Professional Documents
Culture Documents
viên
lớn hơn 2500) triển khai các ứng dụng quan trọng trên mạng cục bộ LAN. Khi các
mạng cục bộ này kết nối với Internet, thông tin quan trọng của họ trở nên dễ bị đột
nhập, lấy cắp, phá hoại hoặc cản trở lưu thông. Mặc dù phần lớn tổ chức này đã áp
dụng các biện pháp an toàn, nhưng vẫn còn nhiều lỗ hổng mà kẻ tấn công có thể lợi
dụng. Trong những năm gần đây, tình hình bảo mật mạng máy tính trở nên nóng hơn
bao giờ hết với hàng loạt vụ tấn công và lỗ hổng bảo mật được phát hiện hoặc bị lợi
dụng. Theo Arthur Wong, giám đốc điều hành của SecurityFocus, trung bình mỗi tuần
có hơn 30 lỗ hổng bảo mật mới được phát hiện. Theo một cuộc điều tra của
SecurityFocus, trung bình mỗi khách hàng đã cài đặt phần mềm phát hiện xâm nhập
trái phép phải chịu 129 cuộc thăm dò và xâm nhập.
=== Các mật khẩu yếu ===
Thói quen sử dụng mật khẩu dễ đoán, như là tên người thân hoặc các từ thông dụng, đang
trở thành một vấn đề nghiêm trọng trong việc bảo vệ an ninh mạng. Với những mật khẩu dễ
đoán, kẻ tấn công có thể dễ dàng xâm nhập vào hệ thống và chiếm đoạt quyền quản trị, gây
phá hoại hệ thống, cài đặt backdoor hoặc lấy cắp thông tin quan trọng
Một mật khẩu mạnh cần có những đặc điểm sau:
• Độ dài
• Kết hợp ký tự
• Không sử dụng thông tin cá nhân
• Không sử dụng từ điển
• Sử dụng cấu trúc phức tạp
• Thay đổi định kỳ
=== Dữ liệu không được mã hóa ===
Các giao thức bảo mật như SSL (Secure Sockets Layer) và TLS (Transport Layer Security) được
sử dụng rộng rãi trên Internet để mã hoá dữ liệu truyền đi giữa các máy chủ và máy khách.
Khi bạn truy cập một trang web bảo mật, dữ liệu được truyền qua giao thức HTTPS, trong đó
thông tin được mã hoá để đảm bảo tính riêng tư và bảo mật.
SSL là viết tắt của "Secure Sockets Layer" (Lớp Sockets Bảo mật), một công nghệ bảo mật
được sử dụng để tạo kênh liên lạc an toàn giữa máy tính của người dùng và máy chủ trên
Internet
Cách hoạt động của TLS:
Handshake: Khi thiết lập một kết nối an toàn, quá trình handshake (buổi thảo luận) xảy ra
giữa máy khách và máy chủ. Trong quá trình này, hai bên thỏa thuận về các thông số mật mã
và chứng thực danh tính.
Mã hóa dữ liệu: Khi kết nối an toàn đã được thiết lập, dữ liệu được truyền giữa máy khách
và máy chủ được mã hóa bằng các giải thuật mật mã phức tạp, làm cho dữ liệu không thể
đọc được nếu bị bắt gặp bởi kẻ thứ ba.
Đảm bảo tính toàn vẹn: TLS đảm bảo tính toàn vẹn của dữ liệu, bằng cách ký và kiểm tra chữ
ký số để xác minh rằng dữ liệu không bị thay đổi hoặc biến đổi trong quá trình truyền.
Bộ giao thức phổ biến TCP/IP, được sử dụng rộng rãi trên mạng, cũng mang trong mình
những nguy cơ bảo mật không đáng ngờ. Kẻ tấn công có thể lợi dụng các quy tắc trong giao
thức này để thực hiện các cuộc tấn công từ chối dịch vụ (DoS).
Dưới đây là một số lỗ hổng đáng chú ý liên quan đến bộ giao thức TCP/IP:
• Tấn công Web Server: Ngoài các lỗ hổng bảo mật do việc thực thi các chương trình
CGI, các máy chủ web cũng có thể có các lỗ hổng khác. Ví dụ, một số máy chủ web (ví dụ IIS
1.0...) có một lỗ hổng cho phép một tên tệp chèn đoạn "../" vào trong tên đường dẫn, từ đó
có thể truy cập đến bất kỳ vị trí nào trong hệ thống tệp và lấy được các tệp tin. Một lỗi phổ
biến khác là lỗi tràn bộ đệm trong các trường yêu cầu (request) hoặc trong các trường HTTP
khác.
