ĐẠI HỌC ĐÀ NẴNG
TRƯỜNG ĐẠI HỌC BÁCH KHOA
KHOA CÔNG NGHỆ THÔNG TIN
Tel. (84-5113) 736 949, Fax. (84-5113) 842 771
Website: itf.ud.edu.vn, E-mail:
LUẬN VĂN TỐT NGHIỆP KỸ SƯ
NGÀNH CÔNG NGHỆ THÔNG TIN
MÃ NGÀNH : 05115
ĐỀ TÀI :
TÌM HIỂU GIẢI PHÁP BẢO MẬT ỨNG DỤNG TRÊN VPN
Mã số : 06T3 - 004
Ngày bảo vệ : 15,16/6/2011
SINH VIÊN :
LỚP
:
CBHD
:
LÊ QUÝ CÔNG
06T3
NGUYỄN THẾ XUÂN LY
ĐÀ NẴNG, 06/2011
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
................................................................................................................................
LỜI CẢM ƠN
Trước tiên em xin gửi lời cám ơn chân thành sâu sắc tới các thầy cô giáo trong
trường Đại học Bách Khoa Đà Nẵng nói chung và các thầy cơ giáo trong khoa Cơng
Nghệ Thơng Tin nói riêng đã tận tình giảng dạy, truyền đạt cho em những kiến thức,
kinh nghiệm quý báu trong suốt thời gian qua.
Đặc biệt em xin gửi lời cảm ơn đến thầy Nguyễn Thế Xuân Ly, thầy đã tận tình
giúp đỡ, trực tiếp chỉ bảo, hướng dẫn em trong suốt quá trình làm đồ án tốt nghiệp.
Trong thời gian làm việc với thầy, em khơng ngừng tiếp thu thêm nhiều kiến thức bổ
ích mà còn học tập được tinh thần làm việc, thái độ nghiên cứu khoa học nghiêm túc,
hiệu quả, đây là những điều rất cần thiết cho em trong quá trình học tập và công tác
sau này.
Sau cùng xin gửi lời cảm ơn chân thành tới gia đình, bạn bè đã động viên, đóng
góp ý kiến và giúp đỡ trong quá trình học tập, nghiên cứu và hồn thành đồ án tốt
nghiệp này.
LỜI CAM ĐOAN
Tôi xin cam đoan :
Những nội dung trong luận văn này là do tôi thực hiện dưới sự hướng dẫn trực
tiếp của thầy Nguyễn Thế Xuân Ly.
Mọi tham khảo dùng trong luận văn đều được trích dẫn rõ ràng tên tác giả, tên
cơng trình, thời gian, địa điểm công bố.
Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá,
tơi xin chịu hồn tồn trách nhiệm.
Sinh viên
Lê Quý Công
MỤC LỤC
CHƯƠNG 1: CƠ SỞ LÝ THUYẾT....................................................................2
1.1.
Giớ thiệu về bảo mật trên mạng Internet.................................................2
1.1.1.
Nguy cơ làm mất an toàn thông tin mạng......................................2
1.1.2.
Yêu cầu của bảo mật......................................................................2
1.1.3.
Các giải pháp về bảo mật...............................................................3
1.2.
Giới thiệu công nghệ VPN......................................................................4
1.2.1.
Lịch sử hình thành và phát triển của mạng VPN...........................4
1.2.2.
Định ngĩa VPN..............................................................................5
1.2.3.
Nguyên tắc hoạt động của VPN.....................................................5
1.2.4.
Các chức năng, ưu và nhược điểm của VPN..................................6
1.2.5.
Các kiểu VPN trên Router Cisco, Fix, ASA..................................7
CHƯƠNG 2: BẢO MẬT TRÊN VPN...............................................................12
2.1.
Các kiểu xác thực trên VPN..................................................................12
2.1.1.
Xác thực nguồn gốc dữ liệu.........................................................12
2.1.2.
Xác thực tính toàn vẹn dữ liệu.....................................................15
2.2.
