LUẬN VĂN TỐT NGHIỆP KỸ SƯ NGÀNH CÔNG NGHỆ THÔNG TIN . ĐỀ TÀI : TÌM HIỂU GIẢI PHÁP BẢO MẬT ỨNG DỤNG TRÊN VPN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.07 MB, 89 trang )

ĐẠI HỌC ĐÀ NẴNG
TRƯỜNG ĐẠI HỌC BÁCH KHOA

KHOA CÔNG NGHỆ THÔNG TIN
Tel. (84-5113) 736 949, Fax. (84-5113) 842 771
Website: itf.ud.edu.vn, E-mail:

LUẬN VĂN TỐT NGHIỆP KỸ SƯ
NGÀNH CÔNG NGHỆ THÔNG TIN
MÃ NGÀNH : 05115

ĐỀ TÀI :
TÌM HIỂU GIẢI PHÁP BẢO MẬT ỨNG DỤNG TRÊN VPN
Mã số : 06T3 - 004
Ngày bảo vệ : 15,16/6/2011

SINH VIÊN :
LỚP
:
CBHD
:

LÊ QUÝ CÔNG
06T3
NGUYỄN THẾ XUÂN LY

ĐÀ NẴNG, 06/2011

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
................................................................................................................................

................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................

................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................

LỜI CẢM ƠN

Trước tiên em xin gửi lời cám ơn chân thành sâu sắc tới các thầy cô giáo trong
trường Đại học Bách Khoa Đà Nẵng nói chung và các thầy cô giáo trong khoa Công
Nghệ Thông Tin nói riêng đã tận tình giảng dạy, truyền đạt cho em những kiến thức,
kinh nghiệm quý báu trong suốt thời gian qua.
Đặc biệt em xin gửi lời cảm ơn đến thầy Nguyễn Thế Xuân Ly, thầy đã tận tình

giúp đỡ, trực tiếp chỉ bảo, hướng dẫn em trong suốt quá trình làm đồ án tốt nghiệp.
Trong thời gian làm việc với thầy, em không ngừng tiếp thu thêm nhiều kiến thức bổ
ích mà còn học tập được tinh thần làm việc, thái độ nghiên cứu khoa học nghiêm túc,
hiệu quả, đây là những điều rất cần thiết cho em trong quá trình học tập và công tác
sau này.
Sau cùng xin gửi lời cảm ơn chân thành tới gia đình, bạn bè đã động viên, đóng
góp ý kiến và giúp đỡ trong quá trình học tập, nghiên cứu và hoàn thành đồ án tốt
nghiệp này.

LỜI CAM ĐOAN

Tôi xin cam đoan :
Những nội dung trong luận văn này là do tôi thực hiện dưới sự hướng dẫn trực
tiếp của thầy Nguyễn Thế Xuân Ly.
Mọi tham khảo dùng trong luận văn đều được trích dẫn rõ ràng tên tác giả, tên
công trình, thời gian, địa điểm công bố.
Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá,
tôi xin chịu hoàn toàn trách nhiệm.

Sinh viên

Lê Quý Công

MỤC LỤC
CHƯƠNG 1: CƠ SỞ LÝ THUYẾT....................................................................2
1.1.

Giớ thiệu về bảo mật trên mạng Internet.................................................2

1.1.1.

Nguy cơ làm mất an toàn thông tin mạng......................................2

1.1.2.

Yêu cầu của bảo mật......................................................................2

1.1.3.

Các giải pháp về bảo mật...............................................................3

1.2.

Giới thiệu công nghệ VPN......................................................................4

1.2.1.

Lịch sử hình thành và phát triển của mạng VPN...........................4

1.2.2.

Định ngĩa VPN..............................................................................5

1.2.3.

Nguyên tắc hoạt động của VPN.....................................................5

1.2.4.

Các chức năng, ưu và nhược điểm của VPN..................................6

1.2.5.

Các kiểu VPN trên Router Cisco, Fix, ASA..................................7

CHƯƠNG 2: BẢO MẬT TRÊN VPN...............................................................12
2.1.

Các kiểu xác thực trên VPN..................................................................12

2.1.1.

Xác thực nguồn gốc dữ liệu.........................................................12

2.1.2.

Xác thực tính toàn vẹn dữ liệu.....................................................15

2.2.

Mã hóa..................................................................................................19

2.2.1.

Thuật toán mã hóa bí mật(đối xứng)............................................20

2.2.2.

Thuật toán mã hóa công cộng......................................................27

2.3.

Public Key Infrastructure......................................................................30

2.3.1.

Tổng quan về PKI........................................................................30

2.3.2.

PKI..............................................................................................31

2.3.3.

Cơ sở hạ tầng của PKI.................................................................33

2.4.

Các giao thức trên VPN.........................................................................36

2.4.1.

Kỹ thuật Tunneling......................................................................36

2.4.2.

