Đồ ántìm hiểu và so sánh các kỹ thuật mã hóa trong kết nối VPN
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (10.49 MB, 74 trang )
BỘGIÁODỤCVÀĐÀOTẠO
TRƯỜNGĐẠIHỌCCÔNGNGHỆTPHCM
*****
ĐỒÁNCHUYÊNNGÀNH
ĐỀTÀI
Tìmhiểuvàsosánhcáckỹthuậtmãhóa
trongkếtnốiVPN
Ngành:CÔNGNGHỆTHÔNGTIN
Chuyênngành:MẠNGMÁYTÍNH
Giảngviênhướngdẫn:
Sinhviênthựchiện:
Họvàtên
THẦYNGUYỄNQUANGANH
MSSV
Lớp
NguyễnĐăngQuang
1311061016
13DTHM02
LýTiếnTân
1311061094
13DTHM02
TP.HCM-Tháng11,năm2016
1
MỤCLỤC
CHƯƠNGI:TỔNGQUANVỀVPN........................................................................5
1.1TìmhiểuvềMạngriêngảo(VPN)............................................................5
1.1.1Địnhnghĩa...................................................................................................5
1.1.2ChứcnăngcủaVPN.................................................................................6
1.1.3LợiíchcủaVPN.........................................................................................7
1.1.4.CácyêucầucơbảnđốivớimộtgiảiphápVPN..........................8
1.1.5Đườnghầmvàmãhóa...........................................................................9
1.2MôhìnhVPNthôngdụng...........................................................................10
1.2.1CácVPNtruycập(RemoteAccessVPNs)....................................10
1.2.2CácVPNnộibộ(IntranetVPNs):.....................................................12
1.2.3CácVPNmởrộng(ExtranetVPNs):...............................................14
CHƯƠNGII.BẢOMẬTTHÔNGTIN...................................................................17
2.1Tìmhiểuvềbảomật.....................................................................................17
2.2Cáchìnhthứctấncông................................................................................18
2.3Cáchìnhthứctấncôngtrongmạngriêngảo(VPN).......................20
2.3Mộtsốgiảiphápbảomật...........................................................................22
2.3.1Vềhệthốngthiếtkế..............................................................................22
2.3.2Vềhệthốngpháthiệntấncông........................................................22
2.4CôngnghệbảomậttrongVPN.................................................................23
CHƯƠNGIII:CÁCTHUẬTTOÁNMÃHÓATRONGVPN..........................24
3.1Cácthuậttoán&côngnghệmãhóa......................................................24
3.1.1RSA...............................................................................................................24
3.1.2AES...............................................................................................................25
3.1.3SHA...............................................................................................................26
3.1.4HạtầngPKI...............................................................................................27
3.1.5Tườnglửa..................................................................................................28
3.1.6Giấychứngnhậnđiệntử(digitalcertificate):............................28
2
CHƯƠNGIV:CÁCGIAOTHỨCMÃHÓATRONGVPN..............................30
4.1.PPTP....................................................................................................................30
4.1.1GiớithiệuvềPPTP.................................................................................30
4.1.2NguyêntắchoạtđộngcủaPPTP......................................................30
4.1.3NguyêntắckếtnốicủaPPTP............................................................32
4.1.4NguyênlýđónggóidữliệuđườnghầmPPTP...........................32
4.1.5Nguyêntắcthựchiện............................................................................34
4.1.6TriểnkhaiVPNdựtrênPPTP...........................................................34
4.1.7ƯuđiểmcủaPPTP.................................................................................36
4.2.L2TP...................................................................................................................37
4.2.1.GiớithiệuvềL2TP................................................................................37
4.2.2DữliệuđườnghầmL2TP...................................................................38
4.2.3ChếđộđườnghầmL2TP....................................................................40
4.2.4NhữngthuậnlợivàbấtlợicủaL2TP.............................................44
4.3IPSec....................................................................................................................44
4.3.1GiớithiệuvềIPSec.................................................................................44
4.3.2Liênkếtantoàn......................................................................................50
4.3.3.QuátrìnhhoạtđộngcủaIPSec........................................................52
4.3.4.NhữnghạnchếcủaIPSec...................................................................54
4.4SSTP.....................................................................................................................55
4.4.1.GiớithiệuvềSSTP.................................................................................55
4.4.2LýdosửdụngSSTPtrongVPN........................................................56
4.4.3CáchhoạtđộngcủaSSTP....................................................................57
4.5IKEv2...................................................................................................................57
4.6SSL/TLS.............................................................................................................58
4.6.1GiaothứcSSL...........................................................................................58
4.6.2GiaothứcTLS...........................................................................................59
4.7.SosánhcácgiaothứcmãhóatrongVPN...........................................59
CHƯƠNGV:TÌMHIỂUGIAOTHỨCOPENVPN...........................................60
5.1LịchsửcủaOpenVPN...................................................................................60
5.2OpenVPNlàgì?...............................................................................................61
3
5.3ƯuđiểmcủaOpenVPN................................................................................62
5.4CácmôhìnhbảomậtOpenVPN...............................................................64
5.5CáckênhdữliệuOpenVPN........................................................................64
5.6PingvàgiaothứcOCC..................................................................................65
5.7Kênhđiềukhiển.............................................................................................65
CHƯƠNGVI:TRIỂNKHAIDỊCHVỤOPENVPN...........................................67
6.1.TrênWindows...............................................................................................67
6.2.TrênLinux.......................................................................................................71
TÀILIỆUTHAMKHẢO............................................................................................74
4
CHƯƠNGI:TỔNGQUANVỀVPN
1.1TìmhiểuvềMạngriêngảo(VPN)
1.1.1Địnhnghĩa
Mạng riêng ảo hay còn được biết đến với từ viết tắt VPN, đây
khôngphảilàmộtkháiniệmmớitrongcôngnghệmạng.VPNcóthể
đượcđịnhnghĩanhưlàmộtdịchvụmạngảođượctriểnkhaitrên
cơsởhạtầngcủahệthốngmạngcôngcộngvớimụcđíchtiếtkiệm
chi phí cho các kết nối điểm-điểm. Một cuộc điện thoại giữa hai cá
nhânlàvídụđơngiảnnhấtmôtảmộtkếtnốiriêngảotrênmạngđiện
thoạicôngcộng.HaiđặcđiểmquantrọngcủacôngnghệVPNlà“riêng”
và “ảo”tương ứng với hai thuật ngữ tiếng anh (Virtual and Private).
