Vì SoftEther [1] với đặc trưng là ảo hóa các thành phần ở lớp 2, do đó các card mạng LAN và trạm trung chuyển hub được ảo hóa bằng phần mềm và được gọi lần lượt là card LAN ảo và hub ảo. SoftEther là một phần mềm truyền thông kiểu máy khách/máy chủ. Khi xây dựng VPN bằng SoftEther, một hub ảo được cài đặt trên một máy chủ và nhiều máy khách có card mạng LAN ảo được cài đặt đồng thời kết nối với hub ảo đó. Sau đó, các máy khách có thể truyền thông tự do với nhau ở lớp liên kết dữ liệu.
Hầu hết các phần mềm máy chủ VPN thông thường được triển khai sử dụng một phần chức năng mạng của hệ điều hành. Trong Hình 1, các máy chủ L2TP và OpenVPN xử lý giao thức VPN ở lớp 3. Các máy chủ này gọi chức năng định tuyến IP riêng của hệ điều hành để trao đổi các gói IP với một giao thức VPN khác hoặc mạng LAN vật lý bên ngoài. Khi người quản trị xây dựng VPN server hỗ trợ nhiều giao thức VPN, các chức năng VPN thường phải phụ thuộc vào chức năng định tuyến và chuyển mạch của hệ điều hành. Do đó, nếu có lỗi trong cài đặt chức năng định tuyến hoặc chuyển mạch trong hệ điều hành, thì các chương trình ứng dụng khác cũng sẽ bị ảnh hưởng và không thể kết nối.
Hình 1. Nhược điểm của máy chủ VPN thông thường
SoftEther VPN Server là một phần mềm máy chủ VPN tích hợp, điều này có nghĩa là quản trị viên có thể sử dụng nhiều giao thức VPN khác nhau cùng một lúc mà không cần phải có hiểu biết về sự khác biệt của chúng và các giao thức này hoạt động như một phiên bản duy nhất với mức độ phụ thuộc ít nhất vào các hệ điều hành và các thư viện khác. Hình 2 minh họa giải pháp máy chủ VPN tích hợp, trong đó các module xử lý các giao thức VPN khác nhau được thực hiện trong một tiến trình duy nhất. Quản trị viên chỉ cần cài đặt một phần mềm máy chủ VPN tích hợp để hỗ trợ các giao thức VPN khác nhau và nhận các kết nối VPN từ nhiều phần mềm máy khách VPN. Chức năng chuyển mạch cũng được cài đặt trong tiến trình này, nó có nhiệm vụ thực hiện trao đổi thông báo giữa nhiều máy chủ VPN ở lớp 2.
Ngoài ra, để trao đổi thông tin giữa máy chủ VPN ở lớp 3 và chức năng chuyển mạch, một bộ chuyển đổi (Adapter) sẽ chuyển đổi gói tin giữa lớp 3 và lớp 2. Quản trị viên không cần cấu hình các chức năng định tuyến và chuyển mạch trên chính hệ điều hành mà trình chủ VPN được cài đặt.
Hình 2. Giải pháp máy chủ VPN tích hợp
Hình 3. Các thành phần trong máy chủ SoftEther VPN
Hình 3 thể hiện các module trong phần mềm máy chủ SoftEther VPN. Các module chính bao gồm:
1. Các module xử lý giao thức VPN, máy chủ VPN hỗ trợ các giao thức VPN khác nhau gồm: L2TPv3, SSTP, OpenVPN, EtherIP, SE-VPN.
2. Module chia sẻ giữa các giao thức VPN gồm: SSL/TLS, HTTP, Point-to-Point (PPP), IPSec. Trong thành phần này có bộ điều hợp (Adapter) để thực hiện truyền thông giữa lớp 2 và lớp 3.
3. Thành phần xử lý chính gồm: Thành phần cài đặt trung chuyển ảo (Virtual hub), thành phần xác thực (User authentication), điều khiển truy cập (Access control) và ghi nhật ký (Logging).
4. Ngoài ra, SoftEther còn có một số thành phần hỗ trợ cho việc cấu hình, giám sát máy chủ VPN (User interface) và thành phần tương tác với các nền hệ điều hành khác nhau (Platform astraction).
SE-VPN được đánh giá là một trong những giao thức VPN có hiệu suất thực hiện khá tốt [4], ngoài ra nó là một giao thức VPN hoạt động ở lớp 2, dữ liệu VPN được đóng gói theo định dạng Ethernet Frames (IEEE802.3).