Các giao thức...............................................................................39

2.4.3.

IPSec............................................................................................41

CHƯƠNG 3: THIẾT KẾ MẠNG DMVPN CHO DOANH NGHIỆP TRÊN
CÔNG NGHỆ CISCO.................................................................................................50
3.1.

Tìm hiểu các yêu cầu thực tê.................................................................50

3.1.1.

Yêu cầu của đối tượng doanh nghiệp...........................................50

3.1.2.

Yêu cầu của người quảng trị mạng..............................................50

3.2.

Phân tích yêu cầu...................................................................................50

3.2.1.

Phần sơ đồ mạng VPN.................................................................50

3.2.2.

Phần chức năng của mạng VPN...................................................50

3.3.

Tìm hiểu và phân tích hệ thống.............................................................51

3.3.1.

Thiêt kê sơ đồ vật lý....................................................................53

3.3.2.

Thiêt kê sơ đồ IP..........................................................................55

3.4.

Triển khai..............................................................................................57

3.4.1.

Triển khai.....................................................................................57

3.4.2.

Cấu hình DMVPN kêt nối trụ sở chính với các chi nhánh...........58

3.4.3.

Kiểm thử bảo mật trong mô hình.................................................59

3.4.4.

Giải pháp phát triển trong lai.......................................................61

DANH MỤC HÌNH
Hình 1:

Mô hình VPN thông thường................................................................5

Hình 2:

Hệ thống đáp ứng thách đố người dùng.............................................13

Hình 3:

Hàm băm thông dụng MD5, SHA-1..................................................16

Hình 4:

Cấu trúc cơ bản của MD5/SHA.........................................................17

Hình 5:

Xác thực tính toàn vẹn dữ liệu dựa trên xác thực bản tin MAC.........18

Hình 6:

Chữ ký số...........................................................................................19

Hình 7:

Thuật toán mã hóa bí mật..................................................................21

Hình 8:

Sơ đồ thuật toán DES.........................................................................22

Hình 9:

Mạng Fiestel......................................................................................23

Hình 10:

Phân phối khóa trong hệ thống mật mã khóa đối xứng......................24

Hình 11:

Quá trình tạo ra khóa con trong DES.................................................25

Hình 12:

Quá trình mã hóa qua 3 key của 3DES..............................................26

Hình 13:

Thuật toán mã hoá khóa công cộng...................................................27

Hình 14:

Dữ liệu được trao đổi dựa trên thuật toán Rivest Shamir Adleman....29

Hình 15:

Quá trình thiêt lập tunnel...................................................................36

Hình 16:

Thiêt lập đường hầm thông tin...........................................................38

Hình 17:

Truyền dữ liệu qua đường hầm..........................................................38

Hình 18:

Định dạng gói tin VPN......................................................................38

Hình 19:

IPSec phases......................................................................................43

Hình 20:

IP Packet được bảo vệ bởi ESP trong Transport Mode......................46

Hình 21:

IP Packet được bảo vệ bởi ESP trong Tunnel Mode..........................46

Hình 22:

IP Packet được bảo vệ bởi AH...........................................................47

Hình 23:

IP Packet được bảo vệ bởi AH trong Transport Mode.......................47

Hình 24:

IP Packet được bảo vệ bởi AH trong Tunnel Mode............................47

Hình 25:

Transport và Tunnel mode trong IPSec so với gói tin thông thường..49

Hình 26:

Sơ đồ hệ thống mạng DMVPN cho doanh nghiệp.............................51

Hình 27:

Sơ đồ vật lý của hệ thống mạng.........................................................53

Hình 28:

Sơ đồ IP của hệ thống mạng..............................................................55

Hình 29:

Sơ đồ mạng DMVPN cho doanh nghiệp............................................57

Hình 30:

Thực hiện ping từ R đên địa chỉ IP Đà Nẵng.....................................59

Hình 31:

Thực hiện ping user từ Đà Nẵng đên router DTNN...........................60

Hình 32:

Ping từ user Đà nẵng đên Server........................................................60

Hình 33:

Lệnh show ip route............................................................................60

Hình 34:

Bắt được gói tin Hello đã mã hóa của giao thức EIGRP....................61

DANH MỤC BẢNG
Bảng 1:

Bảng kêt nối vật lý của Router Hà Nội..............................................54

Bảng 2:

Bảng kêt nối vật lý của Router TP Hồ Chí Minh...............................54

Bảng 3:

Bảng kêt nối vật lý của Router Đà Nẵng............................................54

Bảng 4:

Bảng kêt nối vật lý của Router đối tác nước ngoài............................55

Bảng 5:

Bảng cấu hình địa chỉ IP cho router R-HANOI.................................56

Bảng 6:

Bảng cấu hình địa chỉ IP cho router R-HCM.....................................56

Bảng 7:

Bảng cấu hình địa chỉ IP cho router R-DANANG.............................56

Bảng 8:

