Đồ án: Tìm hiểu và so sánh các kỹ thuật mã hóa trong kết nối VPN
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (10.49 MB, 74 trang )
BỘGIÁODỤCVÀĐÀOTẠO
TRƯỜNGĐẠIHỌCCƠNGNGHỆTPHCM
*****
ĐỒÁNCHUNNGÀNH
ĐỀTÀI
Tìmhiểuvàsosánhcáckỹthuậtmãhóa
trongkếtnốiVPN
Ngành:CƠNGNGHỆTHƠNGTIN
Chunngành:MẠNGMÁYTÍNH
Giảngviênhướngdẫn:
Sinhviênthựchiện:
Họvàtên
THẦYNGUYỄNQUANGANH
MSSV
Lớp
NguyễnĐăngQuang
1311061016
13DTHM02
LýTiếnTân
1311061094
13DTHM02
TP.HCM-Tháng11,năm2016
1
MỤCLỤC
CHƯƠNGI:TỔNGQUANVỀVPN........................................................................5
1.1TìmhiểuvềMạngriêngảo(VPN)............................................................5
1.1.1Địnhnghĩa...................................................................................................5
1.1.2ChứcnăngcủaVPN.................................................................................6
1.1.3LợiíchcủaVPN.........................................................................................7
1.1.4.CácucầucơbảnđốivớimộtgiảiphápVPN..........................8
1.1.5Đườnghầmvàmãhóa...........................................................................9
1.2MơhìnhVPNthơngdụng...........................................................................10
1.2.1CácVPNtruycập(RemoteAccessVPNs)....................................10
1.2.2CácVPNnộibộ(IntranetVPNs):.....................................................12
1.2.3CácVPNmởrộng(ExtranetVPNs):...............................................14
CHƯƠNGII.BẢOMẬTTHƠNGTIN...................................................................17
2.1Tìmhiểuvềbảomật.....................................................................................17
2.2Cáchìnhthứctấncơng................................................................................18
2.3Cáchìnhthứctấncơngtrongmạngriêngảo(VPN).......................20
2.3Mộtsốgiảiphápbảomật...........................................................................22
2.3.1Vềhệthốngthiếtkế..............................................................................22
2.3.2Vềhệthốngpháthiệntấncơng........................................................22
2.4CơngnghệbảomậttrongVPN.................................................................23
CHƯƠNGIII:CÁCTHUẬTTỐNMÃHĨATRONGVPN..........................24
3.1Cácthuậttốn&cơngnghệmãhóa......................................................24
3.1.1RSA...............................................................................................................24
3.1.2AES...............................................................................................................25
3.1.3SHA...............................................................................................................26
3.1.4HạtầngPKI...............................................................................................27
3.1.5Tườnglửa..................................................................................................28
3.1.6Giấychứngnhậnđiệntử(digitalcertificate):............................28
2
CHƯƠNGIV:CÁCGIAOTHỨCMÃHĨATRONGVPN..............................30
4.1.PPTP....................................................................................................................30
4.1.1GiớithiệuvềPPTP.................................................................................30
4.1.2NguntắchoạtđộngcủaPPTP......................................................30
4.1.3NguntắckếtnốicủaPPTP............................................................32
4.1.4NgunlýđónggóidữliệuđườnghầmPPTP...........................32
4.1.5Nguntắcthựchiện............................................................................34
4.1.6TriểnkhaiVPNdựtrênPPTP...........................................................34
4.1.7ƯuđiểmcủaPPTP.................................................................................36
4.2.L2TP...................................................................................................................37
4.2.1.GiớithiệuvềL2TP................................................................................37
4.2.2DữliệuđườnghầmL2TP...................................................................38
4.2.3ChếđộđườnghầmL2TP....................................................................40
4.2.4NhữngthuậnlợivàbấtlợicủaL2TP.............................................44
4.3IPSec....................................................................................................................44
4.3.1GiớithiệuvềIPSec.................................................................................44
4.3.2Liênkếtantồn......................................................................................50
4.3.3.QtrìnhhoạtđộngcủaIPSec........................................................52
4.3.4.NhữnghạnchếcủaIPSec...................................................................54
4.4SSTP.....................................................................................................................55
4.4.1.GiớithiệuvềSSTP.................................................................................55
4.4.2LýdosửdụngSSTPtrongVPN........................................................56
4.4.3CáchhoạtđộngcủaSSTP....................................................................57
4.5IKEv2...................................................................................................................57
4.6SSL/TLS.............................................................................................................58
4.6.1GiaothứcSSL...........................................................................................58
4.6.2GiaothứcTLS...........................................................................................59
4.7.SosánhcácgiaothứcmãhóatrongVPN...........................................59
CHƯƠNGV:TÌMHIỂUGIAOTHỨCOPENVPN...........................................60
5.1LịchsửcủaOpenVPN...................................................................................60
5.2OpenVPNlàgì?...............................................................................................61
3
5.3ƯuđiểmcủaOpenVPN................................................................................62
5.4CácmơhìnhbảomậtOpenVPN...............................................................64
5.5CáckênhdữliệuOpenVPN........................................................................64
5.6PingvàgiaothứcOCC..................................................................................65
5.7Kênhđiềukhiển.............................................................................................65
CHƯƠNGVI:TRIỂNKHAIDỊCHVỤOPENVPN...........................................67
6.1.TrênWindows...............................................................................................67
6.2.TrênLinux.......................................................................................................71
TÀILIỆUTHAMKHẢO............................................................................................74
4
CHƯƠNGI:TỔNGQUANVỀVPN
1.1TìmhiểuvềMạngriêngảo(VPN)
1.1.1Địnhnghĩa
Mạng riêng ảo hay cịn được biết đến với từ viết tắt VPN, đây
khơngphảilàmộtkháiniệmmớitrongcơngnghệmạng.VPNcóthể
đượcđịnhnghĩanhưlàmộtdịchvụmạngảođượctriểnkhaitrên
cơsởhạtầngcủahệthốngmạngcơngcộngvớimụcđíchtiếtkiệm
chi phí cho các kết nối điểm-điểm. Một cuộc điện thoại giữa hai cá
nhânlàvídụđơngiảnnhấtmơtảmộtkếtnốiriêngảotrênmạngđiện
thoạicơngcộng.HaiđặcđiểmquantrọngcủacơngnghệVPNlà“riêng”
và “ảo”tương ứng với hai thuật ngữ tiếng anh (Virtual and Private).
