Nghiên cứu xây dựng hệ thống đảm bảo an toàn truyền tin trên mạng Vinaphone
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.35 MB, 91 trang )
1
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Đỗ Thị Hương Quỳnh
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG
ĐẢM BẢO AN TOÀN TRUYỀN TIN
TRÊN MẠNG VINAPHONE
Ngành: Công nghệ thông tin
Chuyên nghành: Hệ thống thông tin
Mã số: 60 48 05
LUẬN VĂN THẠC SĨ
NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Trịnh Nhật Tiến
Hà Nội – 2009
2
MỤC LỤC
LI M U 1
Chương 1. TNG QUAN V CISCO VPN CLIENT 8
1.1. GII THIU CISCO VPN CLIENT 8
1.2. CÁC THÀNH PHN CHÍNH CA CISCO VPN CLIENT 11
1.3. CÁC THÀNH PHN CN THI TO KT NI VPN 13
1.4. TH TC THIT LP MT KT NI VPN 13
1.5. CÁC NG DNG CA CISCO VPN CLIENT 14
1.6. NGUYÊN TC HONG CA CISCO VPN CLIENT 15
1.6.1. Giao thc IPSec 15
1.6.2. Giao thc IKE 15
1.7. MT S HONG C BN CA CISCO VPN CLIENT 16
1.8. CÁC CÔNG NGH KT NI TRONG CISCO VPN CLIENT 17
1.8.1. Dch v n thoi analog (POTS) 17
1.8.2. Mng s các dch v tích hp (ISDN) 17
1.8.3. Cáp (Cable) 17
ng thuê bao s (DSL) 17
CA CISCO VPN CLIENT 18
ng trình 18
19
a b giao thc IPSec 19
c 23
ng la 24
1.9.6. Các thuc tính ca IPSec do Cisco VPN Client h tr 25
Chương 2. CÔNG NGH XÁC THC RSA SECURID 31
2.1. TNG QUAN CÔNG NGH XÁC THC RSA SECURID 31
RSA SECURID 31
2.1.2M CÔNG NGH XÁC THC RSA SECURID 31
2.2. M CA CÔNG NGH RSA SECURID 33
2.3. CÁC THÀNH PHN CA CÔNG NGH RSA SECURID 34
2.3.1. Th xác thc RSA SecurID 35
2.3.2. Phân loi th xác thc RSA SecurID 37
2.3.3. Phn mm xác thc (RSA Authentication Agent) 44
2.3.4. Máy ch xác thc (RSA Authentication Manager) 47
3
2.4. C CH XÁC THC CA CÔNG NGH RSA SECURID 49
2.4.1. Mô hình xác thc 49
2.4.2. Th tc xác thc 50
2.4.3. Nguyên tng b thi gian trên RSA Authentication Manager 51
2.5. GII THIU THUT TOÁN MÃ HÓA CA RSA SECURID 54
2.5.1. Gii thiu 54
2.5.2. Các v n thut toán 55
M YU TRONG RSA SECURID 59
2.6.1. Gii thiu 59
2.6.2. Giao thc Ace 61
2.6.3. Tn công giao thc 66
2.6.4. Phòng th phía ngi dùng 68
2.6.5. C nh giao thc 69
2.7. CÁC TN CÔNG DM YU CA TH RSA SECURID 70
2.7.1. Tn công da vào mã Token ca th dài c nh 70
2.7.2. Tn công t chi dch v 71
2.7.3. Tn công replay khi máy ch và máy slave tách bit 72
2.7.4. Him ha trong giao tip gia máy ch ACE và máy khách 74
Chương 3T H THM BO AN TOÀN TRUYN TIN CHO
VINAPHONE 76
3.1. LI M U 76
3.2. GII THIU CISCO VPN CLIENT 5.0.00.0340 79
3.2.1. Gii thiu 79
a Cisco VPN Client 79
3.3. GII THIU TH BO MT RSA SECURID SID700 80
3.3.1. Gii thiu 80
a RSA SecurID SID700 80
c t k thut RSA SecurID700 81
3.4. CT CISCO VPN CLIENT 5.0.00.0340 CHO CÁC TRUY
CP VÀO MNG VINAPHONE 82
3.4.1. Các yêu cu h thng 82
3.4.2. Thc hit Cisco VPN Client 5.0.00.0340 84