Bảng cấu hình địa chỉ IP cho router R-World....................................56

Bảng 9:

Tham số máy ảo Window XP 1.........................................................58

Bảng 10:

Tham số máy ảo Window server 2003...............................................58

Bảng 11:

Bảng cấu hình địa chỉ IP của các router.............................................59

DANH MỤC VIẾT TẮT
ACL: Acess Control List
AES: Advanced Encryption Standard
AH: Authentication Header
ARP: Address Resolution Protocol
ATM: Asynchronous Tranfer Mode
CHAP: Challenge Handshake Authentication Protocol
CIE: Client Information Entry
CPU: Central Processing Unit
DES: Data Encryption Standard
DH: Diffie-Hellman
DMVPN: Dynamic Multipoint Virtual Private Network
DNS: Domain Name System
DPD: Dead thiêt bị ngang hàng (peer) detection
EIGRP: Enhanced Interior Gateway Routing Protocol
ESP: Encapsulating Security Payload
FA: Foreign Agent
FIB: Vận chuyểning Information Base
FR: Frame Relay
GRE: Generic Routing Encapsulating
HA: Home Agent

HMAC: Hash-based Message Authentication Code)
HTTPS: Hypertext Transfer Protocol over Secure Socket Layer
ID: Identification
IDB: Interface Descriptor Block
IETF: Internet Engineering Task Force

IKE: Internet Key Exchange
IOS: Internetwork Operating System
IP: Internet Protocol
IPSec: Internet Protocol Security
IPv4: Internet Protocol version 4
ISAKMP: The Internet Security Association and Key Management Protocol
ISDN: Integrated Services Digital Network
ISP: Internet Service Provider
IV: initialization Vector
L2F: Layer 2 Vận chuyển Protocol
L2TP: Layer 2 Tunneling Protocol
MAC: Message Authentication Code
MD: Message Digest
MD5: Message Digest #5
mGRE: multipoint Generic Routing Encapsulation
MPLS: Multiprotocol Label Switching
MPPE: Microsoft Point-to-Point Encryption
MSS: Maximum Segment Size
MTU: Maximum Transfer Unit
NAS: Network Attached Storage
NAT: Network Address Translation
NBMA: Nonbroadcast Multiaccess
NHC: Next Hop Client

NHRP: Next Hop Resolution Protocol
NHS: Next Hop Server
NIST: US National Institute of Standards and Technology
NSA: National Security Agency
OSPF: Open Shortest Path First

PAP: Passwork Authentication Protocol
PAT: Port Address Translation
PFS: perfect vận chuyển secrecy
PKI: Public Key Infrastructure
PPP: Point-to-Point
PPTP: Point-to-Point Tunneling Protocol
RADIUS: Remote Authentication Dial-In Use Service
RFC: Request For Comment
RIP: Routing Information Protocol
RSA: Rivest, Shamir, and Adelman
S/KEY: Secure key
SA: Security Association
SDN: Software Defined Networks
SHA: Security Hash Algorithm
SHA-1: Secure Hash Algorithm – 1
SSL: Secure Sockets Layer
SVC: Switched Virtual Circuit
TACACS: Terminal Access Controler Access Control System
TCP/IP: Transmission Control Protocol/Internet Protocol
TLS: Transport Layer Security
UDP: User Datagram Protocol
VPN: Virtual Private Network
Xauth : Extended Authentication

MỞ ĐẦU
Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và đặc
biệt là mạng Internet ngày càng phát triển đa dạng và phong phú. Các dịch vụ trên
mạng Internet đã xâm nhập vào hầu hêt các lĩnh vực trong đời sống xã hội. Các thông
tin trao đổi trên Internet cũng đa dạng cả về nội dung và hình thức, trong đó có rất
nhiều thông tin cần bảo mật cao bởi tính kinh tê, tính chính xác và tin cậy của nó.
Bên cạnh đó, những dịch vụ mạng ngày càng có giá trị, yêu cầu phải đảm bảo tính
ổn định và an toàn cao. Tuy nhiên, các hình thức phá hoại mạng cũng trở nên tinh vi
và phức tạp hơn, do đó đối với mỗi hệ thống, nhiệm vụ bảo mật đặt ra cho người quản
trị là hêt sức quan trọng và cần thiêt.
Giải pháp bảo mật trên VPN là giải pháp khả thi nhất vì vừa đảm bảo được những
yêu tố bảo mật vừa bỏ ra chi phí vừa phải. Hiện nay VPN đang được sử dụng rất rộng
rãi. Công nghệ này ngày càng phát triển. Đó là lí do tôi chọn đề tài “Tìm Hiểu Giải
Pháp Bảo Mật Ứng Dụng Trên VPN”. Đề tài đem lại những lợi ích đáp ứng nhu cầu
thiêt thực của xã hội.
Việc đầu tiên nghĩ đên là thiêt kê mô hình mạng và áp dụng vào thưc tê, đảm bảo
được tính bảo mật là điều mà đề tài quan tâm nhất. Từ đó đưa ra các giải pháp hợp lý
với chi phí lắp đặt và sự phát triển của công nghệ ngày nay.