VPNcóthểxuấthiệntạibấtcứlớpnàotrongmơhìnhOSI,VPNlàsự
cảitiếncơsởhạtầngmạngWAN,làmthayđổivàlàmtăngthêmtích
chấtcủamạngcụcbộchomạngWAN.
Hình1.1.1.1:SơđồkếtnốitừcơsởUvớicơsởAcủatrườnHUTECHthơngqua
cơngnghệVPN
5
Vềcănbản,mỗiVPN(virtualprivatenetwork)làmộtmạngriêng
rẽsửdụngmộtmạngchung(thườnglàInternet)đểkếtnốicùngvới
cácsite(cácmạngriênglẻ)haynhiềungườisửdụngtừxa.Thaycho
việc sử dụng bởi một kết nối thực, chuyên dụng như đường Leased
Line,mỗiVPNsửdụngcáckếtnốiảođượcdẫnquađườngInternettừ
mạngriêngcủacơngtytớicácsitecủacácnhânviêntừxa.
Hình1.1.1.2MơhìnhmạngVPN
Những thiết bị ở đầu mạng hỗ trợ cho mạng riêng ảo là switch,
routervàfirewall.Nhữngthiếtbịnàycóthểđượcquảntrịbởicơngty
hoặccácnhàcungcấpdịchvụnhưISP.
VPNđượcgọilàmạngảovìđâylàmộtcáchthiếtlậpmộtmạng
riêngquamộtmạngcơngcộngsửdụngcáckếtnốitạmthời.Nhữngkết
nốibảomậtđượcthiếtlậpgiữa2host,giữahostvàmạnghoặcgiữa
haimạngvớinhau
MộtVPNcóthểđượcxâydựngbằngcáchsửdụng“Đườnghầm”
và“Mãhố”.VPNcóthểxuấthiệnởbấtcứlớpnàotrongmơhìnhOSI.
VPNlàsựcảitiếncơsởhạtầngmạngWANmàlàmthayđổihaylàm
tăngthêmtínhchấtcủacácmạngcụcbộ.
1.1.2ChứcnăngcủaVPN
VPNcungcấpbachứcnăngchính:
Ø Sựtincậy(Confidentiality):Ngườigửicóthểmãhốcácgói
dữliệutrướckhitruyềnchúngngangquamạng.Bằngcáchlàmnhư
vậy,khơngmộtaicóthểtruycậpthơngtinmàkhơngđượcchophép.
Vànếucólấyđượcthìcũngkhơngđọcđược.
6
Ø Tínhtồnvẹndữliệu(DataIntegrity):ngườinhậncóthểkiểm
tra rằng dữliệu đã được truyền qua mạng Internet mà khơng có sự
thayđổinào.
Ø Xác thực nguồn gốc (Origin Authentication): Người nhận có
thểxácthựcnguồngốccủagóidữliệu,đảmbảovàcơngnhậnnguồn
thơngtin.
1.1.3LợiíchcủaVPN
ü VPNlàmgiảmchiphíthườngxun
VPNchophéptiếtkiệmchiphíthđườngtruyềnvàgiảmchi
phíphátsinhchonhânviênởxanhờvàoviệchọtruycậpvàohệthống
mạngnộibộthơngquacácđiểmcungcấpdịchvụởđịaphươngPOP
(PointofPresence),hạnchếthđườngtruycậpcủanhàcungcấpdẫn
đếngiáthànhchoviệckếtnốiLan-to-Langiảmđiđángkểsovớiviệc
thđườngLeased-Line.
ü Giảmchiphíquảnlývàhỗtrợ
Với việc sử dụng dịch vụ của nhà cung cấp, chúng ta chỉ phải
quảnlýcáckếtnốiđầucuốitạicácchinhánhmạngkhơngphảiquảnlý
cácthiếtbịchuyểnmạchtrênmạng.Đồngthờitậndụngcơsởhạtầng
củamạngInternetvàđộingũkỹthuậtcủanhàcungcấpdịchvụtừđó
cơngtycóthểtậptrungvàocácđốitượngkinhdoanh.
ü VPNđảmbảoantồnthơngtin,tínhtồnvẹnvàxácthực
Dữliệutruyềntrênmạngđượcmãhốbằngcácthuậttốn,đồng
thờiđượctruyềntrongcácđườnghầm(Tunnle)nênthơngtincóđộ
antồncao.
ü VPNdễdàngkếtnốicácchinhánhthànhmộtmạngcụcbộ
Vớixuthếtồncầuhố,mộtcơngtycóthểcónhiềuchinhành
tạinhiềuquốcgiakhácnhau.Việctậptrungquảnlýthơngtintạitấtcả
cácchinhánhlàcầnthiết.VPNcóthểdễdàngkếtnốihệthốngmạng
giữacácchinhànhvàvănphịngtrungtâmthànhmộtmạngLANvới
chiphíthấp.
7
Hình1.1.3.1:VPNgiúpkếtnốicácchinhánhthành1mạngriêngbiệt
1.1.4.CácucầucơbảnđốivớimộtgiảiphápVPN
Có4ucầucầnđạtđượckhixâydựngmạngriêngảo.
