ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN QUYẾT TIẾN
NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG RIÊNG ẢO
VÀ ỨNG DỤNG
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
Hà Nội - 2015
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN QUYẾT TIẾN
NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG RIÊNG ẢO
VÀ ỨNG DỤNG
Ngành: Công nghệ thông tin
Chuyên ngành: Hệ thống thông tin
Mã số: 60480104
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
NGƢỜI HƢỚNG DẪN KHOA HỌC: TS. HỒ VĂN HƢƠNG
Hà Nội - 2015
LỜI CAM ĐOAN
Tôi xin cam đoan toàn bộ nội dung bản luận văn “ Nghiên cứu giải pháp
bảo mật mạng riêng ảo và ứng dụng” là do tôi tìm hiểu, nghiên cứu, tham khảo
và tổng hợp từ các nguồn tài liệu khác nhau và làm theo hướng dẫn của người
hướng dẫn khoa học. Các nguồn tài liệu tham khảo, tổng hợp đều có nguồn gốc
rõ ràng và trích dẫn theo đúng quy định.
Tôi xin chịu hoàn toàn trách nhiệm về lời cam đoan của mình. Nếu có
điều gì sai trái, tôi xin chịu mọi hình thức kỷ luật theo quy định.
Hà Nội, tháng 08 năm 2015
Ngƣời cam đoan
Nguyễn Quyết Tiến
LỜI CẢM ƠN
Trước hết em xin gửi lời cảm ơn chân thành đến các thầy cô ở Khoa Công
Nghệ Thông Tin - trường Đại học Công nghệ - Đại học Quốc gia Hà Nội đã
nhiệt tình và tâm huyết truyền đạt cho em những kiến thức quý báu trong suốt
thời gian học tập tại trường. Em xin gửi lời cảm ơn sâu sắc đến TS. Hồ Văn
Hương – Ban Cơ yếu Chính phủ đã nhiệt tình, tận tâm định hướng, hướng dẫn
và cho em những lời khuyên bổ ích để em hoàn thành luận văn tốt nghiệp này.
Cuối cùng, em xin cảm ơn gia đình, bạn bè đã luôn động viên và ủng hộ em
trong suốt quá trình học tập và hoàn thành luận văn này.
Bài luận văn được thực hiện trong khoảng thời gian 06 tháng. Bước đầu đi
vào thực tế, tìm hiểu về lĩnh vực OpenVPN và PKI, do kiến thức của em còn
nhiều hạn chế và còn nhiều bỡ ngỡ, nên không tránh khỏi những thiếu sót. Em
rất mong nhận được những ý kiến đóng góp quý báu từ phía quý thầy cô và các
bạn để luận văn được hoàn thiện hơn.
Hà Nội, tháng 08 năm 2015
Học viên
Nguyễn Quyết Tiến
MỤC LỤC
LỜI NÓI ĐẦU ..................................................................................................... 1
CHƢƠNG 1. TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN, BẢO
MẬT MẠNG RIÊNG ẢO VÀ TÌM HIỂU CÔNG NGHỆ MÃ NGUỒN MỞ.
............................................................................. Error! Bookmark not defined.
1.1.
AN
TOÀN
BẢO
MẬT
THÔNG
TIN…………………………................Error! Bookmark not defined.
1.1.1.Giới thiệu về bảo mật thông tin ........... Error! Bookmark not defined.
1.1.2. Một số giải pháp an toàn thông tin ..... Error! Bookmark not defined.
1.2.
MẠNG
RIÊNG
ẢO…………………………………………………...….Error! Bookmark not
defined.
1.2.1. Khái niệm ............................................ Error! Bookmark not defined.
1.2.2. Những lợi ích cơ bản của mạng riêng ảoError!
Bookmark
not
defined.
1.2.3. Các mô hình kết nối VPN ................... Error! Bookmark not defined.
1.2.4. Giao thức mạng riêng ảo ..................... Error! Bookmark not defined.
1.3.
CÔNG
NGHỆ
MÃ
NGUỒN
MỞ…………………………………........Error! Bookmark not defined.
1.3.1. Khái niệm phần mềm mã nguồn mở. .. Error! Bookmark not defined.
1.3.2. Những ưu điểm của PMNM ............... Error! Bookmark not defined.
1.3.3. Những hạn chế của PMNM ................ Error! Bookmark not defined.
1.4.
KẾT
LUẬN……………………………………………………………...Error!
Bookmark not defined.
CHƢƠNG 2. CÁC NGUY CƠ MẤT AN TOÀN THÔNG TIN TRONG
MẠNG RIÊNG ẢO VÀ CÁC GIẢI PHÁP BẢO MẬT MẠNG RIÊNG ẢO.
............................................................................. Error! Bookmark not defined.
2.1. NGUY CƠ MẤT AN TOÀN THÔNG TIN TRONG MẠNG RIÊNG ẢO
…….…………………………………………………………………………….Er
ror! Bookmark not defined.
