tường lửa Cisco có tài nguyên phần cứng mạnh chịu tải tốt.
- Spoke: Nằm tại các mạng LAN chi nhánh và vai trò là các VPNgetway phụ. Tương tự như Hub, Spoke cũng là thiết bị Cisco nhưng có tài nguyên hạn chế hơn. Việc triển khai DMVPN là việc tạo các đường hầm bảo mật giữa các Spoke với Hub và các Spoke với nhau. Và điều này tương ứng với hai kiến trúc của DMVPN là:
- Static Hub-Spoke VPN Tunnel: Thực hiện kết nối đường hầm bảo mật tĩnh giữa Hub và Spoke.
- Dynamic Spoke-Spoke VPN Tunnel: Thực hiện kết nối đường hầm bảo mật động giữa Spoke và Spoke.
Trong Hình 1 còn có thành phần là Internet Cloud, đây là nền tảng mạng mà nhà cung cấp dịch vụ mạng (ISP) hỗ trợ. Nền tảng mạng này tương thích với DMVPN là Frame-Reply, ATM, Leased Lines, MPLS.
Giao thức triển khai DMVPN DMVPN được xây dựng bởi các giao thức khác nhau có độ an toàn cao khi truyền dữ liệu trên nhiều nền tảng mạng khác nhau. Các giao thức thành phần của DMVPN bao gồm: mGRE, NHRP, IPsec (tùy chọn), RP, được giải thích cụ thể như sau:
mGRE (Multipoint Generic Routing Encapsulation)
GRE (Generic Routing Encapsulation) là giao thức được phát triển bởi Cisco. Giao thức này sẽ đóng gói gói tin tạo thành đường hầm ảo để kết nối điểm - điểm trên hạ tầng mạng công cộng.
mGRE tạo ra nhiều đường hầm ảo. Kết nối điểm - điểm GRE: Hub - Spoke, Spoke - Spoke (Hình 2). mGRE có ưu điểm là chỉ sử dụng một Interface đơn cho tất cả các đường hầm GRE [3].
NHRP (Next Hop Resolution Protocol)
Trong DMVPN, việc cài đặt giao thức NHRP (Giao thức phân giải Next Hop) để tạo lập mô hình mạng Client - Server. Cụ thể là Router Hub đóng vai trò hoạt động như Server và các Router Spoke còn lại hoạt động như Client. Trong thiết lập NHRP (Hình 3) cần lập lịch kết nối từ các Router Spoke tới Router Hub và cần xác định những Router Spoke được thiết lập kết nối động [3].
IPSec (Internet Protocol Security)
Việc cài đặt giao thức IPSec trong DMVPN được coi là một tuỳ chọn với mục đích là bảo mật các đường hầm dữ liệu được triển khai trong mạng này.
IPSec là giao thức thiết lập đường hầm truyền dữ liệu có bảo mật kết nối các mạng LAN (Hình 4) tại các vị trí địa lý khác nhau trên nền mạng công cộng (Internet, 4G…). IPSec cung cấp các dịch vụ an toàn thông tin như bí mật, xác thực, toàn vẹn thông qua việc sử dụng các giao thức trao đổi khóa, thuật toán mã khối (AES, 3DES…), mã xác thực thông báo cho DMVPN [4].
Hình 4. Mô hình IPSec
Bộ giao thức IPSec được xây dựng cho cả IPv4 và IPv6. Gói tin được xử lý trong IPSec thông qua một trong hai giao thức là:
- Encapsulating Security Payload - ESP: Thực hiện mã hóa dữ liệu, xác thực nội dung gói tin. Cung cấp khả năng chống lại kiểu tấn công phát lại và đảm bảo dịch vụ bí mật, xác thực, toàn vẹn cho gói tin truyền nhận.
- Authentication header - AH: Thực thi cơ chế xác thực gói tin và cơ chế chống lại kiểu tấn công phát.
- Giao thức trao đổi thoả thuận khoá: IKEv1/ IKEv2 (Internet Key Exchange) có nhiệm vụ là xác thực các thực thể và thiết lập các liên kết an toàn (Security Association - SA), thỏa thuận khoá phiên cho IPSec.
Hình 5. Gói tin ESP trong chế độ Transport và Tunnel mode
Giao thức ESP
Giao thức ESP cung cấp dịch vụ bảo mật, tính toàn vẹn dữ liệu, xác thực nguồn gốc dữ liệu nơi gửi và chống tấn công phát lại. ESP hoạt động ở hai chế độ là: Transport Mode Packet hoặc Tunnel Mode Packet được thể hiện như Hình 5.
