Nghiên cứu giải pháp bảo mật mạng riêng ảo và ứng dụng
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.06 MB, 65 trang )
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN QUYẾT TIẾN
NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG RIÊNG ẢO
VÀ ỨNG DỤNG
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
Hà Nội - 2015
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN QUYẾT TIẾN
NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG RIÊNG ẢO
VÀ ỨNG DỤNG
Ngành: Công nghệ thông tin
Chuyên ngành: Hệ thống thông tin
Mã số: 60480104
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
NGƢỜI HƢỚNG DẪN KHOA HỌC: TS. HỒ VĂN HƢƠNG
Hà Nội - 2015
LỜI CAM ĐOAN
Tôi xin cam đoan toàn bộ nội dung bản luận văn “ Nghiên cứu giải pháp
bảo mật mạng riêng ảo và ứng dụng” là do tôi tìm hiểu, nghiên cứu, tham khảo
và tổng hợp từ các nguồn tài liệu khác nhau và làm theo hƣớng dẫn của ngƣời
hƣớng dẫn khoa học. Các nguồn tài liệu tham khảo, tổng hợp đều có nguồn gốc
rõ ràng và trích dẫn theo đúng quy định.
Tôi xin chịu hoàn toàn trách nhiệm về lời cam đoan của mình. Nếu có
điều gì sai trái, tôi xin chịu mọi hình thức kỷ luật theo quy định.
Hà Nội, tháng 08 năm 2015
Ngƣời cam đoan
Nguyễn Quyết Tiến
LỜI CẢM ƠN
Trƣớc hết em xin gửi lời cảm ơn chân thành đến các thầy cô ở Khoa Công
Nghệ Thông Tin - trƣờng Đại học Công nghệ - Đại học Quốc gia Hà Nội đã
nhiệt tình và tâm huyết truyền đạt cho em những kiến thức quý báu trong suốt
thời gian học tập tại trƣờng. Em xin gửi lời cảm ơn sâu sắc đến TS. Hồ Văn
Hƣơng – Ban Cơ yếu Chính phủ đã nhiệt tình, tận tâm định hƣớng, hƣớng dẫn
và cho em những lời khuyên bổ ích để em hoàn thành luận văn tốt nghiệp này.
Cuối cùng, em xin cảm ơn gia đình, bạn bè đã luôn động viên và ủng hộ em
trong suốt quá trình học tập và hoàn thành luận văn này.
Bài luận văn đƣợc thực hiện trong khoảng thời gian 06 tháng. Bƣớc đầu đi
vào thực tế, tìm hiểu về lĩnh vực OpenVPN và PKI, do kiến thức của em còn
nhiều hạn chế và còn nhiều bỡ ngỡ, nên không tránh khỏi những thiếu sót. Em
rất mong nhận đƣợc những ý kiến đóng góp quý báu từ phía quý thầy cô và các
bạn để luận văn đƣợc hoàn thiện hơn.
Hà Nội, tháng 08 năm 2015
Học viên
Nguyễn Quyết Tiến
MỤC LỤC
LỜI NÓI ĐẦU ..................................................................................................... 1
CHƢƠNG 1. TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN, BẢO
MẬT MẠNG RIÊNG ẢO VÀ TÌM HIỂU CÔNG NGHỆ MÃ NGUỒN MỞ.
............................................................................................................................... 3
1.1. AN TOÀN BẢO MẬT THÔNG TIN…………………………................3
1.1.1.Giới thiệu về bảo mật thông tin ............................................................. 3
1.1.2. Một số giải pháp an toàn thông tin ....................................................... 3
1.2. MẠNG RIÊNG ẢO…………………………………………………...….6
1.2.1. Khái niệm .............................................................................................. 6
1.2.2. Những lợi ích cơ bản của mạng riêng ảo .............................................. 6
1.2.3. Các mô hình kết nối VPN ..................................................................... 7
1.2.4. Giao thức mạng riêng ảo ..................................................................... 11
1.3. CÔNG NGHỆ MÃ NGUỒN MỞ…………………………………........16
1.3.1. Khái niệm phần mềm mã nguồn mở. .................................................. 16
1.3.2. Những ƣu điểm của PMNM ............................................................... 17
1.3.3. Những hạn chế của PMNM ................................................................ 18
1.4. KẾT LUẬN……………………………………………………………...18
CHƢƠNG 2. CÁC NGUY CƠ MẤT AN TOÀN THÔNG TIN TRONG
MẠNG RIÊNG ẢO VÀ CÁC GIẢI PHÁP BẢO MẬT MẠNG RIÊNG ẢO.
