Tải bản đầy đủ (.doc) (48 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Công nghệ thông tin

Báo cáo thực tập cơ sở chuyên ngành

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.18 MB, 48 trang )

NHẬN XÉT CỦA GIẢNG VIÊN
Điểm

………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………

1




LỜI CẢM ƠN
Chúng em xin chân thành cảm ơn các thầy cô giáo bộ môn khoa Công nghệ thông
tin, những người đã dạy bảo và trang bị những kiến thức bổ ích.
Và dành sự biết ơn sâu sắc nhất đối với thầy Nguyễn Đào Trường, thầy đã tận tình
giúp đỡ, hướng dẫn, đưa ra những lời khuyên quý báu cho chúng em trong suốt quá trình
thực tập.
Hà Nội, ngày 02 tháng 11 năm 2019

2


MỤC LỤC

NHẬN XÉT CỦA GIẢNG VIÊN........................................................................................................................................................

LỜI CẢM ƠN................................................................................................................................................................................

DANH MỤC CÁC HÌNH ẢNH..........................................................................................................................................................

DANH MỤC TỪ VIẾT TẮT..............................................................................................................................................................

LỜI NÓI ĐẦU................................................................................................................................................................................

CHƯƠNG I: TỔNG QUAN VỀ VPN.................................................................................................................................................

1.1. MỞ ĐẦU:
1.1.1. Định nghĩa VPN:...................................................................................................................................................................


Hình 1.1: Một mô hình mạng VPN........................................................................................................................................................

1.1.2. Lợi ích của VPN:...................................................................................................................................................................
1.1.3. Các chức năng cơ bản của VPN:..........................................................................................................................................
1.2. VPN VÀ CÁC VẤN ĐỀ AN TOÀN BẢO MẬT TRÊN INTERNET:
1.2.1. An toàn và tin cậy:...............................................................................................................................................................
1.2.2. Các hình thức an toàn:.........................................................................................................................................................
1.3. ĐỊNH NGHĨA “ĐƯỜNG HẦM” VÀ “MÃ HOÁ”:
1.3.1. Đường hầm và cấu trúc gói tin:...........................................................................................................................................
1.3.2. Mã hoá và giải mã (Encryption/Decryption):......................................................................................................................
1.3.3. Một số thuật ngữ sử dụng trong VPN:................................................................................................................................
1.4. CÁC DẠNG KẾT NỐI MẠNG RIÊNG ẢO:
1.4.1. Truy cập VPN từ xa (Remote Access VPN):...........................................................................................................................

1.4.1.1. Một số thành phần chính của Remote Access VPN:.......................................................................................................................
Hình 1.2: Mô hình non-VPN Remote Access.........................................................................................................................................
Hình 1.3: Mô hình Remote Access VPN.................................................................................................................................................
1.4.1.2. Ưu và nhược điểm của Remote Access VPN:.................................................................................................................................

1.4.2. Site-to-Site VPN (LAN-to-LAN):.............................................................................................................................................

Hình 1.4: Mô hình Site–to–Site VPN......................................................................................................................................................
1.4.2.1. Intranet VPN:.................................................................................................................................................................................
Hình 1.5: Mô hình Intranet VPN............................................................................................................................................................
Hình 1.6: Mô hình Extranet VPN...........................................................................................................................................................

CHƯƠNG 2: BẢO MẬT TRONG VPN..............................................................................................................................................
2.1. NHỮNG VẤN ĐỀ BẢO MẬT TRONG MẠNG RIÊNG ẢO:

2.1.1. Tấn công các thành phần mạng riêng ảo:..........................................................................................................................................

2.1.2. Tấn công giao thức mạng riêng ảo:..................................................................................................................................................
2.1.3. Tấn công mật mã:..............................................................................................................................................................................
2.1.4. Tấn công từ chối dịch vụ(Dos):..........................................................................................................................................................

2.2. MỘT SỐ PHƯƠNG PHÁP BẢO MẬT TRONG MẠNG VPN:
2.2.1. Một số phương pháp yếu:...................................................................................................................................................

2.2.1.1. Xác thực truy cập (User Authentication):......................................................................................................................................
2.2.1.2. Quản lý phân cấp địa chỉ (Address Management):........................................................................................................................
2.2.1.3. Mã hóa dữ liệu (Data Encryption) :...............................................................................................................................................
2.2.1.4. Mật mã truy cập:..........................................................................................................................................................................
2.2.1.5. Máy chủ AAA (Authentication Authorization Accounting):...........................................................................................................

2.2.2. Những phương pháp mạnh hơn:........................................................................................................................................

2.2.2.1. Tường lửa (firewall):......................................................................................................................................................................
2.2.2.2. Bảo mật trong giao thức PPTP (Point to point Tunneling Protocol):...............................................................................................
2.2.2.3. Bảo mật trong giao thức L2TP (Layer 2 tunneling protocol):.........................................................................................................
Hình 2.1: Cấu trúc gói L2TP...................................................................................................................................................................
2.2.2.4. Bảo mật trong IPSec:......................................................................................................................................................................
Hình 2.2: IPSec client to IPSec Server....................................................................................................................................................
2.2.2.5. Bảo mật trong giao thức SSL (Secure Socket layer):.......................................................................................................................

2.3. GIẢI PHÁP BẢO MẬT MẠNG VPN BẰNG OPENVPN:

2.3.1. Kiến trúc Openvpn:...........................................................................................................................................................................
2.3.2. Các kênh dữ liệu OpenVPN:..............................................................................................................................................................
Hình 2.3:Cách OpenVPN kênh dữ liệu đóng gói....................................................................................................................................

3



2.3.3. Ping và giao thức OCC:......................................................................................................................................................................
2.3.4. Kênh điều khiển:...............................................................................................................................................................................
Hình 2.5: Gói điều khiển kênh OpenVPN..............................................................................................................................................
2.3.5. Kết nối VPN bằng Remote Access VPNs (Point-to-Site):....................................................................................................................
Hình 2.6: Remote Access VPN...............................................................................................................................................................
2.3.6. Kết nối VPN Site-to-Site (LAN-to-LAN):.............................................................................................................................................
2.3.6.1. Mạng VPN cục bộ (Intranet-based VPN):..................................................................................................................................
Hình 2.7:Site-to-Site VPN......................................................................................................................................................................
2.3.6.2. Mạng VPN mở rộng (Extranet-based):......................................................................................................................................
Hình 2.8:Mô hình VPN Site-to-Site (Extranet-based).............................................................................................................................

CHƯƠNG 3: TRIỂN KHAI PHƯƠNG PHÁP REMOTE ACCESS VÀ OPENVPN.....................................................................................
3.1. MÔ HÌNH MẠNG VPN:

Hình 3.1: VPN remote access................................................................................................................................................................
Hình 3.2: Mô hình gửi và chia sẻ file trong openVPN............................................................................................................................

3.2. CẤU HÌNH MẠNG VPN REMOTE ACCESS SỬ DỤNG IPSEC:
3.2.1. Công cụ, phần mềm:............................................................................................................................................................
3.2.2. Dòng lệnh cấu hình thiết bị:.................................................................................................................................................
3.2.3. Kiểm tra kết quả:..................................................................................................................................................................

