Trong hệ thống các mạng công nghiệp ngày nay, mạng riêng ảo áp dụng cho các doanh nghiệp, tổ chức được sử dụng phổ biến với mục tiêu xây dựng kênh truyền bảo mật bằng các kỹ thuật mật mã. Tuy nhiên, cấu hình mạng riêng ảo sẽ trở nên phức tạp khi số lượng chi nhánh mạng của doanh nghiệp hay tổ chức tăng thêm. Để có thể đơn giản việc cấu hình và giảm tải chi phí vận hành và bảo trì, giải pháp DMVPN của Cisco đã được đưa ra để giải quyết những vấn đề này.
DMVPN là sự kết hợp của các công nghệ: IPSec, mGRE và NHRP, là một giải pháp phần mềm tích hợp trên hệ điều hành IOS của các thiết bị phần cứng Cisco dùng để xây dựng IPSec+GRE VPN dễ dàng và có khả năng mở rộng hơn. Đây là công nghệ mạng riêng ảo có thể thực hiện kết nối số lượng lớn các mạng ở các vị trí địa lý khác nhau một cách linh hoạt và tự động [2].
Hình 1. Mô hình chung của DMVPN
Hình 2. Hub và Spoke cấu trúc liên kết đường hầm mGRE
Hình 3. Thiết lập NHRP trong DMVPN
Trong Hình 1, mô hình DMVPN bao gồm những thành phần chính sau:
- Hub: Đặt tại trung tâm (mạng trụ sở chính) và đóng vai trò là VPNgetway chính trong DMVPN. Hub thường là các thiết bị Router, tường lửa Cisco có tài nguyên phần cứng mạnh chịu tải tốt.
- Spoke: Nằm tại các mạng LAN chi nhánh và vai trò là các VPNgetway phụ. Tương tự như Hub, Spoke cũng là thiết bị Cisco nhưng có tài nguyên hạn chế hơn. Việc triển khai DMVPN là việc tạo các đường hầm bảo mật giữa các Spoke với Hub và các Spoke với nhau. Và điều này tương ứng với hai kiến trúc của DMVPN là:
- Static Hub-Spoke VPN Tunnel: Thực hiện kết nối đường hầm bảo mật tĩnh giữa Hub và Spoke.
- Dynamic Spoke-Spoke VPN Tunnel: Thực hiện kết nối đường hầm bảo mật động giữa Spoke và Spoke.
Trong Hình 1 còn có thành phần là Internet Cloud, đây là nền tảng mạng mà nhà cung cấp dịch vụ mạng (ISP) hỗ trợ. Nền tảng mạng này tương thích với DMVPN là Frame-Reply, ATM, Leased Lines, MPLS.
Giao thức triển khai DMVPN DMVPN được xây dựng bởi các giao thức khác nhau có độ an toàn cao khi truyền dữ liệu trên nhiều nền tảng mạng khác nhau. Các giao thức thành phần của DMVPN bao gồm: mGRE, NHRP, IPsec (tùy chọn), RP, được giải thích cụ thể như sau:
mGRE (Multipoint Generic Routing Encapsulation)
GRE (Generic Routing Encapsulation) là giao thức được phát triển bởi Cisco. Giao thức này sẽ đóng gói gói tin tạo thành đường hầm ảo để kết nối điểm - điểm trên hạ tầng mạng công cộng.
mGRE tạo ra nhiều đường hầm ảo. Kết nối điểm - điểm GRE: Hub - Spoke, Spoke - Spoke (Hình 2). mGRE có ưu điểm là chỉ sử dụng một Interface đơn cho tất cả các đường hầm GRE [3].
NHRP (Next Hop Resolution Protocol)
Trong DMVPN, việc cài đặt giao thức NHRP (Giao thức phân giải Next Hop) để tạo lập mô hình mạng Client - Server. Cụ thể là Router Hub đóng vai trò hoạt động như Server và các Router Spoke còn lại hoạt động như Client. Trong thiết lập NHRP (Hình 3) cần lập lịch kết nối từ các Router Spoke tới Router Hub và cần xác định những Router Spoke được thiết lập kết nối động [3].
IPSec (Internet Protocol Security)
Việc cài đặt giao thức IPSec trong DMVPN được coi là một tuỳ chọn với mục đích là bảo mật các đường hầm dữ liệu được triển khai trong mạng này.
IPSec là giao thức thiết lập đường hầm truyền dữ liệu có bảo mật kết nối các mạng LAN (Hình 4) tại các vị trí địa lý khác nhau trên nền mạng công cộng (Internet, 4G…). IPSec cung cấp các dịch vụ an toàn thông tin như bí mật, xác thực, toàn vẹn thông qua việc sử dụng các giao thức trao đổi khóa, thuật toán mã khối (AES, 3DES…), mã xác thực thông báo cho DMVPN [4].
