02:31:00 | 25-12-2020
Cùng với sự phát triển bùng nổ về công nghệ, mạng Internet ngày càng được mở rộng, đồng thời sẽ khó kiểm soát và kèm theo đó là sự mất an toàn trong việc trao đổi thông tin trên mạng, các thông tin dữ liệu trao đổi trên mạng có thể bị rò rỉ hoặc bị đánh cắp khiến cho các tổ chức, cá nhân lo ngại về vấn đề an toàn và bảo mật thông tin dữ liệu trong các mạng cục bộ của mình (LAN) khi trao đổi thông tin qua mạng công cộng Internet.
Mạng riêng ảo (VPN) và mạng riêng ảo dựa trên bộ giao thức SSL/TLS cung cấp một giải pháp an toàn cho các tổ chức, cá nhân trao đổi thông tin từ mạng nội bộ của mình trên môi trường mạng Internet một cách an toàn và bảo mật và giúp cho doanh nghiệp, người dùng giảm thiểu được chi phí cho những kết nối trên phạm vi rộng. Bài viết này sẽ cung cấp cho người đọc một số nội dung cơ bản về công nghệ mạng riêng ảo và mạng riêng ảo dựa trên bộ giao thức SSL/TLS cũng như việc lựa chọn, cấu hình các tham số, thuật toán mật mã an toàn khi sử dụng các sản phẩm mật mã dân sự có cung cấp tính năng thiết lập kênh an toàn sử dụng SSL/TLS VPN.
1. Giới thiệu chung về mạng riêng ảo - VPN
Mạng riêng ảo (Virtual Private Network - VPN), là sự mở rộng của một mạng riêng thông qua các mạng công cộng bằng cách thiết lập các kênh truyền thông an toàn. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với các mạng riêng lẻ hay nhiều người sử dụng từ xa.VPN là công nghệ mạng giúp tạo kết nối mạng an toàn khi tham gia vào mạng công cộng như Internet. Hai đặc điểm quan trọng của công nghệ VPN là “riêng” và “ảo” tương ứng với hai thuật ngữ tiếng anh “Virtual” và “Private”. dữ liệu của các ứng dụng người dùng khi truyền nhận trên các mạng riêng ảo sẽ được bảo vệ theo các công nghệ mà mạng riêng ảo đó được xây dựng.
Mạng riêng ảo cung cấp các chức năng chính:
- Đảm bảo tính bí mật (Confidentiality): Dữ liệu khi truyền nhận sẽ được mã hóa/giải mã để đảm bảo tính bí mật.
- Tính toàn vẹn dữ liệu (Data Integrity): Đảm bảo tính toàn vẹn của dữ liệu khi truyền/nhận trên mạng, tức là dữ liệu không bị sửa đổ trái phép.
- Tính xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực nguồn gốc của gói dữ liệu, đảm bảo và xác nhận nguồn thông tin.
2. Công nghệ SSL/TLS VPN
Hiện nay có hai loại mạng riêng ảo, đó là mạng riêng ảo được thiết lập sử dụng giao thức bảo mật gói IP – IPSec và mạng riêng ảo được thiết lập sử dụng bộ giao thức bảo mật tầng giao vận SSL/TLS.
Giao thức SSL/TLS được thiết kế như là lớp trung gian giữa tầng vận chuyển và tầng ứng dụng, bao gồm:
- Giao thức bắt tay SSL (SSL Hanshake Protocol): Thực hiện chức năng bắt tay giữa ứng dụng khách và ứng dụng chủ để thiết lập phiên liên lạc (trao đổi tham số, trao đổi khóa, xác thực Server và Client, ...).
- Giao thức báo lệnh SSL (SSL Alert Protocol): Thông báo lỗi trả về trong quá trình thực hiện giao thức.
- Giao thức xác định thay đổi mã pháp SSL/TLS (SSL/TLS Change Cipher Spec Protocol): Thông báo việc thực hiện thực hiện thiết lập các thuộc tính mật mã cho phiên liên lạc đã hoàn thành.