Hình 3.3: Khi connect vào VPN..............................................................................................................................................................
Hình 3.4: Khi connect thành công.........................................................................................................................................................

3.3. CÀI ĐẶT TRIỂN KHAI PHƯƠNG PHÁP OPENVPN.
3.3.1. Thiết bị, phần mềm cần chuẩn bị:.......................................................................................................................................
3.3.2. Cấu hình:..............................................................................................................................................................................


Hình 3.5: Kết quả sau khi cài đặt gói OpenVPN.....................................................................................................................................
Hình 3.6. Kết quả khi cấp quyền............................................................................................................................................................
Hình 3.7. Chọn tải profile của user về máy trạm để kết nối OpenVPN server........................................................................................
Hình 3.8. Chọn app phù hợp với OS để tải............................................................................................................................................
Hình 3.9. Khi cài đặt xong OpenVPN GUI...............................................................................................................................................
Hình 3.10. Cách import profiles user.....................................................................................................................................................

3.3.3. Các kết quả:..........................................................................................................................................................................

Hình 3.11: Giao diện OpenVPN server..................................................................................................................................................
Hình 3.12: Máy giám đốc connect OpenVPN server..............................................................................................................................
Hình 3.13: Kết quả khi connect tới OpenVPN server.............................................................................................................................
Hình 3.14: Máy kế toán connect OpenVPN server................................................................................................................................
Hình 3.15: Kết quả máy kế toán connect OpenVPN server....................................................................................................................
Hình 3.16: Giám đốc được kế toán cung cấp ip máy của mình để truy cập xem thông tin....................................................................
Hình 3.17: Khi giám đốc vào thành công và có thể xem bảng lương T10.............................................................................................

KẾT LUẬN....................................................................................................................................................................................

TÀI LIỆU THAM KHẢO..................................................................................................................................................................

4


DANH MỤC CÁC HÌNH ẢNH

NHẬN XÉT CỦA GIẢNG VIÊN........................................................................................................................................................

LỜI CẢM ƠN................................................................................................................................................................................


DANH MỤC CÁC HÌNH ẢNH..........................................................................................................................................................

DANH MỤC TỪ VIẾT TẮT..............................................................................................................................................................

LỜI NÓI ĐẦU................................................................................................................................................................................

CHƯƠNG I: TỔNG QUAN VỀ VPN.................................................................................................................................................

1.1. MỞ ĐẦU:
1.1.1. Định nghĩa VPN:...................................................................................................................................................................

Hình 1.1: Một mô hình mạng VPN........................................................................................................................................................

1.1.2. Lợi ích của VPN:...................................................................................................................................................................
1.1.3. Các chức năng cơ bản của VPN:..........................................................................................................................................
1.2. VPN VÀ CÁC VẤN ĐỀ AN TOÀN BẢO MẬT TRÊN INTERNET:
1.2.1. An toàn và tin cậy:...............................................................................................................................................................
1.2.2. Các hình thức an toàn:.........................................................................................................................................................
1.3. ĐỊNH NGHĨA “ĐƯỜNG HẦM” VÀ “MÃ HOÁ”:
1.3.1. Đường hầm và cấu trúc gói tin:...........................................................................................................................................
1.3.2. Mã hoá và giải mã (Encryption/Decryption):......................................................................................................................
1.3.3. Một số thuật ngữ sử dụng trong VPN:................................................................................................................................
1.4. CÁC DẠNG KẾT NỐI MẠNG RIÊNG ẢO:
1.4.1. Truy cập VPN từ xa (Remote Access VPN):...........................................................................................................................

1.4.1.1. Một số thành phần chính của Remote Access VPN:.......................................................................................................................
Hình 1.2: Mô hình non-VPN Remote Access.........................................................................................................................................
Hình 1.3: Mô hình Remote Access VPN.................................................................................................................................................
1.4.1.2. Ưu và nhược điểm của Remote Access VPN:.................................................................................................................................


1.4.2. Site-to-Site VPN (LAN-to-LAN):.............................................................................................................................................

Hình 1.4: Mô hình Site–to–Site VPN......................................................................................................................................................
1.4.2.1. Intranet VPN:.................................................................................................................................................................................
Hình 1.5: Mô hình Intranet VPN............................................................................................................................................................
Hình 1.6: Mô hình Extranet VPN...........................................................................................................................................................

CHƯƠNG 2: BẢO MẬT TRONG VPN..............................................................................................................................................
2.1. NHỮNG VẤN ĐỀ BẢO MẬT TRONG MẠNG RIÊNG ẢO:

2.1.1. Tấn công các thành phần mạng riêng ảo:..........................................................................................................................................
2.1.2. Tấn công giao thức mạng riêng ảo:..................................................................................................................................................
2.1.3. Tấn công mật mã:..............................................................................................................................................................................
2.1.4. Tấn công từ chối dịch vụ(Dos):..........................................................................................................................................................

2.2. MỘT SỐ PHƯƠNG PHÁP BẢO MẬT TRONG MẠNG VPN:
2.2.1. Một số phương pháp yếu:...................................................................................................................................................

2.2.1.1. Xác thực truy cập (User Authentication):......................................................................................................................................
2.2.1.2. Quản lý phân cấp địa chỉ (Address Management):........................................................................................................................
2.2.1.3. Mã hóa dữ liệu (Data Encryption) :...............................................................................................................................................
2.2.1.4. Mật mã truy cập:..........................................................................................................................................................................
2.2.1.5. Máy chủ AAA (Authentication Authorization Accounting):...........................................................................................................

2.2.2. Những phương pháp mạnh hơn:........................................................................................................................................

2.2.2.1. Tường lửa (firewall):......................................................................................................................................................................
2.2.2.2. Bảo mật trong giao thức PPTP (Point to point Tunneling Protocol):...............................................................................................
2.2.2.3. Bảo mật trong giao thức L2TP (Layer 2 tunneling protocol):.........................................................................................................

Hình 2.1: Cấu trúc gói L2TP...................................................................................................................................................................
2.2.2.4. Bảo mật trong IPSec:......................................................................................................................................................................
Hình 2.2: IPSec client to IPSec Server....................................................................................................................................................
2.2.2.5. Bảo mật trong giao thức SSL (Secure Socket layer):.......................................................................................................................

2.3. GIẢI PHÁP BẢO MẬT MẠNG VPN BẰNG OPENVPN:

2.3.1. Kiến trúc Openvpn:...........................................................................................................................................................................
2.3.2. Các kênh dữ liệu OpenVPN:..............................................................................................................................................................

5


Hình 2.3:Cách OpenVPN kênh dữ liệu đóng gói....................................................................................................................................
2.3.3. Ping và giao thức OCC:......................................................................................................................................................................
2.3.4. Kênh điều khiển:...............................................................................................................................................................................
Hình 2.5: Gói điều khiển kênh OpenVPN..............................................................................................................................................
2.3.5. Kết nối VPN bằng Remote Access VPNs (Point-to-Site):....................................................................................................................
Hình 2.6: Remote Access VPN...............................................................................................................................................................
2.3.6. Kết nối VPN Site-to-Site (LAN-to-LAN):.............................................................................................................................................
2.3.6.1. Mạng VPN cục bộ (Intranet-based VPN):..................................................................................................................................
Hình 2.7:Site-to-Site VPN......................................................................................................................................................................
2.3.6.2. Mạng VPN mở rộng (Extranet-based):......................................................................................................................................
Hình 2.8:Mô hình VPN Site-to-Site (Extranet-based).............................................................................................................................