Mã hóa..................................................................................................19
2.2.1.
Thuật toán mã hóa bí mật(đối xứng)............................................20
2.2.2.
Thuật toán mã hóa công cộng......................................................27
2.3.
Public Key Infrastructure......................................................................30
2.3.1.
Tổng quan về PKI........................................................................30
2.3.2.
PKI..............................................................................................31
2.3.3.
Cơ sở hạ tầng của PKI.................................................................33
2.4.
Các giao thức trên VPN.........................................................................36
2.4.1.
Kỹ thuật Tunneling......................................................................36
2.4.2.
Các giao thức...............................................................................39
2.4.3.
IPSec............................................................................................41
CHƯƠNG 3: THIẾT KẾ MẠNG DMVPN CHO DOANH NGHIỆP TRÊN
CÔNG NGHỆ CISCO.................................................................................................50
3.1.
Tìm hiểu các yêu cầu thực tê.................................................................50
3.1.1.
Yêu cầu của đối tượng doanh nghiệp...........................................50
3.1.2.
Yêu cầu của người quảng trị mạng..............................................50
3.2.
Phân tích yêu cầu...................................................................................50
3.2.1.
Phần sơ đồ mạng VPN.................................................................50
3.2.2.
Phần chức năng của mạng VPN...................................................50
3.3.
Tìm hiểu và phân tích hệ thống.............................................................51
3.3.1.
Thiêt kê sơ đồ vật lý....................................................................53
3.3.2.
Thiêt kê sơ đồ IP..........................................................................55
3.4.
Triển khai..............................................................................................57
3.4.1.
Triển khai.....................................................................................57
3.4.2.
Cấu hình DMVPN kêt nối trụ sở chính với các chi nhánh...........58
3.4.3.
Kiểm thử bảo mật trong mô hình.................................................59
3.4.4.
Giải pháp phát triển trong lai.......................................................61
DANH MỤC HÌNH
Hình 1:
Mô hình VPN thông thường................................................................5
Hình 2:
Hệ thống đáp ứng thách đố người dùng.............................................13
Hình 3:
Hàm băm thông dụng MD5, SHA-1..................................................16
Hình 4:
Cấu trúc cơ bản của MD5/SHA.........................................................17
Hình 5:
Xác thực tính toàn vẹn dữ liệu dựa trên xác thực bản tin MAC.........18
Hình 6:
Chữ ký số...........................................................................................19
Hình 7:
Thuật toán mã hóa bí mật..................................................................21
Hình 8:
Sơ đồ thuật toán DES.........................................................................22
Hình 9:
Mạng Fiestel......................................................................................23
Hình 10:
Phân phối khóa trong hệ thống mật mã khóa đối xứng......................24
Hình 11:
Quá trình tạo ra khóa con trong DES.................................................25
Hình 12:
Quá trình mã hóa qua 3 key của 3DES..............................................26
