Trong hệ thống các mạng công nghiệp ngày nay, mạng riêng ảo áp dụng cho các doanh nghiệp, tổ chức được sử dụng phổ biến với mục tiêu xây dựng kênh truyền bảo mật bằng các kỹ thuật mật mã. Tuy nhiên, cấu hình mạng riêng ảo sẽ trở nên phức tạp khi số lượng chi nhánh mạng của doanh nghiệp hay tổ chức tăng thêm. Để có thể đơn giản việc cấu hình và giảm tải chi phí vận hành và bảo trì, giải pháp DMVPN của Cisco đã được đưa ra để giải quyết những vấn đề này.
DMVPN là sự kết hợp của các công nghệ: IPSec, mGRE và NHRP, là một giải pháp phần mềm tích hợp trên hệ điều hành IOS của các thiết bị phần cứng Cisco dùng để xây dựng IPSec+GRE VPN dễ dàng và có khả năng mở rộng hơn. Đây là công nghệ mạng riêng ảo có thể thực hiện kết nối số lượng lớn các mạng ở các vị trí địa lý khác nhau một cách linh hoạt và tự động [2].
Hình 1. Mô hình chung của DMVPN
Hình 2. Hub và Spoke cấu trúc liên kết đường hầm mGRE
Hình 3. Thiết lập NHRP trong DMVPN
Trong Hình 1, mô hình DMVPN bao gồm những thành phần chính sau:
- Hub: Đặt tại trung tâm (mạng trụ sở chính) và đóng vai trò là VPNgetway chính trong DMVPN. Hub thường là các thiết bị Router, tường lửa Cisco có tài nguyên phần cứng mạnh chịu tải tốt.
- Spoke: Nằm tại các mạng LAN chi nhánh và vai trò là các VPNgetway phụ. Tương tự như Hub, Spoke cũng là thiết bị Cisco nhưng có tài nguyên hạn chế hơn. Việc triển khai DMVPN là việc tạo các đường hầm bảo mật giữa các Spoke với Hub và các Spoke với nhau. Và điều này tương ứng với hai kiến trúc của DMVPN là:
- Static Hub-Spoke VPN Tunnel: Thực hiện kết nối đường hầm bảo mật tĩnh giữa Hub và Spoke.
- Dynamic Spoke-Spoke VPN Tunnel: Thực hiện kết nối đường hầm bảo mật động giữa Spoke và Spoke.
Trong Hình 1 còn có thành phần là Internet Cloud, đây là nền tảng mạng mà nhà cung cấp dịch vụ mạng (ISP) hỗ trợ. Nền tảng mạng này tương thích với DMVPN là Frame-Reply, ATM, Leased Lines, MPLS.
Giao thức triển khai DMVPN DMVPN được xây dựng bởi các giao thức khác nhau có độ an toàn cao khi truyền dữ liệu trên nhiều nền tảng mạng khác nhau. Các giao thức thành phần của DMVPN bao gồm: mGRE, NHRP, IPsec (tùy chọn), RP, được giải thích cụ thể như sau:
mGRE (Multipoint Generic Routing Encapsulation)
GRE (Generic Routing Encapsulation) là giao thức được phát triển bởi Cisco. Giao thức này sẽ đóng gói gói tin tạo thành đường hầm ảo để kết nối điểm - điểm trên hạ tầng mạng công cộng.
mGRE tạo ra nhiều đường hầm ảo. Kết nối điểm - điểm GRE: Hub - Spoke, Spoke - Spoke (Hình 2). mGRE có ưu điểm là chỉ sử dụng một Interface đơn cho tất cả các đường hầm GRE [3].
NHRP (Next Hop Resolution Protocol)
Trong DMVPN, việc cài đặt giao thức NHRP (Giao thức phân giải Next Hop) để tạo lập mô hình mạng Client - Server. Cụ thể là Router Hub đóng vai trò hoạt động như Server và các Router Spoke còn lại hoạt động như Client. Trong thiết lập NHRP (Hình 3) cần lập lịch kết nối từ các Router Spoke tới Router Hub và cần xác định những Router Spoke được thiết lập kết nối động [3].
