Trong hệ thống các mạng công nghiệp ngày nay, mạng riêng ảo áp dụng cho các doanh nghiệp, tổ chức được sử dụng phổ biến với mục tiêu xây dựng kênh truyền bảo mật bằng các kỹ thuật mật mã. Tuy nhiên, cấu hình mạng riêng ảo sẽ trở nên phức tạp khi số lượng chi nhánh mạng của doanh nghiệp hay tổ chức tăng thêm. Để có thể đơn giản việc cấu hình và giảm tải chi phí vận hành và bảo trì, giải pháp DMVPN của Cisco đã được đưa ra để giải quyết những vấn đề này.
DMVPN là sự kết hợp của các công nghệ: IPSec, mGRE và NHRP, là một giải pháp phần mềm tích hợp trên hệ điều hành IOS của các thiết bị phần cứng Cisco dùng để xây dựng IPSec+GRE VPN dễ dàng và có khả năng mở rộng hơn. Đây là công nghệ mạng riêng ảo có thể thực hiện kết nối số lượng lớn các mạng ở các vị trí địa lý khác nhau một cách linh hoạt và tự động [2].
Hình 1. Mô hình chung của DMVPN
Hình 2. Hub và Spoke cấu trúc liên kết đường hầm mGRE
Hình 3. Thiết lập NHRP trong DMVPN
Trong Hình 1, mô hình DMVPN bao gồm những thành phần chính sau:
- Hub: Đặt tại trung tâm (mạng trụ sở chính) và đóng vai trò là VPNgetway chính trong DMVPN. Hub thường là các thiết bị Router, tường lửa Cisco có tài nguyên phần cứng mạnh chịu tải tốt.
- Spoke: Nằm tại các mạng LAN chi nhánh và vai trò là các VPNgetway phụ. Tương tự như Hub, Spoke cũng là thiết bị Cisco nhưng có tài nguyên hạn chế hơn. Việc triển khai DMVPN là việc tạo các đường hầm bảo mật giữa các Spoke với Hub và các Spoke với nhau. Và điều này tương ứng với hai kiến trúc của DMVPN là:
- Static Hub-Spoke VPN Tunnel: Thực hiện kết nối đường hầm bảo mật tĩnh giữa Hub và Spoke.
- Dynamic Spoke-Spoke VPN Tunnel: Thực hiện kết nối đường hầm bảo mật động giữa Spoke và Spoke.
Trong Hình 1 còn có thành phần là Internet Cloud, đây là nền tảng mạng mà nhà cung cấp dịch vụ mạng (ISP) hỗ trợ. Nền tảng mạng này tương thích với DMVPN là Frame-Reply, ATM, Leased Lines, MPLS.
Giao thức triển khai DMVPN DMVPN được xây dựng bởi các giao thức khác nhau có độ an toàn cao khi truyền dữ liệu trên nhiều nền tảng mạng khác nhau. Các giao thức thành phần của DMVPN bao gồm: mGRE, NHRP, IPsec (tùy chọn), RP, được giải thích cụ thể như sau:
mGRE (Multipoint Generic Routing Encapsulation)
GRE (Generic Routing Encapsulation) là giao thức được phát triển bởi Cisco. Giao thức này sẽ đóng gói gói tin tạo thành đường hầm ảo để kết nối điểm - điểm trên hạ tầng mạng công cộng.
mGRE tạo ra nhiều đường hầm ảo. Kết nối điểm - điểm GRE: Hub - Spoke, Spoke - Spoke (Hình 2). mGRE có ưu điểm là chỉ sử dụng một Interface đơn cho tất cả các đường hầm GRE [3].
NHRP (Next Hop Resolution Protocol)
Trong DMVPN, việc cài đặt giao thức NHRP (Giao thức phân giải Next Hop) để tạo lập mô hình mạng Client - Server. Cụ thể là Router Hub đóng vai trò hoạt động như Server và các Router Spoke còn lại hoạt động như Client. Trong thiết lập NHRP (Hình 3) cần lập lịch kết nối từ các Router Spoke tới Router Hub và cần xác định những Router Spoke được thiết lập kết nối động [3].
IPSec (Internet Protocol Security)
Việc cài đặt giao thức IPSec trong DMVPN được coi là một tuỳ chọn với mục đích là bảo mật các đường hầm dữ liệu được triển khai trong mạng này.
IPSec là giao thức thiết lập đường hầm truyền dữ liệu có bảo mật kết nối các mạng LAN (Hình 4) tại các vị trí địa lý khác nhau trên nền mạng công cộng (Internet, 4G…). IPSec cung cấp các dịch vụ an toàn thông tin như bí mật, xác thực, toàn vẹn thông qua việc sử dụng các giao thức trao đổi khóa, thuật toán mã khối (AES, 3DES…), mã xác thực thông báo cho DMVPN [4].
