Trong hệ thống các mạng công nghiệp ngày nay, mạng riêng ảo áp dụng cho các doanh nghiệp, tổ chức được sử dụng phổ biến với mục tiêu xây dựng kênh truyền bảo mật bằng các kỹ thuật mật mã. Tuy nhiên, cấu hình mạng riêng ảo sẽ trở nên phức tạp khi số lượng chi nhánh mạng của doanh nghiệp hay tổ chức tăng thêm. Để có thể đơn giản việc cấu hình và giảm tải chi phí vận hành và bảo trì, giải pháp DMVPN của Cisco đã được đưa ra để giải quyết những vấn đề này.
DMVPN là sự kết hợp của các công nghệ: IPSec, mGRE và NHRP, là một giải pháp phần mềm tích hợp trên hệ điều hành IOS của các thiết bị phần cứng Cisco dùng để xây dựng IPSec+GRE VPN dễ dàng và có khả năng mở rộng hơn. Đây là công nghệ mạng riêng ảo có thể thực hiện kết nối số lượng lớn các mạng ở các vị trí địa lý khác nhau một cách linh hoạt và tự động [2].
Hình 1. Mô hình chung của DMVPN
Hình 2. Hub và Spoke cấu trúc liên kết đường hầm mGRE
Hình 3. Thiết lập NHRP trong DMVPN
Trong Hình 1, mô hình DMVPN bao gồm những thành phần chính sau:
- Hub: Đặt tại trung tâm (mạng trụ sở chính) và đóng vai trò là VPNgetway chính trong DMVPN. Hub thường là các thiết bị Router, tường lửa Cisco có tài nguyên phần cứng mạnh chịu tải tốt.
- Spoke: Nằm tại các mạng LAN chi nhánh và vai trò là các VPNgetway phụ. Tương tự như Hub, Spoke cũng là thiết bị Cisco nhưng có tài nguyên hạn chế hơn. Việc triển khai DMVPN là việc tạo các đường hầm bảo mật giữa các Spoke với Hub và các Spoke với nhau. Và điều này tương ứng với hai kiến trúc của DMVPN là:
- Static Hub-Spoke VPN Tunnel: Thực hiện kết nối đường hầm bảo mật tĩnh giữa Hub và Spoke.
- Dynamic Spoke-Spoke VPN Tunnel: Thực hiện kết nối đường hầm bảo mật động giữa Spoke và Spoke.
Trong Hình 1 còn có thành phần là Internet Cloud, đây là nền tảng mạng mà nhà cung cấp dịch vụ mạng (ISP) hỗ trợ. Nền tảng mạng này tương thích với DMVPN là Frame-Reply, ATM, Leased Lines, MPLS.
Giao thức triển khai DMVPN DMVPN được xây dựng bởi các giao thức khác nhau có độ an toàn cao khi truyền dữ liệu trên nhiều nền tảng mạng khác nhau. Các giao thức thành phần của DMVPN bao gồm: mGRE, NHRP, IPsec (tùy chọn), RP, được giải thích cụ thể như sau:
mGRE (Multipoint Generic Routing Encapsulation)
GRE (Generic Routing Encapsulation) là giao thức được phát triển bởi Cisco. Giao thức này sẽ đóng gói gói tin tạo thành đường hầm ảo để kết nối điểm - điểm trên hạ tầng mạng công cộng.
mGRE tạo ra nhiều đường hầm ảo. Kết nối điểm - điểm GRE: Hub - Spoke, Spoke - Spoke (Hình 2). mGRE có ưu điểm là chỉ sử dụng một Interface đơn cho tất cả các đường hầm GRE [3].
NHRP (Next Hop Resolution Protocol)
Trong DMVPN, việc cài đặt giao thức NHRP (Giao thức phân giải Next Hop) để tạo lập mô hình mạng Client - Server. Cụ thể là Router Hub đóng vai trò hoạt động như Server và các Router Spoke còn lại hoạt động như Client. Trong thiết lập NHRP (Hình 3) cần lập lịch kết nối từ các Router Spoke tới Router Hub và cần xác định những Router Spoke được thiết lập kết nối động [3].
IPSec (Internet Protocol Security)
Việc cài đặt giao thức IPSec trong DMVPN được coi là một tuỳ chọn với mục đích là bảo mật các đường hầm dữ liệu được triển khai trong mạng này.
IPSec là giao thức thiết lập đường hầm truyền dữ liệu có bảo mật kết nối các mạng LAN (Hình 4) tại các vị trí địa lý khác nhau trên nền mạng công cộng (Internet, 4G…). IPSec cung cấp các dịch vụ an toàn thông tin như bí mật, xác thực, toàn vẹn thông qua việc sử dụng các giao thức trao đổi khóa, thuật toán mã khối (AES, 3DES…), mã xác thực thông báo cho DMVPN [4].