- Giao thức dữ liệu ứng dụng SSL/TLS (SSL/TLS Application Data Protocol): Nhận dữ liệu từ tầng ứng dụng và chuyển cho giao thức bản ghi SSL để thực hiện các chức năng an toàn, bảo mật.
- Giao thức bản ghi SSL/TLS (SSL/TLS Record Protocol): Giao thức trao đổi dữ liệu có bảo mật giữa ứng dụng khách và ứng dụng chủ.
Hình 1: Giao thức SSL/TLS với các lớp và các giao thức
Các thuật toán mật mã được sử dụng trong SSL/TLS VPN bao gồm các thuật toán mật mã khóa đối xứng (Ví dụ như: RC4, AES, 3DES...), các thuật toán mật mã khóa công khai (Ví dụ như RSA, Diffie Hellman,...), các giao thức phân phối hoặc thỏa thuận khóa, các thuật toán ký số, các hàm băm mật mã (ví dụ như SHA1, SHA256,...), các mã xác thực thông báo (HMAC-SHA1, ...), các hàm dẫ xuất khóa, các hàm sinh ngẫu nhiên,...
Một số sản phẩm mật mã dân sự có tích hợp SSL/TLS VPN hiện nay có thể kể đến như: Hillstone X-Series Data Center Firewall, Sophos Firewall Manager (SFM, Brocade DCX 8510, Brocade G610 Switch, Citrix NetScaler MPX/SDX, TREND MICRO TIPPINGPOINT THREAT PROTECTION SYSTEM FAMILY, Trendmicro Tippingpoint, Sonic Wall Generation Firewall, McAfee Network Security Platform ....
3. Một số chú ý khi sử dụng SSL/TLS VPN để đảm bảo an toàn thông tin
Khi cài đặt, cấu hình mạng riêng ảo trên các sản phẩm mật mã dân sự để để bảo mật dữ liệu, người sử dụng nên nghiên cứu, tham khảo các thông tin về các thuật toán mật mã, tham số mật mã an toàn mà mình định dùng trên thiết bị theo nguyên tắc: dữ liệu sẽ được đảm bảo an toàn ở mức tốt nhất nếu các thuật toán, tham số mật mã được sử dụng có độ bảo mật cao nhất và không tồn tại các điểm yếu (tuy nhiên cũng cần phải cân nhắc đến hiệu năng xử lý của thiết bị và đặc điểm của dữ liệu cần bảo vệ).
Dưới đây là một số thuật toán mật mã được hỗ trợ bởi SSL/TLS VPN:
- Thuật toán, giao thức trao đổi khóa: DHE, ECDH, TLS-PSK, ECDHE, …
- Thuật toán mã khối: AES-128, AES-192, AES-256, IDEA, TDEA, Blowfish, 3DES,...
- Thuật toán mật mã bất đối xứng: RSA, Diffie Hellman
- Hàm băm: SHA-1, SHA-2(SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/256, SHA-512/224), MDC2, RIPEMD 160, SHA-3(SHA3-224, SHA3-256, SHA3-384, SHA3-512).
- Mã xác thực thông báo: HMAC-SHA1, HMAC-SHA-224, HMAC-SHA-256, HMAC-SHA-384, HMAC-SHA-512.
- Thuật toán ký số: DSA, RSAPSS, ECDSA.
- Các cơ chế hoạt động của mã khối sử dụng trong SSL/TLS VPN là: CBC, CFB, OFB, GCM, CCM, CTR.
Người sử dụng cũng có thể áp dụng hoặc tham khảo các khuyến nghị của các tổ chức bảo mật trên thế giới thông qua các tiêu chuẩn, qui chuẩn hay qui trình cài đặt, sử dụng các thuật toán mật mã tương ứng với yêu cầu về độ bảo mật.
Người sử dụng, doanh nghiệp có thể tham khảo thêm tại https://www.keylength.com/ khi lựa các thuật toán trong quá trình cấu hình sử dụng.
Source: https://dichvucong.nacis.gov.vn
ThS. Nguyễn Thanh Sơn – Cục QLMMDS và KĐSPMM