............................................................................................................................. 19
2.1. NGUY CƠ MẤT AN TOÀN THÔNG TIN TRONG MẠNG RIÊNG ẢO
…….…………………………………………………………………………….19
2.1.1. Tấn công các thành phần mạng riêng ảo ............................................ 19
2.1.2. Tấn công giao thức mạng riêng ảo...................................................... 21
2.1.3. Tấn công mật mã. ................................................................................ 23
2.1.4. Tấn công từ chối dịch vụ .................................................................... 25
2.2. GIẢI PHÁP BẢO MẬT VÀ XÁC THỰC CHO MẠNG RIÊNG
ẢO…………………………………………………………...……………….29
2.2.1. Đánh giá một số giải pháp bảo mật mạng riêng ảo............................. 29
2.2.2. Tích hợp giải pháp bảo mật mạng riêng ảo ........................................ 32
2.2.2. Giải pháp bảo mật an toàn thông tin tổng thể dựa trên cơ sở hạ tầng
khóa công khai .............................................................................................. 33
2.3. KẾT LUẬN………………………………………………………………35
CHƢƠNG 3. LỰA CHỌN GIẢI PHÁP BẢO MẬT, XÁC THỰC VPN VÀ
TRIỂN KHAI ỨNG DỤNG DỰA TRÊN CÔNG NGHỆ MỞ ..................... 36
3.1. KHẢO SÁT HIỆN TRẠNG……………………………………………...36
3.1.1. Mô hình mạng của trƣờng................................................................... 36
3.2. LỰA CHỌN GIẢI PHÁP………………………………………...……....38
3.2.1. Phân tích yêu cầu thực tế và lựa chọn giải pháp OpenVPN ............... 38
3.2.2. Tích hợp PKI dùng usb eToken .......................................................... 40
3.3. TRIỂN KHAI ỨNG DỤNG……………...………………………………41
3.3.1. Mô hình ............................................................................................... 41
3.3.2. Cài đặt và cấu hình openvpn ............................................................... 44
KẾT LUẬN ........................................................................................................ 56
TÀI LIỆU THAM KHẢO
BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT
Ký hiệu
Từ hoặc cụm từ
AH
Authentication Header
CA
Certificate Authority
CHAP
Challenge-Handshake Authentication Protocol
DH
Diffie-Hellman
ESP
Encapsulation Security Payload
HMAC
Hashed-keyed Message Authentication Code
IKE
Internet Key Exchange
IPSec
Internet Protocol Security
L2F
Layer 2 Forwarding
L2TP
Layer 2 Tunnerling Protocol
NAT
Network Address Translation
MAC
Message Authentication Code
OSI
Open Systems Interconnection
PAP
Password Authentincation Protocol
PKI
Public Key Infrastructure
PPTP
Point To Point Tunneling Protocol
QoS
Quanlity of Service
SSL
Sercure Socket Layer
TLS
Transport Layer Sercurity
VPN
Virtual Private Network
DANH MỤC CÁC BẢNG BIỂU HÌNH VẼ
Số hình
Hình 1.1
Hình 1.2
Hình 1.3
Hình 1.4
Hình 1.5
Hình 1.6
Hình 1.7
Hình 2.1
Hình 2.2
Hình 2.3
Hình 2.4
Hình 3.1
Hình 3.2
Hình 3.3
Hình 3.4
Tên hình
Mạng VPN điển hình gồm mạng LAN trụ sở chính,
các văn phòng từ xa và ngƣời truy cập từ bên ngoài
Thiết lập VPN truy cập từ xa
Thiết lập Intranet sử dụng WAN
Thiết lập Intranet dựa trên VPN
Mạng Extranet dựa trên VPN
Đƣờng hầm L2TP
Mô hình TCP/IP và vị trí của SSL
Mô hình VPN cơ bản
Tấn công từ chối dịch vụ
Tấn công SYN
Tấn công Smurf sử dụng gói ICMP làm ngập các
giao tiếp khác
Hệ thống mạng của trƣờng
Thiết bị usb eToken SecureToken ST3
Mô hình triển khai VPN
Thông tin cấu hình CA
Trang
8
8
9
10
11
13
15
19
26
27
28
37
41
41
50
1
LỜI NÓI ĐẦU
1. Lý do chọn đề tài
Ngày nay cùng với sự phát triển không ngừng của công nghệ thông tin và
sự phát triển nhanh chóng của mạng Internet, các thông tin trao đổi trên Internet
cũng tăng lên nhanh chóng và đa dạng, phong phú về cả nội dung lẫn hình thức.
Phƣơng án truyền thông nhanh, an toàn và tin cậy đang trở thành mối
quan tâm của nhiều cơ quan, doanh nghiệp, đặc biệt là các tổ chức có cơ sở hạ
tầng phân tán về địa lý. Nếu nhƣ trƣớc đây giải pháp thông thƣờng là thuê các
đƣờng truyền riêng(Leased line) để duy trì mạng WAN(Wide Area Network)
hay các dịch vụ nhƣ Frame Relay Service,…Mỗi mạng WAN đều có các ƣu
nhƣợc điểm riêng trên một mạng công cộng nhƣ Internet.
Cùng với sự phát triển chung của toàn xã hội, sự đầu tƣ áp dụng công
nghệ thông tin trong giáo dục và đào tạo từ xa ở nƣớc ta đang ngày càng phát
triển. Nhiều tổ chức, cơ quan, đơn vị cũng nhƣ các trƣờng học đã và đang triển
khai các hệ thống mạng hiện đại phục vụ cho nhu cầu của đơn vị mình. Bên
cạnh đó các hệ thống này cũng phục vụ đắc lực cho việc hợp tác, nghiên cứu và
quản lý của nhà trƣờng.
Để giải quyết nhu cầu và khắc phục những khó khăn trên công nghệ mạng
riêng ảo VPN đã ra đời. Chính sự đơn giản nhƣng hiệu quả đã làm cho VPN
phát triển mạnh mẽ và trở thành một trong những công nghệ đƣợc sử dụng phổ
biến và đem lại lợi ích cao. Đó cũng là lý do khiến cho VPN trở thành một đề tài
rất đáng quan tâm.
Xuất phát từ thực tế đó, đề tài này nghiên cứu giải pháp bảo mật mạng
riêng ảo và ứng dụng.
2. Mục đích nghiên cứu
Tìm hiểu bảo mật, xác thực mạng riêng ảo và các giải pháp bảo mật mạng
riêng ảo. Đánh giá ƣu, nhƣợc điểm của công nghệ mạng riêng ảo. Lựa chọn và
tích hợp các giải pháp bảo mật, xây dựng mạng riêng ảo dựa trên công nghệ mã
nguồn mở OpenVPN.
