Vì SoftEther [1] với đặc trưng là ảo hóa các thành phần ở lớp 2, do đó các card mạng LAN và trạm trung chuyển hub được ảo hóa bằng phần mềm và được gọi lần lượt là card LAN ảo và hub ảo. SoftEther là một phần mềm truyền thông kiểu máy khách/máy chủ. Khi xây dựng VPN bằng SoftEther, một hub ảo được cài đặt trên một máy chủ và nhiều máy khách có card mạng LAN ảo được cài đặt đồng thời kết nối với hub ảo đó. Sau đó, các máy khách có thể truyền thông tự do với nhau ở lớp liên kết dữ liệu.
Hầu hết các phần mềm máy chủ VPN thông thường được triển khai sử dụng một phần chức năng mạng của hệ điều hành. Trong Hình 1, các máy chủ L2TP và OpenVPN xử lý giao thức VPN ở lớp 3. Các máy chủ này gọi chức năng định tuyến IP riêng của hệ điều hành để trao đổi các gói IP với một giao thức VPN khác hoặc mạng LAN vật lý bên ngoài. Khi người quản trị xây dựng VPN server hỗ trợ nhiều giao thức VPN, các chức năng VPN thường phải phụ thuộc vào chức năng định tuyến và chuyển mạch của hệ điều hành. Do đó, nếu có lỗi trong cài đặt chức năng định tuyến hoặc chuyển mạch trong hệ điều hành, thì các chương trình ứng dụng khác cũng sẽ bị ảnh hưởng và không thể kết nối.
Hình 1. Nhược điểm của máy chủ VPN thông thường
SoftEther VPN Server là một phần mềm máy chủ VPN tích hợp, điều này có nghĩa là quản trị viên có thể sử dụng nhiều giao thức VPN khác nhau cùng một lúc mà không cần phải có hiểu biết về sự khác biệt của chúng và các giao thức này hoạt động như một phiên bản duy nhất với mức độ phụ thuộc ít nhất vào các hệ điều hành và các thư viện khác. Hình 2 minh họa giải pháp máy chủ VPN tích hợp, trong đó các module xử lý các giao thức VPN khác nhau được thực hiện trong một tiến trình duy nhất. Quản trị viên chỉ cần cài đặt một phần mềm máy chủ VPN tích hợp để hỗ trợ các giao thức VPN khác nhau và nhận các kết nối VPN từ nhiều phần mềm máy khách VPN. Chức năng chuyển mạch cũng được cài đặt trong tiến trình này, nó có nhiệm vụ thực hiện trao đổi thông báo giữa nhiều máy chủ VPN ở lớp 2.
Ngoài ra, để trao đổi thông tin giữa máy chủ VPN ở lớp 3 và chức năng chuyển mạch, một bộ chuyển đổi (Adapter) sẽ chuyển đổi gói tin giữa lớp 3 và lớp 2. Quản trị viên không cần cấu hình các chức năng định tuyến và chuyển mạch trên chính hệ điều hành mà trình chủ VPN được cài đặt.
Hình 2. Giải pháp máy chủ VPN tích hợp
Hình 3. Các thành phần trong máy chủ SoftEther VPN
Hình 3 thể hiện các module trong phần mềm máy chủ SoftEther VPN. Các module chính bao gồm:
1. Các module xử lý giao thức VPN, máy chủ VPN hỗ trợ các giao thức VPN khác nhau gồm: L2TPv3, SSTP, OpenVPN, EtherIP, SE-VPN.
2. Module chia sẻ giữa các giao thức VPN gồm: SSL/TLS, HTTP, Point-to-Point (PPP), IPSec. Trong thành phần này có bộ điều hợp (Adapter) để thực hiện truyền thông giữa lớp 2 và lớp 3.
3. Thành phần xử lý chính gồm: Thành phần cài đặt trung chuyển ảo (Virtual hub), thành phần xác thực (User authentication), điều khiển truy cập (Access control) và ghi nhật ký (Logging).
4. Ngoài ra, SoftEther còn có một số thành phần hỗ trợ cho việc cấu hình, giám sát máy chủ VPN (User interface) và thành phần tương tác với các nền hệ điều hành khác nhau (Platform astraction).
SE-VPN được đánh giá là một trong những giao thức VPN có hiệu suất thực hiện khá tốt [4], ngoài ra nó là một giao thức VPN hoạt động ở lớp 2, dữ liệu VPN được đóng gói theo định dạng Ethernet Frames (IEEE802.3).