Hình 4. Mô hình IPSec
Bộ giao thức IPSec được xây dựng cho cả IPv4 và IPv6. Gói tin được xử lý trong IPSec thông qua một trong hai giao thức là:
- Encapsulating Security Payload - ESP: Thực hiện mã hóa dữ liệu, xác thực nội dung gói tin. Cung cấp khả năng chống lại kiểu tấn công phát lại và đảm bảo dịch vụ bí mật, xác thực, toàn vẹn cho gói tin truyền nhận.
- Authentication header - AH: Thực thi cơ chế xác thực gói tin và cơ chế chống lại kiểu tấn công phát.
- Giao thức trao đổi thoả thuận khoá: IKEv1/ IKEv2 (Internet Key Exchange) có nhiệm vụ là xác thực các thực thể và thiết lập các liên kết an toàn (Security Association - SA), thỏa thuận khoá phiên cho IPSec.
Hình 5. Gói tin ESP trong chế độ Transport và Tunnel mode
Giao thức ESP
Giao thức ESP cung cấp dịch vụ bảo mật, tính toàn vẹn dữ liệu, xác thực nguồn gốc dữ liệu nơi gửi và chống tấn công phát lại. ESP hoạt động ở hai chế độ là: Transport Mode Packet hoặc Tunnel Mode Packet được thể hiện như Hình 5.
ESP sử dụng mã khối ở chế độ CBC (Cipher Block Chaining - CBC) thường gặp là AES - CBC để bảo mật dữ liệu.
Giao thức AH
Giao thức tiêu đề xác thực AH phiên bản mới nhất được mô tả trong RFC 2042. Một gói tin AH như trong Hình 6 chứa phần header xác thực nguồn tin giữa các header của giao thức IP và TCP.
AH cung cấp các dịch vụ an toàn trong việc bảo vệ toàn vẹn dữ liệu, xác thực nguồn gốc dữ liệu và chống lại các tấn công phát lại. AH có khả năng xác thực, kiểm tra tính toàn vẹn dữ liệu. Tuy nhiên, giao thức này không thực hiện mã hóa dữ liệu, đây là điểm khác biệt so với ESP.
RP (Routing Information Protocol)
Trong DMVPN không thể thiếu được các giao thức định tuyến đóng vai trò chỉ đường cho các luồng dữ liệu. Các giao thức định tuyến được sử dụng phổ biến trong DMVPN là Open Shortest Path First (OSPF) và Enhance Interio Gateway Routing Protocol (EIGRP).
DMVPN được thiết lập và hoạt động theo ba Phase [5]:
- Phase 1: Trong phase 1 các Spoke trong DMVPN phải thực hiện đăng ký với Hub. Tiến hành thực thi các đường hầm kết nối GRE từ các Spoke đến Hub. Các Spoke trong phase này sẽ không có kết nối trực tiếp nào với nhau mà chỉ có kết nối tới Hub. Có nghĩa, Hub đóng vai trò trung tâm hệ thống mạng trong phase này mọi dữ liệu sẽ trung chuyển qua Hub.
Hình 6. Gói tin AH trong chế độ Transport và Tunnel Mode
- Phase 2: Phase này thực hiện triển khai các đường hầm mGRE giữa các Spoke với nhau. Hub đóng vai trò trung tâm điều khiển, tức là Spoke nào muốn thiết lập mGRE với Spoke khác phải gửi yêu cầu tới Hub. Điều này dẫn tới việc xây dựng đường hầm dữ liệu giữa các Spoke diễn ra một cách linh hoạt khi có nhu cầu và luồng dữ liệu sẽ được chuyển tiếp tới Spoke đối tác và không cần qua Hub, đây là điểm khác biệt giữa phase 2 so với phase 1. Trong giai đoạn này có thể triển khai tuỳ chọn IPSec để bảo mật dữ liệu giữa Spoke-Spoke, Spoke-Hub.
- Phase 3: Trong Phase 3, những đường hầm Spoke - Spoke được triển khai có thể sử dụng các địa chỉ IP Public được cấp phát động thông qua giao thức NHRP (redirect and shortcuts) từ Hub.
Công nghệ DMVPN và VPN truyền thống sử dụng cùng một giao thức bảo mật dữ liệu đường truyền là IPSec.