Hình 4. Mô hình IPSec
Bộ giao thức IPSec được xây dựng cho cả IPv4 và IPv6. Gói tin được xử lý trong IPSec thông qua một trong hai giao thức là:
- Encapsulating Security Payload - ESP: Thực hiện mã hóa dữ liệu, xác thực nội dung gói tin. Cung cấp khả năng chống lại kiểu tấn công phát lại và đảm bảo dịch vụ bí mật, xác thực, toàn vẹn cho gói tin truyền nhận.
- Authentication header - AH: Thực thi cơ chế xác thực gói tin và cơ chế chống lại kiểu tấn công phát.
- Giao thức trao đổi thoả thuận khoá: IKEv1/ IKEv2 (Internet Key Exchange) có nhiệm vụ là xác thực các thực thể và thiết lập các liên kết an toàn (Security Association - SA), thỏa thuận khoá phiên cho IPSec.
Hình 5. Gói tin ESP trong chế độ Transport và Tunnel mode
Giao thức ESP
Giao thức ESP cung cấp dịch vụ bảo mật, tính toàn vẹn dữ liệu, xác thực nguồn gốc dữ liệu nơi gửi và chống tấn công phát lại. ESP hoạt động ở hai chế độ là: Transport Mode Packet hoặc Tunnel Mode Packet được thể hiện như Hình 5.
ESP sử dụng mã khối ở chế độ CBC (Cipher Block Chaining - CBC) thường gặp là AES - CBC để bảo mật dữ liệu.
Giao thức AH
Giao thức tiêu đề xác thực AH phiên bản mới nhất được mô tả trong RFC 2042. Một gói tin AH như trong Hình 6 chứa phần header xác thực nguồn tin giữa các header của giao thức IP và TCP.
AH cung cấp các dịch vụ an toàn trong việc bảo vệ toàn vẹn dữ liệu, xác thực nguồn gốc dữ liệu và chống lại các tấn công phát lại. AH có khả năng xác thực, kiểm tra tính toàn vẹn dữ liệu. Tuy nhiên, giao thức này không thực hiện mã hóa dữ liệu, đây là điểm khác biệt so với ESP.
RP (Routing Information Protocol)
Trong DMVPN không thể thiếu được các giao thức định tuyến đóng vai trò chỉ đường cho các luồng dữ liệu. Các giao thức định tuyến được sử dụng phổ biến trong DMVPN là Open Shortest Path First (OSPF) và Enhance Interio Gateway Routing Protocol (EIGRP).
DMVPN được thiết lập và hoạt động theo ba Phase [5]:
- Phase 1: Trong phase 1 các Spoke trong DMVPN phải thực hiện đăng ký với Hub. Tiến hành thực thi các đường hầm kết nối GRE từ các Spoke đến Hub. Các Spoke trong phase này sẽ không có kết nối trực tiếp nào với nhau mà chỉ có kết nối tới Hub. Có nghĩa, Hub đóng vai trò trung tâm hệ thống mạng trong phase này mọi dữ liệu sẽ trung chuyển qua Hub.
Hình 6. Gói tin AH trong chế độ Transport và Tunnel Mode
- Phase 2: Phase này thực hiện triển khai các đường hầm mGRE giữa các Spoke với nhau. Hub đóng vai trò trung tâm điều khiển, tức là Spoke nào muốn thiết lập mGRE với Spoke khác phải gửi yêu cầu tới Hub. Điều này dẫn tới việc xây dựng đường hầm dữ liệu giữa các Spoke diễn ra một cách linh hoạt khi có nhu cầu và luồng dữ liệu sẽ được chuyển tiếp tới Spoke đối tác và không cần qua Hub, đây là điểm khác biệt giữa phase 2 so với phase 1. Trong giai đoạn này có thể triển khai tuỳ chọn IPSec để bảo mật dữ liệu giữa Spoke-Spoke, Spoke-Hub.
- Phase 3: Trong Phase 3, những đường hầm Spoke - Spoke được triển khai có thể sử dụng các địa chỉ IP Public được cấp phát động thông qua giao thức NHRP (redirect and shortcuts) từ Hub.
Công nghệ DMVPN và VPN truyền thống sử dụng cùng một giao thức bảo mật dữ liệu đường truyền là IPSec.