3.1 Dữ liệu:
Dữ liệu là một trong những mục tiêu quan trọng cần được bảo vệ. Bảo vệ tính bí mật,
toàn vẹn và sẵn sàng của dữ liệu là yếu tố chính trong chính sách an toàn thông tin. Bí
mật đảm bảo rằng chỉ những người được ủy quyền mới có thể truy cập và xem dữ
liệu. Toàn vẹn đảm bảo rằng dữ liệu không bị sửa đổi một cách trái phép. Sẵn sàng
đảm bảo rằng dữ liệu có sẵn khi người dùng cần đến. Việc áp dụng các biện pháp mã
hoá, kiểm soát quyền truy cập và sao lưu dữ liệu là những chiến lược bảo vệ dữ liệu
quan trọng.
Nút thắt
Firewall đóng vai trò quan trọng trong việc kiểm soát truy cập và bảo vệ mạng. Tất cả
những ai muốn truy cập vào mạng cần bảo vệ đều phải vượt qua các Firewall này.
Firewall không chỉ giới hạn truy cập không mong muốn từ bên ngoài, mà còn giúp
ngăn chặn các cuộc tấn công và hành vi độc hại từ Internet. Nó kiểm soát và giám sát
các kết nối mạng, chặn các gói tin không mong muốn và ngăn chặn các hành vi đáng
ngờ. Điều này đảm bảo rằng chỉ những người có quyền truy cập hợp lệ mới có thể
tiếp cận mạng và dữ liệu quan trọng.
Chương II
Khái niệm: Trong lĩnh vực công nghệ thông tin, Firewall là một kỹ thuật được tích hợp
vào hệ thống mạng nhằm ngăn chặn truy cập trái phép và bảo vệ các nguồn thông tin
nội bộ, đồng thời giới hạn sự xâm nhập vào hệ thống với mục đích phá hoại và gây
tổn thất cho tổ chức, doanh nghiệp.
McAfee Firewall: McAfee cũng là một công ty nổi tiếng về bảo mật và sản phẩm firewall của
họ cung cấp nhiều tính năng bảo vệ và kiểm soát.
Avast Firewall: Avast là một công ty phần mềm an ninh nổi tiếng và firewall của họ cung cấp
mức độ bảo vệ tốt.
2.3 Ưu điểm và nhược điểm của Firewall
Ưu điểm:
• Bảo vệ mạng: Nó giúp ngăn chặn và hạn chế sự truy cập trái phép vào hệ thống
mạng, bảo vệ các nguồn thông tin quan trọng và dữ liệu nội bộ của tổ chức. Điều này giúp
ngăn chặn sự xâm nhập, đánh cắp thông tin và giảm thiểu rủi ro bảo mật.
• Kiểm soát truy cập: Firewall cho phép người quản trị mạng thiết lập và quản lý các
quy tắc an ninh để kiểm soát quyền truy cập và giao tiếp giữa các mạng khác nhau hoặc giữa
mạng nội bộ và Internet. Bằng cách xác định và áp dụng các quy tắc, Firewall đảm bảo chỉ
những người dùng được ủy quyền mới có thể truy cập vào tài nguyên mạng quan trọng.
• Ngăn chặn tấn công mạng: Firewall giúp phát hiện và ngăn chặn các cuộc tấn công
mạng như tấn công từ chối dịch vụ (DoS), tấn công từ chối dịch vụ phân tán (DDoS), tấn công
dò quét, tấn công từ điển và các hình thức tấn công khác. Bằng cách giám sát luồng dữ liệu,
Firewall có thể xác định các hành vi đáng ngờ và chặn các gói tin độc hại hoặc không được ủy
quyền.
• Giám sát và ghi nhật ký: Firewall cung cấp khả năng giám sát và ghi nhật ký các hoạt
động mạng. Nhờ đó, người quản trị mạng có thể theo dõi và phân tích các hoạt động mạng,
phát hiện các hành vi bất thường, cuộc tấn công hoặc các mối đe dọa tiềm tàng. Ghi nhật ký
này cung cấp thông tin quan trọng cho việc điều tra, xử lý sự cố và cải thiện chính sách bảo
mật.