3.4.3. C truy nhp vào mng Vinaphone
85
3.4.4. Yêu cu xác thc ngi dùng 88
KT LUN 89
4
TÀI LIU THAM KHO 90
5
DANH MỤC CÁC HÌNH VẼ
Hình 1.1. S kt ni Cisco VPN Client 10
Hình 1.2. Các ng dng ca Cisco VPN Client 14
Hình 1.3. p ch chính ca IKE 25
Hình 1.4. p ch linh hot ca IKE 26
Hình 2.1. Các thành phn ca RSA SecurID 34
Hình 2.2. RSA SecurID SD200 37
Hình 2.3. RSA SecurID SD520 PINpad 38
Hình 2.4. RSA SecurID 600 38
Hình 2.5. RSA SecurID SID700 39
Hình 2.6. RSA SecurID SID800 39
Hình 2.7. RSA SecurID 900 40
Hình 2.8. Mô hình xác thc ca RSA SecurID 49
Hình 2.9. Th tc xác thc ca RSA SecurID 50
Hình 2.10. S ng b thi gian trên RSA Authentication Manager 51
Hình 2.11. Th tc to tokencode 55
Hình 2.12. Giao thc Ace Client/Server 62
Hình 2.13. Thp (Hello) 63
p (Time) 64
Hình 2.14. Yêu cu xác thc passcode 65
Hình 2.15. Giao thc Ace Client/Server b tn công 67
Hình 3.1. Các file có trong Cisco VPN Client 5.0.00.0340 84
Hình 3.2. Ch nâng cao ca Cisco VPN Client 5.0.00.0340 85
Hình 3.3. To mt connection entry mi 85
Hình 3.4. Nhp thông tin kt ni ti mng công ty Vinaphone 86
Hình 3.5. Connection entry kt ni ti mng công ty Vinaphone 87
Hình 3.6. Nhp thông tin ngi dùng truy nhp vào mng công ty Vinaphone 88
Hình 3.7. Thành phn ca passcode 88
6
LỜI MỞ ĐẦU
oàn B
ng
chm sóc khách hàng.
m só
ó, m sóc khách hàng
công ty, do
thông tin thuê bao, Vinaphone th
RSA SecurID c
ph m
ng sau:
- Chng 1: .
- Chng 2:
7
- Chng 3:
p vào c thuê bao Vinaphone.
8
Chương 1. TỔNG QUAN VỀ CISCO VPN CLIENT
1.1. GIỚI THIỆU CISCO VPN CLIENT
Ngày nay, các doanh nghi th có xu h m r bàn ho
trên toàn qu ho toàn c. Thông tin các chi nhánh t h và qun lý
v trung tâm và ngi, thông tin n b c công ty có th g n các chi
nhán c nh ph v mi ho ca doanh nghi. Do v m
doanh nghi, gi pháp truy tin an toàn trong n b m doanh nghi
là bài toán c phi gii quyt t góp ph thc hi tt các chin l kinh
doanh.
-
VPN).
mt m di r
có phn m
(thông qua Dial-
9
Cisco VPN Client ph m m riêng d
Cisco VPN Client cho
ph m
Windows. Cisco VPN Client
Cisco VPN server
an toàn
[1]
Cisco VPN server Cisco VPN Client.
cm
Cisco VPN Client an toàn
công ty.
10
Hình 1.1. S k n Cisco VPN Client
m
(ISP). Cisco VPN Client
máy ch Máy ch t
l Cisco b t trung b tuy
ph m
11
1.2. CÁC THÀNH PHẦN CHÍNH CỦA CISCO VPN CLIENT
1/. Bộ định tuyến (Cisco VPN Router)
Nhng router này to ra mt h tng mng, cho phép truy cp nhanh và an
toàn vào nhng ng dng kinh doanh v bo mt cao.
2/. Tường lửa an toàn Cisco PIX (Cisco Private Internet Exchange Firewall)
Tng la PIX là thành phn chính trong gii pháp bo mt ca Cisco, bo
mt v phn cng và phn mng bo mt mng m cao mà không
n hong ca mng. PIX là mt thit b lai vì nó kt hp các
m ca công ngh lc gói tin và máy ch u quyn (proxy server).