• Tínhtươngthích(compatibility)
Mỗicơngty,mỗidoanhnghiệpđềuđượcxâydựngcáchệthống
mạngnộibộvàdiệnrộngcủamìnhdựatrêncácthủtụckhácnhauvà
khơngtntheomộtchuẩnnhấtđịnhcủanhàcungcấpdịchvụ.Rất
nhiềucáchệthốngmạngkhơngsửdụngcácchuẩnTCP/IPvìvậykhơng
thểkếtnốitrựctiếpvớiInternet.ĐểcóthểsửdụngđượcIPVPNtấtcả
cáchệthốngmạngriêngđềuphảiđượcchuyểnsangmộthệthốngđịa
chỉtheochuẩnsửdụngtronginternetcũngnhưbổsungcáctínhnăng
vềtạokênhkếtnốiảo,càiđặtcổngkếtnốiinternetcóchứcnăngtrong
việcchuyểnđổicácthủtụckhácnhausangchuẩnIP.77%sốlượng
kháchhàngđượchỏiucầukhichọnmộtnhàcungcấpdịchvụIP
VPNphảitươngthíchvớicácthiếtbịhiệncócủahọ.
• Tínhbảomật(security)
Tínhbảomậtchokháchhànglàmộtyếutốquantrọngnhấtđốivới
mộtgiảiphápVPN.Ngườisửdụngcầnđượcđảmbảocácdữliệuthơng
quamạngVPNđạtđượcmứcđộantồngiốngnhưtrongmộthệthống
mạngdùngriêngdohọtựxâydựngvàquảnlý.
Việccungcấptínhnăngbảođảmantồncầnđảmbảohaimụctiêu
sau:
-Cungcấptínhnăngantồnthíchhợpbaogồm:cungcấpmậtkhẩu
chongườisửdụngtrongmạngvàmãhốdữliệukhitruyền.
8
-Đơngiảntrongviệcduytrìquảnlý,sửdụng.Địihỏithuậntiện
vàđơngiảnchongườisửdụngcũngnhưnhàquảntrịmạngtrongviệc
càiđặtcũngnhưquảntrịhệthống.
• Tínhkhảdụng(Availability):
MộtgiảiphápVPNcầnthiếtphảicungcấpđượctínhbảođảmvề
chấtlượng,hiệusuấtsửdụngdịchvụcũngnhưdunglượngtruyền.
• Tiêuchuẩnvềchấtlượngdịchvụ(QoS):
Tiêuchuẩnđánhgiácủamộtmạnglướicókhảnăngđảmbảochất
lượngdịchvụcungcấpđầucuốiđếnđầucuối.QoSliênquanđếnkhả
năngđảmbảođộtrễdịchvụtrongmộtphạmvinhấtđịnhhoặcliên
quanđếncảhaivấnđềtrên
1.1.5Đườnghầmvàmãhóa
ChứcnăngchínhcủaVPNđólàcungcấpsựbảomậtbằngcáchmã
hốquamộtđườnghầm.
Hình1.1.5.1ĐườnghầmVPN
v Đườnghầm(Tunnel)cungcấpcáckếtnốilogic,điểmtớiđiểm
quamạngIPkhơnghướngkếtnối.Điềunàygiúpchoviệcsửdụngcác
ưuđiểmcáctínhnăngbảomật.CácgiảiphápđườnghầmchoVPNlà
sửdụngsựmãhốđểbảovệdữliệukhơngbịxemtrộmbởibấtcứ
nhữngaikhơngđượcphépvàđểthựchiệnđónggóiđagiaothứcnếu
cầnthiết.Mãhốđượcsửdụngđểtạokếtnốiđườnghầmđểdữliệu
chỉcóthểđượcđọcbởingườinhậnvàngườigửi.
9
v Mãhố(Encryption)chắcchắnrằngbảntinkhơngbịđọcbởi
bấtkỳainhưngcóthểđọcđượcbởingườinhận.Khimàcàngcónhiều
thơng tin lưu thơng trên mạng thì sự cần thiết đối với việc mã hố
thơngtincàngtrởnênquantrọng.Mãhốsẽbiếnđổinộidungthơng
tinthànhtrongmộtvănbảnmậtmãmàlàvơnghĩatrongdạngmậtmã
củanó.Chứcnănggiảimãđểkhơiphụcvănbảnmậtmãthànhnộidung
thơngtincóthểdùngđượcchongườinhận.
1.2MơhìnhVPNthơngdụng
VPNsnhằmhướngvào3ucầucơbảnsauđây:
• Cóthểtruycậpbấtcứlúcnàobằngđiềukhiểntừxa,bằngđiện
thoạicầmtay,vàviệcliênlạcgiữacácnhânviêncủamộttổchứctới
cáctàingunmạng.
• Nốikếtthơngtinliênlạcgiữacácchinhánhvănphịngtừxa.
• Ðược điều khiển truy nhập tài nguyên mạng khi cần thiết của
kháchhàng,nhàcungcấpvànhữngđốitượngquantrọngcủacơngty
nhằmhợptáckinhdoanh.
Dựatrênnhữngnhucầucơbảntrên,ngàynayVPNsđãpháttriển
vàphânchiaralàm3phânloạichínhsau:
Ø
RemoteAccessVPNs.
Ø
IntranetVPNs.
Ø
ExtranetVPNs.
1.2.1CácVPNtruycập(RemoteAccessVPNs)
Giốngnhưgợiýcủatêngọi,RemoteAccessVPNschophéptruycậpbất
cứlúcnàobằngRemote,mobile,vàcácthiếtbịtruyềnthơngcủanhânviên
cácchinhánhkếtnốiđếntàingunmạngcủatổchức.Ðặcbiệtlànhững
ngườidùngthườngxundichuyểnhoặccácchinhánhvănphịngnhỏmà
khơngcókếtnốithườngxunđếnmạngIntranethợptác.
CáctruycậpVPNthườngucầumộtvàikiểuphầnmềmclientchạy
trênmáytínhcủangườisửdụng.KiểuVPNnàythườngđượcgọilàVPNtruy
cậptừxa.
10
Hình1.2.1.1MơhìnhmạngVPNtruycập
Mộtsốthànhphầnchính:
RemoteAccessServer(RAS):đượcđặttạitrungtâmcónhiệmvụxác
nhậnvàchứngnhậncácucầugửitới.