VPNcóthểxuấthiệntạibấtcứlớpnàotrongmôhìnhOSI,VPNlàsự
cảitiếncơsởhạtầngmạngWAN,làmthayđổivàlàmtăngthêmtích
chấtcủamạngcụcbộchomạngWAN.
Hình1.1.1.1:SơđồkếtnốitừcơsởUvớicơsởAcủatrườnHUTECHthôngqua
côngnghệVPN
5
Vềcănbản,mỗiVPN(virtualprivatenetwork)làmộtmạngriêng
rẽsửdụngmộtmạngchung(thườnglàInternet)đểkếtnốicùngvới
cácsite(cácmạngriênglẻ)haynhiềungườisửdụngtừxa.Thaycho
việc sử dụng bởi một kết nối thực, chuyên dụng như đường Leased
Line,mỗiVPNsửdụngcáckếtnốiảođượcdẫnquađườngInternettừ
mạngriêngcủacôngtytớicácsitecủacácnhânviêntừxa.
Hình1.1.1.2MôhìnhmạngVPN
Những thiết bị ở đầu mạng hỗ trợ cho mạng riêng ảo là switch,
routervàfirewall.Nhữngthiếtbịnàycóthểđượcquảntrịbởicôngty
hoặccácnhàcungcấpdịchvụnhưISP.
VPNđượcgọilàmạngảovìđâylàmộtcáchthiếtlậpmộtmạng
riêngquamộtmạngcôngcộngsửdụngcáckếtnốitạmthời.Nhữngkết
nốibảomậtđượcthiếtlậpgiữa2host,giữahostvàmạnghoặcgiữa
haimạngvớinhau
MộtVPNcóthểđượcxâydựngbằngcáchsửdụng“Đườnghầm”
và“Mãhoá”.VPNcóthểxuấthiệnởbấtcứlớpnàotrongmôhìnhOSI.
VPNlàsựcảitiếncơsởhạtầngmạngWANmàlàmthayđổihaylàm
tăngthêmtínhchấtcủacácmạngcụcbộ.
1.1.2ChứcnăngcủaVPN
VPNcungcấpbachứcnăngchính:
Ø Sựtincậy(Confidentiality):Ngườigửicóthểmãhoácácgói
dữliệutrướckhitruyềnchúngngangquamạng.Bằngcáchlàmnhư
vậy,khôngmộtaicóthểtruycậpthôngtinmàkhôngđượcchophép.
Vànếucólấyđượcthìcũngkhôngđọcđược.
6
Ø Tínhtoànvẹndữliệu(DataIntegrity):ngườinhậncóthểkiểm
tra rằng dữliệu đã được truyền qua mạng Internet mà không có sự
thayđổinào.
Ø Xác thực nguồn gốc (Origin Authentication): Người nhận có
thểxácthựcnguồngốccủagóidữliệu,đảmbảovàcôngnhậnnguồn
thôngtin.
1.1.3LợiíchcủaVPN
ü VPNlàmgiảmchiphíthườngxuyên
VPNchophéptiếtkiệmchiphíthuêđườngtruyềnvàgiảmchi
phíphátsinhchonhânviênởxanhờvàoviệchọtruycậpvàohệthống
mạngnộibộthôngquacácđiểmcungcấpdịchvụởđịaphươngPOP
(PointofPresence),hạnchếthuêđườngtruycậpcủanhàcungcấpdẫn
đếngiáthànhchoviệckếtnốiLan-to-Langiảmđiđángkểsovớiviệc
thuêđườngLeased-Line.
ü Giảmchiphíquảnlývàhỗtrợ
Với việc sử dụng dịch vụ của nhà cung cấp, chúng ta chỉ phải
quảnlýcáckếtnốiđầucuốitạicácchinhánhmạngkhôngphảiquảnlý
cácthiếtbịchuyểnmạchtrênmạng.Đồngthờitậndụngcơsởhạtầng
củamạngInternetvàđộingũkỹthuậtcủanhàcungcấpdịchvụtừđó
côngtycóthểtậptrungvàocácđốitượngkinhdoanh.
ü VPNđảmbảoantoànthôngtin,tínhtoànvẹnvàxácthực
Dữliệutruyềntrênmạngđượcmãhoábằngcácthuậttoán,đồng
thờiđượctruyềntrongcácđườnghầm(Tunnle)nênthôngtincóđộ
antoàncao.
ü VPNdễdàngkếtnốicácchinhánhthànhmộtmạngcụcbộ
Vớixuthếtoàncầuhoá,mộtcôngtycóthểcónhiềuchinhành
tạinhiềuquốcgiakhácnhau.Việctậptrungquảnlýthôngtintạitấtcả
cácchinhánhlàcầnthiết.VPNcóthểdễdàngkếtnốihệthốngmạng
giữacácchinhànhvàvănphòngtrungtâmthànhmộtmạngLANvới
chiphíthấp.
7
Hình1.1.3.1:VPNgiúpkếtnốicácchinhánhthành1mạngriêngbiệt
1.1.4.CácyêucầucơbảnđốivớimộtgiảiphápVPN
Có4yêucầucầnđạtđượckhixâydựngmạngriêngảo.