IPSec (Internet Protocol Security)
Việc cài đặt giao thức IPSec trong DMVPN được coi là một tuỳ chọn với mục đích là bảo mật các đường hầm dữ liệu được triển khai trong mạng này.
IPSec là giao thức thiết lập đường hầm truyền dữ liệu có bảo mật kết nối các mạng LAN (Hình 4) tại các vị trí địa lý khác nhau trên nền mạng công cộng (Internet, 4G…). IPSec cung cấp các dịch vụ an toàn thông tin như bí mật, xác thực, toàn vẹn thông qua việc sử dụng các giao thức trao đổi khóa, thuật toán mã khối (AES, 3DES…), mã xác thực thông báo cho DMVPN [4].
Hình 4. Mô hình IPSec
Bộ giao thức IPSec được xây dựng cho cả IPv4 và IPv6. Gói tin được xử lý trong IPSec thông qua một trong hai giao thức là:
- Encapsulating Security Payload - ESP: Thực hiện mã hóa dữ liệu, xác thực nội dung gói tin. Cung cấp khả năng chống lại kiểu tấn công phát lại và đảm bảo dịch vụ bí mật, xác thực, toàn vẹn cho gói tin truyền nhận.
- Authentication header - AH: Thực thi cơ chế xác thực gói tin và cơ chế chống lại kiểu tấn công phát.
- Giao thức trao đổi thoả thuận khoá: IKEv1/ IKEv2 (Internet Key Exchange) có nhiệm vụ là xác thực các thực thể và thiết lập các liên kết an toàn (Security Association - SA), thỏa thuận khoá phiên cho IPSec.
Hình 5. Gói tin ESP trong chế độ Transport và Tunnel mode
Giao thức ESP
Giao thức ESP cung cấp dịch vụ bảo mật, tính toàn vẹn dữ liệu, xác thực nguồn gốc dữ liệu nơi gửi và chống tấn công phát lại. ESP hoạt động ở hai chế độ là: Transport Mode Packet hoặc Tunnel Mode Packet được thể hiện như Hình 5.
ESP sử dụng mã khối ở chế độ CBC (Cipher Block Chaining - CBC) thường gặp là AES - CBC để bảo mật dữ liệu.
Giao thức AH
Giao thức tiêu đề xác thực AH phiên bản mới nhất được mô tả trong RFC 2042. Một gói tin AH như trong Hình 6 chứa phần header xác thực nguồn tin giữa các header của giao thức IP và TCP.
AH cung cấp các dịch vụ an toàn trong việc bảo vệ toàn vẹn dữ liệu, xác thực nguồn gốc dữ liệu và chống lại các tấn công phát lại. AH có khả năng xác thực, kiểm tra tính toàn vẹn dữ liệu. Tuy nhiên, giao thức này không thực hiện mã hóa dữ liệu, đây là điểm khác biệt so với ESP.
RP (Routing Information Protocol)
Trong DMVPN không thể thiếu được các giao thức định tuyến đóng vai trò chỉ đường cho các luồng dữ liệu. Các giao thức định tuyến được sử dụng phổ biến trong DMVPN là Open Shortest Path First (OSPF) và Enhance Interio Gateway Routing Protocol (EIGRP).
DMVPN được thiết lập và hoạt động theo ba Phase [5]:
- Phase 1: Trong phase 1 các Spoke trong DMVPN phải thực hiện đăng ký với Hub. Tiến hành thực thi các đường hầm kết nối GRE từ các Spoke đến Hub. Các Spoke trong phase này sẽ không có kết nối trực tiếp nào với nhau mà chỉ có kết nối tới Hub. Có nghĩa, Hub đóng vai trò trung tâm hệ thống mạng trong phase này mọi dữ liệu sẽ trung chuyển qua Hub.