2.1.1. Tấn công các thành phần mạng riêng ảoError!
Bookmark
not
defined.
2.1.2. Tấn công giao thức mạng riêng ảo...... Error! Bookmark not defined.
2.1.3. Tấn công mật mã. ................................ Error! Bookmark not defined.
2.1.4. Tấn công từ chối dịch vụ .................... Error! Bookmark not defined.
2.2. GIẢI PHÁP BẢO MẬT VÀ XÁC THỰC CHO MẠNG RIÊNG
ẢO…………………………………………………………...……………….Er
ror! Bookmark not defined.
2.2.1. Đánh giá một số giải pháp bảo mật mạng riêng ảoError! Bookmark
not defined.
2.2.2. Tích hợp giải pháp bảo mật mạng riêng ảoError!
Bookmark
not
defined.
2.2.2. Giải pháp bảo mật an toàn thông tin tổng thể dựa trên cơ sở hạ tầng
khóa công khai .............................................. Error! Bookmark not defined.
2.3.
KẾT
LUẬN………………………………………………………………Error!
Bookmark not defined.
CHƢƠNG 3. LỰA CHỌN GIẢI PHÁP BẢO MẬT, XÁC THỰC VPN VÀ
TRIỂN KHAI ỨNG DỤNG DỰA TRÊN CÔNG NGHỆ MỞ .............. Error!
Bookmark not defined.
3.1.
KHẢO
SÁT
HIỆN
TRẠNG……………………………………………...Error! Bookmark not
defined.
3.1.1. Mô hình mạng của trường................... Error! Bookmark not defined.
3.2.
LỰA
CHỌN
GIẢI
PHÁP………………………………………...……....Error! Bookmark not
defined.
3.2.1. Phân tích yêu cầu thực tế và lựa chọn giải pháp OpenVPN ........ Error!
Bookmark not defined.
3.2.2. Tích hợp PKI dùng usb eToken .......... Error! Bookmark not defined.
3.3.
TRIỂN
ỨNG
KHAI
DỤNG……………...………………………………Error!
Bookmark
not
defined.
3.3.1. Mô hình ............................................... Error! Bookmark not defined.
3.3.2. Cài đặt và cấu hình openvpn ............... Error! Bookmark not defined.
KẾT LUẬN ........................................................ Error! Bookmark not defined.
TÀI LIỆU THAM KHẢO
BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT
Ký hiệu
Từ hoặc cụm từ
AH
Authentication Header
CA
Certificate Authority
CHAP
Challenge-Handshake Authentication Protocol
DH
Diffie-Hellman
ESP
Encapsulation Security Payload
HMAC
Hashed-keyed Message Authentication Code
IKE
Internet Key Exchange
IPSec
Internet Protocol Security
L2F
Layer 2 Forwarding
L2TP
Layer 2 Tunnerling Protocol
NAT
Network Address Translation
MAC
Message Authentication Code
OSI
Open Systems Interconnection
PAP
Password Authentincation Protocol
PKI
Public Key Infrastructure
PPTP
Point To Point Tunneling Protocol
QoS
Quanlity of Service
SSL
Sercure Socket Layer
TLS
Transport Layer Sercurity
VPN
Virtual Private Network
DANH MỤC CÁC BẢNG BIỂU HÌNH VẼ
Số hình
Hình 1.1
Hình 1.2
Hình 1.3
Hình 1.4
Hình 1.5
Hình 1.6
Hình 1.7
Hình 2.1
Hình 2.2
Hình 2.3
Hình 2.4
Hình 3.1
Hình 3.2
Hình 3.3
Hình 3.4
Tên hình
Mạng VPN điển hình gồm mạng LAN trụ sở chính,
các văn phòng từ xa và người truy cập từ bên ngoài
Thiết lập VPN truy cập từ xa
Thiết lập Intranet sử dụng WAN
Thiết lập Intranet dựa trên VPN
Mạng Extranet dựa trên VPN
Đường hầm L2TP
Mô hình TCP/IP và vị trí của SSL
Mô hình VPN cơ bản
Tấn công từ chối dịch vụ
Tấn công SYN
Tấn công Smurf sử dụng gói ICMP làm ngập các
giao tiếp khác
Hệ thống mạng của trường
Thiết bị usb eToken SecureToken ST3
Mô hình triển khai VPN
Thông tin cấu hình CA
Trang
8
8
9
10
11
13
15
19
26
27
28
37
41
41
50
LỜI NÓI ĐẦU
1. Lý do chọn đề tài
Ngày nay cùng với sự phát triển không ngừng của công nghệ thông tin và
sự phát triển nhanh chóng của mạng Internet, các thông tin trao đổi trên Internet
cũng tăng lên nhanh chóng và đa dạng, phong phú về cả nội dung lẫn hình thức.