• Tínhtươngthích(compatibility)
Mỗicôngty,mỗidoanhnghiệpđềuđượcxâydựngcáchệthống
mạngnộibộvàdiệnrộngcủamìnhdựatrêncácthủtụckhácnhauvà
khôngtuântheomộtchuẩnnhấtđịnhcủanhàcungcấpdịchvụ.Rất
nhiềucáchệthốngmạngkhôngsửdụngcácchuẩnTCP/IPvìvậykhông
thểkếtnốitrựctiếpvớiInternet.ĐểcóthểsửdụngđượcIPVPNtấtcả
cáchệthốngmạngriêngđềuphảiđượcchuyểnsangmộthệthốngđịa
chỉtheochuẩnsửdụngtronginternetcũngnhưbổsungcáctínhnăng
vềtạokênhkếtnốiảo,càiđặtcổngkếtnốiinternetcóchứcnăngtrong
việcchuyểnđổicácthủtụckhácnhausangchuẩnIP.77%sốlượng
kháchhàngđượchỏiyêucầukhichọnmộtnhàcungcấpdịchvụIP
VPNphảitươngthíchvớicácthiếtbịhiệncócủahọ.
• Tínhbảomật(security)
Tínhbảomậtchokháchhànglàmộtyếutốquantrọngnhấtđốivới
mộtgiảiphápVPN.Ngườisửdụngcầnđượcđảmbảocácdữliệuthông
quamạngVPNđạtđượcmứcđộantoàngiốngnhưtrongmộthệthống
mạngdùngriêngdohọtựxâydựngvàquảnlý.
Việccungcấptínhnăngbảođảmantoàncầnđảmbảohaimụctiêu
sau:
-Cungcấptínhnăngantoànthíchhợpbaogồm:cungcấpmậtkhẩu
chongườisửdụngtrongmạngvàmãhoádữliệukhitruyền.
8
-Đơngiảntrongviệcduytrìquảnlý,sửdụng.Đòihỏithuậntiện
vàđơngiảnchongườisửdụngcũngnhưnhàquảntrịmạngtrongviệc
càiđặtcũngnhưquảntrịhệthống.
• Tínhkhảdụng(Availability):
MộtgiảiphápVPNcầnthiếtphảicungcấpđượctínhbảođảmvề
chấtlượng,hiệusuấtsửdụngdịchvụcũngnhưdunglượngtruyền.
• Tiêuchuẩnvềchấtlượngdịchvụ(QoS):
Tiêuchuẩnđánhgiácủamộtmạnglướicókhảnăngđảmbảochất
lượngdịchvụcungcấpđầucuốiđếnđầucuối.QoSliênquanđếnkhả
năngđảmbảođộtrễdịchvụtrongmộtphạmvinhấtđịnhhoặcliên
quanđếncảhaivấnđềtrên
1.1.5Đườnghầmvàmãhóa
ChứcnăngchínhcủaVPNđólàcungcấpsựbảomậtbằngcáchmã
hoáquamộtđườnghầm.
Hình1.1.5.1ĐườnghầmVPN
v Đườnghầm(Tunnel)cungcấpcáckếtnốilogic,điểmtớiđiểm
quamạngIPkhônghướngkếtnối.Điềunàygiúpchoviệcsửdụngcác
ưuđiểmcáctínhnăngbảomật.CácgiảiphápđườnghầmchoVPNlà
sửdụngsựmãhoáđểbảovệdữliệukhôngbịxemtrộmbởibấtcứ
nhữngaikhôngđượcphépvàđểthựchiệnđónggóiđagiaothứcnếu
cầnthiết.Mãhoáđượcsửdụngđểtạokếtnốiđườnghầmđểdữliệu
chỉcóthểđượcđọcbởingườinhậnvàngườigửi.
9
v Mãhoá(Encryption)chắcchắnrằngbảntinkhôngbịđọcbởi
bấtkỳainhưngcóthểđọcđượcbởingườinhận.Khimàcàngcónhiều
thông tin lưu thông trên mạng thì sự cần thiết đối với việc mã hoá
thôngtincàngtrởnênquantrọng.Mãhoásẽbiếnđổinộidungthông
tinthànhtrongmộtvănbảnmậtmãmàlàvônghĩatrongdạngmậtmã
củanó.Chứcnănggiảimãđểkhôiphụcvănbảnmậtmãthànhnộidung
thôngtincóthểdùngđượcchongườinhận.
1.2MôhìnhVPNthôngdụng
VPNsnhằmhướngvào3yêucầucơbảnsauđây:
• Cóthểtruycậpbấtcứlúcnàobằngđiềukhiểntừxa,bằngđiện
thoạicầmtay,vàviệcliênlạcgiữacácnhânviêncủamộttổchứctới
cáctàinguyênmạng.
• Nốikếtthôngtinliênlạcgiữacácchinhánhvănphòngtừxa.
• Ðược điều khiển truy nhập tài nguyên mạng khi cần thiết của
kháchhàng,nhàcungcấpvànhữngđốitượngquantrọngcủacôngty
nhằmhợptáckinhdoanh.
Dựatrênnhữngnhucầucơbảntrên,ngàynayVPNsđãpháttriển
vàphânchiaralàm3phânloạichínhsau:
Ø
RemoteAccessVPNs.
Ø
IntranetVPNs.
Ø
ExtranetVPNs.
1.2.1CácVPNtruycập(RemoteAccessVPNs)
Giốngnhưgợiýcủatêngọi,RemoteAccessVPNschophéptruycậpbất
cứlúcnàobằngRemote,mobile,vàcácthiếtbịtruyềnthôngcủanhânviên
cácchinhánhkếtnốiđếntàinguyênmạngcủatổchức.Ðặcbiệtlànhững
ngườidùngthườngxuyêndichuyểnhoặccácchinhánhvănphòngnhỏmà
khôngcókếtnốithườngxuyênđếnmạngIntranethợptác.
CáctruycậpVPNthườngyêucầumộtvàikiểuphầnmềmclientchạy
trênmáytínhcủangườisửdụng.KiểuVPNnàythườngđượcgọilàVPNtruy
cậptừxa.