Hình 6. Gói tin AH trong chế độ Transport và Tunnel Mode
- Phase 2: Phase này thực hiện triển khai các đường hầm mGRE giữa các Spoke với nhau. Hub đóng vai trò trung tâm điều khiển, tức là Spoke nào muốn thiết lập mGRE với Spoke khác phải gửi yêu cầu tới Hub. Điều này dẫn tới việc xây dựng đường hầm dữ liệu giữa các Spoke diễn ra một cách linh hoạt khi có nhu cầu và luồng dữ liệu sẽ được chuyển tiếp tới Spoke đối tác và không cần qua Hub, đây là điểm khác biệt giữa phase 2 so với phase 1. Trong giai đoạn này có thể triển khai tuỳ chọn IPSec để bảo mật dữ liệu giữa Spoke-Spoke, Spoke-Hub.
- Phase 3: Trong Phase 3, những đường hầm Spoke - Spoke được triển khai có thể sử dụng các địa chỉ IP Public được cấp phát động thông qua giao thức NHRP (redirect and shortcuts) từ Hub.
Công nghệ DMVPN và VPN truyền thống sử dụng cùng một giao thức bảo mật dữ liệu đường truyền là IPSec.
Ngoài việc linh hoạt mở rộng, những mạng IPSec VPN, DMVPN còn có những ưu điểm hơn so với VPN như sau [5]:
- Cơ chế điều khiển trung tâm bởi Hub cung cấp khả năng linh hoạt trong triển khai đường hầm tự động Spoke - to - Spoke. Cho phép việc mở rộng mạng riêng ảo cho các nhánh mạng mới của doanh nghiệp ở các vị trí địa lý khác nhau được dễ dàng, chi phí thấp.
- Hỗ trợ nhiều giao thức định tuyến như OSPF, EIGRP... giúp DMVPN triển khai đồng bộ trên hạ tầng mạng của nhiều nhà cung cấp dịch vụ mạng khác nhau.
- DMVPN hỗ trợ nhiều cơ chế nâng cao chất lượng dịch vụ (QoS), đặc biệt hỗ trợ các chính sách QoS động tự động với các chính sách QoS có sẵn ứng dụng lên các tunnel khi chúng được thiết lập.
- DMVPN tích hợp mã hóa bên trong máy chủ VPN hỗ trợ cân bằng tải hoặc được phân phối trên các bộ định tuyến VPN đầu cuối.
- Với doanh nghiệp lớn có nhiều chi nhánh thì DMVPN hỗ trợ thiết lập các IPSec VPN được linh hoạt và tiết kiệm hơn so với VPN truyền thống do sử dụng mGRE trong phase của DMVPN.
- Hỗ trợ các Spoke Router với những địa chỉ IP vật lý động (được cấp bởi ISP).
Bên cạnh những ưu điểm nêu trên thì DMVPN còn có nhược điểm hơn so với VPN thông thường là tăng độ trễ và độ hội tụ.
|
TÀI LIỆU THAM KHẢO 1. Roumaissa Khelf (1), Nacira Ghoualmi-Zine (2), A Survey on Dynamic Multipoint Virtual Private Networks. 2. Dynamic Multipoint VPN (DMVPN) Design Guide, Corporate Headquarters Cisco Systems Inc., 2006. 3. International Journal of Computer Science and Information Security (IJCSIS), Vol. 16, No. 8, August 2018. 4. FC2406, IP Encapsulating Security Payload (ESP). 5. Rahul Awti, Dynamic multipoint (DMVPN), techtarget. com, October, 2021. |
Đỗ Quang Trung, Phùng Hữu Khoa
10:00 | 27/05/2022
16:00 | 27/04/2023
10:00 | 13/07/2017
16:00 | 27/07/2023
Trong phần I của bài báo, nhóm tác giả đã trình bày về các phương pháp mã hóa dữ liệu lưu trữ, trong đó tập trung về giải pháp mã hóa phân vùng bằng dm-crypt và LUKS trên máy tính nhúng, cụ thể là Raspberry Pi. Với những ưu điểm của việc thiết kế module dưới dạng tách rời, trong phần II này, nhóm tác giả sẽ trình bày cách xây dựng module Kuznyechik trong chuẩn mật mã GOST R34.12-2015 trên Raspberry Pi, từ đó xây dựng một phần mềm mã hóa phân vùng lưu trữ video từ camera sử dụng thuật toán mật mã mới tích hợp.