3/. Nhóm thiết bị tập trung Cisco VPN (Cisco VPN Concentrator series)
Thit b tp trung Cisco VPN 3000 s dng RSA SecurID Authentication
cung cp quá trình xác thc hai yu t thông qua c ch xác thc RSA SecurID
hoc xác thc RADIUS cho c các kt ni IPSec VPN ln SSL VPN.
giao tip mt cách d dàng gia thit b tp trung Cisco VPN và thit b
qun lý xác thc RSA (RSA Authentication Manager) hay thit b RSA
SecurID (RSA SecurID Appliance), phi thêm mt bn ghi
s d liu RSA Authentication d liu RADIUS Server (nu
s dng RADIUS). Bn ghi Agent Host nhn dng thit b tp trung Cisco VPN
d liu ca nó và cha thông tin v cách thc giao tip cng nh
thông tin mã hóa.
4/. Phần mềm đảm bảo an toàn Cisco VPN (Cisco Secure VPN Client)
Cisco Secure VPN Client là m y trên h u hành
Window, cho phép bo mt vic truy cp t xa ti b nh tuyn Cisco và tng
la PIX. Cisco Secur VPN Client cho phép thit lp các hành lang an toàn trên
mng riêng o ni t xa.
12
5/. Hệ thống phát hiện xâm nhập an toàn và máy quét an toàn
Tc s d giám sát và kim tra các v an toàn trên mng
riêng o.
o H thng phát hin xâm nhp (Cisco Secure Intrusion Detection System)
Cung c phát hin xâm nhp mt cách hoàn chnh.
mt gii pháp an toàn mt cách toàn din và rng khp cho vic chng li các
xâm nhp bt hp pháp, các sâu mng có hi, cùng vng và các
tn công vào các ng dn t.
o Máy quét (Cisco Secure Scanner)
Cho phép các doanh nghip chu a cha các v an toàn
thông tin ng mng. S dng máy quét cùng vi bc tng
la, h thng phát hin xâm nhp an toàn m bo tính
bo mt theo chiu sâu.
6/. Chương trình quản lý chính sách an toàn và công cụ quản lý mạng
Cung cp vic qun lý h thng mng riêng o rng khp:
o Chng trình qun lý chính sách an ninh (Cisco Secure Policy Manager)
Hot ng trong mt v trí trung tâm trên mng và phân phi các chính sách
an ninh cho các thit b khác trong mng, bao gm b nh tuyn Cisco, tng
la, các thit b ca mng riêng o và h thng phát hin xâm nhp.
o Công c qun lý mng Cisco (CiscoWorks 2000)
Là tp hp các sn phm qun lý mng ca Cisco, qun lý các b chuyn
mch, b nh tuyn và tng la ca Cisco. Công c qun lý mng Cisco n
gin hoá quá trình cu hình, qun lý và iu khin trong các mng ca Cisco,
ng thi ti a tính tính an toàn thông qua vic tích hp vi các dch v iu
khin truy cp và theo cái trên mng.
13
1.3. CÁC THÀNH PHẦN CẦN THIẾT ĐỂ TẠO KẾT NỐI VPN
tc kt ni VPN, cn có các thành ph
1/. Hệ thống xác thực người dùng (User Authentication)
Cung c chng thi dùng, ch i dùng hp l
kt ni và truy cp h thng VPN.
xác nhc trin khai tm truy cp và
xác nh i dùng truy cp vào tài nguyên bên trong
mng. Kt qu là ch i dùng hp l thì mi có th truy cp vào bên
trong mu này làm gi s truy cp bt hp pháp vào nhng d
li trên mng.
2/. Hệ thống quản lý địa chỉ (Address Management)
Cung ca ch IP hp l i dùng sau khi gia nhp h thng VPN
có th truy cp tài nguyên trên mng ni b.
3/. Hệ thống mã hóa dữ liệu (Data Encryption)
Cung cp gii pháp mã hoá d liu trong quá trình truyn nhm bm
n d liu.
4/. Hệ thống quản lý khoá (Key Management)
Cung cp gii pháp qun lý các khoá dùng cho quá trình mã hoá và gii mã
d liu.
1.4. THỦ TỤC THIẾT LẬP MỘT KẾT NỐI VPN
Quá trình thit lp mt kt ni VPN gc sau:
1/. Máy khách (VPN Client) có nhu cu kt ni to kt ni (VPN Connection)
ti máy ch cung cp dch v (VPN Server) thông qua kt ni Internet.