• Linh hoạt và dễ cài đặt: Firewall phần mềm cho phép linh hoạt hơn trong việc cài đặt
và tùy chỉnh theo nhu cầu riêng của từng công ty. Người quản trị mạng có thể dễ dàng cấu
hình các quy tắc, chính sách và phân loại giao tiếp mạng. Điều này cho phép tăng cường bảo
mật theo yêu cầu của tổ chức mà không cần sử dụng thiết bị phần cứng riêng biệt.
Nhược điểm:
• Một firewall không thể hoàn hảo: Mặc dù Firewall có khả năng ngăn chặn và kiểm
soát truy cập mạng, nhưng nó không thể đảm bảo hoàn toàn bảo vệ mạng khỏi mọi cuộc tấn
công. Các kỹ thuật tấn công mạng ngày càng tinh vi và tiên tiến, đòi hỏi Firewall phải được
cập nhật thường xuyên để đối phó với các mối đe dọa mới.
• Khả năng phản hồi chậm: Firewall có thể làm chậm quá trình truyền tải dữ liệu vì
phải kiểm tra và xử lý các gói tin. Điều này có thể ảnh hưởng đến hiệu suất mạng, đặc biệt
đối với các mạng có lưu lượng cao.
• Đòi hỏi kiến thức chuyên môn: Cấu hình và quản lý Firewall đòi hỏi kiến thức và kỹ
năng chuyên môn. Người quản trị mạng cần hiểu rõ về các quy tắc bảo mật, giao thức mạng
và các nguyên tắc hoạt động của Firewall để đảm bảo rằng nó được cấu hình và vận hành
đúng cách. Sự thiếu hiểu biết và kỹ năng chuyên môn có thể dẫn đến việc cấu hình không
chính xác hoặc thiếu sót, từ đó mở ra cơ hội cho các cuộc tấn công mạng.
• Có thể gây lỗi và xung đột: Một cấu hình Firewall không đúng hoặc không tương
thích với một số ứng dụng hoặc hệ thống khác có thể gây ra lỗi hoặc xung đột. Điều này có
thể dẫn đến mất kết nối, mất dữ liệu hoặc các vấn đề khác trong hoạt động của mạng.
•
Kiểm soát và giám sát lưu lượng mạng: Firewall cho phép kiểm soát và quản lý lưu lượng
mạng đi vào và ra khỏi mạng. Nó xác định xem liệu các gói dữ liệu được phép truy cập vào
hệ thống hay không dựa trên các quy tắc cấu hình trước đó. Firewall cũng cung cấp khả năng
giám sát lưu lượng mạng để phát hiện các hoạt động bất thường.
Bảo vệ chống cuộc tấn công từ bên ngoài: Firewall giúp ngăn chặn và ngăn cản các cuộc tấn
công từ mạng bên ngoài như các cuộc tấn công DDoS (Distributed Denial of Service), tấn
công từ chối dịch vụ (DoS), tấn công xâm nhập và các cuộc tấn công khác.
Bảo vệ dữ liệu và thông tin cá nhân: Firewall giúp bảo vệ dữ liệu quan trọng và thông tin cá
nhân khỏi việc truy cập trái phép hoặc rò rỉ thông tin.
Kiểm soát và quản lý truy cập mạng: Firewall đảm bảo chỉ những người dùng được ủy
quyền có thể truy cập vào các tài nguyên và dịch vụ trong mạng, giới hạn khả năng truy cập
từ các nguồn không đáng tin cậy.
Chống phá hoại hệ thống: Firewall có khả năng giúp ngăn chặn sự lây lan của mã độc, virus,
worm, trojan và ransomware vào hệ thống.
Kiểm soát ứng dụng và dịch vụ mạng: Một số firewall cung cấp khả năng kiểm soát các ứng
dụng và dịch vụ sử dụng lưu lượng mạng, cho phép quản lý và giám sát việc sử dụng ứng
dụng trong mạng.
Tường lửa ứng dụng (Application Firewall): Một dạng đặc biệt của firewall có thể kiểm soát
và giám sát các kết nối mạng dựa trên lưu lượng ứng dụng thay vì chỉ dựa trên địa chỉ IP và
cổng.
Phân chia mạng (Network Segmentation): Firewall có thể được sử dụng để phân chia mạng
thành các vùng an toàn (zones) riêng biệt, giúp ngăn chặn sự lan truyền của các mối đe dọa
trong mạng.