Phương án truyền thông nhanh, an toàn và tin cậy đang trở thành mối
quan tâm của nhiều cơ quan, doanh nghiệp, đặc biệt là các tổ chức có cơ sở hạ
tầng phân tán về địa lý. Nếu như trước đây giải pháp thông thường là thuê các
đường truyền riêng(Leased line) để duy trì mạng WAN(Wide Area Network)
hay các dịch vụ như Frame Relay Service,…Mỗi mạng WAN đều có các ưu
nhược điểm riêng trên một mạng công cộng như Internet.
Cùng với sự phát triển chung của toàn xã hội, sự đầu tư áp dụng công
nghệ thông tin trong giáo dục và đào tạo từ xa ở nước ta đang ngày càng phát
triển. Nhiều tổ chức, cơ quan, đơn vị cũng như các trường học đã và đang triển
khai các hệ thống mạng hiện đại phục vụ cho nhu cầu của đơn vị mình. Bên
cạnh đó các hệ thống này cũng phục vụ đắc lực cho việc hợp tác, nghiên cứu và
quản lý của nhà trường.
Để giải quyết nhu cầu và khắc phục những khó khăn trên công nghệ mạng
riêng ảo VPN đã ra đời. Chính sự đơn giản nhưng hiệu quả đã làm cho VPN
phát triển mạnh mẽ và trở thành một trong những công nghệ được sử dụng phổ
biến và đem lại lợi ích cao. Đó cũng là lý do khiến cho VPN trở thành một đề tài
rất đáng quan tâm.
Xuất phát từ thực tế đó, đề tài này nghiên cứu giải pháp bảo mật mạng
riêng ảo và ứng dụng.
2. Mục đích nghiên cứu
Tìm hiểu bảo mật, xác thực mạng riêng ảo và các giải pháp bảo mật mạng
riêng ảo. Đánh giá ưu, nhược điểm của công nghệ mạng riêng ảo. Lựa chọn và
tích hợp các giải pháp bảo mật, xây dựng mạng riêng ảo dựa trên công nghệ mã
nguồn mở OpenVPN.
3. Nhiệm vụ nghiên cứu
Nghiên cứu các điểm yếu trong việc đảm bảo an toàn thông tin của công
nghệ VPN hiện nay. Trên cơ sở đó đánh giá, lựa chọn giải pháp bảo mật và triển
khai VPN dựa trên công nghệ mở OpenVPN, thực hiện tích hợp các giải pháp
bảo mật, xác thực như: Tích hợp PKI, tích hợp các thiết bị phần cứng eToken
cho việc lưu khóa.
4. Đối tƣợng và phạm vi nghiên cứu
Đối tượng và phạm vi nghiên cứu là công nghệ mạng riêng ảo VPN được
cài đặt trên nền hệ điều hành Linux bản phân phối Debian 8.0. Sử dụng mã
nguồn mở OpenVPN 2.3.4 để triển khai. Tích hợp hạ tầng khóa công khai PKI,
sử dụng thiết bị phần cứng SecureToken ST3 để lưu khóa.
5. Phƣơng pháp nghiên cứu
Phương pháp tìm hiểu, đánh giá để từ đó lựa chọn giải pháp bảo mật và triển
khai VPN dựa trên công nghệ mở.
6. Giả thuyết khoa học
Phát triển từ mã nguồn mở OpenVPN.
TÀI LIỆU THAM KHẢO
Tiếng Việt
1. Hồ Văn Hương, Nguyễn Quốc Uy, Nguyễn Anh Đoàn, Tích hợp giải pháp
bảo mật và xác thực cho mạng riêng ảo, Tạp chí nghiên cứu Khoa học và Công
nghệ Quân sự số 28, 2013.
2. Hồ Văn Hương, Hoàng Chiến Thắng-Cục QLKTNVMM, Ban Cơ yếu Chính
phủ, Ký số và xác thực trên nền tảng web, Tạp trí An toàn thông tin, số 2 (026)
năm 2013.
Tiếng Anh
3. Dave Kosiur, “ Building and Managing virtual private network”, Wiley
computer publishing, John Wiley & Sons, inc ( 1998).
4. Meeta Gupta, “ Building a Virtual Private Network”, Premier #, (2003).
5. John C. Snader, “ VPNs Illustrated: Tunnels VPNs and IPsec, “ Addison
Wesley Professional (2005).
6. Jan Just Keijer, “ OpenVPN 2 Cookbook”, Packt Publishing Ltd (2005),
pp.127-148.
7. Carla Schroder, “ Linux Networking Cookbook”, O’Reilly Media, Inc.(2008),
pp.265-286.
8. nVPN.
9.William Stallings, “ Crytography and Network Security Principles and
Practice 2nd Edition”, Prentice-Hall, inc (1999), pp.237-259, 271-293.