Quaysốkếtnốiđếntrungtâm,điềunàysẽlàmgiảmchiphíchomộtsố
ucầuởkháxasovớitrungtâm.
Hỗtrợchonhữngngườicónhiệmvụcấuhình,bảotrìvàquảnlýRAS
vàhỗtrợtruycậptừxabởingườidùng.
BằngviệctriểnkhaiRemoteAccessVPNs,nhữngngườidùngtừxahoặc
cácchinhánhvănphịngchỉcầncàiđặtmộtkếtnốicụcbộđếnnhàcungcấp
dịchvụISPhoặcISP’sPOPvàkếtnốiđếntàingunthơngquaInternet.
Internet
Trung
tâm dữ
liệu
Tường lửa
Người
Đường hầm dùng từ
xa
Server
Đường hầm
Sử dụng
di động
Server
Văn phịng từ xa
11
Hình1.2.1.2:CàiđặtRemoteAccessVPN
ThuậnlợichínhcủaRemoteAccessVPNs:
ü SựcầnthiếtcủaRASvàviệckếthợpvớimodemđượcloạitrừ.
ü Sựcầnthiếthỗtrợchongườidungcánhânđượcloạitrừbởivìkết
nốitừxađãđượctạođiềukiệnthuậnlợibờiISP
ü Việc quay số từ những khoảng cách xa được loại trừ , thay vào đó,
nhữngkếtnốivớikhoảngcáchxasẽđượcthaythếbởicáckếtnốicụcbộ.
ü Giảmgiáthànhchiphíchocáckếtnốivớikhoảngcáchxa.
ü Dođâylàmộtkếtnốimangtínhcụcbộ,dovậytốcđộnốikếtsẽcao
hơnsovớikếtnốitrựctiếpđếnnhữngkhoảngcáchxa.
ü VPNscungcấpkhảnăngtruycậpđếntrungtâmtốthơnbởivìnóhỗ
trợdịchvụtruycậpởmứcđộtốithiểunhấtchodùcósựtăngnhanhchóng
cáckếtnốiđồngthờiđếnmạng.
Ngồinhữngthuậnlợitrên,VPNscũngtồntạimộtsốbấtlợikhác
như:
ü RemoteAccessVPNscũngkhơngbảođảmđượcchấtlượngphụcvụ.
ü Khảnăngmấtdữliệulàrấtcao,thêmnữalàcácphânđoạncủagói
dữliệucóthểđirangồivàbịthấtthốt.
ü Dođộphứctạpcủathuậttốnmãhố,protocoloverheadtăngđáng
kể,điềunàygâykhókhănchoqtrìnhxácnhận.Thêmvàođó,việcnéndữ
liệuIPvàPPP-baseddiễnravơcùngchậmchạpvàtồitệ.
ü DophảitruyềndữliệuthơngquaInternet,nênkhitraođổicácdữliệu
lớnnhưcácgóidữliệutruyềnthơng,phimảnh,âmthanhsẽrấtchậm.
1.2.2CácVPNnộibộ(IntranetVPNs):
IntranetVPNsđượcsửdụngđểkếtnốiđếncácchinhánhvănphịng
của tổ chức đến Corporate Intranet (backbone router) sử dụng campus
router.Theomơhìnhnàysẽrấttốnchiphídophảisửdụng2routerđểthiết
lậpđượcmạng,thêmvàođó,việctriểnkhai,bảotrìvàquảnlýmạngIntranet
Backbonesẽrấttốnkémcịntùythuộcvàolượnglưuthơngtrênmạngđi
trênnóvàphạmviđịalýcủatồnbộmạngIntranet.
Ðểgiảiquyếtvấnđềtrên,sựtốnkémcủaWANbackboneđượcthaythế
bởicáckếtnốiInternetvớichiphíthấp,điềunàycóthểgiảmmộtlượngchi
phíđángkểcủaviệctriểnkhaimạngIntranet.
12
IntranetVPNslàmộtVPNnộibộđươcsửdụngđểbảomậtcáckếtnối
giữacácđịađiểmkhácnhaucủamộtcơngty.Điềunàychophéptấtcảcác
địađiểmcóthểtruycậpcácnguồndữliệuđượcphéptrongtồnbộmạng
củacơngty.CácVPNnộibộliênkếttrụsởchính,cácvănphịng,vàcácvăn
phịngchinhánhtrênmộtcơsởhạtầngchungsửdụngcáckếtnốimàln
lnđượcmãhố.KiểuVPNnàythườngđượccấuhìnhnhưlàmộtVPNSiteto-Site.
Hình1.2.2.1MơhìnhmạngVPNnộibộ
NhữngthuậnlợichínhcủaIntranetsetupdựatrênVPN:
ü Hiệuquảchiphíhơndogiảmsốlượngrouterđượcsửdụngtheomơ
hìnhWANbackbone
ü Giảmthiểuđángkểsốlượnghỗtrợucầungườidùngcánhânqua
tồncầu,cáctrạmởmộtsốremotesitekhácnhau.
ü BởivìInternethoạtđộngnhưmộtkếtnốitrunggian,nódễdàngcung
cấpnhữngkếtnốimớinganghàng.
ü Kếtnốinhanhhơnvàtốthơndovềbảnchấtkếtnốiđếnnhàcungcấp
dịchvụ,loạibỏvấnđềvềkhoảngcáchxavàthêmnữagiúptổchứcgiảm
thiểuchiphíchoviệcthựchiệnIntranet.
Nhữngbấtlợichínhkếthợpvớicáchgiảiquyết:
ü Bởivìdữliệuvẫncịntunneltrongsuốtqtrìnhchiasẽtrênmạng
cơngcộng-Internet-vànhữngnguycơtấncơng,nhưtấncơngbằngtừchối
dịchvụ(denial-of-service),vẫncịnlàmộtmốiđedoạantồnthơngtin.