10
Hình1.2.1.1MôhìnhmạngVPNtruycập
Mộtsốthànhphầnchính:
RemoteAccessServer(RAS):đượcđặttạitrungtâmcónhiệmvụxác
nhậnvàchứngnhậncácyêucầugửitới.
Quaysốkếtnốiđếntrungtâm,điềunàysẽlàmgiảmchiphíchomộtsố
yêucầuởkháxasovớitrungtâm.
Hỗtrợchonhữngngườicónhiệmvụcấuhình,bảotrìvàquảnlýRAS
vàhỗtrợtruycậptừxabởingườidùng.
BằngviệctriểnkhaiRemoteAccessVPNs,nhữngngườidùngtừxahoặc
cácchinhánhvănphòngchỉcầncàiđặtmộtkếtnốicụcbộđếnnhàcungcấp
dịchvụISPhoặcISP’sPOPvàkếtnốiđếntàinguyênthôngquaInternet.
Internet
Trung
tâm dữ
liệu
Tường lửa
Người
Đường hầm dùng từ
xa
Server
Đường hầm
Sử dụng
di động
Server
Văn phòng từ xa
11
Hình1.2.1.2:CàiđặtRemoteAccessVPN
ThuậnlợichínhcủaRemoteAccessVPNs:
ü SựcầnthiếtcủaRASvàviệckếthợpvớimodemđượcloạitrừ.
ü Sựcầnthiếthỗtrợchongườidungcánhânđượcloạitrừbởivìkết
nốitừxađãđượctạođiềukiệnthuậnlợibờiISP
ü Việc quay số từ những khoảng cách xa được loại trừ , thay vào đó,
nhữngkếtnốivớikhoảngcáchxasẽđượcthaythếbởicáckếtnốicụcbộ.
ü Giảmgiáthànhchiphíchocáckếtnốivớikhoảngcáchxa.
ü Dođâylàmộtkếtnốimangtínhcụcbộ,dovậytốcđộnốikếtsẽcao
hơnsovớikếtnốitrựctiếpđếnnhữngkhoảngcáchxa.
ü VPNscungcấpkhảnăngtruycậpđếntrungtâmtốthơnbởivìnóhỗ
trợdịchvụtruycậpởmứcđộtốithiểunhấtchodùcósựtăngnhanhchóng
cáckếtnốiđồngthờiđếnmạng.
Ngoàinhữngthuậnlợitrên,VPNscũngtồntạimộtsốbấtlợikhác
như:
ü RemoteAccessVPNscũngkhôngbảođảmđượcchấtlượngphụcvụ.
ü Khảnăngmấtdữliệulàrấtcao,thêmnữalàcácphânđoạncủagói
dữliệucóthểđirangoàivàbịthấtthoát.
ü Dođộphứctạpcủathuậttoánmãhoá,protocoloverheadtăngđáng
kể,điềunàygâykhókhănchoquátrìnhxácnhận.Thêmvàođó,việcnéndữ
liệuIPvàPPP-baseddiễnravôcùngchậmchạpvàtồitệ.
ü DophảitruyềndữliệuthôngquaInternet,nênkhitraođổicácdữliệu
lớnnhưcácgóidữliệutruyềnthông,phimảnh,âmthanhsẽrấtchậm.
1.2.2CácVPNnộibộ(IntranetVPNs):
IntranetVPNsđượcsửdụngđểkếtnốiđếncácchinhánhvănphòng
của tổ chức đến Corporate Intranet (backbone router) sử dụng campus
router.Theomôhìnhnàysẽrấttốnchiphídophảisửdụng2routerđểthiết
lậpđượcmạng,thêmvàođó,việctriểnkhai,bảotrìvàquảnlýmạngIntranet
Backbonesẽrấttốnkémcòntùythuộcvàolượnglưuthôngtrênmạngđi
trênnóvàphạmviđịalýcủatoànbộmạngIntranet.
Ðểgiảiquyếtvấnđềtrên,sựtốnkémcủaWANbackboneđượcthaythế
bởicáckếtnốiInternetvớichiphíthấp,điềunàycóthểgiảmmộtlượngchi
phíđángkểcủaviệctriểnkhaimạngIntranet.
12
IntranetVPNslàmộtVPNnộibộđươcsửdụngđểbảomậtcáckếtnối
giữacácđịađiểmkhácnhaucủamộtcôngty.Điềunàychophéptấtcảcác
địađiểmcóthểtruycậpcácnguồndữliệuđượcphéptrongtoànbộmạng
củacôngty.CácVPNnộibộliênkếttrụsởchính,cácvănphòng,vàcácvăn
phòngchinhánhtrênmộtcơsởhạtầngchungsửdụngcáckếtnốimàluôn
luônđượcmãhoá.KiểuVPNnàythườngđượccấuhìnhnhưlàmộtVPNSiteto-Site.
Hình1.2.2.1MôhìnhmạngVPNnộibộ
NhữngthuậnlợichínhcủaIntranetsetupdựatrênVPN:
ü Hiệuquảchiphíhơndogiảmsốlượngrouterđượcsửdụngtheomô
hìnhWANbackbone
ü Giảmthiểuđángkểsốlượnghỗtrợyêucầungườidùngcánhânqua
toàncầu,cáctrạmởmộtsốremotesitekhácnhau.
ü BởivìInternethoạtđộngnhưmộtkếtnốitrunggian,nódễdàngcung
cấpnhữngkếtnốimớinganghàng.
ü Kếtnốinhanhhơnvàtốthơndovềbảnchấtkếtnốiđếnnhàcungcấp
dịchvụ,loạibỏvấnđềvềkhoảngcáchxavàthêmnữagiúptổchứcgiảm
thiểuchiphíchoviệcthựchiệnIntranet.
Nhữngbấtlợichínhkếthợpvớicáchgiảiquyết:
ü Bởivìdữliệuvẫncòntunneltrongsuốtquátrìnhchiasẽtrênmạng
côngcộng-Internet-vànhữngnguycơtấncông,nhưtấncôngbằngtừchối
dịchvụ(denial-of-service),vẫncònlàmộtmốiđedoạantoànthôngtin.