2/. Máy ch cung cp dch v chng thc cho kt ni và cp phép cho kt ni.
3/. Bi d liu gia máy khách Cisco VPN và mng công ty.
14
1.5. CÁC ỨNG DỤNG CỦA CISCO VPN CLIENT
Cisco VPN Client có các ng dng sau, cho phép la chn t
Programs[1]:
Hình 1.2. Cisco VPN Client
Theo th t s dng các ng d
Help: Hin th mng dn trc tuyn vi các ch dn s dng các ng dng.
VPN Dialer: Cho phép cu hình các kt ni ti mt VPN server và cho phép bt
u các kt ni.
Certificate Manager: Cho phép kt np các chng ch xác thc các kt ni
n các VPN server.
Log Viewer: Cho phép hin th các s kin t các bn ghi s kin.
Uninstall VPN Client: Cho phép loi b mt cách an toàn các phn mm VPN
Client t h thng và tip tc kt ni cùng vi các cu hình xác thc.
SetMTU: i bc ta các khi truyn.
15
1.6. NGUYÊN TẮC HOẠT ĐỘNG CỦA CISCO VPN CLIENT
Cisco VPN Client làm vic vi mt Cisco VPN server to ra mt kt ni
an toànc xem nh ành lang an toànt ni và gi là mt tunnel, gia
máy tính và mng riêng. Nó s dng các giao thc IKE (Internet Key Exchange)
to và qun lý kt ni an toàn.
1.6.1. Giao thức IPSec
Giao thc IPSec (Internet Protocol Security) có quan h ti mt s b giao
thc (AH, ESP, FIP-140-1, và mt s chun khác), c phát trin bi T chc
qun lý k thut Internet (IETF).
Ma vic phát trin IPSec là cung cp mu an toàn
tng 3 (Network layer) ca mô hình OSI. Mi giao tip trong mt m
u da trên các giao th an toàn c tích hp
vi giao thc IP, toàn b mng c bo v bi vì các giao ting 3.
1.6.2. Giao thức IKE
Giao thc IKE là mt trong nhng giao thc nm trong b giao thc ca
IPSec. IPSec dùng giao th tha thun các giao thc bo mt và các thut
toán mã hóa. Mt phn quan trng na, IPSec phân phi và kim tra các khóa mã
và cp nht nhc yêu cu.
IKE giúp cho các thit b tham gia mng riêng o i vi nhau các
thông tin nào? Mã hóa bng thut toán gì? Bao lâu mã hóa 1 ln?
IKE có tác dng t ng tha thun các chính sách an ninh gia các thit b tham
gia mng riêng oPSec có th áp dng cho các h thng
mng mô hình li khoá, IKE dùng thut toán mã hóa bt
i xng gm b khóa công khai và khoá riêng bo v vii key gia
các thit b tham gia mng riêng o.
16
1.7. MỘT SỐ HOẠT ĐỘNG CƠ BẢN CỦA CISCO VPN CLIENT
u chnh các tham s tunnel: a ch, thu
Thit lp các tunnel theo các tham s.
Xác thi dùng: m bi dùng phi cho bit h là ai thông qua các.
p, tên nhóm và mt khu và chng ch X.509.
Thit lp các quyn truy ci dùng: thi gian truy cp, thi gian kt ni,
Qun lý các khoá bí mt cho vic mã hóa và gii mã.
Xác thc, mã hóa và gii mã d liu thông qua tunnel.
Ví d s dng mu khin t n t t
i s dng kt ni qua m u Cisco VPN Client và
thit lp kt ni bo mn mng riêng ca công ty thông qua mng Internet. Khi
m n t, Cisco VPN server s d p c
n tn Cisco VPN Client, t
c gi có th c trên u khin t xa. Nu
tr lp, Cisco VPN Client s d x lý và tr v mt thông
n mng riêng thông qua Cisco VPN server.
17
1.8. CÁC CÔNG NGHỆ KẾT NỐI TRONG CISCO VPN CLIENT
Cisco VPN Client cho phép s dng các loi công ngh kt ni ti
mng Internet [1]:
1.8.1. Dịch vụ điện thoại analog (POTS)
L ( )
.
.
.
. S dng mt
dial- kt ni.