Giám sát và nhật ký hoạt động mạng: Firewall cung cấp các công cụ giám sát và nhật ký hoạt
động mạng, giúp phát hiện các hoạt động bất thường và các mối đe dọa tiềm ẩn.
Thiết lập quy tắc và chính sách bảo mật: Firewall cho phép người quản trị thiết lập các quy
tắc và chính sách bảo mật linh hoạt dựa trên các yêu cầu và môi trường của tổ chức.
CHƯƠNG III: TỔNG QUAN VỀ FIREWALL FORTIGATE
• Bảo vệ mạng và dữ liệu: Firewall FortiGate giúp ngăn chặn các mối đe dọa mạng như
tấn công từ bên ngoài, phần mềm độc hại, tấn công từ chối dịch vụ (DDoS) và các cuộc tấn
công khác. Nó giúp bảo vệ mạng và dữ liệu quan trọng của tổ chức khỏi sự xâm nhập và mất
mát.
• Kiểm soát và quản lý lưu lượng mạng: Firewall FortiGate cho phép quản lý lưu lượng
mạng một cách linh hoạt. Bằng cách phân loại và ưu tiên lưu lượng dựa trên các tiêu chí như
ứng dụng, người dùng và địa chỉ IP, nó giúp đảm bảo rằng các ứng dụng và dịch vụ quan
trọng được ưu tiên và có hiệu suất tốt hơn trong mạng.
• VPN an toàn: Firewall FortiGate hỗ trợ kết nối VPN an toàn giữa các văn phòng, chi
nhánh và người dùng từ xa. Điều này cho phép người dùng truy cập an toàn vào mạng nội
bộ từ bất kỳ đâu và bảo vệ thông tin quan trọng khi truyền qua mạng công cộng.
• Kiểm soát truy cập và quản lý người dùng: Firewall FortiGate cho phép quản lý quyền
truy cập mạng dựa trên danh tính người dùng. Bằng cách xác thực và kiểm soát người dùng,
nó giúp ngăn chặn truy cập trái phép và đảm bảo rằng chỉ những người được ủy quyền mới
có thể truy cập vào tài nguyên mạng quan trọng.
• Bảo mật email và web: Firewall FortiGate cung cấp tính năng bảo mật email và web,
giúp ngăn chặn các cuộc tấn công qua email, các trang web độc hại và vi rút từ việc xâm
nhập vào hệ thống.
• Quản lý tập trung: Firewall FortiGate hỗ trợ quản lý tập trung thông qua giao diện
quản lý web hoặc giao diện dòng lệnh. Điều này giúp quản trị viên dễ dàng cấu hình, giám
sát và quản lý các thiết bị Firewall FortiGate trên mạng.
• Tuân thủ quy tắc và quy định bảo mật: Firewall FortiGate cho phép tổ chức thực hiện
các quy tắc và quy định bảo mật cần thiết để tuân thủ các tiêu chuẩn an ninh và quyền riêng
tư, như PCI DSS, HIPAA và GDPR.
2.1 Hardware Appliance
Cổng quản lý (Management Port): Thường được đánh số là cổng 1, được sử dụng để quản
lý thiết bị thông qua giao diện người dùng web hoặc giao diện dòng lệnh.
Cổng LAN: Được sử dụng để kết nối với mạng nội bộ của tổ chức. Đây là cổng mà các thiết bị
trong mạng LAN của bạn kết nối đến.
GE RJ45 được tăng tốc phần cứng Interfaces
Cổng WAN: Được sử dụng để kết nối với mạng bên ngoài, thường là internet. Cổng này kết
nối thiết bị với ISP hoặc mạng công cộng.
Trên một thiết bị Firewall FortiGate, các khe cắm SFP (Small Form-factor Pluggable) của GE
(Gigabit Ethernet) có thể được sử dụng để làm các giao diện mạng phụ (Subinterfaces) để
tạo một trình cầu nối giao diện ảo (Interface Group) hoặc còn gọi là IGF (Interface Group).
Cổng DMZ: DMZ (Demilitarized Zone) là một vùng mạng trung gian giữa mạng LAN và mạng
WAN. Cổng DMZ được sử dụng để đặt các máy chủ có thể tiếp cận từ mạng bên ngoài mà
không đặt mạng LAN trong nguy cơ.
Cổng HA (High Availability): Dùng trong cấu hình HA để tạo một cụm FortiGate cho tính sẵn
sàng cao và chịu lỗi.