Với SE-VPN, các gói tin truyền qua mạng vật lý thực để giao tiếp giữa máy chủ SoftEther VPN và máy tính nguồn kết nối VPN (phiên VPN) được đóng gói dưới dạng gói TCP/IP và được tạo bởi người gửi. Các gói TCP/IP sẽ được đóng gói và mở đóng gói khi thực hiện gửi và nhận. Tất cả dữ liệu truyền thông TCP/IP được mã hóa bởi lớp mã hóa (SSL/TLS).
SE-VPN sử dụng giao thức SSL/TLS [3] để thiết lập một kênh VPN. Giao thức TLS sử dụng cổng 443 của giao thức TCP/IP làm cổng đích. Mặc định, cổng này thường được các thiết bị Firewall cấu hình cho phép đi qua. Định dạng đóng gói gói tin VPN cho kênh mã hóa TCP như Hình 4. Phần TLS Header và dữ liệu (Data) bảo mật được đóng gói trong định dạng TLS Record như Hình 5.
Hình 4. Định dạng gói tin VPN trong chế độ TCP
Hình 5. Định dạng bảo mật dữ liệu theo TLS Record
Kênh UDPAcc (UDP Acceleration) [2] là một đường hầm UDP có mã hóa được sử dụng để tăng tốc truyền dữ liệu. Thuật toán mã hóa mặc định của Hình 4. Định dạng gói tin VPN trong chế độ TCP Hình 3. Các thành phần trong máy chủ SoftEther VPN kênh UDPAcc là Chacha20-Poly1305 và khóa mã hóa cho kênh này được trao đổi dựa trên kênh TCP bảo mật trước đó. Cấu trúc gói của kênh UDPAcc được hiển thị như Hình 6. Thành phần SE Header, dữ liệu và xác thực (MAC) như Hình 7. Trong đó có các giá trị như sau:
Hình 6. Cấu trúc gói của kênh UDPAcc
Hình 7. Cấu trúc gói của kênh UDPAcc
- IV: là vectơ khởi tạo của thuật toán mã hóa, có độ dài là 12 byte do sử dụng chế độ mã GCM.
- Cookie: Cookie được tạo ra và gắn kết với phiên kết nối và sử dụng để xác định rằng gói tin UDP nhất định thuộc về cùng một phiên kết nối UDP.
- SendTick: Đây là một trường dữ liệu được sử dụng để đồng bộ hóa dữ liệu giữa hai bên trong quá trình UDPAcc. Trong quá trình gửi dữ liệu UDP, trường sendtick được gắn kèm với gói tin để xác định thời điểm gửi. Trường này giúp người nhận phát hiện và xử lý các gói tin theo thứ tự chính xác và đồng bộ với thời gian gửi.
- RecvTick: Đây là một trường dữ liệu được sử dụng để đồng bộ dữ liệu giữa hai bên trong quá trình UDPAcc. Trong quá trình nhận dữ liệu UDP, trường recvtick được gắn kèm với gói tin để xác định thời điểm nhận của gói tin. Trường này giúp người gửi biết được thời gian nhận của gói tin và điều chỉnh quá trình gửi dữ liệu để đảm bảo sự đồng bộ giữa người gửi và người nhận.
- Data Length: Độ dài của dữ liệu.
- Flag: Cờ chỉ dữ liệu có được nén hay không, mặc định là không nén.
- Data: Một khung Ethernet được nhận bởi bộ điều hợp mạng ảo VPN.
- MAC: Dữ liệu xác thực của gói tin, có độ dài 16 byte chính là thành phần TAG của chế độ mã GCM.
Các giao thức VPN thông thường hoạt động ở trong lớp 3 của chồng giao thức IP như OpenVPN, IPSec,… tuy nhiên giao thức SE-VPN lại được xử lý ở lớp 2 của chồng giao thức cho phép xử lý các gói tin VPN ở mức Frame. Đặc điểm này giúp giao thức này tạo ra các kênh VPN mà không phụ thuộc vào giao thức lớp 3.