TÓM TẮT NỘI DUNG BÁO CÁO
Chương 1 : Cơ sở lý thuyết


Giới thiệu các công nghệ và giải pháp bảo mật trên VPN



Định nghĩa về VPN.



Nguyên tắc hoạt động của VPN.



Các kiểu VPN trên Router Cisco, PIX, ASA.

Chương 2: Bảo mật trong VPN


Các kiểu xác thực.



Các thuật toán mã hóa trên VPN: DES, 3DES, AES.



Public Key Infrastructure.



Các giao thức trên VPN.

Chương 3: Thiết kế mạng DMVPN cho doanh nghiệp trên công nghệ CISCO


Tìm hiểu các yêu cầu thực tê.



Phân tích và đặt tả yêu cầu.



Thiêt kê mô hình mạng VPN.



Demo



Hướng phát triển.

Báo cáo đồ án tốt nghiệp

CHƯƠNG 1:

GVHD: KS.GVC. Nguyễn Thế Xuân Ly

CƠ SỞ LÝ THUYẾT

1.1. Giớ thiệu về bảo mật trên mạng Internet
1.1.1. Nguy cơ làm mất an toàn thông tin mạng
Theo các chuyên gia về an ninh mạng, hiện nay có khá nhiều nguy cơ khiên cho

dữ liệu trong máy tính bị thất thoát. Tuy nhiên, có thể cụ thể hóa thành 4 nguy cơ:


Unstructure Threats: nguy cơ từ những người không có kiên thức nhiều về
mạng và hệ thống, họ tìm kiêm các công cụ được xây dựng sẵn và thử khai
thác thông tin từ người khác.



Structure Threats: nguy cơ từ những người có hiểu biêt về mạng và hệ
thống. Họ tự xây dựng chương trình và các công cụ riêng, sử dụng các công
cụ này và đi khai thác thông tin của những người khác.



Internal Threats: nguy cơ từ những người bên trong mạng nội bộ công ty để
rò rỉ thông tin ra ngoài.



External Threats: nguy từ mạng Internet, hacker xâm nhập vào trong mạng
nội bộ của doanh nghiệp và lấy cắp thông tin.

Bảo mật luôn là ưu tiên hàng đầu của mọi lĩnh vực trong xã hội. Ngày nay với sự
phát triển không ngừng của công nghệ thông tin, các vấn đề an ninh mạng được đặt ra
với nhiều giải pháp.
Bảo mật là một giải pháp với mục đích đảm bảo được an toàn của thông tin dữ
liệu đồng thời cho phép mức độ thể hiện (performance) hoạt động ở mức chấp nhận
được. Việc bảo mật thường tìm kiêm một vị trí thăng bằng giữa nhu cầu bảo mật-tốc
độ-nhu cầu doanh nghiệp.

1.1.2. Yêu cầu của bảo mật
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an toàn
thông tin có thể đên từ nhiều nơi theo nhiều cách chúng ta nên đưa ra các chính sách
và phương pháp đề phòng cần thiêt. Mục đích cuối cùng của an toàn bảo mật là bảo vệ
các thông tin và tài nguyên theo các yêu cầu sau:


Đảm bảo tính tin cậy(Confidentiality): Thông tin không thể bị truy nhập trái
phép bởi những người không có thẩm quyền.



Đảm bảo tính nguyên vẹn(Integrity): Thông tin không thể bị sửa đổi, bị làm
giả bởi những người không có thẩm quyền.

Lê Quý Công – Lớp 06T3

Trang 2

Tìm hiểu giải pháp bảo mật ứng dụng trên VPN
Đảm bảo tính sẵn sàng(Availability): Thông tin luôn sẵn sàng để đáp ứng sử



dụng cho người có thẩm quyền.
Đảm bảo tính không thể từ chối (Non-repudiation): Thông tin được cam kêt



về mặt pháp luật của người cung cấp.

1.1.3. Các giải pháp về bảo mật
Nghiên cứu về bảo mật trên mạng là vấn đề rất rộng, nhiều giải pháp đặt ra. Các
giải pháp bảo mật chung nhất cho mạng internet. Dưới đây là một số giải pháp:
Tường lửa(Firewall): dựa trên khả năng kiểm tra mạnh và tích hợp công



nghệ ngăn chặn xâm nhập vào firewall để bảo vệ mạng biên trước những
cuộc tấn công ở cấp độ ứng dụng. Loại tường lửa này cung cấp các tính năng
kiểm soát truy cập mạng và cô lập tấn công, cho phép khách hàng bảo vệ cơ
sở hạ tầng.
Mạng riêng ảo(VPN): hoạt động chung trên mạng ADSL, không có đường



truyền riêng.