ü Khảnăngmấtdữliệutronglúcdichuyễnthôngtincũngvẫnrấtcao.
ü Trongmộtsốtrườnghợp,nhấtlàkhidữliệulàloạihigh-end,nhưcác
tậptinmulltimedia,việctraođổidữliệusẽrấtchậmchạpdođượctruyền
thôngquaInternet.
13
ü Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục,
thườngxuyên,vàQoScũngkhôngđượcđảmbảo.
1.2.3CácVPNmởrộng(ExtranetVPNs):
Không giống như Intranet và Remote Access-based, Extranet
khônghoàntoàncáchlitừbênngoài(outer-world),Extranetchophép
truycậpnhữngtàinguyênmạngcầnthiếtcủacácđốitáckinhdoanh,
chẳnghạnnhưkháchhàng,nhàcungcấp,đốitácnhữngngườigiữvai
tròquantrọngtrongtổchức.
MạngExtranetrấttốnkémdocónhiềuđoạnmạngriêngbiệttrên
IntranetkếthợplạivớinhauđểtạoramộtExtranet.Ðiềunàylàmcho
khótriểnkhaivàquảnlýdocónhiềumạng,đồngthờicũngkhókhăn
cho cá nhân làm công việc bảo trì và quản trị. Thêm nữa là mạng
Extranet sẽ khó mở rộng do điều này sẽ làm rối tung toàn bộ mạng
Intranetvàcóthểảnhhưởngđếncáckếtnốibênngoàimạng.Sẽcó
nhữngvấnđềbạngặpphảibấtthìnhlìnhkhikếtnốimộtIntranetvào
mộtmạngExtranet.TriểnkhaivàthiếtkếmộtmạngExtranetcóthểlà
mộtcơnácmộngcủacácnhàthiếtkếvàquảntrịmạng.
Hạ tầng
Mạng chung
Mạng nhà
Mạng nhà
Mạng nhà
Cung cấp 1
Cung cấp 2
Cung cấp 3
Nhà cung cấp
Dịch vụ 1
Nhà cung cấp
Dịch vụ 2
Nhà cung cấp
Dịch vụ 3
14
Hình1.2.3.1:ThiếtlậpExtranettruyềnthống
CácVPNmởrộngcungcấpmộtđườnghầmbảomậtgiữacáckhách
hàng,cácnhàcungcấp,vàcácđốitácquamộtcơsởhạtầngcôngcộng
sửdụngcáckếtnốimàluônluônđượcbảomật.KiểuVPNnàythường
đượccấuhìnhnhưlàmộtVPNSite-to-Site.SựkhácnhaugiữamộtVPN
nộibộvàmộtVPNmởrộngđólàsựtruycậpmạngmàđượccôngnhận
ởmộttronghaiđầucuốicủaVPN.HìnhdướiđâyminhhoạmộtVPN
mởrộng.
Hình1.2.3.2MôhìnhmạngVPNmởrộng
MộtsốthuậnlợicủaExtranet:
ü
DohoạtđộngtrênmôitrườngInternet,chúngtacóthể
lựachọnnhàphânphốikhilựachọnvàđưaraphươngphápgiảiquyết
tuỳtheonhucầucủatổchức.
ü
Bởi vì một phần Internet-connectivity được bảo trì bởi
nhàcungcấp(ISP)nêncũnggiảmchiphíbảotrìkhithuênhânviên
bảotrì.
ü
Dễdàngtriểnkhai,quảnlývàchỉnhsửathôngtin.
MộtsốbấtlợicủaExtranet:
ü
Sựđedọavềtínhantoàn,nhưbịtấncôngbằngtừchối
dịchvụvẫncòntồntại.
15
ü
Extranet.
Tăngthêmnguyhiểmsựxâmnhậpđốivớitổchứctrên
ü
DodựatrênInternetnênkhidữliệulàcácloạihigh-end
datathìviệctraođổidiễnrachậmchạp.
ü
Do dựa trên Internet, QoS cũng không được bảo đảm
thườngxuyên.
Hạ tầng
Mạng chung
Internet
Nhà cung cấp
Dịch vu 1
Nhà cung cấp
Dịch vu 2
Nhà cung cấp
Dịch vu 3
Hình1.2.3.3:ThiếtlậpExtranetVPN
Chi
P
Int
P
Doanh
Trụ
Hình1.2.3.4Baloạimạngriêngảo
16
CHƯƠNGII.BẢOMẬTTHÔNGTIN
2.1Tìmhiểuvềbảomật
Trướcđâykhicôngnghệmáytínhchưapháttriển,khinóiđến
vấnđềbảomậtthôngtin(InformationSecurity),chúngtathườnghay
nghĩđếncácbiệnphápnhằmđảmbảochothôngtinđượctraođổihay
cấtgiữmộtcáchantoànvàbímật.Chẳnghạnlàcácbiệnphápnhư:
• Đóngdấuvàkýniêmphongmộtbứcthưđểbiếtrằngláthưcó
đượcchuyểnnguyênvẹnđếnngườinhậnhaykhông.
• Dùngmậtmãmãhóathôngđiệpđểchỉcóngườigửivàngười
nhậnhiểuđượcthôngđiệp.Phươngphápnàythườngđượcsử
dụngtrongchínhtrịvàquânsự.
• Lưugiữtàiliệumậttrongcáckétsắtcókhóa,tạicácnơiđược
bảovệnghiêmngặt,chỉcónhữngngườiđượccấpquyềnmớicó
thểxemtàiliệu.