Hiện nay, bộ phần mềm SoftEther VPN đã được sử dụng tại nhiều cơ quan Đảng và Nhà nước, việc nghiên cứu xây dựng sản phẩm bảo mật luồng IP dựa trên giao thức SE-VPN và các công nghệ lõi mới của phần mềm SoftEther là cần thiết. Bộ phần mềm VPN mới này giúp công tác xây dựng và triển khai các mô hình VPN một cách mềm dẻo, khả năng quản lý và cấu hình một cách thuận tiện, băng thông mã hóa được cải thiện.
|
TÀI LIỆU THAM KHẢO [1]. https://www.softether.org/3-spec,[Online]: Accessed on 18 May, 2022. [2]. Yunxiao Sun, “On Man-in-the-Middle Attack Risks of the VPN Gate Relay System”, Security and Communication Networks, Volume 2021, https://doi. org/10.1155/2021/9091675. [3]. IETF, “The Transport Layer Security (TLS) Protocol Version 1.3”, RFC 8446. [Online]: Accessed on 18 May. 2022, https://datatracker.ietf.org/doc/html/ rfc8446. [4]. Choon Hoe Chua, Sok Choo Ng, “Open-Source VPN Software: Performance Comparison for Remote Access”, Proceedings of the 5th International Conference on Information Science and Systems, 2022 |
TS. Phạm Văn Lực, Phạm Đức Hùng, Nguyễn Đình Đại (Viện Khoa học - Công nghệ mật mã)
09:00 | 04/04/2024
10:00 | 27/05/2022
23:00 | 02/09/2022
13:00 | 29/06/2023
10:00 | 18/10/2024
14:00 | 10/03/2025
Điện thoại di động ngày nay không chỉ là thiết bị liên lạc mà còn là "kho chứa thông tin" cá nhân quan trọng như dữ liệu tài khoản ngân hàng, hình ảnh, email và các ứng dụng mạng xã hội. Vì vậy, việc mất điện thoại hoặc bị đánh cắp không chỉ gây thiệt hại về vật chất mà còn đe dọa nghiêm trọng đến bảo mật thông tin cá nhân của chủ sở hữu thiết bị. Bài viết dưới đây sẽ cung cấp hướng dẫn chi tiết về cách bảo vệ dữ liệu trong tình huống này.
16:00 | 06/12/2024
Trong bối cảnh hiện nay, an toàn, an ninh mạng trở thành nội dung quan trọng của an ninh quốc gia. Điều này đặt ra bài toán về việc xây dựng lực lượng bảo vệ an toàn, an ninh mạng tinh nhuệ có kiến thức, kinh nghiệm, làm chủ công nghệ. Để bàn luận rõ hơn về vấn đề này ,Tạp chí An toàn thông (ATTT) tin tổ chức Tọa đàm trực tuyến với chủ đề “Bàn về nguồn nhân lực ATTT chất lượng cao hiện nay”, với khách mời là ông Võ Văn Hoàng, Trưởng phòng Giám sát, Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ và ông Mai Xuân Cường, Giám đốc Trung tâm Dịch vụ ATTT, Công ty An ninh mạng Viettel.
17:00 | 30/08/2024
Xu hướng sử dụng mạng botnet để thực hiện tấn công DDoS của tin tặc ngày càng tăng cao, dẫn đến lưu lượng truy cập vào trang web tăng đột ngột và làm cho server bị quá tải, gây ra những tổn thất nặng nề cho các doanh nghiệp. Trong bài viết này, tác giả sẽ đưa ra những điểm yếu, lỗ hổng tồn tại trên máy tính của các cơ quan, tổ chức tại Việt Nam dễ bị tin tặc tấn công. Qua đó cũng đề xuất một số khuyến nghị nâng cao cảnh giác góp phần cho công tác phòng chống phần mềm độc hại và chia sẻ dữ liệu mã độc.
13:00 | 30/07/2024
Trong thế giới số hiện nay, việc nhận thức về cách các công ty thu thập và sử dụng dữ liệu của người dùng trở nên quan trọng hơn bao giờ hết. Nếu dữ liệu cá nhân rơi vào tay kẻ xấu, người dùng có thể trở thành nạn nhân của việc gian lận và bị đánh cắp danh tính. Dưới đây là năm lời khuyên để bảo vệ quyền riêng tư dữ liệu cho người dùng.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Báo cáo của Lineaje AI Labs đã đặt ra một câu hỏi quan trọng về tính minh bạch trong chuỗi cung ứng phần mềm quan trọng trên toàn cầu, đặc biệt trong bối cảnh phần mềm nguồn mở đang ngày càng được ứng dụng rộng rãi dẫn đến những nguy cơ tiềm ẩn về bảo mật, nhất là khi các đóng góp vào các dự án mã nguồn mở từ những nguồn không xác định.
08:00 | 27/02/2025