IPSec VPN: Các giải pháp VPN cung cấp kêt nối an toàn, bền vững cho
truy cập toàn mạng giữa các vị trí của trụ sở với các văn phòng ở xa và
những người làm việc từ xa cũng như các đối tác.



SSL VPN: Công nghệ này cho phép mở rộng truy cập an toàn với chi phí
thấp tới các nhân viên lưu động, đối tác và khách hàng bằng cách cung cấp
các kiểm soát truy cập theo nhóm và người dùng chính, ở cả mức ứng

dụng lẫn toàn bộ tài nguyên mạng.
Thuê kênh riêng (Leased Line):




Kêt nối Internet 24h/24h bằng các đường kêt nối trực tiêp



An toàn, tin cậy(bảo mật cao)



Tốc độ cao được dự phòng tốt trên nền mạng trục Internet quốc gia.



Chi phí lắp đặt cao vì phải thuê riêng đường truyền



Ứng dụng nhiều trong các tổ chức, doanh nghiệp

Phải nói thêm rằng sẽ không có một giải pháp dùng chung cho mọi qui mô mạng
của doanh nghiệp. Lựa chọn tốt nhất cho doanh nghiệp phải dựa trên việc cân nhắc
các yêu tố: hệ điều hành triển khai trên máy chủ và máy trạm, tài nguyên mạng cần

Lê Quý Công – Lớp 06T3

Trang 3

Báo cáo đồ án tốt nghiệp

GVHD : KSGV.Nguyễn Thế Xuân Ly

thiêt cho việc truy cập, mức độ bảo mật yêu cầu, các vấn đề về hiệu suất, khả năng
quản trị…
Từ những giải pháp trên, tôi nhận thấy giải pháp bảo mật trên VPN vừa đáp ứng
được tính bảo mật dữ liệu, nhu cầu của các doanh nghiệp và vấn đề chi phí lắp đặt.
Phần tiêp theo sẽ hướng chúng ta vào công nghệ VPN trên Router CISCO. Một ứng
dụng đang được áp dụng rộng rãi trong các doanh nghiệp và nhà trường.
Một trong những mối quan tâm chính của bất kỳ công ty nào là việc bảo mật dữ
liệu của họ. Bảo mật dữ liệu chống lại các truy nhập và thay đổi trái phép không chỉ là
một vấn đề trên các mạng. Việc truyền dữ liệu giữa các máy tính hay giữa các mạng
LAN với nhau có thể làm cho dữ liệu bị tấn công và dễ bị thâm nhập hơn là khi dữ
liệu vẫn còn trên một máy tính đơn.
Bảo mật không phải là vấn đề riêng của VPN mà thực tê là mối quan tâm và thách
thức của tất cả các tổ chức có nhu cầu sử dụng môi trường mạng Internet để trao đổi
thông tin. Để thực hiện bảo mật cho dữ liệu trong mạng VPN người ta thực hiện hai
quá trình đó là xác thực (Authentication) và mật mã (Encryption).

1.2. Giới thiệu công nghệ VPN
1.2.1. Lịch sử hình thành và phát triển của mạng VPN
VPN không phải là một công nghệ hoàn toàn mới, khái niệm về VPN đã có từ
nhiều năm trước và trải qua nhiều quá trình phát triển, thay đổi cho đên nay đã tạo ra
một dạng mới nhất.
VPN đầu tiên đã được phát sinh bởi AT&T từ cuối những năm 80 và được biêt
như Software Defined Networks (SDN).

Thê hệ thứ hai của VPN ra đời từ sự xuất hiện của công nghệ X.25 và mạng dịch
vụ tích hợp kỹ thuật số ISDN (Integrated Services Digital Network) từ đầu những năm
90. Hai công nghệ này cho phép truyền những gói dữ liệu qua các mạng chia sẽ
chung.
Sau khi thê hệ thứ hai của VPN ra đời, thị trường VPN tạm thời lắng động và
chậm tiên triển, cho tới khi có sự nổi lên của hai công nghệ FR (Frame Relay) và ATM
(Asynchronous Tranfer Mode). Thê hệ thứ ba của VPN đã phát triển dựa theo 2 công
nghệ này. Hai công nghệ này phát triển dựa trên khái niệm về chuyển mạch kênh ảo,
theo đó các gói dữ liệu sẽ không chứa địa chỉ nguồn và đích. Thay vào đó, chúng sẽ
mang những con trỏ, trỏ đên các mạch ảo nơi mà dữ liệu nguồn và đích sẽ được giải
quyêt.