Vớisựpháttriểnmạnhmẽcủacôngnghệthôngtin,đặtbiệtlàsựphát
triển của mạng Internet, ngày càng có nhiều thông tin được lưu giữ
trênmáyvitínhvàgửiđitrênmạngInternet.Vàdođóxuấthiệnnhu
cầuvềantoànvàbảomậtthôngtintrênmáytính.Cóthểphânloạimô
hìnhantoànbảomậtthôngtintrênmáytínhtheohaihướngchính
nhưsau:
Ø Bảo vệ thông tin trong quá trình truyền thông tin trên mạng
(NetworkSecurity)
Ø Bảovệhệthốngmáytính,vàmạngmáytính,khỏisựxâmnhập
pháhoạitừbênngoài(SystemSecurity)
17
2.2Cáchìnhthứctấncông
Đểxemxétnhữngvấnđềbảomậtliênquanđếntruyềnthông
trênmạng,chúngtahãylấymộtbốicảnhsau:cóbanhânvậttênlà
Alice,BobvàTrudy,trongđóAlicevàBobthựchiệntraođổithôngtin
vớinhau,cònTrudylàkẻxấu,đặtthiếtbịcanthiệpvàokênhtruyền
tingiữaAlicevàBob.SauđâylàcácloạihànhđộngtấncôngcủaTrudy
màảnhhưởngđếnquátrìnhtruyềntingiữaAlicevàBob:
1.
Xem trộm thông tin (Release of Message Content)
TrongtrườnghợpnàyTrudychặncácthôngđiệpAlicegửicho
Bob,vàxemđượcnộidungcủathôngđiệp.
Hình2.2.1Xemtrộmthôngđiệp
2.
Thay đổi thông điệp (Modification of Message)
TrudychặncácthôngđiệpAlicegửichoBobvàngănkhôngcho
cácthôngđiệpnàyđếnđích.SauđóTrudythayđổinộidungcủa
thôngđiệpvàgửitiếpchoBob.Bobnghĩrằngnhậnđượcthông
điệpnguyênbảnbanđầucủaAlicemàkhôngbiếtrằngchúngđã
bịsửađổi.
18
Hình2.1.2Sửasaithôngđiệp
3.
Mạo danh (Masquerade) Trong trường hợp này
TrudygiảlàAlicegửithôngđiệpchoBob.Bobkhôngbiếtđiều
nàyvànghĩrằngthôngđiệplàcủaAlice.
Hình2.1.3Mạodanhđểgửiđithôngđiệp
4.
Phát lại thông điệp (Replay) Trudy sao chép lại
thôngđiệpAlicegửichoBob.SauđómộtthờigianTrudygửibản
saochépnàychoBob.Bobtinrằngthôngđiệpthứhaivẫnlàtừ
Alice,nộidunghaithôngđiệplàgiốngnhau.Thoạtđầucóthể
nghĩ rằng việc phát lại này là vô hại, tuy nhiên trong nhiều
trườnghợpcũnggâyratáchạikhôngkémsovớiviệcgiảmạo
thôngđiệp.Xéttìnhhuốngsau:giảsửBoblàngânhàngcònAlice
làmộtkháchhàng.AlicegửithôngđiệpđềnghịBobchuyểncho
Trudy1000$.Alicecóápdụngcácbiệnphápnhưchữkýđiệntử
vớimụcđíchkhôngchoTrudymạodanhcũngnhưsửathông
điệp.TuynhiênnếuTrudysaochépvàphátlạithôngđiệpthìcác
19
biệnphápbảovệnàykhôngcóýnghĩa.BobtinrằngAlicegửi
tiếpmộtthôngđiệpmớiđểchuyểnthêmchoTrudy1000$nữa.
Hình2.1.4Phátđithôngđiệpgiả
2.3Cáchìnhthứctấncôngtrongmạngriêngảo(VPN)
• TấncôngcácgiaothứcVPNchínhnhưPPTP,IPSec…
• Tấncôngmậtmã
• Tấncôngtừchốidịchvụ
v TấncôngtrênPPTP
PPTPlàdễbịtổnthươngtrênhaikhíacạnh.Chúngbaogồm:
ü GenericRoutingEncapsulation(GRE)
ü Mậtkhẩutraođổitrongquátrìnhxácthực
v TấncôngtrênIPSec
NhưchúngtabiếtIPSeckhôngphảilàthuậttoánmãhóathuần
túycũngkhôngphảimộtcơchếxácthực.Trongthựctế,IPSeclàmột
sựkếthợpcủacảhaivàgiúpcácthuậttoánkhácbảovệdữliệu.Tuy
nhiên,IPSeclàdễbịcáccuộctấncông:
ü CáccuộctấncôngchốnglạithựchiệnIPSec
ü Tấncôngchốnglạiquảnlýkhóa
ü Cáccuộctấncôngquảntrịvàkýtựđạidiện
20
v Tấncôngmậtmã
MậtmãnhưlàmộttrongcácthànhphầnbảomậtcủamộtVPN.
Tùythuộcvàocáckỹthuậtmậtmãvàcácthuậttoánkhácnhau,các
cuộctấncônggiảimãđượcbiếtlàtồntại.Nhữngphầnsautìmhiểuvề
mộtsốcáchthứctấncônggiảimãnổitiếng:
ü
ü
ü
ü
ü
ü
Chỉcóbảnmã(ciphertext-Only)
Tấncôngbiếtbảnrõ(knowplaintextattacks)
Tấncônglựachọnbảnrõ
Man-in-the-Middle(tấncôngtrunggian)
TấncôngBruteForce(duyệttoànbộ)
Tấncôngthờigian(Timingattacks)
v Tấncôngtừchốidịchvụ
CáccuộctấncôngDDoSđangtrởnênkháphổbiếnngàynàyvì
nókhôngyêucầubấtkỳphầnmềmđặcbiệthoặctruycậpvàomạng
mụctiêu.Chúngđượcdựatrênkháiniệmcủasựtắcnghẽnmạng.Bất
kỳkẻxâmnhậpcóthểgâyratắcnghẽnmạngbằngcáchgửicáctảicác
dữliệurácvàomạng.Điềunàylàmchocácmáytínhmụctiêukhông
thểđượctruycậptrongmộtkhoảngthờigianbởiđườngtruyềnbịquá
tảihoặcmáytínhmụctiêukhôngthểphụcvụdoquátải.Tìnhtrạng
quátảithôngtinthậmchícóthểdẫnđếnviệcsụpđổcủamáytínhmục
tiêu
Mộtsốphươngphápthườngđượcsửdụngđểbắtđầucuộctấncông
DoSnhưsau:
ü
ü
ü
ü
SYNFloods(lụtgóiSYN)
BroadcastStorm(bãogóitinquảngbá)
SmurfDoS
PingofDeath
21
2.3Mộtsốgiảiphápbảomật
Giảiphápbảomậtthườngđượcchialàmhaiphần:hệthống
thiếtkế(bênngoài)vàhệthốngpháthiệntấncông(bêntrong).