1.8.2. Mạng số các dịch vụ tích hợp (ISDN)
Có th s dng mt b iu gii dng quay s (dial-up modem) kt ni.
. 1984,
.
,
,
.
1.8.3. Cáp (Cable)
S dng mt b iu gii dng cáp (cable modem), luôn luôn kt ni.
,
cáp.
1.8.4. Đƣờng thuê bao số (DSL)
S dng mt b u gii di dng thuê bao s (DSL modem), luôn
luôn kt ni.
ng thuê bao s ông.
t truyn d liu (throughput) 52 Mbit/
.
s dng Cisco VPN Client trên mt máy vi mt kt ni
mng LAN trc tip.
18
1.9. CÁC TÍNH NĂNG CỦA CISCO VPN CLIENT
Cisco VPN Client bao g[1]:
1.9.1. Các tính năng chƣơng trình
Tr giúp hoàn ch HTML theo ng cnh da trên trình duyt.
H tr các các nn b tp trung (VPN 3000 Series Concentrator) chy phiên
bn 3.0 ho không làm vic
vi phiên bn 2.x ca VPN 3000 Series Concentrator)
Giao din Command-line n VPN Dialer.
Truy cp LAN cc b: kh p các tài nguyên trên mt
mng LAN cc b trong khi kt ni qua mt cng bo mn mt central-site
VPN server (nu central site gán quyn).
Chu hình Cisco VPN Client t ng: kh np mt tp tin cu
hình.
Log Viewer: mt ng dng tp hp các s kin cho vic xem xét và phân tích.
Thit lc MTU: Cisco VPN Client thit lc tt
cách t ng. Tuy nhiên, có th thit l c bình
ng.
Application Launcher: kh bu chy mt ng dng hoc trình quay
s th ba t Cisco VPN Client.
T ng g Nortel Networks VPN Client và phn mm 5000 VPN Client vi
t InstallShiel.
Kt ni t ng bng cách ca Microsoft Dial-Up hoc bt k trình quay s truy
cp t xa th ba nào khác.
Thông báo cp nht phn mm t Cisco VPN server da vào kt ni.
Kh y mt phn mm nâng cp t mt thông báo Cisco VPN server.
Kh t lp t ng các kt ni mng riêng o không dây bo mt mt
cách lin mch.
NAT-T (NAT Transparency), cho phép Cisco VPN Client và b tp trung Cisco
VPN t ng phát hin khi s d hong mt cách
ng chuyi a ch cng.
19
Cp nht danh sách máy ch u khin tp trung: Cisco VPN
Client hc danh sách b tp trung VPN sao c thit lp kt ni.
c c y vào Cisco
VPN Client.
H tr cho Dynamic DNS (DDNS hostname population): Cisco VPN Client gi
tên máy ch (hostname) cn VPN Concentrator trong sut quá trình thit
lp kt ni. VPN Concentrator có th gi hostname trong mt DHCP request
mà có th dn mt máy ch cp nh d liu ca nó bao gm
tên máy ch mi a ch máy khách.
1.9.2. Các tính năng Windows NT, Windows 2000 và Windows XP
Thông tin mt khu ht hn khi quá trình xác thc thông qua mt RADIUS
server tham chin m d li
nhp, VPN Concentrator gi mt message thông báo mt khu ht hn và yêu
cu nhp mt khu mó xác thc mt khu mi này.Vi các VPN Client
phiên bc 3.5 s nht PIN và xác thc nó. Vi
VPN Client phiên bn t 3.5 tr nên, yêu cu nhp và xác thc mt mt khu.
Start Before Logon: là kh t lp kt nc p vào
mt giao din Windows NT, bao gm c Windows NT 4.0, Window 2000 và c
Windows XP.
Kh u hóa ngt kt ni mt cách t ng khi thoát khi Windows
NT.[1]
1.9.3. Các tính năng của bộ giao thức IPSec
1/. Giao thức IPSec tunneling
Là mt chun bo mt quc t v mng riêng o do T chc qun lý k
thut Internet phát trin nhm bo s an toàn cho vic truyn nhng thông
tin nhy cm ti mt mng riêng thông qua thit b VPN, qua các mng không
có bo v
IPsec áp dng bo mt lp x lý các gói d liu trong khi nhng gii pháp
ng bo mt lp ng dng.