CHƯƠNG 3: TRIỂN KHAI PHƯƠNG PHÁP REMOTE ACCESS VÀ OPENVPN.....................................................................................
3.1. MÔ HÌNH MẠNG VPN:

Hình 3.1: VPN remote access................................................................................................................................................................
Hình 3.2: Mô hình gửi và chia sẻ file trong openVPN............................................................................................................................


3.2. CẤU HÌNH MẠNG VPN REMOTE ACCESS SỬ DỤNG IPSEC:
3.2.1. Công cụ, phần mềm:............................................................................................................................................................
3.2.2. Dòng lệnh cấu hình thiết bị:.................................................................................................................................................
3.2.3. Kiểm tra kết quả:..................................................................................................................................................................

Hình 3.3: Khi connect vào VPN..............................................................................................................................................................
Hình 3.4: Khi connect thành công.........................................................................................................................................................

3.3. CÀI ĐẶT TRIỂN KHAI PHƯƠNG PHÁP OPENVPN.
3.3.1. Thiết bị, phần mềm cần chuẩn bị:.......................................................................................................................................
3.3.2. Cấu hình:..............................................................................................................................................................................

Hình 3.5: Kết quả sau khi cài đặt gói OpenVPN.....................................................................................................................................
Hình 3.6. Kết quả khi cấp quyền............................................................................................................................................................
Hình 3.7. Chọn tải profile của user về máy trạm để kết nối OpenVPN server........................................................................................
Hình 3.8. Chọn app phù hợp với OS để tải............................................................................................................................................
Hình 3.9. Khi cài đặt xong OpenVPN GUI...............................................................................................................................................
Hình 3.10. Cách import profiles user.....................................................................................................................................................

3.3.3. Các kết quả:..........................................................................................................................................................................

Hình 3.11: Giao diện OpenVPN server..................................................................................................................................................
Hình 3.12: Máy giám đốc connect OpenVPN server..............................................................................................................................
Hình 3.13: Kết quả khi connect tới OpenVPN server.............................................................................................................................
Hình 3.14: Máy kế toán connect OpenVPN server................................................................................................................................
Hình 3.15: Kết quả máy kế toán connect OpenVPN server....................................................................................................................
Hình 3.16: Giám đốc được kế toán cung cấp ip máy của mình để truy cập xem thông tin....................................................................
Hình 3.17: Khi giám đốc vào thành công và có thể xem bảng lương T10.............................................................................................


KẾT LUẬN....................................................................................................................................................................................

TÀI LIỆU THAM KHẢO..................................................................................................................................................................

6


DANH MỤC TỪ VIẾT TẮT
VPN
ISP
SSL
SSH
IPsec
TCP
UDP
OSI
IETF
IV

: Virtual private network
: Internet service provider
: Secure Sockets Layer
: Secure Shell
: Internet Protocol Security
: Transmission Control Protocol
: User Datagram Protocol
: Open Systems Interconnection Reference Model
: Internet Engineering Task Force
: Initial Vector


7


LỜI NÓI ĐẦU
Hiện nay, Internet đã phát triển mạnh mẽ cả về mặt mô hình lẫn tổ chức, đáp ứng
khá đầy đủ các nhu cầu của người sử dụng. Internet kết nối nhiều mạng với nhau và cho
phép thông tin chuyển đến người sử dụng một cách tự do và nhanh chóng. Để làm được
điều này người ta sử dụng một hệ thống các thiết bị định tuyến kết nối các LAN và WAN
với nhau. Các máy tính được kết nối vào Internet thông qua các nhà cung cấp dịch vụ
ISP. Với Internet, những dịch vụ như đào tạo từ xa, mua hàng trực tuyến, tư vấn các lĩnh
vực và rất nhiều điều khác đã trở thành hiện thực. Tuy nhiên do Internet có phạm vi toàn
cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo
mật và an toàn dữ liệu, cũng như quản lý dịch vụ.
Và càng dần về sau hệ thống quản lý online, giám sát nội bộ kiểm tra, thống kê,
làm việc, báo cáo,… cho nhân viên, cán bộ đi công tác xa hay không có mặt trực tiếp tại
công ty đã được triển khai nhằm đảm bảo tiến độ, công việc, hiệu suất. Tuy nhiên, việc
truy xuất cơ sở dữ liệu từ xa luôn đòi hỏi cao về vấn đề an toàn, bảo mật. Vậy nên mô
hình mạng riêng ảo đã ra đời (hay VPN). Với mô hình mới này, người ta không phải đầu
tư thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật và độ tin cậy vẫn được bảo
đảm, đồng thời có thể quản lý sự hoạt động của mạng.
Nhưng thông thường, triển khai phần mềm VPN và phần cứng tốn nhiều thời gian
và chi phí, do đó OpenVPN là một giải pháp mã nguồn mở VPN hoàn toàn miễn phí và
cực kỳ hiệu quả cho các doanh nghiệp.
Bởi vậy, môn thực tập cơ sở chuyên ngành nhóm chúng em xin tìm hiểu và trình
bày về đề tài Xây dựng và bảo mật VPN bằng OpenVPN với những nội dung chính sau
đây:
Chương 1: Tổng quan về mạng VPN.
Chương 2: Bảo mật trong mạng VPN.
Chương 3: Triển khai phương pháp remote access và OpenVPN.


8


CHƯƠNG I: TỔNG QUAN VỀ VPN

9


1.1. Mở đầu:
Hiện tại, Internet đã phát triển mạnh mẽ cả về mặt mô hình lẫn tổ chức, đáp ứng
khá đầy đủ các nhu cầu của người sử dụng. Internet đã được thiết kế để kết nối nhiều
mạng với nhau và cho phép thông tin chuyển đến người sử dụng một cách tự do và nhanh
chóng. Để làm được điều này người ta sử dụng một hệ thống các thiết bị định tuyến
(router) kết nối các LAN và WAN với nhau. Các máy tính được kết nối vào Internet
thông qua các nhà cung cấp dịch vụ (ISP – Internet Service Provider). Vấn đề mà kỹ thuật
còn tiếp tục phải giải quyết là năng lực truyền thông của các mạng viễn thông công cộng.
Với Internet, những dịch vụ như đào tạo từ xa, mua hàng trực tuyến, tư vấn các lĩnh vực
và rất nhiều điều khác đã trở thành hiện thực. Tuy nhiên, do Internet có phạm vi toàn cầu
và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật
và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ. Từ đó người ta đã đưa ra một
mô hình mạng mới nhằm thoã mãn những yêu cầu trên mà vẫn có thể tận dụng lại những
cơ sở hạ tầng hiện có của Internet, đó chính là mô hình mạng riêng ảo (Virtual Private
Network – VPN). Với mô hình mới này, người ta không phải đầu tư thêm nhiều về cơ sở
hạ tầng mà các tính năng như bảo mật và độ tin cậy vẫn được đảm bảo, đồng thời có thể
quản lý riêng được sự hoạt động của mạng này. VPN cho phép người sử dụng làm việc
tại nhà riêng, trên đường đi hoặc các văn phòng chi nhánh có thể kết nối an toàn đến máy
chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng. Nó cũng có
thể đảm bảo an toàn thông tin giữa các đại lý, nhà cung cấp và các đối tác kinh doanh với
nhau trong môi trường truyền thông rộng lớn. Trong nhiều trường hợp, VPN cũng giống
như WAN (Wire Area Network), tuy nhiên đặc tính quyết định của VPN là chúng có thể

