ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

NGUYỄN QUYẾT TIẾN

NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG RIÊNG ẢO
VÀ ỨNG DỤNG

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Hà Nội - 2015


ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

NGUYỄN QUYẾT TIẾN

NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG RIÊNG ẢO
VÀ ỨNG DỤNG

Ngành: Công nghệ thông tin
Chuyên ngành: Hệ thống thông tin
Mã số: 60480104

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

NGƢỜI HƢỚNG DẪN KHOA HỌC: TS. HỒ VĂN HƢƠNG

Hà Nội - 2015

LỜI CAM ĐOAN

Tôi xin cam đoan toàn bộ nội dung bản luận văn “ Nghiên cứu giải pháp
bảo mật mạng riêng ảo và ứng dụng” là do tôi tìm hiểu, nghiên cứu, tham khảo
và tổng hợp từ các nguồn tài liệu khác nhau và làm theo hướng dẫn của người
hướng dẫn khoa học. Các nguồn tài liệu tham khảo, tổng hợp đều có nguồn gốc
rõ ràng và trích dẫn theo đúng quy định.
Tôi xin chịu hoàn toàn trách nhiệm về lời cam đoan của mình. Nếu có
điều gì sai trái, tôi xin chịu mọi hình thức kỷ luật theo quy định.
Hà Nội, tháng 08 năm 2015
Ngƣời cam đoan

Nguyễn Quyết Tiến


LỜI CẢM ƠN

Trước hết em xin gửi lời cảm ơn chân thành đến các thầy cô ở Khoa Công
Nghệ Thông Tin - trường Đại học Công nghệ - Đại học Quốc gia Hà Nội đã
nhiệt tình và tâm huyết truyền đạt cho em những kiến thức quý báu trong suốt
thời gian học tập tại trường. Em xin gửi lời cảm ơn sâu sắc đến TS. Hồ Văn
Hương – Ban Cơ yếu Chính phủ đã nhiệt tình, tận tâm định hướng, hướng dẫn
và cho em những lời khuyên bổ ích để em hoàn thành luận văn tốt nghiệp này.
Cuối cùng, em xin cảm ơn gia đình, bạn bè đã luôn động viên và ủng hộ em
trong suốt quá trình học tập và hoàn thành luận văn này.
Bài luận văn được thực hiện trong khoảng thời gian 06 tháng. Bước đầu đi
vào thực tế, tìm hiểu về lĩnh vực OpenVPN và PKI, do kiến thức của em còn
nhiều hạn chế và còn nhiều bỡ ngỡ, nên không tránh khỏi những thiếu sót. Em
rất mong nhận được những ý kiến đóng góp quý báu từ phía quý thầy cô và các

bạn để luận văn được hoàn thiện hơn.
Hà Nội, tháng 08 năm 2015
Học viên

Nguyễn Quyết Tiến


MỤC LỤC

LỜI NÓI ĐẦU ..................................................................................................... 1
CHƢƠNG 1. TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN, BẢO
MẬT MẠNG RIÊNG ẢO VÀ TÌM HIỂU CÔNG NGHỆ MÃ NGUỒN MỞ.
............................................................................. Error! Bookmark not defined.
1.1.

AN

TOÀN

BẢO

MẬT

THÔNG

TIN…………………………................Error! Bookmark not defined.
1.1.1.Giới thiệu về bảo mật thông tin ........... Error! Bookmark not defined.
1.1.2. Một số giải pháp an toàn thông tin ..... Error! Bookmark not defined.
1.2.


MẠNG

RIÊNG

ẢO…………………………………………………...….Error! Bookmark not
defined.
1.2.1. Khái niệm ............................................ Error! Bookmark not defined.
1.2.2. Những lợi ích cơ bản của mạng riêng ảoError!

Bookmark

not

defined.
1.2.3. Các mô hình kết nối VPN ................... Error! Bookmark not defined.
1.2.4. Giao thức mạng riêng ảo ..................... Error! Bookmark not defined.
1.3.

CÔNG

NGHỆ

MÃ

NGUỒN

MỞ…………………………………........Error! Bookmark not defined.
1.3.1. Khái niệm phần mềm mã nguồn mở. .. Error! Bookmark not defined.
1.3.2. Những ưu điểm của PMNM ............... Error! Bookmark not defined.
1.3.3. Những hạn chế của PMNM ................ Error! Bookmark not defined.

1.4.

KẾT

LUẬN……………………………………………………………...Error!
Bookmark not defined.
CHƢƠNG 2. CÁC NGUY CƠ MẤT AN TOÀN THÔNG TIN TRONG
MẠNG RIÊNG ẢO VÀ CÁC GIẢI PHÁP BẢO MẬT MẠNG RIÊNG ẢO.
............................................................................. Error! Bookmark not defined.
2.1. NGUY CƠ MẤT AN TOÀN THÔNG TIN TRONG MẠNG RIÊNG ẢO


…….…………………………………………………………………………….Er
ror! Bookmark not defined.
2.1.1. Tấn công các thành phần mạng riêng ảoError!