Ngoài việc linh hoạt mở rộng, những mạng IPSec VPN, DMVPN còn có những ưu điểm hơn so với VPN như sau [5]:
- Cơ chế điều khiển trung tâm bởi Hub cung cấp khả năng linh hoạt trong triển khai đường hầm tự động Spoke - to - Spoke. Cho phép việc mở rộng mạng riêng ảo cho các nhánh mạng mới của doanh nghiệp ở các vị trí địa lý khác nhau được dễ dàng, chi phí thấp.
- Hỗ trợ nhiều giao thức định tuyến như OSPF, EIGRP... giúp DMVPN triển khai đồng bộ trên hạ tầng mạng của nhiều nhà cung cấp dịch vụ mạng khác nhau.
- DMVPN hỗ trợ nhiều cơ chế nâng cao chất lượng dịch vụ (QoS), đặc biệt hỗ trợ các chính sách QoS động tự động với các chính sách QoS có sẵn ứng dụng lên các tunnel khi chúng được thiết lập.
- DMVPN tích hợp mã hóa bên trong máy chủ VPN hỗ trợ cân bằng tải hoặc được phân phối trên các bộ định tuyến VPN đầu cuối.
- Với doanh nghiệp lớn có nhiều chi nhánh thì DMVPN hỗ trợ thiết lập các IPSec VPN được linh hoạt và tiết kiệm hơn so với VPN truyền thống do sử dụng mGRE trong phase của DMVPN.
- Hỗ trợ các Spoke Router với những địa chỉ IP vật lý động (được cấp bởi ISP).
Bên cạnh những ưu điểm nêu trên thì DMVPN còn có nhược điểm hơn so với VPN thông thường là tăng độ trễ và độ hội tụ.
TÀI LIỆU THAM KHẢO 1. Roumaissa Khelf (1), Nacira Ghoualmi-Zine (2), A Survey on Dynamic Multipoint Virtual Private Networks. 2. Dynamic Multipoint VPN (DMVPN) Design Guide, Corporate Headquarters Cisco Systems Inc., 2006. 3. International Journal of Computer Science and Information Security (IJCSIS), Vol. 16, No. 8, August 2018. 4. FC2406, IP Encapsulating Security Payload (ESP). 5. Rahul Awti, Dynamic multipoint (DMVPN), techtarget. com, October, 2021. |
Đỗ Quang Trung, Phùng Hữu Khoa
10:00 | 27/05/2022
16:00 | 27/04/2023
10:00 | 13/07/2017
10:00 | 18/10/2024
Nhằm trang bị cho người dân “vũ khí” chống lừa đảo trên không gian mạng, Cục An toàn thông tin (Bộ TT&TT) triển khai chiến dịch quốc gia với 5 nhóm kỹ năng thiết yếu, từ nhận biết dấu hiệu lừa đảo đến xử lý tình huống khi bị tấn công.
08:00 | 08/08/2024
Trí tuệ nhân tạo (AI) có khả năng xác định và ưu tiên các rủi ro, mang lại cho các chuyên gia IT cơ hội phát hiện ngay lập tức mã độc trong mạng của họ và phát triển chiến lược phản ứng sự cố. Hiện nay, AI đóng vai trò quan trọng trong quản lý an toàn thông tin (ATTT), đặc biệt là trong việc phản ứng với sự cố, dự đoán việc xâm phạm, kiểm soát hiệu suất và quản lý hàng tồn kho. Bài viết này giới thiệu về các ứng dụng của AI trong quản lý ATTT bằng cách xem xét những lợi ích và thách thức của nó, đồng thời đề xuất các lĩnh vực cho các nghiên cứu trong tương lai.
11:00 | 13/05/2024
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
08:00 | 15/03/2024
Bảo mật công nghệ trí tuệ nhân tạo (AI) đặt ra nhiều thách thức và luôn thay đổi trong bối cảnh chuyển đổi số hiện nay. Khi công nghệ AI phát triển, rủi ro và bề mặt tấn công cùng các mối đe dọa mới ngày càng tăng cao. Điều này đặt ra yêu cầu đối với các nhà phát triển, tổ chức và doanh nghiệp phải có cách tiếp cận chủ động, thường xuyên đánh giá và cập nhật các biện pháp bảo mật.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Trí tuệ nhân tạo (AI) đang ngày càng phát triển và được áp dụng trong nhiều lĩnh vực của đời sống. Thậm chí đối với những lĩnh vực đòi hỏi trình độ cao của con người như lập trình hay bảo mật, AI cũng đang chứng minh khả năng vượt trội của mình. Với sự trợ giúp của AI, Google đã phát hiện một lỗ hổng bảo mật tồn tại hơn 20 năm trong dự án phần mềm mã nguồn mở được sử dụng rộng rãi.
13:00 | 02/12/2024