dùng mạng công cộng như Internet mà vẫn đảm bảo tính riêng tư và tiết kiệm chi phí.
1.1.1. Định nghĩa VPN:
VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng (Private
Network) thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử
dụng một hạ tầng mạng chung (thường là Internet) để kết nối cùng với các site (các mạng
riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng kết nối thực, chuyên
dụng, mỗi VPN sử dụng các kết nối ảo được thiết lập qua Internet từ mạng riêng của các
công ty tới các chi nhánh hay các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông
qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật. VPN cung cấp các cơ chế
mã hoá dữ liệu trên đường truyền, tạo ra một đường ống (tunnel) bảo mật giữa nơi gửi và
nơi nhận. Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hoá, chỉ
cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi
đến đích thông qua mạng công cộng một cách nhanh chóng.
Dữ liệu được mã hoá một cách cẩn thận do đó nếu các packet bị xem lén trên
đường truyền công cộng thì cũng không thể đọc được nội dung vì không có khoá để giải
mã. Các đường kết nối VPN thường được gọi là đường ống VPN (tunnel).

10


Hình 1.1: Một mô hình mạng VPN
1.1.2. Lợi ích của VPN:
VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thông và những
mạng leased-line. Những lợi ích đầu tiên bao gồm:
 Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí từ 20 đến 40% so
với những mạng sử dụng leased-line và giảm chi phí trong việc truy cập từ xa từ
40 đến 60%
 Tính linh hoạt trong kết nối.
 Tăng tính bảo mật: Các dữ liệu quan trọng sẽ được che giấu đối với những người
không có quyền truy cập.

 Hỗ trợ các giao thức mạng thông dụng nhất hiện nay là TCP/IP.
 Bảo mật địa chỉ IP: Bởi vì thông tin được gửi đi trên VPN đã được mã hoá, do đó
các địa chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên
ngoài Internet.
1.1.3. Các chức năng cơ bản của VPN:
VPN cung cấp 4 chức năng chính:
 Sự tin cậy và bảo mật (confidentiality): Người gửi có thể mã hoá các gói dữ liệu
trước khi truyền chúng ngang qua mạng. Bằng cách này, không một ai có thể truy
nhập thông tin mà không được phép, mà nếu như có lấy được thông tin thì cũng
không thể đọc được vì thông tin đã được mã hoá.
 Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra rằng dữ liệu
được truyền qua mạng Internet mà không có sự thay đổi nào.
 Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực nguồn
gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin.
 Điều khiển truy nhập (Access Control): VPN có thể phân biệt giữa những người
dùng hợp lệ và trái phép bằng nhiều cách như dựa vào chính sách bảo mật, sự
chứng thực...
11


1.2. VPN và các vấn đề an toàn bảo mật trên Internet:
Như chúng ta đã biết, sự phát triển bùng nổ và mở rộng mạng toàn cầu Internet
ngày càng tăng, hàng tháng có khoảng 10.000 mạng mới kết nối vào Internet kèm theo đó
là vấn đề làm sao để có thể trao đổi thông tin dữ liệu một cách an toàn qua mạng công
cộng như Internet. Hàng năm sự rò rỉ và mất cắp thông tin, dữ liệu đã gây thiệt hại rất lớn
về kinh tế trên toàn thế giới. Các tin tặc luôn tìm mọi cách để nghe trộm, đánh cắp thông
tin và dữ liệu nhạy cảm như: mã thẻ tín dụng, tài khoản người dùng, các thông tin kinh tế
nhạy cảm... của các tổ chức hay cá nhân.
Vậy giải pháp sử dụng mạng riêng ảo VPN sẽ giải quyết vấn đề an toàn và bảo
mật thông tin trên Internet như thế nào?

Câu trả lời là để các tổ chức, doanh nghiệp, cá nhân cảm thấy yên tâm khi trao đổi
thông tin dữ liệu qua mạng Internet là sử dụng công nghệ mạng riêng ảo VPN.
Thực chất, công nghệ chính được sử dụng trong mạng riêng ảo VPN là tạo ra một
đường hầm (tunnel), mã hoá và chứng thực dữ liệu giữa hai đầu kết nối. Các thông tin dữ
liệu sẽ được mã hoá và chứng thực trước khi được lưu chuyển trong một đường hầm
riêng biệt, qua đó sẽ tránh được những cặp mắt tò mò muốn đánh cắp thông tin.
1.2.1. An toàn và tin cậy:
Sự an toàn của một hệ thống mạng là một phần trong các tiêu chí đánh giá một hệ
thống đáng tin cậy. Có 4 yếu tố ảnh hưởng đến một hệ thống đáng tin cậy:
 Tính sẵn sàng: Khả năng sẵn sàng phục vụ, đáp ứng yêu cầu trong khoảng thời
gian ngắn. Tính sẵn sàng thường được thực hiện thông qua những hệ thống phần
cứng dự phòng.
 Sự tin cậy: Định nghĩa năng lực của hệ thống khi thực hiện các chức năng của nó
trong một chu kỳ thời gian. Sự tin cậy khác với tính sẵn sàng, sự tin cậy tương ứng
tới tính liên tục của một dịch vụ nào đó.
 Sự an toàn: Khái niệm an toàn chỉ ra tính vững chắc của một hệ thống trước các
nguy cơ tiềm ẩn, ví dụ các cuộc tấn công từ chối dịch vụ, sự xâm nhập trái phép
vào hệ thống thông qua các lỗ hổng bảo mật...
 Sự an ninh: Trong trường hợp này sự an ninh có nghĩa như một sự bảo vệ tất cả
các tài nguyên hệ thống.
Một hệ thống mạng đáng tin cậy ở mức cao nhất nghĩa là hệ thống luôn đảm bảo
được sự an toàn tại bất kỳ thời điểm nào.

12


1.2.2. Các hình thức an toàn:
Sự an toàn của hệ thống mạng phụ thuộc vào tất cả những thành phần của nó. Có
ba kiểu khác nhau của sự an toàn: An toàn phần cứng, An toàn thông tin và An toàn quản
trị.