16:00 | 30/11/2022
Trong phần I của bài báo, nhóm tác giả sẽ giới thiệu cách thức xây dựng bộ dữ liệu IDS2021-WEB trích xuất từ bộ dữ liệu gốc CSE-CIC-IDS2018. Theo đó, các bước tiền xử lý dữ liệu được thực hiện từ bộ dữ liệu gốc như lọc các dữ liệu trùng, các dữ liệu dư thừa, dữ liệu không mang giá trị. Kết quả thu được là một bộ dữ liệu mới có kích thước nhỏ hơn và số lượng thuộc tính ít hơn. Đồng thời, đề xuất mô hình sử dụng bộ dữ liệu về xây dựng hệ thống phát hiện tấn công ứng dụng website.
14:00 | 18/11/2022
Đây là chủ đề của buổi Tọa đàm do Tạp chí An toàn thông tin tổ chức, với sự tham dự của ông Triệu Mạnh Tùng, Phó Cục trưởng Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an và ông Lê Công Phú, Phó Giám đốc Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam, Cục An toàn thông tin, Bộ Thông tin và Truyền thông.
15:00 | 15/11/2022
Cùng với sự phát triển của internet, số lượng người dùng trực tuyến tại Việt Nam gia tăng nhanh chóng, cho phép người dùng chia sẻ, trao đổi thông tin, kết nối toàn cầu. Điều này kéo theo việc tội phạm trên không gian mạng gia tăng lừa đảo trực tuyến với các phương thức thủ đoạn, đa dạng, tinh vi, gây hậu quả khó lường. Trong quá trình chuyển đổi số phát triển công nghệ thông tin luôn song hành cùng an toàn, an ninh mạng. Việc nâng cao nhận thức về sử dụng internet an toàn sẽ là cách tốt nhất để hạn chế rủi ro tấn công lừa đảo trực tuyến.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Bằng chứng không tiết lộ tri thức (Zero-Knowledge Proofs - ZKP) là một dạng kỹ thuật mật mã được công bố từ thập niên 90 của thế kỷ trước, công nghệ mật mã này cho phép xác minh tính xác thực của một phần thông tin mà không tiết lộ chính thông tin đó. Tuy nhiên, trong những năm gần đây ZKP mới được đưa vào ứng dụng nhiều trong hệ thống công nghệ thông tin. Bài viết này sẽ trình bày chi tiết về khái niệm, tính chất, cách thức phân loại và một số ứng dụng phổ biến của ZKP trong an toàn thông tin.
09:00 | 24/11/2023
Dựa trên công bố của công ty quản lý định danh và truy cập Okta (Mỹ) vào ngày 20/10/2023 liên quan đến một vi phạm bảo mật gần đây, các nhà nghiên cứu đã xác định rằng các tác nhân đe dọa đã giành được quyền truy cập thành công vào hệ thống hỗ trợ khách hàng của Okta, kẻ tấn công có thể xem các tệp tải lên (upload) liên quan đến các trường hợp hỗ trợ mới bằng mã thông báo phiên hợp lệ, các tác nhân đe dọa sau đó đã có được quyền truy cập vào hệ thống của khách hàng. Trong bài viết này sẽ mô tả tác động của các hành vi vi phạm của nhà cung cấp danh tính (IdP) và cách các tổ chức có thể tự chủ động bảo vệ mình trước các cuộc tấn công này.
16:00 | 14/11/2023