ü Khảnăngmấtdữliệutronglúcdichuyễnthơngtincũngvẫnrấtcao.
ü Trongmộtsốtrườnghợp,nhấtlàkhidữliệulàloạihigh-end,nhưcác
tậptinmulltimedia,việctraođổidữliệusẽrấtchậmchạpdođượctruyền
thơngquaInternet.
13
ü Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục,
thườngxuyên,vàQoScũngkhôngđượcđảmbảo.
1.2.3CácVPNmởrộng(ExtranetVPNs):
Không giống như Intranet và Remote Access-based, Extranet
khơnghồntồncáchlitừbênngồi(outer-world),Extranetchophép
truycậpnhữngtàingunmạngcầnthiếtcủacácđốitáckinhdoanh,
chẳnghạnnhưkháchhàng,nhàcungcấp,đốitácnhữngngườigiữvai
trịquantrọngtrongtổchức.
MạngExtranetrấttốnkémdocónhiềuđoạnmạngriêngbiệttrên
IntranetkếthợplạivớinhauđểtạoramộtExtranet.Ðiềunàylàmcho
khótriểnkhaivàquảnlýdocónhiềumạng,đồngthờicũngkhókhăn
cho cá nhân làm cơng việc bảo trì và quản trị. Thêm nữa là mạng
Extranet sẽ khó mở rộng do điều này sẽ làm rối tung tồn bộ mạng
Intranetvàcóthểảnhhưởngđếncáckếtnốibênngồimạng.Sẽcó
nhữngvấnđềbạngặpphảibấtthìnhlìnhkhikếtnốimộtIntranetvào
mộtmạngExtranet.TriểnkhaivàthiếtkếmộtmạngExtranetcóthểlà
mộtcơnácmộngcủacácnhàthiếtkếvàquảntrịmạng.
Hạ tầng
Mạng chung
Mạng nhà
Mạng nhà
Mạng nhà
Cung cấp 1
Cung cấp 2
Cung cấp 3
Nhà cung cấp
Dịch vụ 1
Nhà cung cấp
Dịch vụ 2
Nhà cung cấp
Dịch vụ 3
14
Hình1.2.3.1:ThiếtlậpExtranettruyềnthống
CácVPNmởrộngcungcấpmộtđườnghầmbảomậtgiữacáckhách
hàng,cácnhàcungcấp,vàcácđốitácquamộtcơsởhạtầngcơngcộng
sửdụngcáckếtnốimàlnlnđượcbảomật.KiểuVPNnàythường
đượccấuhìnhnhưlàmộtVPNSite-to-Site.SựkhácnhaugiữamộtVPN
nộibộvàmộtVPNmởrộngđólàsựtruycậpmạngmàđượccơngnhận
ởmộttronghaiđầucuốicủaVPN.HìnhdướiđâyminhhoạmộtVPN
mởrộng.
Hình1.2.3.2MơhìnhmạngVPNmởrộng
MộtsốthuậnlợicủaExtranet:
ü
DohoạtđộngtrênmơitrườngInternet,chúngtacóthể
lựachọnnhàphânphốikhilựachọnvàđưaraphươngphápgiảiquyết
tuỳtheonhucầucủatổchức.
ü
Bởi vì một phần Internet-connectivity được bảo trì bởi
nhàcungcấp(ISP)nêncũnggiảmchiphíbảotrìkhithnhânviên
bảotrì.
ü
Dễdàngtriểnkhai,quảnlývàchỉnhsửathơngtin.
MộtsốbấtlợicủaExtranet:
ü
Sựđedọavềtínhantồn,nhưbịtấncơngbằngtừchối
dịchvụvẫncịntồntại.
15
ü
Extranet.
Tăngthêmnguyhiểmsựxâmnhậpđốivớitổchứctrên
ü
DodựatrênInternetnênkhidữliệulàcácloạihigh-end
datathìviệctraođổidiễnrachậmchạp.
ü
Do dựa trên Internet, QoS cũng khơng được bảo đảm
thườngxun.
Hạ tầng
Mạng chung
Internet
Nhà cung cấp
Dịch vu 1
Nhà cung cấp
Dịch vu 2
Nhà cung cấp
Dịch vu 3
Hình1.2.3.3:ThiếtlậpExtranetVPN
Chi
P
Int
P
Doanh
Trụ
Hình1.2.3.4Baloạimạngriêngảo
16
CHƯƠNGII.BẢOMẬTTHƠNGTIN
2.1Tìmhiểuvềbảomật
Trướcđâykhicơngnghệmáytínhchưapháttriển,khinóiđến
vấnđềbảomậtthơngtin(InformationSecurity),chúngtathườnghay
nghĩđếncácbiệnphápnhằmđảmbảochothơngtinđượctraođổihay
cấtgiữmộtcáchantồnvàbímật.Chẳnghạnlàcácbiệnphápnhư:
• Đóngdấuvàkýniêmphongmộtbứcthưđểbiếtrằngláthưcó
đượcchuyểnngunvẹnđếnngườinhậnhaykhơng.
• Dùngmậtmãmãhóathơngđiệpđểchỉcóngườigửivàngười
nhậnhiểuđượcthơngđiệp.Phươngphápnàythườngđượcsử
dụngtrongchínhtrịvàqnsự.
• Lưugiữtàiliệumậttrongcáckétsắtcókhóa,tạicácnơiđược
bảovệnghiêmngặt,chỉcónhữngngườiđượccấpquyềnmớicó
thểxemtàiliệu.