3. Nhiệm vụ nghiên cứu
Nghiên cứu các điểm yếu trong việc đảm bảo an toàn thông tin của công
nghệ VPN hiện nay. Trên cơ sở đó đánh giá, lựa chọn giải pháp bảo mật và triển
2
khai VPN dựa trên công nghệ mở OpenVPN, thực hiện tích hợp các giải pháp
bảo mật, xác thực nhƣ: Tích hợp PKI, tích hợp các thiết bị phần cứng eToken
cho việc lƣu khóa.
4. Đối tƣợng và phạm vi nghiên cứu
Đối tƣợng và phạm vi nghiên cứu là công nghệ mạng riêng ảo VPN đƣợc
cài đặt trên nền hệ điều hành Linux bản phân phối Debian 8.0. Sử dụng mã
nguồn mở OpenVPN 2.3.4 để triển khai. Tích hợp hạ tầng khóa công khai PKI,
sử dụng thiết bị phần cứng SecureToken ST3 để lƣu khóa.
5. Phƣơng pháp nghiên cứu
Phƣơng pháp tìm hiểu, đánh giá để từ đó lựa chọn giải pháp bảo mật và triển
khai VPN dựa trên công nghệ mở.
6. Giả thuyết khoa học
Phát triển từ mã nguồn mở OpenVPN.
3
CHƢƠNG 1. TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN, BẢO
MẬT MẠNG RIÊNG ẢO VÀ TÌM HIỂU CÔNG NGHỆ MÃ NGUỒN MỞ.
1.1. AN TOÀN BẢO MẬT THÔNG TIN
1.1.1. Giới thiệu về bảo mật thông tin
Với sự phát triển nhanh chóng của công nghệ thông tin, đặc biệt là sự phát
triển của mạng Internet, thì nhu cầu truyền tin trên mạng Internet và lƣu trữ
chúng trên máy tính ngày càng tăng cao. An toàn bảo mật thông tin là một chủ
đề rộng, có liên quan đến nhiều lĩnh vực và trên thực tế có nhiều phƣơng pháp
đƣợc thực hiện để bảo vệ an toàn thông tin. Các phƣơng pháp an toàn thông tin
có thể đƣợc quy tụ vào ba nhóm sau:
-Bảo vệ an toàn thông tin bằng các biện pháp hành chính
-Bảo vệ an toàn thông tin bằng các biện pháp ký thuật(phần cứng)
-Bảo vệ an toàn thông tin bằng các biện pháp thuật toán(phần mềm)
Ba nhóm trên có thể đƣợc ứng dụng riêng rẽ hoặc phối kết hợp. Môi
trƣờng khó đảm bảo an toàn thông tin nhất và cũng là môi trƣờng đối phƣơng dễ
bị xâm nhập nhất đó là môi trƣờng mạng và truyền tin. Biện pháp hiệu quả và
kinh tế nhất hiện nay trên mạng truyền tin và mạng máy tính là biện pháp thuật
toán[1,2].
An toàn thông tin gồm các nội dung sau:
-Tính bí mật: Tính kín đáo riêng tƣ của thông tin.
-Tính xác thực của thông tin, bao gồm xác thực đối tác, xác thực thông tin
trao đổi.
-Tính trách nhiệm: Đảm ngƣời gửi thông tin không thể thoái thác trách
nhiệm về thông tin mà mình đã gửi.
1.1.2. Một số giải pháp an toàn thông tin
Các chiến lƣợc an toàn hệ thống:
Giới hạn quyền hạn tối thiểu: Đây là chiến lƣợc cơ bản nhất, theo nguyên
tắc này bất kỳ một đối tƣợng nào cũng chỉ có một quyền hạn nhất định đối với
tài nguyên mạng, khi truy nhập vào mạng đối tƣợng đó chỉ đƣợc sử dụng một số
tài nguyên mạng nhất định…
4
Bảo vệ theo chiều sâu: Nguyên tác này nhắc nhở chúng ta không nên dựa
vào một chế độ an toàn nào dù cho chúng rất mạnh, mà nên tạo nhiều cơ chế an
toàn để tƣơng tác và hỗ trợ lẫn nhau.
Nút thắt: Tạo ra một “cửa khẩu” hẹp, và chỉ cho phép thông tin đi vào hệ
thống của mình bằng một con đƣờng duy nhất chính là “cửa khẩu” này, phải tổ
chức một cơ cấu kiểm soát và điều khiển thông tin đi qua “cửa khẩu” này.
Điểm nối yếu nhất: Kẻ phá hoại thƣờng tìm chỗ yếu nhất của hệ thống để
tấn công, do đó ta cần phải gia cố các yếu điểm của hệ thống. Thông thƣờng
chúng ta chỉ quan tâm đến kẻ tấn công trên mạng hơn là kẻ tiếp cận hệ thống, do
đó an toàn vật lý đƣợc coi là điểm yếu nhất trong hệ thống của chúng ta.
Tính toàn cục: Các hệ thống an toàn đòi hỏi phải có tính toàn cục của các
hệ thống cục bộ. Nếu có một kẻ nào đó có thể bẻ gãy một cơ chế an toàn thì
chúng có thể thành công bằng cách tấn công hệ thống tự do của ai đó và sau đó
tấn công hệ thống từ nội bộ bên trong.
Tính đa dạng bảo vệ: Cần phải sử dụng nhiều biện pháp bảo vệ khác nhau,
nếu không khi có kẻ tấn công vào đƣợc một hệ thống thì chúng cũng dễ dàng tấn
công vào hệ thống khác.