2.3.1Vềhệthốngthiếtkế
Thiếtkế,quyhoạchmộthệthốngmạnglớnkhôngđơnthuầnlà
pháttriểnthêmcácthiếtbịhỗtrợngườidùngmàphảidựatrênmô
hìnhchuẩnđãvàđangápdụngchocáchệthốngmạngtiêntiếntạicác
cơquan,doanhnghiệppháttriểntrênthếgiới,đóchínhlàmôhình
mạngĐịnhhướngKiếntrúcDịchvụ(Service-OrientedArchitecture–
SOA).
2.3.2Vềhệthốngpháthiệntấncông
Ø Hệthốngtườnglửa
Hệthốngtườnglửalàhệthốngkiểmsoáttruynhậpgiữamạng
Internetvàmạngnộibộ.Tườnglửacó2loại:phầncứngvàphầnmềm.
Mỗiloạicócácưuđiểmkhácnhau.Phầncứngcóhiệunăngổnđịnh,
khôngphụthuộcvàohệđiềuhành,virus,mãđộc,ngănchặntốtgiao
thức ở tầng mạng trong mô hình tham chiếu TCP/IP. Phần mềm rất
linhhoạttrongnhữngcấuhìnhởgiaothứctầngứngdụngtrongmô
hìnhTCP/IP.
Ø HệthốngpháthiệnvàchốngxâmnhậpIDS/IPS
Hiệnnaycáchìnhthứctấncôngcủangườicóýđồxấungàycàng
nhiều và tinh vi. Ví dụ: Trong đơn vị có thể tự cài đặt các công cụ
(Ethereal,Cain&abel…)trênmáytínhlàmviệchoặcmáytínhxáchtay
đểtiếnhànhnghelénhayquéttrựctiếplêncácmáychủ,từđócóthể
lấycáctàikhoảnemail,Web,FTP,SQLservernhằmthayđổiđiểmthi,
tiềnhọcphíđãnộp,thayđổilịchcôngtác…cáchìnhthứctấncôngkiểu
này,hệthốngtườnglửakhôngthểpháthiện.
Giải pháp hữu hiệu cho thực trạng này là xây dựng hệ thống
IDS/IPS (Intrusion Detection System/Intrusion prevention system).
IDS/IPSlàhệthốngbảomậtvôcùngquantrọng,nócókhảnăngphát
22
hiệnracáccuộctấncôngdựavàocácdấuhiệuthiếtlậpsẵnhoặccác
đoạnmãđộchại,bấtthườngtrêngiaothôngmạng;đồngthờicóthể
loạibỏchúngtrướckhicóthểgâyhạichohệthống.
2.4CôngnghệbảomậttrongVPN
NềntảngVPNcóthểbịtấncôngbằngrấtnhiềucách.Dướiđây
làmộtsốloạitấncôngphổbiếnvàovàhệthốngVPN
•
•
•
•
CácmốiđedọaanninhchocácthànhphầnVPN
CáccuộctấncôngcácgiaothứcVPN
Cáccuộctấncôngmậtmã
Cáccuộctấncôngtừchốidịchvụ/IPS
Ngàynay,côngnghệphầnmềmngàycàngpháttriểnmạnhmẽ.
Đặcbiệtlàcôngnghệmãnguồnmở.Nếutậndụngđượcnhữngxuthế
này, tức là phần mềm mã nguồn mở vào ứng dụng VPN thì sẽ giảm
đượckhánhiềuchiphíchoviệctriểnkhai.Điềunàysẽđemlạilợithế
rấtlớnsovớicácsảnphẩmthươngmại.
Ø
Giảiphápkernelspace
Cácgiảiphápkhônggiannhânlànhữnggiảiphápsửađổinhân
quacácbảnválỗi.Chúngphứctạphơnvàítlinhhoạthơnsovớicác
giảiphápkhônggiannguờidùng.Hầuhếtcácgiảipháptriểnkhaitrên
giaothứcbảomậtIPsec.Hoặclàcónguồngốcđượchỗtrợbởinhân
hoặcthôngquacácbảnvánhân.Mộtsốdựán:Mộtsốdựánkernel
space:FreeS/WAN,Kame….
Ø
Giảiphápuserspace
Giảiphápuserspacehoạtđộngtrongkhônggianngườisửdụng
vàdođókhôngcóphụthuộchoàntoànvàomôđunnhânhoặccácbản
vá.Giảiphápnàydễcàiđặt,khálinhhoạtvàmềmdẻotrênmộtsốhệ
điềuhành.UserspaceVPNssửdụng“giaodiệnđườnghầmảo",tạonên
cácchứcnăngkếtnốimạngởmứcđộthấp,đểđạtđưượcđườnghầm
IP.VídụnhưTinc,CIPE,vTunvàOpenVPN.Giảiphápuserspacecóthể
đượcnhómlạidựatrêngiaothứcbảomậtđượcsửdụng.-Cácgiao
thứcsửdụngchứcnăngmãhóatiêuchuẩnđượccungcấpbởiOpenSSL
(OpenVPN, vTun, Tinc) - Các giao thức, phương thức mã hóa riêng
(CIPE,PPTP,L2tpd).
