10 nguyên nhân khiến IPsec VPN thất bại

Trong suốt thời gian thảo luận xung quanh vấn đề triển khai IPsec VPN, tôi đã nghe được một ý kiến như sau: "Chúng tôi có một IPsec VPN, và nó được cấu hình để sử dụng các thuật toán mã hóa. Vì thế nó tuyệt đối an toàn, và bạn có thể dành thời gian cho các phần tử khác của mạng hơn là tiêu phí thời gian khảo sát VPN". Điều này đôi khi là quá tự mãn và tin tưởng vào sự phổ biến rộng rãi đáng ngạc nhiên của VPN IPsec, đặc biệt khi sử dụng...
Nội dung trích xuất từ tài liệu:
10 nguyên nhân khiến IPsec VPN thất bại 10 nguyên nhân khiến IPsec VPN thất bạiTrong suốt thời gian thảo luận xung quanh vấn đề triển khai IPsec VPN, tôi đãnghe được một ý kiến như sau: Chúng tôi có một IPsec VPN, và nó được cấuhình để sử dụng các thuật toán mã hóa. Vì thế nó tuyệt đối an toàn, và bạn có thểdành thời gian cho các phần tử khác của mạng hơn là tiêu phí thời gian khảo sátVPN. Điều này đôi khi là quá tự mãn và tin tưởng vào sự phổ biến rộng rãi đángngạc nhiên của VPN IPsec, đặc biệt khi sử dụng các thuật toán mã hóa mạnh mẽnhư AES rất an toàn mà không cần bận tâm tới việc thiết kế và cấu hình chínhxác.Cho đến bây giờ, hầu như mọi người đều biết rằng không phải là một ý tưởng haykhi sử dụng các giải thuật toán yếu như 56- bít DES trên IPsec VPN.Nhưng vẫn có những thứ đôi khi không thể giải thích được đó là dù một IPsecVPN sử dụng các giải thuật tương đối mạnh như AES, thì mọi sức mạnh và sự bảovệ được đề xuất bởi những giải thuật này có thể bị suy yếu bởi thiết kế IPsec VPNvà cấu hình xấu.Vì thế, nếu bạn có một IPsec VPN và không chắc chắn về cấu hình của nó thì đâycó thể là một ý tưởng tốt để gấp đôi sự kiểm tra xem bạn đã sử dụng các giải thuậtđúng hay chưa ngoài ra còn xem xét xem VPN cũng được thiết kế và cấu hìnhđúng chưa.Dưới đây là mười yếu điểm cần phải được kiểm tra khi truy cập VPN Ipsec:1. Sử dụng các khóa chia sẻ yếu.2. Sử dụng phương thức tấn công IKE/ISAKMP không thích hợp (khóa chia sẻyếu).3. Phương pháp chứng thực không thích hợp (khóa chia sẻ khi chữ ký điện tử[certificate] dựa trên chứng thực có thể thích hợp hơn).4. Sử dụng nhóm các khóa hay wildcard không thích hợp (sử dụng nhiều giải phápsẽ khả quan hơn).5. Sử dụng khóa chia sẻ đồng nhất với nhiều thiết bị tương đương (tương tự #4).6. Sử dụng không thích hợp chứng thực mở rộng (XAuth, dễ bị tổn thương khiđược sử dụng với khóa chia sẻ và IKE/ ISAKMP).7. Tính dễ bị tổn thương của NTP hoặc CRLs/ OCSP được PKI sử dụng cho cuộctấn công DOS (liên quan khi sử dụng chứng thực chữ ký điện tử).8. Bảo mật yếu nơi lưu trữ khóa chính CA.9. Lưu trữ các tập tin cấu hình cổng vào IPsec VPN chứa các chữ màu khóa chiasẻ.10. Sử dụng mã hóa không có chứng thực.Mười yếu điểm trên mời chi mới bắt đầu. Vì thế, cần có sự đề phòng tốt cho đếnkhi bạn đã bao quát mọi cơ sở và tuyệt đối thỏa mãn rằng VPN IPsec đã thật sự antoàn.Và nếu bạn cần nhiều thông tin thêm về mười điểm tôi đã liệt kê ở trên thì Googlelà một công cụ tìm kiếm tốt. Nếu Google không thực hiện được điều này thì có thểtham khảo trên một số sách trên Amazon.