Các mức bảo vệ trên mạng:
Vì không thể có một giải pháp an toàn tuyệt đối nên ngƣời ta thƣờng phải
sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều hàng rào vững
chắc đối với các hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu
là bảo vệ thông tin cất giữ trên máy tính, đặc biệt là các máy chủ trên mạng. Bởi
thế ngoài một số biện pháp chống thất thoát thông tin trên đƣờng truyền, mọi cố
gắng tập trung vào việc xây dựng các mức rào chắn từ ngoài vào trong cho các
hệ thống kết nối vào mạng. Thông thƣờng bao gồm các mức bảo vệ sau:
Quyền truy cập: Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát
các tài nguyên của mạng và quyền hạn trên tài nguyên đó. Tất nhiên là kiểm soát
đƣợc các cấu trúc dữ liệu càng chi tiết càng tốt. Hiện tại việc kiểm soát thƣờng ở
mức tệp.
Đăng ký tên/ mật khẩu: Thực ra đây cũng là quyền kiểm soát truy nhập,
nhƣng không phải là truy nhập ở mức thông tin mà là ở mức hệ thống. Đây cũng
là phƣơng pháp bảo vệ phổ biến nhất vì nó đơn giản mà chi phí thấp mà cũng rất
5
hiệu quả. Mỗi ngƣời sử dụng muốn đƣợc tham gia vào mạng để sử dụng tài
nguyên đều phải có đăng ký tên và mật khẩu trƣớc. Ngƣời quản trị mạng có
trách nhiệm quản lý, kiểm soát mọi hoạt động của mạng và xác định quyền truy
nhập của những ngƣời sử dụng khác theo thời gian và không gian.
Mã hóa dữ liệu: Để bảo mật thông tin trên đƣờng truyền ngƣời ta sử dụng
các phƣơng pháp mã hóa. Dữ liệu dƣợc biến đổi từ dạng nhận thức đƣợc sang
dạng không nhận thức đƣợc theo một thuật toán nào đó và sẽ đƣợc biến đổi
ngƣợc lại (giả mã). Đây là lớp bảo vệ thông tin rất quan trọng.
Bảo vệ vật lý: Ngăn cản các truy nhập vật lý vào hệ thống. Thƣờng các biện
pháp truyền thống nhƣ ngăn cấm tuyệt đối ngƣời không đƣợc phép vào phòng
đặt máy mạng, dùng ổ khóa trên máy tính hoặc các máy trạm không có ổ mềm.
Tƣờng lửa: Ngăn chặn thâm nhập trái phép và lọc bỏ các gói tin không
muốn gửi hoặc nhận vì các lý do nào đó để bảo vệ một máy tính hoặc cả mạng
nội bộ.
Quản trị mạng: Trong thời đại phát triển của công nghệ thông tin, mạng máy
tính quyết định toàn bộ hoạt động của một tổ chức hoặc cơ quan. Vì vậy việc đảm
bảo cho hệ thống mạng máy tính hoạt động một cách an toàn, không xảy ra sự cố
là một công việc cấp thiết và việc quản trị mạng là vô cùng quan trọng.
An toàn thông tin bằng mật mã:
Mật mã là một ngành khoa học chuyên nghiên cứu các phƣơng pháp truyền
tin bí mật. Mật mã bao gồm: Lập mã và phá mã.
Lập mã bao gồm hai quá trình: mã hóa và giải mã.
Để bảo vệ thông tin trên đƣờng truyền ngƣời ta thƣờng biến đổi nó từ dạng
nhận thức đƣợc sang dạng không nhận thức đƣợc trƣớc khi truyền đi trên mạng,
quá trình này đƣợc gọi là mã hóa thông tin (encrytion), ở trạm nhận phải thực
hiện quá trình ngƣợc lại, tức là biến đổi thông tin từ dạng không nhận thức đƣợc
(dữ liệu đã đƣợc mã hóa) về dạng nhận thức đƣợc (dạng gốc), quy trình này gọi
là giải mã. Đây là một lớp bảo vệ thông tin rất quan trọng và đƣợc sử dụng rộng
rãi trong môi trƣờng mạng [9].
Để bảo vệ thông tin bằng mật mã ngƣời ta thƣờng tiếp cận theo hai hƣớng:
- Theo đƣờng truyền (Link-Oriented-Security)
- Theo nút đến (End – To – End)
6
Theo cách thứ nhất thông tin đƣợc mã hóa để bảo vệ trên đƣờng truyền giữa
hai nút mà không quan tâm đến nguồn và đích của thông tin đó.
Ngƣợc lại theo cách thứ hai thông tin trên mạng đƣợc bảo vệ trên toàn bộ
đƣờng truyền từ nguồn tới đích. Thông tin sẽ đƣợc mã hóa ngay sau khi đƣợc
tạo ra và chỉ đƣợc giải mã khi về tới đích. Cách này có nhƣợc điểm là chỉ có dữ
liệu của ngƣời dùng thì mới đƣợc mã hóa còn dữ liệu điều khiển thì giữ nguyên
để có thể xử lý tại các nút.
1.2. MẠNG RIÊNG ẢO
1.2.1. Khái niệm
Mạng riêng ảo có tên tiếng Anh là Virtual Private Network, viết tắt là VPN.
Sau đây thƣờng gọi ngắn gọn theo tên viết tắt.
Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng (nhƣ
Internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) là cơ sở hạ tầng để
truyền thông tin nhƣng vẫn đảm bảo là một mạng riêng và kiểm soát đƣợc truy
nhập. Nói cách khác VPN đƣợc định nghĩa là liên kết của khách hàng đƣợc triển
khai trên một hạ tầng công cộng với các chính sách nhƣ là một mạng riêng. Hạ
tầng công cộng này có thể là mạng IP, Frame Relay, ATM hay Internet [5,6].