23
CHƯƠNGIII:CÁCTHUẬTTOÁNMÃHÓATRONG
VPN
3.1Cácthuậttoán&côngnghệmãhóa
3.1.1RSA
BắttayRSA(cũngcóthểlàkhóamãhóahoặcchứngchỉmãhóa).
ĐểđảmbảomộtcáchantoànchokếtnốiVPN,SSLthườngsửdụnghệ
thốngmãhóakhóacôngkhaiRSA.
ThuậttoánRSAcóhaikhóa:khóacôngkhai(haykhóacông
cộng)vàkhóabímật(haykhóacánhân).Mỗikhóalànhữngsốcốđịnh
sửdụngtrongquátrìnhmãhóavàgiảimã.Khóacôngkhaiđượccông
bốrộngrãichomọingườivàđượcdùngđểmãhóa.Nhữngthôngtin
đượcmãhóabằngkhóacôngkhaichỉcóthểđượcgiảimãbằngkhóa
bímậttươngứng.Nóicáchkhác,mọingườiđềucóthểmãhóanhưng
chỉcóngườibiếtkhóacánhân(bímật)mớicóthểgiảimãđược.
Tacóthểmôphỏngtrựcquanmộthệmậtmãkhoácôngkhai
nhưsau:BobmuốngửichoAlicemộtthôngtinmậtmàBobmuốnduy
nhấtAlicecóthểđọcđược.Đểlàmđượcđiềunày,AlicegửichoBob
mộtchiếchộpcókhóađãmởsẵnvàgiữlạichìakhóa.Bobnhậnchiếc
hộp,chovàođómộttờgiấyviếtthưbìnhthườngvàkhóalại(nhưloại
khoáthôngthườngchỉcầnsậpchốtlại,saukhisậpchốtkhóangaycả
Bobcũngkhôngthểmởlạiđược-khôngđọclạihaysửathôngtintrong
thưđượcnữa).SauđóBobgửichiếchộplạichoAlice.Alicemởhộp
vớichìakhóacủamìnhvàđọcthôngtintrongthư.Trongvídụnày,
chiếchộpvớikhóamởđóngvaitròkhóacôngkhai,chiếcchìakhóa
chínhlàkhóabímật.
RSAđóngvaitrònhưmộtloạimậtmãvàthuậttoánkýsốđược
sửdụngđểxácthựccácchứngchỉTLS/SSL,vàlàcơsởbảomậttrên
internettrongsuốt20nămqua.
Tuynhiênnóđãđượcchứngminhvàonăm2010,1024-bitRSA
(RSA-1024)mãhóakhóariêngcóthểbịbẻkhóa,dẫnđầulàGoogle
trongnăm2013đểnângcấptấtcảcácchứngchỉSSLđếnmứcantoàn
hơn,tăngchiềudàikhóalêntới2048-bitRSA,đâylàcáchsaochép
tronghầuhếtcáccôngnghệanninhmạng.
RSA-2048làloạimãhóađượcxemchuẩnantoàn,mặcdùcóthể
thựchiệnmãhóalêntới3072-bithoặc4096-bitmãhóađểchắcchắn
24
hơnnữa.Hiệnnay,mãhóaRSA-2048làtiêuchuẩntốithiểuchocác
nhàcungcấpVPNthươngmại.
3.1.2AES
Trong mật mã học, AES (viết tắt của từ tiếng Anh: Advanced
EncryptionStandard,hayTiêuchuẩnmãhóatiêntiến)làmộtthuật
toánmãhóakhốiđượcchínhphủHoakỳápdụnglàmtiêuchuẩnmã
hóa.GiốngnhưtiêuchuẩntiềnnhiệmDES,AESđượckỳvọngápdụng
trênphạmvithếgiớivàđãđượcnghiêncứurấtkỹlưỡng.AESđược
chấpthuậnlàmtiêuchuẩnliênbangbởiViệntiêuchuẩnvàcôngnghệ
quốcgiaHoakỳ(NIST)saumộtquátrìnhtiêuchuẩnhóakéodài5năm.
ThuậttoánđượcthiếtkếbởihainhàmậtmãhọcngườiBỉ:Joan
DaemenvàVincentRijmen.Thuậttoánđượcđặttênlà"Rijndael"khi
thamgiacuộcthithiếtkếAES.
Mặcdù2tênAESvàRijndaelvẫnthườngđượcgọithaythếcho
nhaunhưngtrênthựctếthì2thuậttoánkhônghoàntoàngiốngnhau.
AESchỉlàmviệcvớicáckhốidữliệu(đầuvàovàđầura)128bítvà
khóacóđộdài128,192hoặc256bíttrongkhiRijndaelcóthểlàmviệc
với dữ liệu và khóa có độ dài bất kỳ là bội số của 32 bít nằm trong
khoảngtừ128tới256bít.Cáckhóaconsửdụngtrongcácchutrình
đượctạorabởiquátrìnhtạokhóaconRijndael.Mỗikhóaconcũnglà
mộtcộtgồm4byte.HầuhếtcácphéptoántrongthuậttoánAESđều
thựchiệntrongmộttrườnghữuhạncủacácbyte.Mỗikhốidữliệu128
bitđầuvàođượcchiathành16byte(mỗibyte8bit),cóthểxếpthành
4cột,mỗicột4phầntửhaylàmộtmatrận4x4củacácbyte,nóđược
gọi là ma trận trạng thái, hay vắn tắt là trạng thái (tiếng Anh: state,
trangtháitrongRijndaelcóthểcóthêmcột).Trongquátrìnhthựchiện
thuậttoáncáctoántửtácđộngđểbiếnđổimatrậntrạngtháinày.
Quátrìnhmãhóa
Baogồmcácbước:
1. Khởiđộngvònglặp
Ø AddRoundKey—Mỗicộtcủatrạngtháiđầutiênlầnlượtđược
kếthợpvớimộtkhóacontheothứtựtừđầudãykhóa.
2. Vònglặp
25