ESP sử dụng mã khối ở chế độ CBC (Cipher Block Chaining - CBC) thường gặp là AES - CBC để bảo mật dữ liệu.
Giao thức AH
Giao thức tiêu đề xác thực AH phiên bản mới nhất được mô tả trong RFC 2042. Một gói tin AH như trong Hình 6 chứa phần header xác thực nguồn tin giữa các header của giao thức IP và TCP.
AH cung cấp các dịch vụ an toàn trong việc bảo vệ toàn vẹn dữ liệu, xác thực nguồn gốc dữ liệu và chống lại các tấn công phát lại. AH có khả năng xác thực, kiểm tra tính toàn vẹn dữ liệu. Tuy nhiên, giao thức này không thực hiện mã hóa dữ liệu, đây là điểm khác biệt so với ESP.
RP (Routing Information Protocol)
Trong DMVPN không thể thiếu được các giao thức định tuyến đóng vai trò chỉ đường cho các luồng dữ liệu. Các giao thức định tuyến được sử dụng phổ biến trong DMVPN là Open Shortest Path First (OSPF) và Enhance Interio Gateway Routing Protocol (EIGRP).
DMVPN được thiết lập và hoạt động theo ba Phase [5]:
- Phase 1: Trong phase 1 các Spoke trong DMVPN phải thực hiện đăng ký với Hub. Tiến hành thực thi các đường hầm kết nối GRE từ các Spoke đến Hub. Các Spoke trong phase này sẽ không có kết nối trực tiếp nào với nhau mà chỉ có kết nối tới Hub. Có nghĩa, Hub đóng vai trò trung tâm hệ thống mạng trong phase này mọi dữ liệu sẽ trung chuyển qua Hub.
Hình 6. Gói tin AH trong chế độ Transport và Tunnel Mode
- Phase 2: Phase này thực hiện triển khai các đường hầm mGRE giữa các Spoke với nhau. Hub đóng vai trò trung tâm điều khiển, tức là Spoke nào muốn thiết lập mGRE với Spoke khác phải gửi yêu cầu tới Hub. Điều này dẫn tới việc xây dựng đường hầm dữ liệu giữa các Spoke diễn ra một cách linh hoạt khi có nhu cầu và luồng dữ liệu sẽ được chuyển tiếp tới Spoke đối tác và không cần qua Hub, đây là điểm khác biệt giữa phase 2 so với phase 1. Trong giai đoạn này có thể triển khai tuỳ chọn IPSec để bảo mật dữ liệu giữa Spoke-Spoke, Spoke-Hub.
- Phase 3: Trong Phase 3, những đường hầm Spoke - Spoke được triển khai có thể sử dụng các địa chỉ IP Public được cấp phát động thông qua giao thức NHRP (redirect and shortcuts) từ Hub.
Công nghệ DMVPN và VPN truyền thống sử dụng cùng một giao thức bảo mật dữ liệu đường truyền là IPSec.
Ngoài việc linh hoạt mở rộng, những mạng IPSec VPN, DMVPN còn có những ưu điểm hơn so với VPN như sau [5]:
- Cơ chế điều khiển trung tâm bởi Hub cung cấp khả năng linh hoạt trong triển khai đường hầm tự động Spoke - to - Spoke. Cho phép việc mở rộng mạng riêng ảo cho các nhánh mạng mới của doanh nghiệp ở các vị trí địa lý khác nhau được dễ dàng, chi phí thấp.
- Hỗ trợ nhiều giao thức định tuyến như OSPF, EIGRP... giúp DMVPN triển khai đồng bộ trên hạ tầng mạng của nhiều nhà cung cấp dịch vụ mạng khác nhau.
- DMVPN hỗ trợ nhiều cơ chế nâng cao chất lượng dịch vụ (QoS), đặc biệt hỗ trợ các chính sách QoS động tự động với các chính sách QoS có sẵn ứng dụng lên các tunnel khi chúng được thiết lập.
- DMVPN tích hợp mã hóa bên trong máy chủ VPN hỗ trợ cân bằng tải hoặc được phân phối trên các bộ định tuyến VPN đầu cuối.
- Với doanh nghiệp lớn có nhiều chi nhánh thì DMVPN hỗ trợ thiết lập các IPSec VPN được linh hoạt và tiết kiệm hơn so với VPN truyền thống do sử dụng mGRE trong phase của DMVPN.