Các cổng phụ (Subinterfaces): FortiGate cũng hỗ trợ cấu hình các cổng phụ, hay còn gọi là
VLAN, để chia nhỏ mạng LAN thành nhiều phần nhỏ hơn.
Cấu hình Policy trên fortigate cho phép mạng nội bộ truy cập được Internet
Name: đặt tên cho policy để phân biệt với các policy khác
Incoming Interface: chọn LAN để cho phép mạng LAN đi ra
Outgoing Interface: chọn Wan vừa cấu hình để cho phép mạng LAN đi ra Internet qua cổng
Wan
Source: chọn ALL để cho tất cả các máy tính đi ra hoặc có thể chọn 1 số client
Destination: chọn ALL
Schedule: Always
Service: chọn ALL, các mục này ta có thể chọn chỉ cho phép 1 số dịch vụ truy cập internet.
Chọn ALL là cho phép tất cả
Action: Accept để cho phép ( chọn deny là không cho phép đi ra qua cổng Wan1)
Bật tính năng NAT, điều này bắt buộc để mạng LAN có thể ra internet
Security Profiles: các tính năng này phụ thuộc vào license đang sử dụng. Đối với các part
Firewall là BDL ( ví dụ FG-100D-BDL, FG-100E-BDL) thì mới kích hoạt được các tính năng này,
các part như FG-100D, FG-100E sẽ không kích hoạt được các tính năng này mà phải mua
thêm license
Logging Options: Cho phép ghi lại log các traffic hoặc các gói tin ra vào trong mạng
Chọn OK để lưu cấu hình
AES (Advanced Encryption Standard):
AES là một thuật toán mã hóa simetric (đối xứng) phổ biến và mạnh mẽ, được sử dụng rộng
rãi trong các ứng dụng bảo mật mạng và lưu trữ dữ liệu.
Nó đã trở thành tiêu chuẩn mã hóa toàn cầu từ năm 2001 và được sử dụng rộng rãi trong
nhiều ứng dụng bảo mật.
AES hỗ trợ các khóa có độ dài 128, 192 hoặc 256 bit và có khả năng mã hóa và giải mã dữ
liệu một cách hiệu quả và an toàn.
Do hiệu suất cao và tính bảo mật mạnh mẽ, AES được sử dụng rộng rãi trong các ứng dụng
mã hóa dữ liệu và thông tin nhạy cảm.
• Hệ thống mạng được cấu hình theo đúng mô hình đã đề ra, với 3 vùng mạng chính
và các quy định kiểm tra gói tin được áp dụng.
• Cấu hình thành công cho phép vùng mạng LAN_IT có thể truy cập internet.
• Webserver và FTP server trong vùng DMZ được cài đặt và hoạt động thành công, với
việc các máy tính trong hệ thống mạng có thể truy cập vào chúng.
• Kết nối VPN giữa hai sites được cấu hình và hoạt động thành công, cho phép truyền
tải dữ liệu an toàn qua internet.
• Chính sách lọc trang web được áp dụng thành công, chặn truy cập đến các trang web
không mong muốn từ vùng mạng LAN.
• Chống thành công cuộc tấn công DoS, với việc firewall tự động chặn lưu lượng gói tin
đến từ địa chỉ nguồn tấn công.
VPN 2 Site
VPN Site-to-Site là một mô hình VPN (Virtual Private Network) trong FortiGate, cho phép kết
nối an toàn giữa hai vị trí hoặc chi nhánh khác nhau của tổ chức thông qua Internet hoặc
mạng không an toàn khác
NAT hay Network Address Translation giúp địa chỉ mạng cục bộ (Private) truy cập được đến
mạng công cộng (Internet).
NAT có nhiệm vụ truyền gói tin từ lớp mạng này sang lớp mạng khác trong cùng một hệ
thống. NAT sẽ thực hiện thay đổi địa chỉ IP bên trong gói tin. Sau đó chuyển đi qua router và
các thiết bị mạng.
Trong giai đoạn gói tin được truyền từ mạng internet (public) quay trở lại NAT, NAT sẽ thực
hiện nhiệm vụ thay đổi địa chỉ đích đến thành địa chỉ IP bên trong hệ thống mạng cục bộ và
chuyển đi.
IPsec (Internet Protocol Security) là một giao thức bảo mật được sử dụng để tạo các kênh
bảo mật và mã hóa thông tin giữa hai điểm trong mạng. Nó được sử dụng chủ yếu để bảo vệ
việc truyền dữ liệu qua Internet hoặc qua các mạng không an toàn khác.