1.2.2. Những lợi ích cơ bản của mạng riêng ảo
VPN mang lại nhiều lợi ích, bao gồm:
-Giảm chi phí thực thi: Chi phí cho VPN ít hơn rất nhiều so với các giải
pháp truyền thống dựa trên đƣờng Lease – Line. Bởi vì VPN loại trừ đƣợc
những yếu tố cần thiết cho các kết nối đƣờng dài bằng cách thay thế chúng bởi
các kết nối cục bộ tới ISP hoặc điểm đại diện của ISP.
-Giảm đƣợc chi phí thuê nhân viên và quản trị: Vì giảm đƣợc chi phí truyền
thông đƣờng dài. VPN cũng làm giảm đƣợc chi phí hoạt động của mạng dựa vào
WAN một cách đáng kể. Hơn nữa, một tổ chức sẽ giảm đƣợc toàn bộ chi phí
mạng nếu các thiết bị dùng trong mạng VPN đƣợc quản trị bởi ISP. Vì lúc này
tổ chức sử dụng VPN không cần thuê thêm nhiều nhân viên mạng cao cấp.
-Nâng cao khả năng kết nối: VPN tận dụng Internet để kết nối giữa các
phần tử ở xa của một Intranet. Vì Internet có thể đƣợc truy cập toàn cầu, nên hầu
hết các chi nhánh, văn phòng, ngƣời dùng, ngƣời dùng di động từ xa đều có thể
dễ dàng kết nối tới Intranet của công ty mình.
7
-Bảo mật các dịch vụ: Vì VPN dùng công nghệ đƣờng hầm để truyền dữ
liệu qua mạng công cộng không an toàn. Dữ liệu đang truyền đƣợc bảo mật ở
một mức độ nhất định, thêm vào đó, công nghệ đƣờng hầm sử dụng các biện
pháp bảo mật nhƣ: Mã hóa, xác thực và cấp quyền để đảm bảo an toàn, tính tin
cậy, tính xác thực của dữ liệu đƣợc truyền, kết quả là VPN mang lại mức độ bảo
mật cao cho việc truyền tin.
-Sử dụng hiệu quả băng thông: Trong kết nối Internet dựa trên đƣờng
truyền Lease – Line, băng thông hoàn toàn không đƣợc sử dụng trong một kêt
nối Internet không hoạt động. Các VPN, chỉ tạo các đƣờng hầm logic khi đƣợc
yêu cầu để truyền dữ liệu, kết quả là băng thông mạng chỉ đƣợc sử dụng khi có
một kết nối Internet hoạt động. Vì vậy làm giảm đáng kể nguy cơ lãng phí băng
thông mạng.
-Nâng cao khả năng mở rộng: Vì VPN dựa trên Internet, nên cho phép
Intranet của một tổ chức có thể mở rộng và phát triển với chi phí cho phƣơng
tiện và thiết bị ở mức tối thiểu. Điều này làm cho Intranet dựa trên VPN có khả
năng mở rộng cao và dễ dàng tƣơng thích với sự phát triển trong tƣơng lai [5].
Trên đây là một só lợi ích cơ bản mà giải pháp VPN mang lại. Tuy nhiên nó
cũng không tránh khỏi một số hạn chế nhƣ: Phụ thuộc nhiều vào Internet, sự quá
tải lƣu lƣợng và tắc nghẽn mạng có thể ảnh hƣởng và từ chối hoạt động của toàn
bộ mạng dựa trên VPN.
1.2.3. Các mô hình kết nối VPN
VPN nhằm hƣớng vào 3 yếu cầu cơ bản sau đây:
-Có thể truy cập bất cứ lúc nào bằng điều khiển từ xa, bằng điện thoại di
động và liên lạc giữa nhân viên của một tổ chức tới các tài nguyên mạng.
-Có khả năng kết nối từ xa giữa các nhánh văn phòng.
-Đƣợc điều khiển truy nhập tài nguyên mạng khi có yêu cầu của khách
hàng, nhà cung cấp và các đối tƣợng quan trọng của công ty nhằm hợp tác kinh
doanh.
Ngày nay VPN đã phát triển thanh và phân chia thanh 3 mô hình chính:
VPN truy cập từ xa (Remote Access VPN), VPN Cục bộ (Intranet VPN), VPN
mở rộng (Extranet VPN)
8
Hình 1.1 Mạng VPN điển hình gồm mạng LAN trụ sở chính, các văn phòng từ
xa và người truy cập từ bên ngoài.
1.2.3.1. VPN truy nhập từ xa (Remote Access VPN)
VPN truy nhập từ xa cho phép ngƣời dùng từ xa, ngƣời dùng di động của
một tổ chức có thể truy cập tới các tài nguyên mạng của tổ chức hay công ty.
Đặc biệt là những ngƣời dùng thƣờng xuyên di chuyển hoặc chi nhánh văn
phòng ở xa.
Bằng việc thực thi giải pháp VPN truy cập từ xa, các chi nhánh văn phòng
và ngƣời dùng từ xa chỉ cần thiết lập kết nối Dial – up cục bộ tới ISP và thông
qua đó kết nối tới mạng của công ty qua Internet.
Hình 1.2 Thiết lập VPN truy cập từ xa
9
1.2.3.2. VPN cục bộ (Intranet VPN)
Intranet VPN thƣờng đƣợc dùng để kết nối các chi nhánh văn phòng từ xa
của một tổ chức với Intranet trung tâm của tổ chức đó. Trong cách thiết lập
Intranet không sử dụng công nghệ VPN, mỗi một mạng từ xa phải kết nối tới
Intranet của tổ chức qua các Router trung gian.