Vớisựpháttriểnmạnhmẽcủacơngnghệthơngtin,đặtbiệtlàsựphát
triển của mạng Internet, ngày càng có nhiều thơng tin được lưu giữ
trênmáyvitínhvàgửiđitrênmạngInternet.Vàdođóxuấthiệnnhu
cầuvềantồnvàbảomậtthơngtintrênmáytính.Cóthểphânloạimơ
hìnhantồnbảomậtthơngtintrênmáytínhtheohaihướngchính
nhưsau:
Ø Bảo vệ thơng tin trong q trình truyền thơng tin trên mạng
(NetworkSecurity)
Ø Bảovệhệthốngmáytính,vàmạngmáytính,khỏisựxâmnhập
pháhoạitừbênngồi(SystemSecurity)
17
2.2Cáchìnhthứctấncơng
Đểxemxétnhữngvấnđềbảomậtliênquanđếntruyềnthơng
trênmạng,chúngtahãylấymộtbốicảnhsau:cóbanhânvậttênlà
Alice,BobvàTrudy,trongđóAlicevàBobthựchiệntraođổithơngtin
vớinhau,cịnTrudylàkẻxấu,đặtthiếtbịcanthiệpvàokênhtruyền
tingiữaAlicevàBob.SauđâylàcácloạihànhđộngtấncơngcủaTrudy
màảnhhưởngđếnqtrìnhtruyềntingiữaAlicevàBob:
1.
Xem trộm thơng tin (Release of Message Content)
TrongtrườnghợpnàyTrudychặncácthơngđiệpAlicegửicho
Bob,vàxemđượcnộidungcủathơngđiệp.
Hình2.2.1Xemtrộmthơngđiệp
2.
Thay đổi thơng điệp (Modification of Message)
TrudychặncácthơngđiệpAlicegửichoBobvàngănkhơngcho
cácthơngđiệpnàyđếnđích.SauđóTrudythayđổinộidungcủa
thơngđiệpvàgửitiếpchoBob.Bobnghĩrằngnhậnđượcthơng
điệpngunbảnbanđầucủaAlicemàkhơngbiếtrằngchúngđã
bịsửađổi.
18
Hình2.1.2Sửasaithơngđiệp
3.
Mạo danh (Masquerade) Trong trường hợp này
TrudygiảlàAlicegửithơngđiệpchoBob.Bobkhơngbiếtđiều
nàyvànghĩrằngthơngđiệplàcủaAlice.
Hình2.1.3Mạodanhđểgửiđithơngđiệp
4.
Phát lại thơng điệp (Replay) Trudy sao chép lại
thơngđiệpAlicegửichoBob.SauđómộtthờigianTrudygửibản
saochépnàychoBob.Bobtinrằngthơngđiệpthứhaivẫnlàtừ
Alice,nộidunghaithơngđiệplàgiốngnhau.Thoạtđầucóthể
nghĩ rằng việc phát lại này là vơ hại, tuy nhiên trong nhiều
trườnghợpcũnggâyratáchạikhơngkémsovớiviệcgiảmạo
thơngđiệp.Xéttìnhhuốngsau:giảsửBoblàngânhàngcịnAlice
làmộtkháchhàng.AlicegửithơngđiệpđềnghịBobchuyểncho
Trudy1000$.Alicecóápdụngcácbiệnphápnhưchữkýđiệntử
vớimụcđíchkhơngchoTrudymạodanhcũngnhưsửathơng
điệp.TuynhiênnếuTrudysaochépvàphátlạithơngđiệpthìcác
19
biệnphápbảovệnàykhơngcóýnghĩa.BobtinrằngAlicegửi
tiếpmộtthơngđiệpmớiđểchuyểnthêmchoTrudy1000$nữa.
Hình2.1.4Phátđithơngđiệpgiả
2.3Cáchìnhthứctấncơngtrongmạngriêngảo(VPN)
• TấncơngcácgiaothứcVPNchínhnhưPPTP,IPSec…
• Tấncơngmậtmã
• Tấncơngtừchốidịchvụ
v TấncơngtrênPPTP
PPTPlàdễbịtổnthươngtrênhaikhíacạnh.Chúngbaogồm:
ü GenericRoutingEncapsulation(GRE)
ü Mậtkhẩutraođổitrongqtrìnhxácthực
v TấncơngtrênIPSec
NhưchúngtabiếtIPSeckhơngphảilàthuậttốnmãhóathuần
túycũngkhơngphảimộtcơchếxácthực.Trongthựctế,IPSeclàmột
sựkếthợpcủacảhaivàgiúpcácthuậttốnkhácbảovệdữliệu.Tuy
nhiên,IPSeclàdễbịcáccuộctấncơng:
ü CáccuộctấncơngchốnglạithựchiệnIPSec
ü Tấncơngchốnglạiquảnlýkhóa
ü Cáccuộctấncôngquảntrịvàkýtựđạidiện
20
v Tấncơngmậtmã
MậtmãnhưlàmộttrongcácthànhphầnbảomậtcủamộtVPN.
Tùythuộcvàocáckỹthuậtmậtmãvàcácthuậttốnkhácnhau,các
cuộctấncơnggiảimãđượcbiếtlàtồntại.Nhữngphầnsautìmhiểuvề
mộtsốcáchthứctấncơnggiảimãnổitiếng:
ü
ü
ü
ü
ü
ü
Chỉcóbảnmã(ciphertext-Only)
Tấncơngbiếtbảnrõ(knowplaintextattacks)
Tấncơnglựachọnbảnrõ
Man-in-the-Middle(tấncơngtrunggian)
TấncơngBruteForce(duyệttồnbộ)
Tấncơngthờigian(Timingattacks)
v Tấncơngtừchốidịchvụ
CáccuộctấncơngDDoSđangtrởnênkháphổbiếnngàynàyvì
nókhơngucầubấtkỳphầnmềmđặcbiệthoặctruycậpvàomạng
mụctiêu.Chúngđượcdựatrênkháiniệmcủasựtắcnghẽnmạng.Bất
kỳkẻxâmnhậpcóthểgâyratắcnghẽnmạngbằngcáchgửicáctảicác
dữliệurácvàomạng.Điềunàylàmchocácmáytínhmụctiêukhơng
thểđượctruycậptrongmộtkhoảngthờigianbởiđườngtruyềnbịq
tảihoặcmáytínhmụctiêukhơngthểphụcvụdoqtải.Tìnhtrạng
qtảithơngtinthậmchícóthểdẫnđếnviệcsụpđổcủamáytínhmục
tiêu
Mộtsốphươngphápthườngđượcsửdụngđểbắtđầucuộctấncơng
DoSnhưsau:
ü
ü
ü
ü
SYNFloods(lụtgóiSYN)
BroadcastStorm(bãogóitinquảngbá)
SmurfDoS
PingofDeath
21
2.3Mộtsốgiảiphápbảomật
Giảiphápbảomậtthườngđượcchialàmhaiphần:hệthống
thiếtkế(bênngồi)vàhệthốngpháthiệntấncơng(bêntrong).