IPsec hoạt động ở tầng Network Layer (tầng 3) trong mô hình OSI (Open Systems
Interconnection) và được tích hợp trực tiếp vào giao thức IP. Điều này cho phép nó làm việc
ở cấp độ cao hơn trong việc bảo vệ dữ liệu so với các giao thức bảo mật khác như SSL/TLS,
hoạc SSH.
Signature được kích hoạt trên Firewall FortiGate, nó sẽ so sánh các gói dữ liệu truyền qua
mạng với cơ sở dữ liệu các chữ ký mà Fortinet (nhà sản xuất FortiGate) đã cung cấp. Các chữ
ký này đại diện cho các biểu hiện cụ thể của các cuộc tấn công hoặc mã độc mạng đã được
biết đến trước đó.
FortiGate hỗ trợ nhiều giao thức VPN như IPsec, SSL, và các phương thức mã hóa khác
nhau như AES, 3DES, và SHA.
Trình hướng dẫn VPN IPsec Hub-and-Spoke trong Firewall FortiGate là một công cụ giúp dễ
dàng cấu hình mô hình VPN Hub-and-Spoke. Mô hình này được sử dụng phổ biến trong việc
tạo kết nối VPN giữa một trung tâm (Hub) và nhiều điểm (Spoke) khác nhau trong mạng.
Chức năng chính của VPN IPsec Hub-and-Spoke wizard bao gồm:
Tạo kết nối VPN Hub-and-Spoke: Trình hướng dẫn cho phép người quản trị tạo các
kết nối VPN an toàn giữa trung tâm (Hub) và các chi nhánh, văn phòng hoặc điểm
khác nhau (Spoke) trong mạng của tổ chức.
Đơn giản hóa quá trình cấu hình: Trình hướng dẫn này giúp đơn giản hóa quá trình
cấu hình bằng cách cung cấp các bước dẫn dắt, giúp người quản trị tiết kiệm thời
gian và giảm thiểu lỗi cấu hình.
Tích hợp các tùy chọn mã hóa và xác thực: VPN IPsec Hub-and-Spoke wizard cung
cấp các tùy chọn mã hóa và xác thực như AES, 3DES, SHA, để người quản trị có thể
lựa chọn cấu hình phù hợp với yêu cầu bảo mật của mạng.
Tự động tạo các đối tác VPN (VPN peers): Trình hướng dẫn này tự động tạo các đối
tác VPN cho từng điểm (Spoke), giúp người quản trị tiết kiệm công sức và đảm bảo
tính nhất quán giữa các điểm.
Quản lý và theo dõi dễ dàng: Sau khi hoàn tất cấu hình, người quản trị có thể dễ dàng
quản lý và theo dõi các kết nối VPN Hub-and-Spoke thông qua giao diện quản lý của
FortiGate.
Với VPN IPsec Hub-and-Spoke wizard, người quản trị có thể triển khai một mạng VPN đáng
tin cậy và bảo mật giữa các trung tâm và chi nhánh khác nhau một cách dễ dàng và nhanh
chóng.
IP Version: Xác định phiên bản IP được sử dụng cho các kết nối VPN. Trong trường hợp này,
0.0.0.0 có nghĩa là không giới hạn phiên bản IP nào và có thể hỗ trợ cả IPv4 và IPv6.
Remote Gateway: Xác định địa chỉ IP hoặc tên miền của Remote Gateway (cổng kết nối từ
xa) - tức là địa chỉ IP của đối tác kết nối VPN.
Static IP Address: Xác định địa chỉ IP cố định (Static IP Address) của Remote Gateway.
Trường này sẽ được điền sau khi nhập địa chỉ IP hoặc tên miền của Remote Gateway.
Local Gateway: Xác định địa chỉ IP hoặc tên miền của Local Gateway (cổng kết nối từ địa
phương) - tức là địa chỉ IP của FortiGate.
Mode Config: Cho phép Remote Gateway gửi cấu hình cho FortiGate, bao gồm các thông tin
như địa chỉ IP nội bộ, phạm vi mạng và DNS.
NAT Traversal: Kích hoạt chế độ NAT Traversal, cho phép VPN hoạt động thông qua các thiết
bị NAT (Network Address Translation), giúp tăng khả năng tương thích và cải thiện kết nối.
Keepalive Frequency: Xác định tần suất kiểm tra trạng thái của kết nối VPN để duy trì kết nối
hiệu quả.