Hình 4. Mô hình IPSec
Bộ giao thức IPSec được xây dựng cho cả IPv4 và IPv6. Gói tin được xử lý trong IPSec thông qua một trong hai giao thức là:
- Encapsulating Security Payload - ESP: Thực hiện mã hóa dữ liệu, xác thực nội dung gói tin. Cung cấp khả năng chống lại kiểu tấn công phát lại và đảm bảo dịch vụ bí mật, xác thực, toàn vẹn cho gói tin truyền nhận.
- Authentication header - AH: Thực thi cơ chế xác thực gói tin và cơ chế chống lại kiểu tấn công phát.
- Giao thức trao đổi thoả thuận khoá: IKEv1/ IKEv2 (Internet Key Exchange) có nhiệm vụ là xác thực các thực thể và thiết lập các liên kết an toàn (Security Association - SA), thỏa thuận khoá phiên cho IPSec.
Hình 5. Gói tin ESP trong chế độ Transport và Tunnel mode
Giao thức ESP
Giao thức ESP cung cấp dịch vụ bảo mật, tính toàn vẹn dữ liệu, xác thực nguồn gốc dữ liệu nơi gửi và chống tấn công phát lại. ESP hoạt động ở hai chế độ là: Transport Mode Packet hoặc Tunnel Mode Packet được thể hiện như Hình 5.
ESP sử dụng mã khối ở chế độ CBC (Cipher Block Chaining - CBC) thường gặp là AES - CBC để bảo mật dữ liệu.
Giao thức AH
Giao thức tiêu đề xác thực AH phiên bản mới nhất được mô tả trong RFC 2042. Một gói tin AH như trong Hình 6 chứa phần header xác thực nguồn tin giữa các header của giao thức IP và TCP.
AH cung cấp các dịch vụ an toàn trong việc bảo vệ toàn vẹn dữ liệu, xác thực nguồn gốc dữ liệu và chống lại các tấn công phát lại. AH có khả năng xác thực, kiểm tra tính toàn vẹn dữ liệu. Tuy nhiên, giao thức này không thực hiện mã hóa dữ liệu, đây là điểm khác biệt so với ESP.
RP (Routing Information Protocol)
Trong DMVPN không thể thiếu được các giao thức định tuyến đóng vai trò chỉ đường cho các luồng dữ liệu. Các giao thức định tuyến được sử dụng phổ biến trong DMVPN là Open Shortest Path First (OSPF) và Enhance Interio Gateway Routing Protocol (EIGRP).
DMVPN được thiết lập và hoạt động theo ba Phase [5]:
- Phase 1: Trong phase 1 các Spoke trong DMVPN phải thực hiện đăng ký với Hub. Tiến hành thực thi các đường hầm kết nối GRE từ các Spoke đến Hub. Các Spoke trong phase này sẽ không có kết nối trực tiếp nào với nhau mà chỉ có kết nối tới Hub. Có nghĩa, Hub đóng vai trò trung tâm hệ thống mạng trong phase này mọi dữ liệu sẽ trung chuyển qua Hub.
Hình 6. Gói tin AH trong chế độ Transport và Tunnel Mode
- Phase 2: Phase này thực hiện triển khai các đường hầm mGRE giữa các Spoke với nhau. Hub đóng vai trò trung tâm điều khiển, tức là Spoke nào muốn thiết lập mGRE với Spoke khác phải gửi yêu cầu tới Hub. Điều này dẫn tới việc xây dựng đường hầm dữ liệu giữa các Spoke diễn ra một cách linh hoạt khi có nhu cầu và luồng dữ liệu sẽ được chuyển tiếp tới Spoke đối tác và không cần qua Hub, đây là điểm khác biệt giữa phase 2 so với phase 1. Trong giai đoạn này có thể triển khai tuỳ chọn IPSec để bảo mật dữ liệu giữa Spoke-Spoke, Spoke-Hub.
- Phase 3: Trong Phase 3, những đường hầm Spoke - Spoke được triển khai có thể sử dụng các địa chỉ IP Public được cấp phát động thông qua giao thức NHRP (redirect and shortcuts) từ Hub.
Công nghệ DMVPN và VPN truyền thống sử dụng cùng một giao thức bảo mật dữ liệu đường truyền là IPSec.
Ngoài việc linh hoạt mở rộng, những mạng IPSec VPN, DMVPN còn có những ưu điểm hơn so với VPN như sau [5]:
- Cơ chế điều khiển trung tâm bởi Hub cung cấp khả năng linh hoạt trong triển khai đường hầm tự động Spoke - to - Spoke. Cho phép việc mở rộng mạng riêng ảo cho các nhánh mạng mới của doanh nghiệp ở các vị trí địa lý khác nhau được dễ dàng, chi phí thấp.
- Hỗ trợ nhiều giao thức định tuyến như OSPF, EIGRP... giúp DMVPN triển khai đồng bộ trên hạ tầng mạng của nhiều nhà cung cấp dịch vụ mạng khác nhau.