Hình 1.3 Thiết lập Intranet sử dụng WAN
Thiết lập Intranet sử dụng WAN mất chi phí rất cao vì cần ít nhất 2 Router để
kết nối tới một khu trung tâm từ xa để tới Intranet của tổ chức đó. Hơn nữa việc
thực thi, duy trì và quản trị Intranet xƣơng sống sẽ rất tốn kém. Với việc thực thi
giải pháp VPN, đƣờng WAN xƣơng sống đƣợc thay thế bằng kết nối Internet chi
phí thấp nên có thể giảm đƣợc chi phí thực thi của toàn bộ Intranet.
10
Hình 1.4 Thiết lập Intranet dựa trên VPN
Ƣu điểm của việc thiết lập dựa trên VPN:
- Loại trừ đƣợc các Router từ đƣờng WAN xƣơng sống.
- Vì Intenet hoạt động nhƣ một phƣơng tiện kết nối, nó dễ dàng cung cấp các
liên kết ngang hàng mới.
- Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn.
Tuy nhiên cũng có một số nhƣợc điểm:
- Vì dữ liệu đƣợc di chuyển trên đƣờng hầm qua một mạng công cộng nên các
cuộc tấn công mạng nhƣ từ chối dịch vụ vẫn đe dọa nghiêm trọng đến an ninh
mạng.
- Khả năng mất các dữ liệu khi truyền.
- Đƣờng truyền dữ liệu đầu trên nhƣ Multimedia, độ trễ truyền tin vẫn rất cao và
thông lƣợng có thể giảm xuống rất thấp dƣới sự hiện diện của Internet.
- Vì sự hiện diện của kết nối Internet có thể bị gián đoạn và QoS có thể không
đƣợc đảm bảo.
1.2.3.3. Mạng riêng ảo mở rộng (Extranet VPN)
Extranet VPN cũng có kiến trúc tƣơng tự nhƣ Intranet VPN, tuy nhiên
điểm khác biệt giữa chúng là phạm vi các ứng dụng cho phép các đối tác của
11
Extranet VPN sử dụng. So với Intranet VPN thì vấn đề tiết kiệm chi phí là
không rõ ràng.
Extraneet VPN thƣờng sử dụng các kết nối dành riêng và thêm vào các
lớp bảo mật để xác thực và giới hạn truy nhập trên hệ thống.
Hình 1.5 mạng Extranet dựa trên VPN
Ƣu điểm chính của Extranet VPN là:
-Chi phí rất nhỏ so với cách thức truyền thống.
-Dễ thực thi, duy trì và thay đổi
-Vì một phần kết nối Internet đƣợc duy trì bởi ISP nên số lƣợng nhân viên
hỗ trợ có thể giảm xuống.
Tuy nhiên cũng có một số nhƣợc điểm:
-Các nguy cơ an ninh nhƣ tấn công DOS vẫn tồn tại.
-Tăng rủi ro vì các xâm nhập vào Internet của tổ chức.
-Độ trễ truyền thông vẫn lớn và thông lƣợng giảm xuống rất thấp với các
ứng dụng Multimedia.
-Sự thực thi có thể bị gián đoạn và QoS cũng có thể không đƣợc đảm bảo.
1.2.4. Giao thức mạng riêng ảo
Tính bảo mật trong VPN đạt đƣợc thông qua “đƣờng hầm” (tunneling)
bằng cách đóng gói thông tin trong một gói IP khi truyền qua Internet. Thông tin
sẽ đƣợc giải mã tại đích đến bằng cách loại bỏ gói tin IP để lấy ra thông tin ban
đầu [5,6].
12
Có 5 giao thức đƣờng hầm(tunneling protocols) phổ biến thƣờng đƣợc
dùng trong VPN là:
-Point – to – Point Tunneling Protocol (PPTP)
-L2F
-Layer2 Tunneling Protocol (L2TP)
-Secure Socket Layer (SSL)
-Internet Protocol Security (IPSec)
1.2.4.1. PPTP (Poit to Point Tunneling)
Giao thức PPTP đƣợc xây dựng dựa trên nền tảng của PP, nó có thể cung
cấp khả năng tạo đƣờng hầm thông qua Internet đến các site đích, PPTP sử dụng
giao thức
đóng gói tin định tuyến chung GRE đƣợc mô tả để đóng lại và tách gói PPP.
Một số ƣu nhƣợc điểm của PPTP:
Ƣu điểm: Đƣợc thiết kế để hoạt động ở lớp 2 trong IPSec chạy ở lớp 3 mô
hình OSL. Việc truyền dữ liệu ở lớp 2, PPTP có thể lan truyền trong đƣờng hầm
bằng các giao thức khác IP trong khi IPSec chỉ có thể truyền các gói tin IP trong
đƣờng hầm.
Nhƣợc điểm: Nhƣợc điểm lớn nhất của PPTP là cơ chế yếu kém về bảo
mật do nó dùng cơ chế mã hóa đồng bộ trong khóa đƣợc xuất phát từ việc nó sử
dụng mã hóa đối xứng là cách tạo ra khóa từ mật khẩu của ngƣời dùng. Điều này
càng nguy hiểm hơn vì mật khẩu thƣờng gửi dƣới dạng phơi bày hoàn toàn trong
quá trình xác nhận. Giao thức tạo đƣờng hầm kế tiếp (L2F) đƣợc phát triển
nhằm cải thiện khả năng bảo mật với mục đích này.