- Hỗ trợ các Spoke Router với những địa chỉ IP vật lý động (được cấp bởi ISP).
Bên cạnh những ưu điểm nêu trên thì DMVPN còn có nhược điểm hơn so với VPN thông thường là tăng độ trễ và độ hội tụ.
TÀI LIỆU THAM KHẢO 1. Roumaissa Khelf (1), Nacira Ghoualmi-Zine (2), A Survey on Dynamic Multipoint Virtual Private Networks. 2. Dynamic Multipoint VPN (DMVPN) Design Guide, Corporate Headquarters Cisco Systems Inc., 2006. 3. International Journal of Computer Science and Information Security (IJCSIS), Vol. 16, No. 8, August 2018. 4. FC2406, IP Encapsulating Security Payload (ESP). 5. Rahul Awti, Dynamic multipoint (DMVPN), techtarget. com, October, 2021. |
Đỗ Quang Trung, Phùng Hữu Khoa
10:00 | 27/05/2022
16:00 | 27/04/2023
10:00 | 13/07/2017
14:00 | 01/03/2024
Giấu tin (steganography) là một kỹ thuật nhúng thông tin vào một nguồn đa phương tiện nào đó, ví dụ như tệp âm thanh, tệp hình ảnh,... Việc này giúp thông tin được giấu trở nên khó phát hiện và gây ra nhiều thách thức trong lĩnh vực bảo mật và an toàn thông tin, đặc biệt là quá trình điều tra số. Thời gian gần đây, số lượng các cuộc tấn công mạng có sử dụng kỹ thuật giấu tin đang tăng lên, tin tặc lợi dụng việc giấu các câu lệnh vào trong bức ảnh và khi xâm nhập được vào máy tính nạn nhân, các câu lệnh chứa mã độc sẽ được trích xuất từ ảnh và thực thi. Nhằm mục đích cung cấp cái nhìn tổng quan về phương thức ẩn giấu mã độc nguy hiểm, bài báo sẽ giới thiệu về kỹ thuật giấu tin trong ảnh và phân tích một cuộc tấn công cụ thể để làm rõ về kỹ thuật này.
13:00 | 30/05/2023
Mặc dù mạng 5G sẽ mang lại nhiều lợi ích cho xã hội và người dân, nhưng 5G cũng làm tăng thêm những rủi ro mới. Bảo mật 5G là vấn đề chung mà thế giới đang phải đối mặt, do đó cần tăng cường nghiên cứu, học hỏi kinh nghiệm của các nước để làm phong phú hơn kịch bản ứng phó của quốc gia mình.
09:00 | 04/05/2023
Những năm gần đây, các ứng dụng sử dụng hệ thống IoT đang ngày càng phát triển bởi khả năng mềm dẻo trong thiết kế phần cứng và thu thập dữ liệu. Đồng hành cùng với sự thay đổi của các công nghệ mạng truyền dẫn, tín hiệu, Wifi Mesh đang trở thành một lựa chọn thực tế và phù hợp đối với các hệ thống IoT công nghiệp, thương mại điện tử. Thông qua bài báo này, nhóm tác giả sẽ giới thiệu về nền tảng công nghệ mạng Wifi Mesh, từ đó làm cơ sở cho việc ứng dụng để thiết kế hệ thống giám sát đo độ nghiêng sẽ được trình bày trong kỳ tới.
10:00 | 21/04/2023
Hiện nay, các ứng dụng sử dụng hệ thống Internet vạn vật (Internet of Things - IoT) phát triển nhanh về số lượng dẫn đến những nguy cơ tiềm ẩn về lộ lọt dữ liệu nhạy cảm. Trong bài báo này, nhóm tác giả đề xuất một phương pháp mã hóa phân vùng trên máy tính nhúng sử dụng dm-crypt và LUKS để bảo vệ dữ liệu cho ứng dụng camera, đồng thời tích hợp thêm thuật toán mật mã Kuznyechik trong chuẩn GOST R34.12-2015 trên máy tính nhúng Raspberry Pi. Trong phần I, bài báo đi tìm hiểu về các phương pháp mã hóa dữ liệu và trình bày về các giải pháp mã hóa dữ liệu lưu trữ, giới thiệu nguyên lý hoạt động và một số công cụ phần mềm hỗ trợ mã hóa dữ liệu cả về thương mại lẫn mã nguồn mở, tìm hiểu sâu hơn về giải pháp mã hóa phân vùng bằng dm-crypt và LUKS trên máy tính nhúng, cụ thể là Raspberry Pi.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
19:00 | 30/04/2024