- DMVPN hỗ trợ nhiều cơ chế nâng cao chất lượng dịch vụ (QoS), đặc biệt hỗ trợ các chính sách QoS động tự động với các chính sách QoS có sẵn ứng dụng lên các tunnel khi chúng được thiết lập.
- DMVPN tích hợp mã hóa bên trong máy chủ VPN hỗ trợ cân bằng tải hoặc được phân phối trên các bộ định tuyến VPN đầu cuối.
- Với doanh nghiệp lớn có nhiều chi nhánh thì DMVPN hỗ trợ thiết lập các IPSec VPN được linh hoạt và tiết kiệm hơn so với VPN truyền thống do sử dụng mGRE trong phase của DMVPN.
- Hỗ trợ các Spoke Router với những địa chỉ IP vật lý động (được cấp bởi ISP).
Bên cạnh những ưu điểm nêu trên thì DMVPN còn có nhược điểm hơn so với VPN thông thường là tăng độ trễ và độ hội tụ.
|
TÀI LIỆU THAM KHẢO 1. Roumaissa Khelf (1), Nacira Ghoualmi-Zine (2), A Survey on Dynamic Multipoint Virtual Private Networks. 2. Dynamic Multipoint VPN (DMVPN) Design Guide, Corporate Headquarters Cisco Systems Inc., 2006. 3. International Journal of Computer Science and Information Security (IJCSIS), Vol. 16, No. 8, August 2018. 4. FC2406, IP Encapsulating Security Payload (ESP). 5. Rahul Awti, Dynamic multipoint (DMVPN), techtarget. com, October, 2021. |
Đỗ Quang Trung, Phùng Hữu Khoa
10:00 | 27/05/2022
16:00 | 27/04/2023
10:00 | 13/07/2017
13:00 | 23/01/2025
Cách mạng khoa học công nghiệp 4.0 với sự hội tụ của hệ thống không gian mạng thực - ảo, điện toán đám mây, Internet vạn vật (IoT) được đưa vào ứng dụng rộng rãi, ảnh hưởng trực tiếp đời sống, kinh tế, xã hội, quốc phòng, an ninh của các quốc gia. Sự xuất hiện của các thiết bị IoT làm gia tăng sự kết nối của con người, dịch vụ, thúc đẩy mạnh mẽ số hóa, tự động hóa ở tất cả các ngành nghề, lĩnh vực, mang lại những lợi ích to lớn, tạo ra các mô hình kinh doanh mới nhưng đồng thời cũng tiềm ẩn nhiều nguy cơ bị tấn công mạng, gây mất an toàn thông tin, an ninh mạng. Bài viết sẽ thông tin tới độc giả về xu hướng tấn công vào thiết bị IoT và đưa ra một số kiến nghị để ứng phó với các thách thức đang đặt ra.
14:00 | 20/11/2024
Davey Winder - một hacker và cũng là nhà phân tích an ninh mạng kỳ cựu cho biết, các cuộc tấn công mạng đang ngày càng phức tạp và Gmail là một trong những mục tiêu hàng đầu của các tin tặc. Tính năng xác thực hai yếu tố đã không còn an toàn khi có những báo cáo cho thấy tin tặc đã vượt qua biện pháp này.
13:00 | 11/11/2024
Trong bối cảnh an ninh mạng ngày càng trở nên phức tạp và tinh vi, các tổ chức đang dần nhận ra rằng các phương pháp bảo mật truyền thống không còn đáp ứng được yêu cầu bảo vệ hệ thống của họ. Chính trong hoàn cảnh này, mô hình Zero Trust nổi lên như một giải pháp toàn diện, giúp bảo vệ hệ thống mạng khỏi các cuộc tấn công cả từ bên ngoài và bên trong. Tuy nhiên, việc triển khai Zero Trust không đơn giản, bài học kinh nghiệm nào để các tổ chức triển khai thành công mô hình bảo mật hiện đại này?
09:00 | 13/06/2024
Trong phạm vi của bài báo này, chúng tôi sẽ trình bày những nội dung xoay quanh các vấn đề về sự tác động của trí tuệ nhân tạo (AI) cùng với hậu quả khi chúng ta tin tưởng tuyệt đối vào sức mạnh mà nó mang tới. Cũng như chúng tôi đề xuất sự cần thiết của việc xây dựng và hoàn thiện các chính sách bảo vệ các nội dung do AI tạo ra tuân thủ pháp luật và bảo vệ người dùng.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Báo cáo của Lineaje AI Labs đã đặt ra một câu hỏi quan trọng về tính minh bạch trong chuỗi cung ứng phần mềm quan trọng trên toàn cầu, đặc biệt trong bối cảnh phần mềm nguồn mở đang ngày càng được ứng dụng rộng rãi dẫn đến những nguy cơ tiềm ẩn về bảo mật, nhất là khi các đóng góp vào các dự án mã nguồn mở từ những nguồn không xác định.
08:00 | 27/02/2025