Lê Quý Công - Lớp 06T3

Trang 4

Tìm hiểu giải pháp bảo mật ứng dụng trên VPN

1.2.2. Định ngĩa VPN
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để
kêt nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm.
Thay vì dùng kêt nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các
liên kêt ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm
hoặc người sử dụng ở xa.
Một mạng riêng ảo (VPN – Virtual Private Network) là một công nghệ cung cấp
sự bảo mật và riêng tư trong quá trình trao đổi dữ liệu trong môi trường mạng không
an toàn. VPN đảm bảo dữ liệu được truyền bằng cách đóng gói dữ liệu và mã hóa dữ
liệu.

Hình 1:

Mô hình VPN thông thường

1.2.3. Nguyên tắc hoạt động của VPN
Một mạng riêng ảo (Virtual Private Network) là sự mở rộng của mạng nội bộ bằng
cách kêt hợp thêm với các kêt nối thông qua các mạng chia sẻ hoặc mạng công cộng
như Internet. Với VPN, người dùng có thể trao đổi dữ liệu giữa hai máy tính trên
mạng chia sẻ hoặc mạng công cộng như Internet thông qua mô phỏng một liên kêt
điểm tới điểm (point-to-point). Các gói tin được gửi qua VPN nêu bị chặn trên mạng
chia sẻ hoặc mạng công cộng sẽ không thể giải mã được vì không có mã khóa. Đó là
một mạng riêng sử dụng hạ tầng truyền thông công cộng, duy trì tính riêng tư bằng
cách sử dụng một giao thức đường hầm (tunneling protocol) và các thủ tục bảo mật

Lê Quý Công – Lớp 06T3

Trang 5

Báo cáo đồ án tốt nghiệp

GVHD : KSGV.Nguyễn Thế Xuân Ly

(security procedures). VPN có thể sử dụng để kêt nối giữa một máy tính tới một mạng
riêng hoặc hai mạng riêng với nhau.
Tính bảo mật trong VPN đạt được thông qua "đường hầm" (tunneling) bằng cách
đóng gói thông tin trong một gói IP khi truyền qua Internet. Thông tin sẽ được giải mã
tại đích đên bằng cách loại bỏ gói IP để lấy ra thông tin ban đầu.
Có bốn giao thức đường hầm (tunneling protocols) phổ biên thường được sử dụng
trong VPN, mỗi một trong chúng có ưu điểm và nhược điểm riêng. Chúng ta sẽ xem

xét và so sánh chúng dựa trên mục đích sử dụng.


Internet Protocol Security (IPSec)



Point-to-Point Tunneling Protocol (PPTP)



Layer2 Tunneling Protocol (L2TP)



Secure Socket Layer (SSL)

Các giao thức này chúng ta sẽ nghiên cứu vào phần sau của bài.

1.2.4. Các chức năng, ưu và nhược điểm của VPN
1.2.4.1. Các chức năng
VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính toàn
vẹn (Integrity) và tính bảo mật (Confidentiality).


Tính xác thực : Để thiêt lập một kêt nối VPN thì trước hêt cả hai phía phải
xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người
mình mong muốn chứ không phải là một người khác.



Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có
bất kỳ sự xáo trộn nào trong quá trình truyền dẫn.



Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua
mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như
vậy, không một ai có thể truy nhập thông tin mà không được phép. Thậm chí
nêu có lấy được thì cũng không đọc được.

1.2.4.2. Ưu và nhược điểm của VPN
Ưu điểm


Giảm thiểu chi phí triển khai.



Giảm chi phí quản lý.

Lê Quý Công - Lớp 06T3

Trang 6

Tìm hiểu giải pháp bảo mật ứng dụng trên VPN


Cải thiện kêt nối.



An toàn trong giao dịch.



Hiệu quả về băng thông.



Dễ mở rộng, nâng cấp.

Với những ưu điểm trên cho thấy sự vượt trội của VPN về mặt chi phítriển khai
và đáp ứng được tính bảo mật so với dịch vụ thuê kênh riêng Leased Line chi phí thuê
kênh riêng rất tốn kém nên không sử dụng phổ biên như VPN.
Nhược điểm


Phụ thuộc trong môi trường Internet.



Thiêu sự hổ trợ cho một số giao thức kê thừa.

1.2.5. Các kiểu VPN trên Router Cisco, Fix, ASA
VPN nhằm hướng vào 3 yêu cầu cơ bản sau đây:


Có thể truy cập bất cứ lúc nào bằng máy tính để bàn, bằng máy tính xách

tay… nhằm phục vụ việc liên lạc giữa các nhân viên của một tổ chức tới các
tài nguyên mạng.



Nối kêt thông tin liên lạc giữa các chi nhánh văn phòng từ xa.



Ðược điều khiển truy cập tài nguyên mạng khi cần thiêt của khách hàng, nhà
cung cấp và những đối tượng quan trọng của công ty nhằm hợp tác kinh
doanh.

Dựa trên những nhu cầu cơ bản trên, ngày nay VPN đã phát triển và phân chia ra
làm 2 phân loại chính sau:


VPN truy cập từ xa (Remote-Access).