Bookmark

not

defined.
2.1.2. Tấn công giao thức mạng riêng ảo...... Error! Bookmark not defined.
2.1.3. Tấn công mật mã. ................................ Error! Bookmark not defined.
2.1.4. Tấn công từ chối dịch vụ .................... Error! Bookmark not defined.
2.2. GIẢI PHÁP BẢO MẬT VÀ XÁC THỰC CHO MẠNG RIÊNG
ẢO…………………………………………………………...……………….Er
ror! Bookmark not defined.
2.2.1. Đánh giá một số giải pháp bảo mật mạng riêng ảoError! Bookmark
not defined.
2.2.2. Tích hợp giải pháp bảo mật mạng riêng ảoError!


Bookmark

not

defined.
2.2.2. Giải pháp bảo mật an toàn thông tin tổng thể dựa trên cơ sở hạ tầng
khóa công khai .............................................. Error! Bookmark not defined.
2.3.

KẾT

LUẬN………………………………………………………………Error!
Bookmark not defined.
CHƢƠNG 3. LỰA CHỌN GIẢI PHÁP BẢO MẬT, XÁC THỰC VPN VÀ
TRIỂN KHAI ỨNG DỤNG DỰA TRÊN CÔNG NGHỆ MỞ .............. Error!
Bookmark not defined.
3.1.

KHẢO

SÁT

HIỆN

TRẠNG……………………………………………...Error! Bookmark not
defined.
3.1.1. Mô hình mạng của trường................... Error! Bookmark not defined.
3.2.


LỰA

CHỌN

GIẢI

PHÁP………………………………………...……....Error! Bookmark not
defined.


3.2.1. Phân tích yêu cầu thực tế và lựa chọn giải pháp OpenVPN ........ Error!
Bookmark not defined.
3.2.2. Tích hợp PKI dùng usb eToken .......... Error! Bookmark not defined.
3.3.

TRIỂN

ỨNG

KHAI

DỤNG……………...………………………………Error!

Bookmark

not

defined.
3.3.1. Mô hình ............................................... Error! Bookmark not defined.
3.3.2. Cài đặt và cấu hình openvpn ............... Error! Bookmark not defined.

KẾT LUẬN ........................................................ Error! Bookmark not defined.
TÀI LIỆU THAM KHẢO


BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT

Ký hiệu

Từ hoặc cụm từ

AH

Authentication Header

CA

Certificate Authority

CHAP

Challenge-Handshake Authentication Protocol

DH

Diffie-Hellman

ESP

Encapsulation Security Payload


HMAC

Hashed-keyed Message Authentication Code

IKE

Internet Key Exchange

IPSec

Internet Protocol Security

L2F

Layer 2 Forwarding

L2TP

Layer 2 Tunnerling Protocol

NAT

Network Address Translation

MAC

Message Authentication Code

OSI


Open Systems Interconnection

PAP

Password Authentincation Protocol

PKI

Public Key Infrastructure

PPTP

Point To Point Tunneling Protocol

QoS

Quanlity of Service

SSL

Sercure Socket Layer

TLS

Transport Layer Sercurity

VPN

Virtual Private Network



DANH MỤC CÁC BẢNG BIỂU HÌNH VẼ
Số hình
Hình 1.1
Hình 1.2
Hình 1.3
Hình 1.4
Hình 1.5
Hình 1.6
Hình 1.7
Hình 2.1
Hình 2.2
Hình 2.3
Hình 2.4
Hình 3.1
Hình 3.2
Hình 3.3
Hình 3.4

Tên hình
Mạng VPN điển hình gồm mạng LAN trụ sở chính,
các văn phòng từ xa và người truy cập từ bên ngoài
Thiết lập VPN truy cập từ xa
Thiết lập Intranet sử dụng WAN
Thiết lập Intranet dựa trên VPN
Mạng Extranet dựa trên VPN
Đường hầm L2TP
Mô hình TCP/IP và vị trí của SSL
Mô hình VPN cơ bản
Tấn công từ chối dịch vụ

Tấn công SYN
Tấn công Smurf sử dụng gói ICMP làm ngập các
giao tiếp khác
Hệ thống mạng của trường
Thiết bị usb eToken SecureToken ST3
Mô hình triển khai VPN
Thông tin cấu hình CA