20
2/. Transparent tunneling
IPSec qua UDP cho NAT và PAT, và IPSec qua TCP cho NAT, PAT, và các
firewall.
Transparent tunneling cho phép truyn thông bo mt gia VPN Client và mt
cng an toàn thông qua mt b nh tuyn git firewall thc hin bng
c hai k thut Chuyi a ch mng (NAT) và k thut Chuyi a ch
cng (PAT).
- Chuya ch mng: chuyi nhia ch cc b ra mt da ch
toàn cc.
- Chuya ch cng: chuyi nhia ch cc b ra mt hay mt s
a ch toàn cc. Sau khi chuya ch toàn cc có th ging nhau
s hiu cn là chuyi
ma ch mà là chuyi mt ca ch IP/s hiu cng (IP Address/Port).
c s hiu 50 (ESP) trong các gói UDP
và có th cho phép c giao thc IKE (s dng UDP cng 500) và giao thc có
ng protocol trong c khi chúng
c gi thông qua các thit b NAT/PAT hay các fireware. Các ng dng ph
bii dng b nh tuyn thc thi k thut PAT.
Cisco VPN Client i các tín hiu duy trì kt ni (keepalive) mt cách
tun tm bo rng nhc st trên các thit b luôn duy trì hot
ng.
Không phi tt c các thit b h tr nhiu kt nng thi. Mt vài thit b
không th st các phiên b sung cho các cng ngun duy nhm bo kim
tra các hãng cung cp thit b xác minh liu gii hn này có tn ti hay không.
Mt vài hãng h tr giao thc chuyi a ch cng vi giao th
ESP, i giao thng protocol trong IP là 50 cho phép
hong, mà không cn kích hot ch transparent tunneling.
s dng transparent tunneling, phía trung tâm trong thit b Cisco VPN phi
c c h tr nó. Tham s c kích hot là mnh.
21
n ch transparent tunneling, qua UDP hoc qua TCP. Ch
c chn s dng phi phù hp vi ch c s dng bi cng bo mt mà
i dùng kt ni.
C hai ch u hong mn thông qua thit b PAT. Nhiu
kt nng thi có th hong ti TCP, và ni dùng trong mt
ng extranet, thì nói chung ch TCP là phù h.
UDP không hong vi các bng la có trng thái (stateful firewall), do
ng hp này phi s dng TCP.
S dng IPSec qua UDP (NAT/PAT)
- Kích hot IPSec qua UDP (NAT/PAT): s hiu cc tho thun. UDP là
ch mnh.
S dng IPSec qua TCP (NAT/PAT/Firewall)
- Kích hot IPSec qua TCP: khi s di nhp s
hiu cng TCP port. S hiu cng này phi phù hp vi
s hiu cc cu hình trên cng bo mt. Cng mnh là 10000.
3/. Giao thức quản lý khóa IKE
Ngoài chi khoá gia các thit b tham gia VPN, IKE còn có
chi chính sách an ninh gia các thit b. Nu không có giao thc
i qun tr phi cu hình th công.
Nhng chính sách an ninh trên nhng thit b c gi là SA (Security
t b trong quá trình IKE s i vi nhau tt c
nhng SA mà nó có . Và gia các thit b này s t tìm ra cho mình nhng SA phù
hp vi tác nht. Nhng khóa c mã
hóa và s i theo thi gian.
4/. IKE Keepalives
Là ch m thi giant b c VPN
IPsec vi nhau, nó s ng xuyên g kim tra tình
trng ci tác. M phát hin hng hóc ca các thit b. Thông
ng các gói keepalives s gi mi 10 giây. Qun lý và báo cáo s có mt liên
tc ca mt tp tin trên VPN Client. Chi s dng bit khi
tp tin không còn na. Các kiu keepalive khác gi cho các cng NAT hong.
22
5/. Split tunneling
Kh n cùng mt lúc các gói tin qua mi dng bn rõ
(clear text) và mã hóa thông qua mi dùng có kh
hot split tunneling trên Cisco VPN Client và cu hình danh sách mng trên Cisco
VPN server gi Cisco VPN server cung cp mt danh
sách các mng cho phn mm khách c qua tunnel.
6/. Hỗ trợ Split DNS
Là kh i dng bn rõ qua Internet ti các min
c cung cp thông qua mt DNS bên ngoài hoc qua mt IPSect tunnel ti các
mic ch ra bi DNS ca công ty.