VPN điểm-nối-điểm (Site-to-Site).

1.2.5.1. VPN truy cập từ xa
Giống như gợi ý của tên gọi, VPN truy cập từ xa là một kêt nối người dùng-đênLAN, cho phép truy cập bất cứ lúc nào bằng máy tính để bàn, máy tính xách tay hoặc
các thiêt bị truyền thông của nhân viên các chi nhánh kêt nối đên tài nguyên mạng của
tổ chức. Ðặc biệt là những người dùng thường xuyên di chuyển hoặc các chi nhánh
văn phòng nhỏ mà không có kêt nối thường xuyên đên mạng Intranet hợp tác.

Lê Quý Công – Lớp 06T3

Trang 7

Báo cáo đồ án tốt nghiệp

GVHD : KSGV.Nguyễn Thế Xuân Ly

Trong hình minh hoạ 1 ở trên cho thấy kêt nối giữa văn phòng chính và văn phòng
tại nhà hoặc nhân viên di động là loại VPN truy cập từ xa
Thuận lợi chính của VPN truy cập từ xa:


Sự cần thiêt của RAS và việc kêt hợp với modem được loại trừ.



Sự cần thiêt hổ trợ cho người dùng cá nhân được loại trừ bởi vì kêt nối từ xa
đã được tạo điều kiện thuận lợi bởi ISP.



Việc quay số từ những khoảng cách xa được loại trừ, thay vào đó, những kêt
nối với khoảng cách xa sẽ được thay thê bởi các kêt nối cục bộ.



Giảm giá thành chi phí cho các kêt nối với khoảng cách xa.



Do đây là một kêt nối mang tính cục bộ, do vậy tốc độ nối kêt sẽ cao hơn so
với kêt nối trực tiêp đên những khoảng cách xa.



VPN cung cấp khả năng truy cập đên trung tâm tốt hơn bởi vì nó hổ trợ dịch
vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kêt
nối đồng thời đên mạng.

1.2.5.2. VPN điểm nối điểm
VPN điểm nối điểm là việc sử dụng mật mã dành cho nhiều người để kêt nối
nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có
thể dựa trên Intranet hoặc Extranet.
VPN Intranet
Áp dụng trong trường hợp công ty có một hoặc nhiều địa điểm ở xa, mỗi địa điểm
đều đã có một mạng LAN. Khi đó họ có thể xây dựng một mạng riêng ảo để kêt nối
các mạng cục bộ vào một mạng riêng thống nhất.
Trong hình minh họa 1.1 ở trên, kêt nối giữa Văn phòng chính và Văn phòng từ xa
là loại VPN Intranet.
Thuận lợi của Intranet VPN:


Giảm thiểu đáng kể số lượng hổ trợ yêu cầu người dùng cá nhân qua toàn
cầu, các trạm ở một số remote site khác nhau.



Bởi vì Internet hoạt động như một kêt nối trung gian, nó dễ dàng cung cấp
những kêt nối mới ngang hàng.

Lê Quý Công - Lớp 06T3

Trang 8

Tìm hiểu giải pháp bảo mật ứng dụng trên VPN


Kêt nối nhanh hơn và tốt hơn do về bản chất kêt nối đên nhà cung cấp dịch
vụ, loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu
chi phí cho việc thực hiện kêt nối mạng Intranet.

Bất lợi của Intranet VPN:


Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình truyền thông trên mạng
công cộng (Internet) nên tồn tại những nguy cơ tấn công, như tấn công bằng
từ chối dịch vụ (denial-of-service) vẫn còn là một mối đe doạ an toàn thông
tin.



Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng vẫn rất cao.



Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn
như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ chậm.



Do là kêt nối dựa trên Internet, nên tính hiệu quả không liên tục, và chất
lượng dịch vụ cũng không được đảm bảo.

VPN Extranet
Khi một công ty có một mối quan hệ mật thiêt với một công ty khác (ví dụ như:
một đối tác, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng Extranet VPN
để kêt nối kiểu mạng LAN với mạng LAN và cho phép các công ty đó có thể làm việc
trong một môi trường có chia sẻ tài nguyên.
Trong hình minh họa 1ở trên, kêt nối giữa Văn phòng chính với Đối tác kinh
doanh là VPN Extranet
Thuận lợi của Extranet VPN:


Do hoạt động trên môi trường Internet nên chúng ta có thể lựa chọn nhà
phân phối khi lựa chọn và đưa ra phương pháp giải quyêt tuỳ theo nhu cầu
của tổ chức.



Bởi vì một phần kêt nối được bảo trì bởi nhà cung cấp (ISP) nên cũng giảm
chi phí bảo trì khi thuê nhân viên bảo trì.



Dễ dàng triển khai, quản lý và chỉnh sửa thông tin.

Bất lợi của Extranet VPN:


Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn
tại.



Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet.

Lê Quý Công – Lớp 06T3

Trang 9

Báo cáo đồ án tốt nghiệp


GVHD : KSGV.Nguyễn Thế Xuân Ly

Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn
như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ chậm.



Do là kêt nối dựa trên Internet, nên tính hiệu quả không liên tục, và chất
lượng dịch vụ cũng không được đảm bảo.

Ngoài ra, VPN còn nghiên cứu và phát triển các ứng dụng, giao thức mới vào.
DMVPN cho phép mở rộng những mạng IPSec VPN.
1.2.5.3. DMVPN
Dynamic Multipoint Virtual Private Network (DMVPN) là sự kêt hợp của các

công nghệ: IPSec, mGRE và NHRP.


IPSec: Mã hóa dữ liệu, cung cấp những tính năng chứng thực và toàn vẹn dữ
liệu.



GRE: Thiêt lập những “đường hầm” (tunnel) cho phép đóng gói bất kì gói
tin nào của lớp network. Ngoài ra GRE còn có thể định tuyên trên tunnel.



NHRP: Giao thức dùng để ánh xạ địa chỉ tunnel sang địa chỉ trên cổng vật lí
của Router. Nó giải quyêt được vấn đề các spoke có thể sử dụng địa chỉ IP
được cấp động bởi ISP.

Các công nghệ này kêt hợp lại cho phép triển khai IPSec trong DMVPN một cách
dễ dàng, linh động và an toàn.
Ưu điểm DMVPN
DMVPN cho phép mở rộng những mạng IPSec VPN. Ngoài ra nó còn có một số
thuận lợi như sau:


Giảm độ phức tạp khi cấu hình trên router hub mà nó cung cấp khả năng
thêm nhiều kênh một cách tự động mà không đụng đên cấu hình của hub.



Bảo đảm các packet được mã hóa khi truyền đi



Hỗ trợ nhiều giao thức định tuyên động chạy trên DMVPN tunnels



Khả năng thiêt lập động và trực tiêp giữa các kênh spoke-to-spoke IPSec
giữa các site mà không cần thông qua hub (nhờ mGRE và NHRP)



Hỗ trợ các spoke router với những địa chỉ IP vật lý động (được cấp bởi ISP)

Trong phần công nghệ DMVPN này chủ yêu giới thiệu sơ qua về DMVPN và
DMVPN có những lợi điểm gì hơn so với khi sử dụng VPN thông thường. Trong các

Lê Quý Công - Lớp 06T3

Trang 10

Tìm hiểu giải pháp bảo mật ứng dụng trên VPN
phần tiêp theo sẽ giới thiệu về các công nghệ DMVPN và cách thức hoạt động của
DMVPN.
Cách thức hoạt động DMVPN
DMVPN là một giải pháp phần mềm hệ điều hành Cisco (Cisco IOS Software)
dùng để xây dựng các IPSec + GRE VPN dễ hơn và có khả năng mở rộng hơn.
DMVPN dựa trên hai công nghệ Cisco đã được thử nghiệm :
NHRP




Hub duy trì một cơ sở dữ liệu NHRP chứa tất cả địa chỉ thật của Spoke
(địa chỉ public trên cổng vật lý).



Mỗi Spoke đăng ký địa chỉ của nó khi nó khởi động.



Các spoke truy vấn cơ sở dữ liệu NHRP cho việc tìm địa chỉ thật của các
Spoke đích để xây dựng các đường hầm (tunnel) trực tiêp.
mGRE




Cho phép một cổng GRE đơn hỗ trợ nhiều đường hầm IPSec.



Làm đơn giản quy mô và sự phức tạp của việc cấu hình.

Ngoài ra, IPSec là một đặc tính không thể thiêu trong DMVPN để xây dựng các
tunnel an toàn. DMVPN không thay đổi các chuẩn tunnel IPSec VPN, nhưng có một
chút thay đổi trong việc cấu hình.
Các Spoke có một tunnel IPSec cố định tới Hub, nhưng không tới Spoke. Các

Spoke đăng ký như là các client của NHRP server. Khi một Spoke cần gửi một gói đên
mạng đích (private) trên Spoke khác, nó phải truy vấn NHRP server để tìm địa chỉ
thực (public) của Spoke đích. Bây giờ Spoke có thể khởi tạo một đường hầm IPSec
động tới Spoke đích bởi vì nó đã biêt địa chỉ của thiêt bị ngang hàng (peer). Tunnel
spoke-to-spoke được xây dựng trên cổng mGRE.

Lê Quý Công – Lớp 06T3

Trang 11

LUẬN VĂN TỐT NGHIỆP KỸ SƯ NGÀNH CÔNG NGHỆ THÔNG TIN . ĐỀ TÀI : TÌM HIỂU GIẢI PHÁP BẢO MẬT ỨNG DỤNG TRÊN VPN

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về