Trang
8
8
9
10
11
13
15
19
26
27
28
37
41
41
50


LỜI NÓI ĐẦU
1. Lý do chọn đề tài
Ngày nay cùng với sự phát triển không ngừng của công nghệ thông tin và
sự phát triển nhanh chóng của mạng Internet, các thông tin trao đổi trên Internet

cũng tăng lên nhanh chóng và đa dạng, phong phú về cả nội dung lẫn hình thức.
Phương án truyền thông nhanh, an toàn và tin cậy đang trở thành mối
quan tâm của nhiều cơ quan, doanh nghiệp, đặc biệt là các tổ chức có cơ sở hạ
tầng phân tán về địa lý. Nếu như trước đây giải pháp thông thường là thuê các
đường truyền riêng(Leased line) để duy trì mạng WAN(Wide Area Network)
hay các dịch vụ như Frame Relay Service,…Mỗi mạng WAN đều có các ưu
nhược điểm riêng trên một mạng công cộng như Internet.
Cùng với sự phát triển chung của toàn xã hội, sự đầu tư áp dụng công
nghệ thông tin trong giáo dục và đào tạo từ xa ở nước ta đang ngày càng phát
triển. Nhiều tổ chức, cơ quan, đơn vị cũng như các trường học đã và đang triển
khai các hệ thống mạng hiện đại phục vụ cho nhu cầu của đơn vị mình. Bên
cạnh đó các hệ thống này cũng phục vụ đắc lực cho việc hợp tác, nghiên cứu và
quản lý của nhà trường.
Để giải quyết nhu cầu và khắc phục những khó khăn trên công nghệ mạng
riêng ảo VPN đã ra đời. Chính sự đơn giản nhưng hiệu quả đã làm cho VPN
phát triển mạnh mẽ và trở thành một trong những công nghệ được sử dụng phổ
biến và đem lại lợi ích cao. Đó cũng là lý do khiến cho VPN trở thành một đề tài
rất đáng quan tâm.
Xuất phát từ thực tế đó, đề tài này nghiên cứu giải pháp bảo mật mạng
riêng ảo và ứng dụng.
2. Mục đích nghiên cứu
Tìm hiểu bảo mật, xác thực mạng riêng ảo và các giải pháp bảo mật mạng
riêng ảo. Đánh giá ưu, nhược điểm của công nghệ mạng riêng ảo. Lựa chọn và
tích hợp các giải pháp bảo mật, xây dựng mạng riêng ảo dựa trên công nghệ mã
nguồn mở OpenVPN.
3. Nhiệm vụ nghiên cứu
Nghiên cứu các điểm yếu trong việc đảm bảo an toàn thông tin của công
nghệ VPN hiện nay. Trên cơ sở đó đánh giá, lựa chọn giải pháp bảo mật và triển



khai VPN dựa trên công nghệ mở OpenVPN, thực hiện tích hợp các giải pháp
bảo mật, xác thực như: Tích hợp PKI, tích hợp các thiết bị phần cứng eToken
cho việc lưu khóa.
4. Đối tƣợng và phạm vi nghiên cứu
Đối tượng và phạm vi nghiên cứu là công nghệ mạng riêng ảo VPN được
cài đặt trên nền hệ điều hành Linux bản phân phối Debian 8.0. Sử dụng mã
nguồn mở OpenVPN 2.3.4 để triển khai. Tích hợp hạ tầng khóa công khai PKI,
sử dụng thiết bị phần cứng SecureToken ST3 để lưu khóa.
5. Phƣơng pháp nghiên cứu
Phương pháp tìm hiểu, đánh giá để từ đó lựa chọn giải pháp bảo mật và triển
khai VPN dựa trên công nghệ mở.
6. Giả thuyết khoa học
Phát triển từ mã nguồn mở OpenVPN.


TÀI LIỆU THAM KHẢO
Tiếng Việt
1. Hồ Văn Hương, Nguyễn Quốc Uy, Nguyễn Anh Đoàn, Tích hợp giải pháp
bảo mật và xác thực cho mạng riêng ảo, Tạp chí nghiên cứu Khoa học và Công
nghệ Quân sự số 28, 2013.
2. Hồ Văn Hương, Hoàng Chiến Thắng-Cục QLKTNVMM, Ban Cơ yếu Chính
phủ, Ký số và xác thực trên nền tảng web, Tạp trí An toàn thông tin, số 2 (026)
năm 2013.
Tiếng Anh
3. Dave Kosiur, “ Building and Managing virtual private network”, Wiley
computer publishing, John Wiley & Sons, inc ( 1998).
4. Meeta Gupta, “ Building a Virtual Private Network”, Premier #, (2003).
5. John C. Snader, “ VPNs Illustrated: Tunnels VPNs and IPsec, “ Addison
Wesley Professional (2005).
6. Jan Just Keijer, “ OpenVPN 2 Cookbook”, Packt Publishing Ltd (2005),

pp.127-148.
7. Carla Schroder, “ Linux Networking Cookbook”, O’Reilly Media, Inc.(2008),
pp.265-286.
8. nVPN.
9.William Stallings, “ Crytography and Network Security Principles and
Practice 2nd Edition”, Prentice-Hall, inc (1999), pp.237-259, 271-293.