Hình 13:
Thuật toán mã hoá khóa công cộng...................................................27
Hình 14:
Dữ liệu được trao đổi dựa trên thuật toán Rivest Shamir Adleman....29
Hình 15:
Quá trình thiêt lập tunnel...................................................................36
Hình 16:
Thiêt lập đường hầm thông tin...........................................................38
Hình 17:
Truyền dữ liệu qua đường hầm..........................................................38
Hình 18:
Định dạng gói tin VPN......................................................................38
Hình 19:
IPSec phases......................................................................................43
Hình 20:
IP Packet được bảo vệ bởi ESP trong Transport Mode......................46
Hình 21:
IP Packet được bảo vệ bởi ESP trong Tunnel Mode..........................46
Hình 22:
IP Packet được bảo vệ bởi AH...........................................................47
Hình 23:
IP Packet được bảo vệ bởi AH trong Transport Mode.......................47
Hình 24:
IP Packet được bảo vệ bởi AH trong Tunnel Mode............................47
Hình 25:
Transport và Tunnel mode trong IPSec so với gói tin thông thường..49
Hình 26:
Sơ đồ hệ thống mạng DMVPN cho doanh nghiệp.............................51
Hình 27:
Sơ đồ vật lý của hệ thống mạng.........................................................53
Hình 28:
Sơ đồ IP của hệ thống mạng..............................................................55
Hình 29:
Sơ đồ mạng DMVPN cho doanh nghiệp............................................57
Hình 30:
Thực hiện ping từ R đên địa chỉ IP Đà Nẵng.....................................59
Hình 31:
Thực hiện ping user từ Đà Nẵng đên router DTNN...........................60
Hình 32:
Ping từ user Đà nẵng đên Server........................................................60
Hình 33:
Lệnh show ip route............................................................................60
Hình 34:
Bắt được gói tin Hello đã mã hóa của giao thức EIGRP....................61
DANH MỤC BẢNG
Bảng 1:
Bảng kêt nối vật lý của Router Hà Nội..............................................54
Bảng 2:
Bảng kêt nối vật lý của Router TP Hồ Chí Minh...............................54
Bảng 3:
Bảng kêt nối vật lý của Router Đà Nẵng............................................54
Bảng 4:
Bảng kêt nối vật lý của Router đối tác nước ngoài............................55
Bảng 5:
Bảng cấu hình địa chỉ IP cho router R-HANOI.................................56
Bảng 6:
Bảng cấu hình địa chỉ IP cho router R-HCM.....................................56
Bảng 7:
Bảng cấu hình địa chỉ IP cho router R-DANANG.............................56
Bảng 8:
Bảng cấu hình địa chỉ IP cho router R-World....................................56
Bảng 9:
Tham số máy ảo Window XP 1.........................................................58
Bảng 10:
Tham số máy ảo Window server 2003...............................................58
Bảng 11:
Bảng cấu hình địa chỉ IP của các router.............................................59
DANH MỤC VIẾT TẮT
ACL: Acess Control List
AES: Advanced Encryption Standard
AH: Authentication Header
ARP: Address Resolution Protocol
ATM: Asynchronous Tranfer Mode
CHAP: Challenge Handshake Authentication Protocol
CIE: Client Information Entry
CPU: Central Processing Unit
DES: Data Encryption Standard
DH: Diffie-Hellman
DMVPN: Dynamic Multipoint Virtual Private Network
DNS: Domain Name System
DPD: Dead thiêt bị ngang hàng (peer) detection
EIGRP: Enhanced Interior Gateway Routing Protocol
ESP: Encapsulating Security Payload
FA: Foreign Agent
FIB: Vận chuyểning Information Base
FR: Frame Relay
GRE: Generic Routing Encapsulating
HA: Home Agent
HMAC: Hash-based Message Authentication Code)