 An toàn phần cứng: Sự an toàn về mặt vật lý, bảo vệ phần cứng của hệ thống
khỏi những mối đe doạ vật lý bên ngoài như sự phá họa làm mất mát thông tin, các
sự cố liên quan đến nguồn cung cấp, các yếu tố môi trường có thể làm hỏng phần
cứng... Tất cả những yếu tố trên cần phải được tính đến và thực hiện các biện pháp
phòng ngừa.
 An toàn thông tin: An toàn thông tin nghĩa là thông tin được bảo vệ, các hệ thống
và những dịch vụ có khả năng chống lại những tai hoạ, các lỗi và sự tác động
không mong đợi, các thay đổi tác động đến độ an toàn của hệ thống là nhỏ nhất.
Hệ thống có một trong các đặc điểm sau là không an toàn:
-

Các thông tin dữ liệu trong hệ thống bị người không được quyền truy nhập tìm
cách lấy và sử dụng (thông tin bị rò rỉ).

-

Các thông tin trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung
(thông tin bị xáo trộn hoặc mất mát).

 An toàn quản trị: An toàn quản trị liên quan đến tất cả các mối đe doạ mà con
người làm tổn hại đến một hệ thống mạng. Những mối đe doạ này có thể xuất phát
cả từ bên ngoài lẫn bên trong của một tổ chức, doanh nghiệp.

1.3. Định nghĩa “đường hầm” và “mã hoá”:
Chức năng chính của một mạng riêng ảo (VPN) là cung cấp sự bảo mật thông tin
bằng cách mã hoá và chứng thực qua một đường hầm (tunnel).
1.3.1. Đường hầm và cấu trúc gói tin:
Cung cấp các kết nối logic, vận chuyển các gói dữ liệu đã được mã hoá bằng một
đường hầm riêng biệt qua mạng IP, điều đó làm tăng tính bảo mật thông tin vì dữ liệu sau
khi mã hoá sẽ lưu chuyển trong một đường hầm được thiết lập giữa người gửi và người

nhận, do đó sẽ tránh được sự nhòm ngó, xem trộm thông tin. Các giao thức định đường
hầm được sử dụng trong VPN như sau:
 L2F (Layer 2 Forwarding): Được Cisco phát triển.
 PPTP (Point-to-Point Tunneling Protocol): Được PPTP Forum phát triển, giao
thức này hỗ trợ mã hóa 40 bit và 128 bit.
 L2TP (Layer 2 Tunneling Protocol): Là sản phẩm của sự hợp tác giữa các thành
viên PPTP Forum, Cisco và IETF. L2TP kết hợp các tính năng của cả PPTP và
L2F.

13


 IPSec (IP Security): Được phát triển bởi IETF. Mục đích chính của việc phát triển
IPSec là cung cấp một cơ cấu bảo mật ở lớp 3 (network layer) trong mô hình OSI.
 GRE (Generic Routing Encapsulation): Đây là giao thức truyền thông đóng gói IP
và các dạng gói dữ liệu khác bên trong đường ống. Giống như IPSec, GRE hoạt
động ở tầng 3 của mô hình tham chiếu OSI, tuy nhiên GRE không mã hóa thông
tin.
1.3.2. Mã hoá và giải mã (Encryption/Decryption):
Mã hóa là quá trình biến đổi nội dung thông tin nguyên bản ở dạng đọc được
(clear text hay plain text) thành một dạng văn bản mật mã vô nghĩa không đọc được
(cyphertex), vì vậy nó không có khả năng đọc được hay khả năng sử dụng bởi những
người dùng không được phép. Giải mã là quá trình ngược lại của mã hoá, tức là biến đổi
văn bản đã mã hoá thành dạng đọc được bởi những người dùng được phép.
1.3.3. Một số thuật ngữ sử dụng trong VPN:
-

Hệ thống mã hoá (CryptoSystem): Là một hệ thống để thực hiện mã hoá hay giải
mã, xác thực người dùng, băm (hashing) và các quá trình trao đổi khoá, một hệ thống
mã hoá có thể sử dụng một hay nhiều phương thức khác nhau tuỳ thuộc vào yêu cầu

cho một vài loại traffic cụ thể.

-

Hàm băm (hashing): Là một kỹ thuật đảm bảo tính toàn vẹn dữ liệu, nó sử dụng một
công thức hoặc một thuật toán để biến đổi một bản tin có chiều dài thay đổi và một
khoá mật mã công cộng vào trong một chuỗi đơn các số liệu có chiều dài cố định. Bản
tin hay khoá và hash di chuyển trên mạng từ nguồn tới đích. Ở nơi nhận, việc tính
toán lại hash được sử dụng để kiểm tra rằng bản tin và khoá không bị thay đổi trong
khi truyền trên mạng.

-

Xác thực (Authentication): Là quá trình của việc nhận biết một người sử dụng hay
quá trình truy cập hệ thống máy tính hoặc kết nối mạng. Xác thực đảm bảo chắc chắn
rằng cá nhân hay một tiến trình là hợp lệ.

-

Cho phép (Authorization): Là hoạt động kiểm tra thực thể nào đó có được phép thực
hiện những quyền hạn cụ thể nào.

-

Quản lý khoá (Key management): Một khoá thông tin, thường là một dãy ngẫu
nhiên hoặc trông giống như các số nhị phân ngẫu nhiên, được sử dụng ban đầu để
thiết lập và thay đổi một cách định kỳ sự hoạt động trong một hệ thống mật mã. Quản
lý khoá là sự giám sát và điều khiển tiến trình nhờ các khoá được tạo ra. Các công
việc chính có thể là cất giữ, bảo vệ, biến đổi, tải lên, sử dụng hay loại bỏ.


-

Dịch vụ chứng thực CA (Certificate of Authority): Một dịch vụ được tin tưởng để
bảo mật quá trình truyền tin giữa các thực thể mạng hoặc người dùng bằng cách tạo ra
và gán các chứng nhận số như các chứng nhận khoá công cộng cho mục đích mã hoá.
Một CA đảm bảo cho sự liên kết giữa các thành phần bảo mật trong chứng nhận.
14


-

IKE (Internet Key Exchange): Là giao thức chịu trách nhiệm trao đổi khóa giữa hai
điểm kết nối VPN. IKE hỗ trợ ba kiểu xác thực là dùng khóa biết trước (pre-share
key), RSA và RSA signature. IKE lại dùng hai giao thức là Oakley Key Exchange
(mô tả kiểu trao đổi chìa khoá) và Skeme Key Exchange (định nghĩa kỹ thuật trao đổi
chìa khoá), mỗi giao thức định nghĩa một cách thức để thiết lập sự trao đổi khoá xác
thực, bao gồm cấu trúc tải tin, thông tin mà các tải tin mang, thứ tự các khoá được xử
lý và các khoá được sử dụng như thế nào.

-

AH (Authentication Header): Là giao thức bảo mật giúp xác thực dữ liệu, bảo đảm
tính toàn vẹn dữ liệu và các dịch vụ “anti-replay” (dịch vụ bảo đảm tính duy nhất của
gói tin). AH được nhúng vào trong dữ liệu để bảo vệ.

-

ESP (Encapsulation Security Payload): Là một giao thức bảo mật cung cấp sự tin
cậy của dữ liệu, đảm bảo tính toàn vẹn dữ liệu và xác thực nguồn gốc dữ liệu. ESP
đóng gói dữ liệu để bảo vệ.