Cisco VPN server cung cp mt danh sách các tên min ti phn mm khách
VPN cho các gói tunneling ta ch ng riêng. Ví d, yêu cu
cho mcorporate.com s
ng mng riêng, trong khi yêu cu cho gói dành cho myfavoritesearch.com s c
u khin bi DNS c c cu hình trên máy ch VPN
(VPN Concentrator) và kích hot trên phn mm khách VPN mt cách mnh.
s dc cu hình.
7/. LZS data compression
Cung c nén và gii nén nhanh d liu, có th có li cho nhi
dùng s dng modem.
23
1.9.4. Các tính năng xác thực
o Xác thc bng RADIUS (Dch v truy cp bn thoi xác nhn t xa).
Là mt giao thc an toàn trên Internet khá mnh da trên mô hình
Client/Server, phía client truy xut vào mng và RADIUS server là khúc mng
cui s xác nhng, RADIUS server xác nhi dùng bng
tp và mt khu trong danh sách.
,
RADIUS.
.
.
o Xác thc bng NT Domain (Windows NT)
.
, . Tên min
.
o Xác thc bng RSA SecurID
Là k thut xác thc ngi dùng truy cp tài nguyên da trên hai yu t: cái
mà ngi dùng bit (mt khu), vi cái mà ngi dùng có (mã xác thc trên th
mà ngi dùng có). Vic kt hp tin ích ca mã xác thc và mt khu s cung
cp c ch xác thc an toàn và bo mt hn là dùng mt khn.
24
1.9.5. Các tính năng tƣờng lửa
H tr tng la dng PIX, chy phiên bn 6.0 ho
Tng la PIX (PIX Firewall) là mt thit b an ninh mu ca tp
. Mnh thì tng la t thit b lp 3
trong h thng mnh tuy
n tng la PIX, nó cnh xem phy gói tin ra thit b ghép tng
thích nào (nc phép).
b nh tuyn, tng la nh tuyn cho các ng da
a ch a ch a gói tin và tra
trong bnh tuyn (routing Table) c ra quynh. Nu nó bia
ch ng vi thit b ghép nào thì s y gói tin ra thit b u
không tìm thy thông tin thích hp trong bnh tuyn, nó s hy gói tin. Vì v
tng la có th nh tuyi qun tr cn phi cu hình
nh tuyn cho các mng các vùng mà tng la cn bit.
Thit k ca tng la PIX có nhim so vi các long la nn tng
là ng dng (Proxy Server) hay da trên công ngh lc gói tin (Packet Filter). Vic có
mt h t b hong hiu qu c thit k
vi mch bo mt nên s hm y khai thác. Tng la PIX
cung cp kh c trng thái (Stateful Filter), lc giao thc và ng dng; kh
d phòng, h tr công ngh mng riêng; h thng dò tìm xâm, h tr bo m
n (Multimedia Security)
25
1.9.6. Các thuộc tính của IPSec do Cisco VPN Client hỗ trợ
Cisco VPN Client h tr các thuc tính sau ca giao thc IPSec:
1/. Chế độ chính (Main mode)
Ch chính cho vic tho thun pha 1 ca quá trình thit lp ISAKMP SA.
ISAKMP là giao thc cung cp kh t các giao thc bo mt khác, qua
t phn quan trng cc s d mã hoá
các gói d liu và to mt kênh truyn d liu bo mt ti mng công ty thông qua
Internet công cng. Các công ty ln có nhiu chi nhánh nh s d to kt
ni an toàn t các chi nhánh nh ti tr s chính, lp thành mt mng riêng o
trên Internet. Qua kt n s dng công ngh truy cp
vào mng ni b ca công ty t xa. [3]
Ch chính xác nhn và bo v ng nht ca các bên có liên quan trong
quá trình giao dch. Trong ch i gim:
- Hai tha thun chính sách bo mt cho s i.
- Hai thôp k ti i các khóa Diffie-Hellman và s ngu nhiên
gi cho bên kia. Các khóa này thc hin vai trò quan trng trong mã hóa.
- Hai p cu xác nhn các bên giao dch vi s ca ch
chn vi chng nhn.
Hình 1.3. i thông ip ch chính ca IKE