Với SE-VPN, các gói tin truyền qua mạng vật lý thực để giao tiếp giữa máy chủ SoftEther VPN và máy tính nguồn kết nối VPN (phiên VPN) được đóng gói dưới dạng gói TCP/IP và được tạo bởi người gửi. Các gói TCP/IP sẽ được đóng gói và mở đóng gói khi thực hiện gửi và nhận. Tất cả dữ liệu truyền thông TCP/IP được mã hóa bởi lớp mã hóa (SSL/TLS).
SE-VPN sử dụng giao thức SSL/TLS [3] để thiết lập một kênh VPN. Giao thức TLS sử dụng cổng 443 của giao thức TCP/IP làm cổng đích. Mặc định, cổng này thường được các thiết bị Firewall cấu hình cho phép đi qua. Định dạng đóng gói gói tin VPN cho kênh mã hóa TCP như Hình 4. Phần TLS Header và dữ liệu (Data) bảo mật được đóng gói trong định dạng TLS Record như Hình 5.
Hình 4. Định dạng gói tin VPN trong chế độ TCP
Hình 5. Định dạng bảo mật dữ liệu theo TLS Record
Kênh UDPAcc (UDP Acceleration) [2] là một đường hầm UDP có mã hóa được sử dụng để tăng tốc truyền dữ liệu. Thuật toán mã hóa mặc định của Hình 4. Định dạng gói tin VPN trong chế độ TCP Hình 3. Các thành phần trong máy chủ SoftEther VPN kênh UDPAcc là Chacha20-Poly1305 và khóa mã hóa cho kênh này được trao đổi dựa trên kênh TCP bảo mật trước đó. Cấu trúc gói của kênh UDPAcc được hiển thị như Hình 6. Thành phần SE Header, dữ liệu và xác thực (MAC) như Hình 7. Trong đó có các giá trị như sau:
Hình 6. Cấu trúc gói của kênh UDPAcc
Hình 7. Cấu trúc gói của kênh UDPAcc
- IV: là vectơ khởi tạo của thuật toán mã hóa, có độ dài là 12 byte do sử dụng chế độ mã GCM.
- Cookie: Cookie được tạo ra và gắn kết với phiên kết nối và sử dụng để xác định rằng gói tin UDP nhất định thuộc về cùng một phiên kết nối UDP.
- SendTick: Đây là một trường dữ liệu được sử dụng để đồng bộ hóa dữ liệu giữa hai bên trong quá trình UDPAcc. Trong quá trình gửi dữ liệu UDP, trường sendtick được gắn kèm với gói tin để xác định thời điểm gửi. Trường này giúp người nhận phát hiện và xử lý các gói tin theo thứ tự chính xác và đồng bộ với thời gian gửi.
- RecvTick: Đây là một trường dữ liệu được sử dụng để đồng bộ dữ liệu giữa hai bên trong quá trình UDPAcc. Trong quá trình nhận dữ liệu UDP, trường recvtick được gắn kèm với gói tin để xác định thời điểm nhận của gói tin. Trường này giúp người gửi biết được thời gian nhận của gói tin và điều chỉnh quá trình gửi dữ liệu để đảm bảo sự đồng bộ giữa người gửi và người nhận.
- Data Length: Độ dài của dữ liệu.
- Flag: Cờ chỉ dữ liệu có được nén hay không, mặc định là không nén.
- Data: Một khung Ethernet được nhận bởi bộ điều hợp mạng ảo VPN.
- MAC: Dữ liệu xác thực của gói tin, có độ dài 16 byte chính là thành phần TAG của chế độ mã GCM.
Các giao thức VPN thông thường hoạt động ở trong lớp 3 của chồng giao thức IP như OpenVPN, IPSec,… tuy nhiên giao thức SE-VPN lại được xử lý ở lớp 2 của chồng giao thức cho phép xử lý các gói tin VPN ở mức Frame. Đặc điểm này giúp giao thức này tạo ra các kênh VPN mà không phụ thuộc vào giao thức lớp 3.
Hiện nay, bộ phần mềm SoftEther VPN đã được sử dụng tại nhiều cơ quan Đảng và Nhà nước, việc nghiên cứu xây dựng sản phẩm bảo mật luồng IP dựa trên giao thức SE-VPN và các công nghệ lõi mới của phần mềm SoftEther là cần thiết. Bộ phần mềm VPN mới này giúp công tác xây dựng và triển khai các mô hình VPN một cách mềm dẻo, khả năng quản lý và cấu hình một cách thuận tiện, băng thông mã hóa được cải thiện.