1.4. Các dạng kết nối mạng riêng ảo:
1.4.1. Truy cập VPN từ xa (Remote Access VPN):
Remote Access VPN cho phép các người dùng ở xa sử dụng VPN client truy cập
vào mạng Internet của Công ty thông qua Gateway hoặc VPN concentrator (bản chất là
một server). Vì vậy, giải pháp này thường được gọi là client/server. Trong giải pháp này,
người dùng thường sử dụng các công nghệ WAN truyền thống để tạo ra các tunnel về
mạng trung tâm của họ.
1.4.1.1. Một số thành phần chính của Remote Access VPN:
 Remote Access Server (RAS): Thiết bị này được đặt tại trung tâm và có nhiệm vụ
xác thực và chứng nhận các yêu cầu gửi tới sau đó thiết lập kết nối.

15


Hình 1.2: Mô hình non-VPN Remote Access

 Remote Access Client: Bằng việc triển khai Remote Access VPN qua Internet,
những người dùng từ xa hoặc các văn phòng chi nhánh chỉ cần thiết lập một kết
nối cục bộ đến nhà cung cấp dịch vụ Internet, sau đó có thể kết nối đến tài nguyên
của doanh nghiệp thông qua Remote Access VPN. Mô hình Remote Access VPN
được mô tả như hình dưới đây:

Hình 1.3: Mô hình Remote Access VPN
1.4.1.2. Ưu và nhược điểm của Remote Access VPN:
 Ưu điểm Remote Access VPN:
- VPN truy nhập từ xa không cần đến sự hỗ trợ của quản trị mạng bởi
các kết nối từ xa do các nhà cung cấp dịch vụ Internet đảm nhiệm.
- Giảm giá thành chi phí kết nối với khoảng cách xa vì các kết nối của
VPN truy nhập từ xa chính là các kết nối Internet.

- VPN cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ
dịch vụ truy cập ở mức độ tối thiểu.
 Nhược điểm của Remote Access VPN:
- Remote Access VPN cũng không đảm bảo được chất lượng dịch vụ
(QoS).
- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ
liệu có thể bị thất thoát.

16


-

Do độ phức tạp của thuật toán mã hoá nên gây khó khăn cho quá trình
xác nhận.

1.4.2. Site-to-Site VPN (LAN-to-LAN):
Site-to-Site VPN là giải pháp kết nối các hệ thống mạng ở những địa điểm khác
nhau với mạng trung tâm thông qua VPN. Trong trường hợp này, quá trình xác thực ban
đầu cho người sử dụng là quá trình xác thực giữa các thiết bị. Các thiết bị này hoạt động
như cổng an ninh (security gateway), truyền dẫn lưu lượng một cách an toàn từ site này
tới site kia. Các bộ định tuyến hay tường lửa hỗ trợ VPN đều có khả năng thực hiện kết
nối này. Sự khác nhau giữa Site-to-Site VPN và Remote Access VPN chỉ mang tính
tượng trưng. Nhiều thiết bị VPN mới có thể hoạt động theo cả hai cách này.

Hình 1.4: Mô hình Site–to–Site VPN
Site-to-Site VPN có thể được xem như là Intranet VPN hoặc Extranet VPN xét
theo quan điểm chính sách quản lý. Nếu hạ tầng mạng có chung một nguồn quản lý, nó
có thể được xem như Intranet VPN, ngược lại, nó có thể được coi là Extranet VPN. Việc
truy nhập giữa các điểm phải được kiểm soát chặt chẽ bởi các thiết bị tương ứng.


17


1.4.2.1. Intranet VPN:

Hình 1.5: Mô hình Intranet VPN
Intranet VPN hay còn gọi là VPN cục bộ là một mô hình tiêu biểu của Site-to-Site
VPN, dạng kết nối này được sử dụng để bảo mật các kết nối giữa địa điểm khác nhau của
một công ty hay doanh nghiệp. Nó liên kết trụ sở chính và các văn phòng chi nhánh trên
một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hóa bảo mật.
Điều này cho phép tất cả các điểm có thể truy nhập an toàn các nguồn dữ liệu
được phép trong toàn công ty.
Intranet VPN cung cấp những đặc tính của mạng WAN như khả năng mở rộng,
tính tin cậy và hỗ trợ nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn đảm bảo
tính mềm dẻo.
 Những ưu điểm chính của giải pháp này bao gồm:
- Các mạng cục bộ hoặc diện rộng có thể được thiết lập thông qua một hay nhiều
nhà cung cấp dịch vụ Internet.
- Giảm được nhân lực hỗ trợ kỹ thuật mạng đối với các chi nhánh ở xa.
- Do kết nối trung gian được thực hiện thông qua Internet nên nó có thể dễ dàng
thiết lập thêm một liên kết ngang hàng mới.
- Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợp
với các công nghệ chuyển mạch tốc độ cao.
 Tuy nhiên, giải pháp Intranet VPN cũng có những nhược điểm nhất định như:
- Do dữ liệu được truyền qua mạng công cộng (mặc dù đã được mã hóa) nên vẫn
còn những mối đe dọa về mức độ bảo mật dữ liệu và chất lượng dịch vụ (QoS).
- Khả năng các gói dữ liệu bị thất thoát trong khi truyền là khá cao.
- Trong trường hợp cần truyền khối lượng lớn dữ liệu như đa phương tiện với yêu
cầu tốc độ cao và đảm bảo thời gian thực là một thách thức lớn trong môi

trường Internet

18


1.4.2.2. Extranet VPN (VPN mở rộng)

Hình 1.6: Mô hình Extranet VPN
Giải pháp VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn
tài nguyên mạng cần thiết để mở rộng tới những đối tượng kinh doanh. Sự khác nhau
giữa VPN nội bộ và VPN mở rộng là sự truy nhập mạng được công nhận ở một trong hai
đầu cuối của VPN.
 Những ưu điểm chính của VPN mở rộng bao gồm:
- Chi phí cho VPN mở rộng thấp hơn nhiều so với các giải pháp kết nối khác để
cùng đạt được một mục đích như vậy.
- Dễ dàng thiết lập, bảo trì và thay đổi với mạng đang hoạt động.
- Do VPN mở rộng được xây dựng dựa trên Internet nên có nhiều cơ hội trong
việc cung cấp dịch vụ và lựa chọn giải pháp phù hợp với nhu cầu cụ thể của
từng công ty.
- Các kết nối Internet được các ISP bảo trì nên có thể giảm số lượng nhân viên kỹ
thuật hỗ trợ mạng, do đó sẽ giảm được chi phí vận hành của toàn mạng.
 Bên cạnh những ưu điểm trên, giải pháp VPN mở rộng cũng có những nhược điểm
nhất định như:
- Vấn đề bảo mật thông tin gặp khó khăn hơn trong môi trường mở rộng như vậy,
điều này làm tăng nguy cơ rủi ro đối với mạng cục bộ của công ty.
- Khả năng thất thoát dữ liệu trong khi truyền qua mạng công cộng vẫn tồn tại.
- Việc truyền khối lượng lớn dữ liệu với yêu cầu tốc độ cao và thời gian thực vẫn
còn là một thách thức lớn cần giải quyết.