2.3.1Vềhệthốngthiếtkế
Thiếtkế,quyhoạchmộthệthốngmạnglớnkhơngđơnthuầnlà
pháttriểnthêmcácthiếtbịhỗtrợngườidùngmàphảidựatrênmơ
hìnhchuẩnđãvàđangápdụngchocáchệthốngmạngtiêntiếntạicác
cơquan,doanhnghiệppháttriểntrênthếgiới,đóchínhlàmơhình
mạngĐịnhhướngKiếntrúcDịchvụ(Service-OrientedArchitecture–
SOA).
2.3.2Vềhệthốngpháthiệntấncơng
Ø Hệthốngtườnglửa
Hệthốngtườnglửalàhệthốngkiểmsốttruynhậpgiữamạng
Internetvàmạngnộibộ.Tườnglửacó2loại:phầncứngvàphầnmềm.
Mỗiloạicócácưuđiểmkhácnhau.Phầncứngcóhiệunăngổnđịnh,
khơngphụthuộcvàohệđiềuhành,virus,mãđộc,ngănchặntốtgiao
thức ở tầng mạng trong mơ hình tham chiếu TCP/IP. Phần mềm rất
linhhoạttrongnhữngcấuhìnhởgiaothứctầngứngdụngtrongmơ
hìnhTCP/IP.
Ø HệthốngpháthiệnvàchốngxâmnhậpIDS/IPS
Hiệnnaycáchìnhthứctấncơngcủangườicóýđồxấungàycàng
nhiều và tinh vi. Ví dụ: Trong đơn vị có thể tự cài đặt các cơng cụ
(Ethereal,Cain&abel…)trênmáytínhlàmviệchoặcmáytínhxáchtay
đểtiếnhànhnghelénhayqttrựctiếplêncácmáychủ,từđócóthể
lấycáctàikhoảnemail,Web,FTP,SQLservernhằmthayđổiđiểmthi,
tiềnhọcphíđãnộp,thayđổilịchcơngtác…cáchìnhthứctấncơngkiểu
này,hệthốngtườnglửakhơngthểpháthiện.
Giải pháp hữu hiệu cho thực trạng này là xây dựng hệ thống
IDS/IPS (Intrusion Detection System/Intrusion prevention system).
IDS/IPSlàhệthốngbảomậtvơcùngquantrọng,nócókhảnăngphát
22
hiệnracáccuộctấncơngdựavàocácdấuhiệuthiếtlậpsẵnhoặccác
đoạnmãđộchại,bấtthườngtrêngiaothơngmạng;đồngthờicóthể
loạibỏchúngtrướckhicóthểgâyhạichohệthống.
2.4CơngnghệbảomậttrongVPN
NềntảngVPNcóthểbịtấncơngbằngrấtnhiềucách.Dướiđây
làmộtsốloạitấncơngphổbiếnvàovàhệthốngVPN
•
•
•
•
CácmốiđedọaanninhchocácthànhphầnVPN
CáccuộctấncơngcácgiaothứcVPN
Cáccuộctấncơngmậtmã
Cáccuộctấncơngtừchốidịchvụ/IPS
Ngàynay,cơngnghệphầnmềmngàycàngpháttriểnmạnhmẽ.
Đặcbiệtlàcơngnghệmãnguồnmở.Nếutậndụngđượcnhữngxuthế
này, tức là phần mềm mã nguồn mở vào ứng dụng VPN thì sẽ giảm
đượckhánhiềuchiphíchoviệctriểnkhai.Điềunàysẽđemlạilợithế
rấtlớnsovớicácsảnphẩmthươngmại.
Ø
Giảiphápkernelspace
Cácgiảiphápkhơnggiannhânlànhữnggiảiphápsửađổinhân
quacácbảnválỗi.Chúngphứctạphơnvàítlinhhoạthơnsovớicác
giảiphápkhơnggiannguờidùng.Hầuhếtcácgiảipháptriểnkhaitrên
giaothứcbảomậtIPsec.Hoặclàcónguồngốcđượchỗtrợbởinhân
hoặcthơngquacácbảnvánhân.Mộtsốdựán:Mộtsốdựánkernel
space:FreeS/WAN,Kame….
Ø
Giảiphápuserspace
Giảiphápuserspacehoạtđộngtrongkhơnggianngườisửdụng
vàdođókhơngcóphụthuộchồntồnvàomơđunnhânhoặccácbản
vá.Giảiphápnàydễcàiđặt,khálinhhoạtvàmềmdẻotrênmộtsốhệ
điềuhành.UserspaceVPNssửdụng“giaodiệnđườnghầmảo",tạonên
cácchứcnăngkếtnốimạngởmứcđộthấp,đểđạtđưượcđườnghầm
IP.VídụnhưTinc,CIPE,vTunvàOpenVPN.Giảiphápuserspacecóthể
đượcnhómlạidựatrêngiaothứcbảomậtđượcsửdụng.-Cácgiao
thứcsửdụngchứcnăngmãhóatiêuchuẩnđượccungcấpbởiOpenSSL
(OpenVPN, vTun, Tinc) - Các giao thức, phương thức mã hóa riêng
(CIPE,PPTP,L2tpd).