Authentication Method: Xác định phương thức xác thực sử dụng để thiết lập kết nối VPN.
Trong trường hợp này, phương thức xác thực là Pre-shared Key (khóa chia sẻ trước).
Pre-shared Key: Được sử dụng như một phần của phương thức xác thực Pre-shared Key để
xác định danh tính của FortiGate và Remote Gateway trong quá trình thiết lập kết nối VPN.
IKE Version: Chọn phiên bản IKE (Internet Key Exchange) để sử dụng. IKE là giao thức dùng
để thiết lập kết nối VPN.
Mode: Chọn chế độ IKE (Main Mode hoặc Aggressive Mode) để thiết lập kết nối VPN.
Phase 1 Proposal: Xác định các cấu hình mã hóa và xác thực được đề xuất sử dụng trong giai
đoạn 1 của quá trình thiết lập kết nối VPN.
Diffie-Hellman Groups: Xác định các nhóm Diffie-Hellman được hỗ trợ cho quá trình trao đổi
khóa trong IKE.
Key Lifetime (seconds): Xác định thời gian sống của khóa mã hóa được sử dụng trong kết
nối VPN.
Local ID: Xác định định danh (ID) của FortiGate trong quá trình thiết lập kết nối VPN.
XAUTH Type: Xác định loại XAUTH (Extended Authentication) được sử dụng nếu được kích
hoạt.
Phase 2 Selectors: Xác định các cấu hình mã hóa và xác thực cho giai đoạn 2 của quá trình
thiết lập kết nối VPN.
New Phase 2: Cho phép người dùng tạo thêm giai đoạn 2 để hỗ trợ nhiều phạm vi mạng
truyền thông qua VPN.
Phase 1 và Phase 2 là hai giai đoạn trong quá trình thiết lập kết nối VPN trong mô hình VPN
IPsec. Cả hai giai đoạn này đều có chức năng quan trọng để xác định các thông số mã hóa,
xác thực và trao đổi khóa giữa các thiết bị VPN. Dưới đây là giải thích chi tiết về chức năng
của mỗi giai đoạn:
Phase 1 (Exchange): Giai đoạn 1 của quá trình thiết lập kết nối VPN là giai đoạn trao đổi
thông tin ban đầu giữa hai thiết bị VPN (thường là FortiGate và Remote Gateway). Chức
năng của giai đoạn này bao gồm:
Xác định các thông số mã hóa và xác thực: Trong giai đoạn này, hai thiết bị thống
nhất các thông số mã hóa (encryption) để mã hóa dữ liệu và xác thực
(authentication) để đảm bảo tính xác thực của các bên trong quá trình thiết lập kết
nối VPN.
Trao đổi khóa Diffie-Hellman: Giai đoạn 1 cũng là giai đoạn trong đó hai bên trao đổi
khóa Diffie-Hellman để thống nhất khóa chia sẻ giữa họ. Diffie-Hellman là một giao
thức trao đổi khóa cho phép hai bên thiết lập khóa chung mà không cần truyền khóa
trực tiếp qua mạng.
Xác định tính toàn vẹn của dữ liệu: Trong giai đoạn này, các thông số để kiểm tra
tính toàn vẹn của dữ liệu cũng được thống nhất. Điều này đảm bảo rằng dữ liệu
không bị thay đổi trong quá trình truyền tải.
Phase 2 (Quick Mode): Giai đoạn 2 của quá trình thiết lập kết nối VPN là giai đoạn trong đó
các thông số mã hóa và xác thực cụ thể cho từng phạm vi mạng (subnet) được thiết lập.
Chức năng của giai đoạn này bao gồm:
Xác định các phạm vi mạng được trao đổi thông tin: Giai đoạn 2 xác định rõ các
phạm vi mạng của FortiGate và Remote Gateway mà họ cho phép truyền thông qua
VPN. Điều này cho phép quá trình mã hóa và giải mã chỉ áp dụng cho các gói tin gửi
và nhận từ các phạm vi mạng cụ thể này.
Xác định thông số mã hóa và xác thực cho từng phạm vi mạng: Mỗi phạm vi mạng
được xác định trong giai đoạn 2 sẽ có các thông số mã hóa và xác thực riêng biệt.
Điều này cho phép điều chỉnh cấu hình bảo mật cho từng phạm vi mạng một cách
linh hoạt và tùy chỉnh.