1.2.4.2. Giao thức chuyển tiếp lớp hai (L2F)
Giao thức L2F cung cấp các giải pháp cho dịch vụ quay số ảo bằng thiết
bị một đƣờng hầm bảo mật thông qua cơ sở hạ tầng công cộng nhƣ Internet. Nó
cho phép đóng gói các gói tin PPP trong khuôn dạng L2F và định dƣờng hầm ở
lớp liên kết dữ liệu.
Ƣu điểm:
- Nâng cao bảo mật cho quá trình giao dịch.
- Có nền tảng độc lập
- Không cần những sự lắp đặt đặc biệt với ISP
13
- Hỗ trợ một phạm vi rộng rãi các công nghệ mạng nhƣ: ATM, IPX,
NetBEUI và Frame Relay.
Nhƣợc điểm;
- L2F yêu cầu cầu hình và hỗ trợ lớn
- Thực hiện L2F dựa trên ISP. Nếu trên ISP không hỗ trợ L2F thì không
thể triển khai L2F đƣợc.
1.2.4.3. Giao thức đường hầm lớp 2 (L2TP)
Đƣợc phát triển bởi IETF. L2TP là một sự kết hợp của các giao thức VPN
trƣớc đây nhƣ PPTP và L2F. L2TP cung cấp sự mềm dẻo, khả năng mở rộng,
giải pháp truy cập từ xa chi phí thấp.
Hình 1.6 Đường hầm L2TP
Ƣu điểm của L2TP:
- L2TP là giải pháp chung. Nó độc lập với Platform, nó cũng hỗ trợ nhiều
công nghệ mạng. Hơn nữa nó cũng hỗ trợ giao dịch qua liên kết WAN Non-IP
mà không cần một IP.
- Đƣờng hầm L2TP là trong suốt với ISP cũng nhƣ đối với ngƣời dùng.
- L2TP cho phép kiểm soát xác thực ngƣời dùng thay cho ISP
- Các giao dịch L2TP nhanh hơn các giao dịch dựa trên L2F.
Tuy nhiên nó cũng có một số nhƣợc điểm là chậm hơn PPP vì nó sử dụng
IPSec để xác thực từng gói tin nhận đƣợc.
14
1.2.4.4. IPSec
Kiến trúc IPSec cung cấp một bộ khung an toàn tại tầng IP với cả Ipv4 và
Ipv6. Các giao thức tầng giao vận và tầng ứng dụng có thể dùng IPSec để đảm
bảo an toàn mà không phải thay đổi.
IPSec cung cấp khả năng bảo mật đầu cuối – tới – đầu cuối giữa các máy
tính và mạng máy tính.
IPSec là một kiến trúc an toàn, nó có các đặc trƣng sau:
- Cung cấp tính xác thực, mã hóa, toàn vẹn dữ liệu và bảo vệ sự phát lại.
- Cung cấp khả năng tạo và tự động làm tƣơi các khoa mật mã một cách
an toàn.
- Sử dụng các thuật toán mật mã mạnh để cung cấp tinh bảo mật.
- Cung cấp khả năng xác thực dựa trên chứng thƣ số.
- Điều chỉnh các thuật toán mật mã và các giao thức trao đổi khóa.
- Cung cấp tính năng an toàn cho các giao thức đƣờng hầm truy cập từ xa
nhƣ L2TP, PPTP
Việc bảo mật các gói tin IP đƣợc thực hiện bằng hai giao thức: Xác thực
tiêu đề (AH) và đóng gói tải bảo mật (ESP). AH đƣợc sử dụng để đảm bảo tính
toàn vẹn dữ liệu, ESP cũng thực hiện các chức năng tƣơng tự AH nhƣng kèm
thêm khả năng bảo mật dữ liệu.
1.2.4.5. SSL
SSL đƣợc phát triển bởi hãng Netscape cùng với hãng bảo mật dữ liệu
RSA. Gao thức SSL cung cấp một kênh riêng giữa các ứng dụng đang liên lạc với
nhau, trong đó đảm bảo tính riêng tƣ, tính xác thực, tính toàn vẹn cho đối tác.
15
Hình 1.7 Mô hình TCP/IP và vị trí của SSL
SSL gồm có 2 tầng:
1. Tại tầng thấp, có giao thức truyền dữ liệu sử dụng loại mật mã đƣợc
xác định trƣớc và kết hợp xác thực gọi là giao thức bản ghi SSL.
2. Tại tầng trên có một giao thức khởi tạo xác thực và truyền các khóa mã
hóa, gọi là giao thức thăm dò trƣớc SSL
Một phiên SSL đƣợc thiết lập nhƣ sau:
- Một ngƣời dùng phía Client yêu cầu một tài liệu bằng một địa chỉ URL
xác định bắt đầu bằng https(thay cho http)
-Mã phía client nhận ra SSL yêu cầu và thiết lập một kêt nối qua cổng
TCP 443 tới mã SSL trên phí Server
- Client sau đó tạo pha thăm dò trƣớc SSL, dùng giao thúc bản ghi SSL
nhƣ một sự hỗ trợ.
Giao thức SSL đề ra các vấn đề an toàn sau:
+Tính riêng tƣ: Sau khi khóa đối xứng đƣợc thiết lập trong khi thăm dò
trƣớc để khởi tạo, các thông điệp đƣợc mã hóa bằng khóa này.
+Tính toàn vẹn: Các thông điệp chứa một mã xác thực thông điệp (MAC).
+Tính xác thực: Trong khi thăm dò trƣớc, Client xác thực Server sử dụng
khóa công khai. Nó cũng có thể dựa trên chứng chỉ.