23
CHƯƠNGIII:CÁCTHUẬTTỐNMÃHĨATRONG
VPN
3.1Cácthuậttốn&cơngnghệmãhóa
3.1.1RSA
BắttayRSA(cũngcóthểlàkhóamãhóahoặcchứngchỉmãhóa).
ĐểđảmbảomộtcáchantồnchokếtnốiVPN,SSLthườngsửdụnghệ
thốngmãhóakhóacơngkhaiRSA.
ThuậttốnRSAcóhaikhóa:khóacơngkhai(haykhóacơng
cộng)vàkhóabímật(haykhóacánhân).Mỗikhóalànhữngsốcốđịnh
sửdụngtrongqtrìnhmãhóavàgiảimã.Khóacơngkhaiđượccơng
bốrộngrãichomọingườivàđượcdùngđểmãhóa.Nhữngthơngtin
đượcmãhóabằngkhóacơngkhaichỉcóthểđượcgiảimãbằngkhóa
bímậttươngứng.Nóicáchkhác,mọingườiđềucóthểmãhóanhưng
chỉcóngườibiếtkhóacánhân(bímật)mớicóthểgiảimãđược.
Tacóthểmơphỏngtrựcquanmộthệmậtmãkhốcơngkhai
nhưsau:BobmuốngửichoAlicemộtthơngtinmậtmàBobmuốnduy
nhấtAlicecóthểđọcđược.Đểlàmđượcđiềunày,AlicegửichoBob
mộtchiếchộpcókhóađãmởsẵnvàgiữlạichìakhóa.Bobnhậnchiếc
hộp,chovàođómộttờgiấyviếtthưbìnhthườngvàkhóalại(nhưloại
khốthơngthườngchỉcầnsậpchốtlại,saukhisậpchốtkhóangaycả
Bobcũngkhơngthểmởlạiđược-khơngđọclạihaysửathơngtintrong
thưđượcnữa).SauđóBobgửichiếchộplạichoAlice.Alicemởhộp
vớichìakhóacủamìnhvàđọcthơngtintrongthư.Trongvídụnày,
chiếchộpvớikhóamởđóngvaitrịkhóacơngkhai,chiếcchìakhóa
chínhlàkhóabímật.
RSAđóngvaitrịnhưmộtloạimậtmãvàthuậttốnkýsốđược
sửdụngđểxácthựccácchứngchỉTLS/SSL,vàlàcơsởbảomậttrên
internettrongsuốt20nămqua.
Tuynhiênnóđãđượcchứngminhvàonăm2010,1024-bitRSA
(RSA-1024)mãhóakhóariêngcóthểbịbẻkhóa,dẫnđầulàGoogle
trongnăm2013đểnângcấptấtcảcácchứngchỉSSLđếnmứcantồn
hơn,tăngchiềudàikhóalêntới2048-bitRSA,đâylàcáchsaochép
tronghầuhếtcáccơngnghệanninhmạng.
RSA-2048làloạimãhóađượcxemchuẩnantồn,mặcdùcóthể
thựchiệnmãhóalêntới3072-bithoặc4096-bitmãhóađểchắcchắn
24
hơnnữa.Hiệnnay,mãhóaRSA-2048làtiêuchuẩntốithiểuchocác
nhàcungcấpVPNthươngmại.
3.1.2AES
Trong mật mã học, AES (viết tắt của từ tiếng Anh: Advanced
EncryptionStandard,hayTiêuchuẩnmãhóatiêntiến)làmộtthuật
tốnmãhóakhốiđượcchínhphủHoakỳápdụnglàmtiêuchuẩnmã
hóa.GiốngnhưtiêuchuẩntiềnnhiệmDES,AESđượckỳvọngápdụng
trênphạmvithếgiớivàđãđượcnghiêncứurấtkỹlưỡng.AESđược
chấpthuậnlàmtiêuchuẩnliênbangbởiViệntiêuchuẩnvàcơngnghệ
quốcgiaHoakỳ(NIST)saumộtqtrìnhtiêuchuẩnhóakéodài5năm.
ThuậttốnđượcthiếtkếbởihainhàmậtmãhọcngườiBỉ:Joan
DaemenvàVincentRijmen.Thuậttốnđượcđặttênlà"Rijndael"khi
thamgiacuộcthithiếtkếAES.
Mặcdù2tênAESvàRijndaelvẫnthườngđượcgọithaythếcho
nhaunhưngtrênthựctếthì2thuậttốnkhơnghồntồngiốngnhau.
AESchỉlàmviệcvớicáckhốidữliệu(đầuvàovàđầura)128bítvà
khóacóđộdài128,192hoặc256bíttrongkhiRijndaelcóthểlàmviệc
với dữ liệu và khóa có độ dài bất kỳ là bội số của 32 bít nằm trong
khoảngtừ128tới256bít.Cáckhóaconsửdụngtrongcácchutrình
đượctạorabởiqtrìnhtạokhóaconRijndael.Mỗikhóaconcũnglà
mộtcộtgồm4byte.HầuhếtcácphéptốntrongthuậttốnAESđều
thựchiệntrongmộttrườnghữuhạncủacácbyte.Mỗikhốidữliệu128
bitđầuvàođượcchiathành16byte(mỗibyte8bit),cóthểxếpthành
4cột,mỗicột4phầntửhaylàmộtmatrận4x4củacácbyte,nóđược
gọi là ma trận trạng thái, hay vắn tắt là trạng thái (tiếng Anh: state,
trangtháitrongRijndaelcóthểcóthêmcột).Trongqtrìnhthựchiện
thuậttốncáctốntửtácđộngđểbiếnđổimatrậntrạngtháinày.
Qtrìnhmãhóa
Baogồmcácbước:
1. Khởiđộngvịnglặp
Ø AddRoundKey—Mỗicộtcủatrạngtháiđầutiênlầnlượtđược
kếthợpvớimộtkhóacontheothứtựtừđầudãykhóa.
2. Vịnglặp
25