Thống nhất các thông số bảo mật: Cuối cùng, trong giai đoạn 2, các thông số bảo
mật như các thuật toán mã hóa và xác thực được thống nhất và sử dụng để thiết lập
kết nối VPN an toàn giữa các phạm vi mạng.
Tóm lại, Phase 1 và Phase 2 trong quá trình thiết lập kết nối VPN IPsec có chức năng xác định
các thông số mã hóa, xác thực và trao đổi khóa giữa các thiết bị VPN để đảm bảo tính an
toàn và bảo mật của kết nối.
AES (Advanced Encryption Standard):
AES là một thuật toán mã hóa simetric (đối xứng) phổ biến và mạnh mẽ, được sử dụng rộng
rãi trong các ứng dụng bảo mật mạng và lưu trữ dữ liệu.
Nó đã trở thành tiêu chuẩn mã hóa toàn cầu từ năm 2001 và được sử dụng rộng rãi trong
nhiều ứng dụng bảo mật.
AES hỗ trợ các khóa có độ dài 128, 192 hoặc 256 bit và có khả năng mã hóa và giải mã dữ
liệu một cách hiệu quả và an toàn.
Do hiệu suất cao và tính bảo mật mạnh mẽ, AES được sử dụng rộng rãi trong các ứng dụng
mã hóa dữ liệu và thông tin nhạy cảm.
Cơ chế hoạt động của tấn công SYN flood như sau:
Tấn công bắt đầu bằng việc tạo nhiều gói tin SYN với địa chỉ nguồn giả mạo và địa chỉ
đích là máy chủ hoặc thiết bị mạng mục tiêu. Mỗi gói tin SYN giả mạo khiến máy chủ
tiêu thụ một lượng tài nguyên nhất định để xử lý.
Máy chủ nhận các gói tin SYN và gửi gói tin SYN-ACK (synchronization
acknowledgment) đáp trả về địa chỉ nguồn của gói tin SYN. Tuy nhiên, vì địa chỉ
nguồn giả mạo, gói tin SYN-ACK này không thể gửi tới địa chỉ nguồn thực sự.
Do không nhận được gói tin SYN-ACK đáp trả, máy tính nguồn không gửi gói tin ACK
(acknowledgment) để hoàn tất bắt tay. Tuy nhiên, máy chủ vẫn đợi một khoảng thời
gian (timeout) trước khi hủy bỏ bắt tay.
Vì vậy, với lượng lớn gói tin SYN giả mạo, máy chủ hoặc thiết bị mạng mục tiêu sẽ
tiêu tốn một lượng lớn tài nguyên để xử lý các yêu cầu kết nối và cuối cùng sẽ trở
nên quá tải, dẫn đến việc gây gián đoạn hoặc chậm trễ trong dịch vụ.
SYN flood thường được sử dụng như một hình thức tấn công từ chối dịch vụ (DoS - Denial of
Service) hoặc từ chối dịch vụ phân tán (DDoS - Distributed Denial of Service) để tắc nghẽn
hoặc làm ngừng hoạt động các dịch vụ mạng. Để đối phó với SYN flood, các giải pháp bảo
mật như giới hạn tần suất kết nối, cấu hình bảo vệ chống SYN flood và sử dụng thiết bị
chuyển tiếp tối ưu có thể được triển khai để giảm thiểu tác động của tấn công.
SYN flood ICMP (Internet Control Message Protocol) là một loại tấn công mạng trong đó tấn
công được thực hiện bằng cách gửi một lượng lớn các gói tin ICMP Echo Request giả mạo
đến một máy chủ hoặc thiết bị mạng mục tiêu. Đây là một trong các biến thể của tấn công
DDoS (Distributed Denial of Service) hoặc tấn công từ chối dịch vụ.
Cơ chế hoạt động của tấn công SYN flood ICMP tương tự như tấn công SYN flood TCP, nhưng
thay vì sử dụng gói tin SYN, nó sử dụng gói tin ICMP Echo Request (ping) để quấy rối máy chủ
hoặc thiết bị mạng mục tiêu.
Khi một máy tính gửi một gói tin ICMP Echo Request đến một địa chỉ IP, máy chủ hoặc thiết
bị mạng nhận gói tin và phản hồi bằng một gói tin ICMP Echo Reply. Tuy nhiên, trong tấn
công SYN flood ICMP, máy chủ nhận được một lượng lớn gói tin ICMP Echo Request từ địa
chỉ nguồn giả mạo.