16
So sánh giao thức IPSec với SSL
Những điểm giống nhau:
- IPSec (qua IKE) và SSL cung cấp xác thực Client và Server
- IPSec và SSL cung cấp tính năng đảm bảo an toàn và xác thực đối với
dữ liệu.
- IPSec và SSL có thể dùng các thuật toán mật mã mạnh cho việc mã hóa
các hàm băm, có thể sử dụng xác thực trên chứng chỉ.
- IPSec và SSL cung cấp tính năng sinh khóa và làm tƣơi khóa mà không
cần phải truyền bất kỳ khóa nào dƣới dạng rõ hay ngoại tuyến.
Những điểm khác nhau:
- SSL đƣợc thực thi nhƣ một API giữa tầng ứng dụng và tầng giao vận,
IPSec đƣợc thực thi nhƣ một khung làm việc tại tầng mạng.
- SSL cung cấp tính năng bảo mật từ ứng dụng – tới - ứng dụng, IPSec
cung cấp tính năng bảo mật từ thiết bị - tới – thiết bị.
- SSL không bảo vệ lƣu lƣợng UDP, IPSec có bảo vệ lƣu lƣợng UDP.
- SSL có thể vƣợt qua ANT hoặc SOCKS, chúng dùng để che dấu cấu
trúc địa chỉ bên trong hoặc tránh sự xung đột địa chỉ IP riêng; IPSec trong chế
độ vận tải (end – to - end) không thể sử dụng ANT nhƣng có thể sử dụng một
đƣờng hầm IPSec để đạt đƣợc mục tiêu tƣơng tự thậm chí bảo mật hơn ANT vì
đƣờng hầm cũng có thể đƣợc mã hóa.
- Các ứng dụng cần phải sửa đổi để sử dụng SSL. Điều này có thể là một
vấn đề nếu ta không truy cập đƣợc mã nguồn của ứng dụng hoặc không có thời
gian hay kinh nghiệm để thay đổi mã nguồn của ứng dụng. IPSec hoàn toàn
trong suốt với các ứng dụng.
1.3. CÔNG NGHỆ MÃ NGUỒN MỞ
1.3.1. Khái niệm phần mềm mã nguồn mở.
Phần mềm mã nguồn mở (PMNM) là những phần mềm đƣợc cung cấp
dƣới dạng mã nguồn, không chỉ miễn phí tiền mua mà chủ yếu là miễn phí tiền
bản quyền. Do đó có đƣợc mã nguồn của phần mềm và có quy định về giấy phép
PMNM, ngƣời sử dụng có quyền sửa đổi, cải tiến, nâng cấp theo một số nguyên
tắc chung đã đƣợc quy định mà không cần xin phép.
17
PMNM do một ngƣời, một nhóm ngƣời hay một tổ chức phát triển và đƣa
ra phiên bản đầu tiên cùng với mã nguồn, công bố công khai cho cộng đồng
thƣờng là trên Internet. Trên cơ sở đó các các nhân tham gia sử dụng sẽ đóng
góp, phát triển, sửa lỗi (nếu có) và bổ sung để hoàn thiện sản phẩm cho các
phiên bản tiếp theo.
Tuy vậy, nhà cung cấp PMNM có quyền yêu cầu ngƣời dùng phải trả một
số chi phí về các dịch vụ bảo hành, huấn luyện, tƣ vấn, nâng cấp…tức là các
dịch vụ thực sự đã thực hiện để phục vụ ngƣời sử dụng nhƣng không đƣợc bán
các mã nguồn mở bởi vì nó là tài sản trí tuệ của chung, không phải là tài sản
riêng của một nhà cung cấp nào.
1.3.2. Những ưu điểm của PMNM
Chi phí thấp: PMNM đƣợc dùng miễn phí về bản quyền, nếu có chi phí
cũng chỉ là chi phí đóng gói và dịch vụ cho sản phẩm.
Độc lập: PMNM không bị lệ thuộc vào bất kỳ nhà cung cấp nào.
Làm chủ công nghệ, đảm bảo an toàn và riêng tƣ: Việc có quyền thay đổi
PMNM cũng là một yếu tố quan trọng. Do nắm đƣợc mã nguồn nên những
ngƣời sử dụng có thể phát triển, thay đổi, bổ sung… theo yêu cầu riêng mà các
phần mềm thƣơng mại không đáp ứng đƣợc.
Tính thích ứng và sáng tạo: Khả năng cho phép sửa đổi và tự nâng cấp
giúp cho các nhà phát triển có thể sửa lỗi (nếu có) và cũng có thể sáng tạo phần
mềm theo yêu cầu và phong cách riêng của mình.
Chất lƣợng tin cậy: Nhiều phần mềm có chất lƣợng và độ tin cậy cao. Các
PMNM sau khi hoàn thành thƣờng đƣợc thử nghiệm, đánh giá và bổ sung bởi rất
nhiều nhà phát triển.
Tuân thủ các chuẩn: PMNM thông thƣờng đƣợc phát triển tuân thủ theo
các chuẩn tốt hơn, vì đôi khi các sản phẩm thƣơng mại lại đƣợc áp chuẩn của
riêng các công ty tạo ra chúng mà chƣa chắc các chuẩn của các công ty khác
nhau đã đƣợc chấp nhận.
Không bị hạn chế quyền sử dụng: Quyền đƣợc dùng PMNM dƣới bất kỳ
hình thức nào làm yên tâm mọi nhà phát triển và ngƣời dùng.
Tính lâu dài: PMNM không có một chủ sở hữu duy nhất là lý do đảm bảo
để không ai có thể làm ngừng sự phát triển của sản phẩm này.