19



CHƯƠNG 2: BẢO MẬT TRONG VPN

20


2.1. Những vấn đề bảo mật trong mạng riêng ảo:
Điều quan trọng nhất trong ứng dụng công nghệ mạng riêng ảo là máy tính bảo mật
hay tính riêng tư. Trong hầu hết các ứng dụng cơ bản của nó, tính riêng tư mang ý nghĩa
là một đường hầm giữa 2 người dùng trên một mạng VPN như một liên kết riêng chạy
trên môi trường chung như Internet. Đặc biệt đối với doanh nghiệp trong kết nối phải
mang tính bảo mật, nghĩa là VPN cần cung cấp các dịch vụ giới hạn để đảm bảo an toàn
cho dữ liệu:
- Xác thực (Authentication): Đảm bảo dữ liệu đến từ một nguồn xác định
- Điều khiển truy cập(Access Control): Hạn chế.không cho phép những người
dùng bất hợp pháp truy cập vào mạng.
- Tin cậy (confidentiality): không cho một ai đó đọc hay sao chép dữ liệu khi dữ
liệu được truyền đi qua mạng Internet.
- Tính toàn vẹn dữ liệu (Data intergrity): Đảm bảo dữ liệu không bị thay đổi khi
truyền trên mạng Internet.
- Các dịch vụ trên được cung cấp tại lớp 2 - Liên kết dữ liệu và lớp 3 - Lớp
mạng của OSI. Việc phát triển các dịch vụ bảo mật tại các lớp thấp của OSI
làm cho các dịch vụ này trở nên trong suốt đối với người dùng.
Nền tảng VPN có thể bị tấn công bằng rất nhiều cách. Một số loại tấn công phổ
biến vào hệ thống VPN:
- Các mối đe dọa an ninh cho các thành phần VPN.
- Các cuộc tấn công vào các giao thức VPN.
- Các cuộc tấn công mật mã.
- Các cuộc tấn công từ chối dịch vụ.

2.1.1. Tấn công các thành phần mạng riêng ảo:
Các yếu tố quan trọng nhất của một thiết lập VPN bao gồm:
- Người dùng truy cập từ xa.
- Kết nối trong phân đoạn ISP.
- Internet công cộng.
- Gateway của mạng.
2.1.2. Tấn công giao thức mạng riêng ảo:
Các giao thức VPN chính: PPTP, L2TP, và IPSec, cũng dễ bị tổn thương
các mối đe dọa an ninh. Những phần sau mô tả về các cuộc tấn công trên các giao
thức VPN.
Các tấn công trên giao thức mạng riên ảo:
Tấn công trên PPTP:
PPTP là dễ bị tổn thương trên hai khía cạnh. Chúng bao gồm:
- Generic Routing Encapsulation (GRE) .
21


- Mật khẩu trao đổi trong quá trình xác thực.
Tấn công trên IPSec:
Như chúng ta biết IPSec không phải là thuật toán mã hóa thuần túy cũng không
phải một cơ chế xác thực. Trong thực tế, IPSec là một sự kết hợp của cả hai và
giúp các thuật toán khác bảo vệ dữ liệu. Tuy nhiên, IPSec là dễ bị các cuộc tấn
công:
- Các cuộc tấn công chống lại thực hiện IPSec.
- Tấn công chống lại quản lý khóa.
- Các cuộc tấn công quản trị và ký tự đại diện.
2.1.3. Tấn công mật mã:
Mật mã như là một trong các thành phần bảo mật của một VPN. Tùy thuộc
vào các kỹ thuật mật mã và các thuật toán khác nhau, các cuộc tấn công giải mã
được biết là tồn tại. Những phần sau tìm hiểu về một số cách thức tấn công giải

mã nổi tiếng:
- Chỉ có bản mã (ciphertext-Only)
- Tấn công biết bản rõ (know plaintext attacks)
- Tấn công lựa chọn bản rõ
- Tấn công trung gian (man-in-the-middle)
- Tấn công Brute Force (duyệt toàn bộ)
- Tấn công thời gian (Timing attacks)
2.1.4. Tấn công từ chối dịch vụ(Dos):
Các cuộc tấn công DoS đang trở nên khá phổ biến ngày này vì nó không
yêu cầu bất kỳ phần mềm đặc biệt hoặc truy cập vào mạng mục tiêu. Chúng được
dựa trên khái niệm của sự tắc nghẽn mạng. Bất kỳ kẻ xâm nhập có thể gây ra tắc
nghẽn mạng bằng cách gửi các tải các dữ liệu rác vào mạng. Điều này làm cho các
máy tính mục tiêu không thể được truy cập trong một khoảng thời gian bởi đường
truyền bị quá tải hoặc máy tính mục tiêu không thể phục vụ do quá tải. Tình trạng
quá tải thông tin thậm chí có thể dẫn đến việc sụp đổ của máy tính mục tiêu.

2.2. Một số phương pháp bảo mật trong mạng VPN:
2.2.1. Một số phương pháp yếu:
2.2.1.1. Xác thực truy cập (User Authentication):
Cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng hợp lệ và được
phép kết nối và truy cập hệ thống truy cập từ xa (VPN Server).
2.2.1.2. Quản lý phân cấp địa chỉ (Address Management):
Cung cấp địa chỉ IP hợp lệ cho người dùng sau khi đăng nhập vào hệ thống VPN
và khai thác các tài nguyên trong mạng nội bộ (LAN) tạo thành mạng diện rộng (WAN).
22


2.2.1.3. Mã hóa dữ liệu (Data Encryption) :
Cung cấp giải pháp mã hóa dữ liệu trong quá trình truyền nhằm đảm bảo tính riêng
tư và toàn vẹn dữ liệu.

2.2.1.4. Mật mã truy cập:
Là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có
máy đó mới giải mã được, có hai loại là mật mã riêng và mật mã chung:
- Mật mã riêng (Symmetric- Key Encryption): Mỗi máy tính đều có một mã bí mật
để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng, mã riêng yêu cầu
bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó,
để máy tính của người nhận có thể giải mã được.
- Mật mã chung (Public-Key Encryption): Kết hợp mã riêng và một mã chung. Mã
riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy cỉa bạn cấp cho
bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để giải mã một message,
máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến
mã riêng của nó nữa, có một ứng dụng loại này dùng rất phổ biến là Pretty Good
Privacy (PGP), cho phép mã hóa hầu hết bất cứ thứ gì.
2.2.1.5. Máy chủ AAA (Authentication Authorization Accounting):
Kiểm soát việc cho phép thẩm định truy cập. Các server này được dùng để đảm
bảo truy cập an toàn hơn. Khi yêu cầu thiết lập một kết nối được gửi tới từ máy khác, nó
sẽ phải qua máy chủ AAA để kiểm tra, Các thông tin về những hoạt động của người sử
dụng là hết sức cần thiết để theo dõi vì mục đích an toàn.
2.2.2. Những phương pháp mạnh hơn:
2.2.2.1. Tường lửa (firewall):
Là rào chắn vững chắc giữa mạng riêng và mạng Internet. Có thể thiết lập các
tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua. Một
số sản phẩm dùng cho VPN như router 1700 của cisco có thể nâng cấp để gộp những tính
năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thích hợp. Hãy cài
tường lửa thật tốt trước khi thiết lập VPN.
2.2.2.2. Bảo mật trong giao thức PPTP (Point to point Tunneling Protocol):
Là giao thức kết nối điểm-điểm, là phương pháp cấu hình đơn giản nhất của VPN.
PPTP sử dụng 2 kênh, một kênh điều khiển để thiết lập kết nối và một kênh để truyền dữ
liệu. PPTP mã hóa, xác thực và PPP thương lượng, mọi dữ liệu đi qua và đóng gói dữ liệu
trong một phong bì IP. Khi dữ liệu được bắt lại, nó di chuyển qua một “đường hầm”. Mỗi