TÀI LIỆU THAM KHẢO [1]. https://www.softether.org/3-spec,[Online]: Accessed on 18 May, 2022. [2]. Yunxiao Sun, “On Man-in-the-Middle Attack Risks of the VPN Gate Relay System”, Security and Communication Networks, Volume 2021, https://doi. org/10.1155/2021/9091675. [3]. IETF, “The Transport Layer Security (TLS) Protocol Version 1.3”, RFC 8446. [Online]: Accessed on 18 May. 2022, https://datatracker.ietf.org/doc/html/ rfc8446. [4]. Choon Hoe Chua, Sok Choo Ng, “Open-Source VPN Software: Performance Comparison for Remote Access”, Proceedings of the 5th International Conference on Information Science and Systems, 2022 |
TS. Phạm Văn Lực, Phạm Đức Hùng, Nguyễn Đình Đại (Viện Khoa học - Công nghệ mật mã)
10:00 | 27/05/2022
09:00 | 04/04/2024
23:00 | 02/09/2022
13:00 | 29/06/2023
11:00 | 03/09/2024
Hiện nay, chuyển đổi số đã và đang làm thay đổi nền kinh tế, bùng nổ các ứng dụng công nghệ thông tin, nổi bật là các ứng dụng di động giúp nâng cao hiệu quả trong hoạt động công tác tại các tổ chức và doanh nghiệp. Tuy nhiên, việc sử dụng các ứng dụng di động, đặc biệt là các ứng dụng sử dụng trong mạng chuyên dùng cũng đi kèm với các thách thức liên quan đến bảo mật an toàn thông tin, an ninh mạng. Bài báo này trình bày những thách thức, yêu cầu đặt ra và một số giải pháp di động hóa ứng dụng sử dụng trong mạng chuyên dùng có yếu tố bảo mật.
09:00 | 04/04/2024
Mạng riêng ảo (VPN) xác thực và mã hóa lưu lượng truy cập mạng để bảo vệ tính bí mật và quyền riêng tư của người dùng ngày càng được sử dụng phổ biến trong cả môi trường cá nhân và doanh nghiệp. Do đó, tính bảo mật của VPN luôn là chủ đề nghiên cứu nhận được nhiều sự quan tâm. Bài báo sẽ trình bày hai tấn công mới khiến máy khách VPN rò rỉ lưu lượng truy cập bên ngoài đường hầm VPN được bảo vệ thông qua khai thác lỗ hổng TunnelCrack. Hai tấn công này đã được xác nhận là có khả năng ảnh hưởng đến hầu hết các VPN của người dùng. Ngoài ra, nhóm tác giả cũng đưa ra các biện pháp đối phó để giảm thiểu các cuộc tấn công lợi dụng lỗ hổng này trong thực tế.
13:00 | 19/03/2024
Hiện nay, khi mức độ phổ biến của Hệ thống tệp liên mạng (Interplanetary File System - IPFS) ngày càng phát triển thì cũng kéo theo những rủi ro và mối đe dọa bởi tội phạm mạng nhanh chóng phát triển các kỹ thuật tấn công và lợi dụng công nghệ IPFS để mở rộng hoạt động phạm tội của chúng. Các cuộc tấn công này thậm chí còn trở nên nguy hiểm hơn khi nhiều dịch vụ lưu trữ tệp, lưu trữ web và đám mây hiện đang sử dụng IPFS. Xu hướng gần đây cho thấy sự gia tăng đáng lo ngại về các cuộc tấn công lừa đảo tận dụng IPFS, trong đó kẻ tấn công lạm dụng tính chất phi tập trung của công nghệ này để lưu trữ và phân phối nội dung độc hại. Bài báo trình bày tổng quan và thực trạng tấn công lừa đảo IPFS, từ đó đưa ra phương pháp phù hợp để phòng tránh trước các cuộc tấn công lừa đảo IPFS.
09:00 | 17/11/2023
Theo Cục An toàn thông tin (Bộ TT&TT), hiện nay có 24 hình thức lừa đảo qua mạng phổ biến mà các đối tượng lừa đảo nhắm vào người dân. Để tránh trở thành nạn nhân, người dân cần nắm bắt, tuyên truyền cho người thân, bạn bè, đồng nghiệp của mình.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Trong thời đại kỹ thuật số ngày nay, ransomware đã trở thành một trong những mối đe dọa nguy hiểm nhất đối với cả cá nhân lẫn tổ chức. Đây không chỉ là một loại phần mềm độc hại, mà còn là một công cụ về chính trị và kinh tế của các nhóm tội phạm mạng. Ransomware không chỉ gây tổn thất về tài chính mà còn đe dọa đến sự bảo mật thông tin, uy tín và hoạt động kinh doanh của các tổ chức. Bài báo này sẽ trang bị một số kỹ năng cần thiết cho các tổ chức để thực hiện các biện pháp giúp giảm thiểu tác động của các cuộc tấn công ransomware, nhấn mạnh việc triển khai một cách chủ động để bảo vệ hệ thống trước các mối nguy hiểm tiềm tàng.
10:00 | 04/10/2024