Ngoài việc linh hoạt mở rộng, những mạng IPSec VPN, DMVPN còn có những ưu điểm hơn so với VPN như sau [5]:
- Cơ chế điều khiển trung tâm bởi Hub cung cấp khả năng linh hoạt trong triển khai đường hầm tự động Spoke - to - Spoke. Cho phép việc mở rộng mạng riêng ảo cho các nhánh mạng mới của doanh nghiệp ở các vị trí địa lý khác nhau được dễ dàng, chi phí thấp.
- Hỗ trợ nhiều giao thức định tuyến như OSPF, EIGRP... giúp DMVPN triển khai đồng bộ trên hạ tầng mạng của nhiều nhà cung cấp dịch vụ mạng khác nhau.
- DMVPN hỗ trợ nhiều cơ chế nâng cao chất lượng dịch vụ (QoS), đặc biệt hỗ trợ các chính sách QoS động tự động với các chính sách QoS có sẵn ứng dụng lên các tunnel khi chúng được thiết lập.
- DMVPN tích hợp mã hóa bên trong máy chủ VPN hỗ trợ cân bằng tải hoặc được phân phối trên các bộ định tuyến VPN đầu cuối.
- Với doanh nghiệp lớn có nhiều chi nhánh thì DMVPN hỗ trợ thiết lập các IPSec VPN được linh hoạt và tiết kiệm hơn so với VPN truyền thống do sử dụng mGRE trong phase của DMVPN.
- Hỗ trợ các Spoke Router với những địa chỉ IP vật lý động (được cấp bởi ISP).
Bên cạnh những ưu điểm nêu trên thì DMVPN còn có nhược điểm hơn so với VPN thông thường là tăng độ trễ và độ hội tụ.
TÀI LIỆU THAM KHẢO 1. Roumaissa Khelf (1), Nacira Ghoualmi-Zine (2), A Survey on Dynamic Multipoint Virtual Private Networks. 2. Dynamic Multipoint VPN (DMVPN) Design Guide, Corporate Headquarters Cisco Systems Inc., 2006. 3. International Journal of Computer Science and Information Security (IJCSIS), Vol. 16, No. 8, August 2018. 4. FC2406, IP Encapsulating Security Payload (ESP). 5. Rahul Awti, Dynamic multipoint (DMVPN), techtarget. com, October, 2021. |
Đỗ Quang Trung, Phùng Hữu Khoa
10:00 | 27/05/2022
16:00 | 27/04/2023
10:00 | 13/07/2017
13:00 | 18/11/2024
Đứng trước thách thức về các mối đe dọa nâng cao, khái niệm về “chuỗi tiêu diệt” được sử dụng để phòng, chống các mối đe dọa này. Phần 2 của bài báo tập trung trình bày về các biện pháp phát hiện, bảo vệ hệ thống khỏi tấn công APT, khai thác lỗ hổng Zero-day và tấn công chuỗi cung ứng.
14:00 | 02/10/2024
Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi và phức tạp, Zero Trust đang nổi lên như một mô hình bảo mật toàn diện cho doanh nghiệp. Tại Hội thảo Netpoleon Solutions Day 2024 với chủ đề “Transforming Security with Zero Trust”, ông Nguyễn Kỳ Văn, Giám đốc Netpoleon Việt Nam đã chia sẻ những góc nhìn sâu sắc về tầm quan trọng của mô hình Zero Trust và cách thức doanh nghiệp Việt Nam có thể ứng dụng hiệu quả giải pháp này.
10:00 | 20/05/2024
Công nghệ Blockchain hiện nhận được nhiều sự quan tâm, nghiên cứu và ứng dụng trên toàn thế giới, với nhiều nền tảng có thể kể đến như Bitcoin, Etherum, Solana, Polygon…. Bài báo này tập trung trình bày về các công nghệ Blockchain phổ biến hiện nay, tiến hành so sánh, đánh giá đặc điểm của những công nghệ này và đưa ra các lưu ý khi sử dụng trong thực tế.
10:00 | 10/04/2024
Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Trong bối cảnh phát triển mạnh mẽ của Trí tuệ nhân tạo (AI), vấn đề khai thác lỗ hổng (Jailbreak) đã trở thành một thách thức đáng chú ý trong việc quản lý và kiểm soát mô hình ngôn ngữ lớn tạo sinh (Generative Pre-trained Transformer - GPT). Trong phạm vi bài viết này, nhóm tác giả sẽ giới thiệu tổng quan về mô hình ngôn ngữ lớn GPT hiện nay, một số phương thức khai thác lỗ hổng trong mô hình GPT và cung cấp một góc nhìn về khai thác lỗ hổng trong tương lai.
22:00 | 30/01/2025