bộ định tuyến hay máy mà dữ liệu đi qua sẽ được xem là một gói IP. Những đường hầm
này cung cấp giao tiếp bảo mật cho sử dụng LAN hoặc WAN.Ngay cả khi trên một kết
nối mạng công khai, thông tin vẫn sẽ được gửi một cách an toàn.
23


Xác thực: Để xác thực người sử dụng, PPTP cũng được dử dụng các phương pháp
xác thực giống như PPP: PAP, CHAP. Tuy nhiên, PPTP cũng có bổ sung EAP (Extensible
authentication protocol). EAP hỗ trợ nhiều cơ chế xác thực sử dụng mật khẩu tức thời…
Riêng đối với hệ điều hành Window còn hỗ trợ thêm giao thức xác thực người sử dụng là
MS-CHAP sử dụng thuật toán băm MD4.
Mã hóa: PPTP sử dụng mã hóa gói tin của PPP. Đối với PPTP do Microsoft đưa ra
sử dụng giao thức mã hóa MPPE (Microsoft Point to Point Encryption) dựa trên chuẩn
RC4 RSA. MPPE chỉ đáp ứng trong trường hợp các giao thức xác thực EAPTLS hoặc
MS-CHAP được dử dụng, MPPE có thể dùng các khóa mã 40-bit, 56-bit hoặc 128-bit.
Ngầm định khóa có độ tin cậy cao nhất được hỗ trợ bở VPN client và VPN server được
xác định trong quá trình thiết lập kết nối. Nếu VPN server yêu cầu một khóa có độ tin cậy
cao hơn khóa được hỗ trợ bởi VPN Client thì Client sẽ bị từ chối khi cố gắng truy cập.
2.2.2.3. Bảo mật trong giao thức L2TP (Layer 2 tunneling protocol):
Giao thức đường hầm 2 lớp L2TP là sự kết hợp giữa hai giao thức PPTP và L2Fchuyển tiếp 2 lớp. được sử dụng để tạo kết nối độc lập, đa giao thức cho mạng riêng ảo
quay số.L2TP cho phép người dùng có thể thông qua các chính sách bảo mật của công ty
để tạo VPN như là sử dụng mở rộng của nội bộ công ty.Cơ chế bảo mật giống như cơ chế
xác thực của PPP: PAP,CHAP,MS-CHAP,EAP.
Về mặt mã hóa, bản thân L2TP không cung cấp dịch vụ mã hóa dữ liệu. Nó chỉ kế
thừa việc sử dụng mã hóa của PPP. Tuy nhiên để nâng cao bảo mật, có thể kết hợp L2TP
với IPSec. Lúc này gói tin L2TP sẽ được đóng gói một gói tin IP.

Hình 2.1: Cấu trúc gói L2TP
Do gói tin L2TP được đóng gói trong một gói tin IP, cho nên có thể áp dụng giao
thức IPSec cho gói tin này để tăng cường tính bảo mật khi nó được truyền qua mạng.

2.2.2.4. Bảo mật trong IPSec:
IPSec là một tập giao thức được phát triển bởi IETF để thực thi dịch vụ bảo mật
trên các mạng IP chuyển mạch gói. Internet là mạng chuyển mạch gói công cộng lớn
nhất. Công nghệ IPSec VPN được triển khai có một ý nghĩa quan trọng là tiết kiệm chi
phí rất lớn so với mạng VPN sử dụng Leased-Line VPN.
Dịch vụ IPSec cho phép chứng thực, kiểm tra tính toàn vẹn dữ liệu, điều khiển
truy cập và đảm bảo bí mật dữ liệu. Với IPSec, thông tin được trao đổi giữa các site sẽ
được mã hoá và kiểm tra. IPSec có thể được triển khai cả trên hai loại VPN là Remote
24


Access Client và Site-to-Site VPN.
IPSec là một phần bắt buộc của Ipv6, có thể được lựa chọn khi sử dụng Ipv4.
Trong khi các chuẩn đã được thiết kế cho các phiên bản IP giống nhau, Phổ biến hiện nay
là áp dụng và phát triển trên nền tảng Ipv4. Giao thức IPSec thực hiện việc xác thực và
mã hóa cho mỗi IP packet trong quá trình truyền thông tin, điều khiển truy nhập, bảo vệ
chống phát lại và bảo mật.

Hình 2.2: IPSec client to IPSec Server
Việc xác thực được thực hiện thông qua giao thức Internet Key Exchange (IKE)
hoặc với chứng chỉ số (digital certificates) đây là phương thức bảo mật hơn hoặc thông
qua khóa mã chia sẻ (preshared key). IPSec VPN có thể bảo vệ chống lại hầu hết các
phương pháp tấn công thông dụng bao gồm Denial of Service (Dos), replay, và “man-inthe-middle”.
2.2.2.5. Bảo mật trong giao thức SSL (Secure Socket layer):
Một công nghệ VPN đang phát triển nhanh chóng và trở nên phổ biến là Secure
Socket Layer (SSL) VPN. SSL VPN còn được gọi là giải pháp “clientless”. Điều này
cũng có nghĩa là các giao thức có thể được xử lý bởi SSL VPN sẽ bị hạn chế nhiều hơn.
Dù sao, điều này cũng đem lại một lợi thế về bảo mật. Với SSL VPN, thay vì cho phép
VPN client truy xuất vào toàn bộ mạng hoặc một mạng con như với IPSec, có thể hạn chế
chỉ cho phép truy xuất tới một số ứng dụng cụ thể. Nếu một ứng dụng mà bạn muốn họ

truy cập không phải là loại ứng dụng dựa trên trình duyệt thì cần phải tạo ra một plug-ins
Java hoặc Active-X để làm cho ứng dụng đó có thể truy xuất được qua trình duyệt.
SSL VPN hoạt động ở session layer – cao hơn IPSec trong mô hình OSI. Điều này
cho nó khả năng điều khiển truy cập theo khối tốt hơn. SSL VPN sử dụng chứng chỉ số
để xác thực server. Mặc dù các phương pháp khác cũng có thể áp dụng nhưng sử dụng
chứng chỉ số được ưa chuộng vì khả năng bảo mật cao nhất.
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×