HTTPS: Hypertext Transfer Protocol over Secure Socket Layer
ID: Identification
IDB: Interface Descriptor Block
IETF: Internet Engineering Task Force
IKE: Internet Key Exchange
IOS: Internetwork Operating System
IP: Internet Protocol
IPSec: Internet Protocol Security
IPv4: Internet Protocol version 4
ISAKMP: The Internet Security Association and Key Management Protocol
ISDN: Integrated Services Digital Network
ISP: Internet Service Provider
IV: initialization Vector
L2F: Layer 2 Vận chuyển Protocol
L2TP: Layer 2 Tunneling Protocol
MAC: Message Authentication Code
MD: Message Digest
MD5: Message Digest #5
mGRE: multipoint Generic Routing Encapsulation
MPLS: Multiprotocol Label Switching
MPPE: Microsoft Point-to-Point Encryption
MSS: Maximum Segment Size
MTU: Maximum Transfer Unit
NAS: Network Attached Storage
NAT: Network Address Translation
NBMA: Nonbroadcast Multiaccess
NHC: Next Hop Client
NHRP: Next Hop Resolution Protocol
NHS: Next Hop Server
NIST: US National Institute of Standards and Technology
NSA: National Security Agency
OSPF: Open Shortest Path First
PAP: Passwork Authentication Protocol
PAT: Port Address Translation
PFS: perfect vận chuyển secrecy
PKI: Public Key Infrastructure
PPP: Point-to-Point
PPTP: Point-to-Point Tunneling Protocol
RADIUS: Remote Authentication Dial-In Use Service
RFC: Request For Comment
RIP: Routing Information Protocol
RSA: Rivest, Shamir, and Adelman
S/KEY: Secure key
SA: Security Association
SDN: Software Defined Networks
SHA: Security Hash Algorithm
SHA-1: Secure Hash Algorithm – 1
SSL: Secure Sockets Layer
SVC: Switched Virtual Circuit
TACACS: Terminal Access Controler Access Control System
TCP/IP: Transmission Control Protocol/Internet Protocol
TLS: Transport Layer Security
UDP: User Datagram Protocol
VPN: Virtual Private Network
Xauth : Extended Authentication
MỞ ĐẦU
Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và đặc
biệt là mạng Internet ngày càng phát triển đa dạng và phong phú. Các dịch vụ trên
mạng Internet đã xâm nhập vào hầu hêt các lĩnh vực trong đời sống xã hội. Các thông
tin trao đổi trên Internet cũng đa dạng cả về nội dung và hình thức, trong đó có rất
nhiều thông tin cần bảo mật cao bởi tính kinh tê, tính chính xác và tin cậy của nó.
Bên cạnh đó, những dịch vụ mạng ngày càng có giá trị, yêu cầu phải đảm bảo tính
ổn định và an toàn cao. Tuy nhiên, các hình thức phá hoại mạng cũng trở nên tinh vi
và phức tạp hơn, do đó đối với mỗi hệ thống, nhiệm vụ bảo mật đặt ra cho người quản
trị là hêt sức quan trọng và cần thiêt.
Giải pháp bảo mật trên VPN là giải pháp khả thi nhất vì vừa đảm bảo được những
yêu tố bảo mật vừa bỏ ra chi phí vừa phải. Hiện nay VPN đang được sử dụng rất rộng
rãi. Công nghệ này ngày càng phát triển. Đó là lí do tôi chọn đề tài “Tìm Hiểu Giải
Pháp Bảo Mật Ứng Dụng Trên VPN”. Đề tài đem lại những lợi ích đáp ứng nhu cầu
thiêt thực của xã hội.
Việc đầu tiên nghĩ đên là thiêt kê mô hình mạng và áp dụng vào thưc tê, đảm bảo
được tính bảo mật là điều mà đề tài quan tâm nhất. Từ đó đưa ra các giải pháp hợp lý
với chi phí lắp đặt và sự phát triển của công nghệ ngày nay.
TÓM TẮT NỘI DUNG BÁO CÁO
Chương 1 : Cơ sở lý thuyết
Giới thiệu các công nghệ và giải pháp bảo mật trên VPN
Định nghĩa về VPN.
Nguyên tắc hoạt động của VPN.
Các kiểu VPN trên Router Cisco, PIX, ASA.
Chương 2: Bảo mật trong VPN
Các kiểu xác thực.
Các thuật toán mã hóa trên VPN: DES, 3DES, AES.
Public Key Infrastructure.
Các giao thức trên VPN.
Chương 3: Thiết kế mạng DMVPN cho doanh nghiệp trên công nghệ CISCO
Tìm hiểu các yêu cầu thực tê.
Phân tích và đặt tả yêu cầu.
Thiêt kê mô hình mạng VPN.
Demo
Hướng phát triển.
Báo cáo đồ án tốt nghiệp
CHƯƠNG 1:
GVHD: KS.GVC. Nguyễn Thế Xuân Ly
CƠ SỞ LÝ THUYẾT
1.1. Giớ thiệu về bảo mật trên mạng Internet
1.1.1. Nguy cơ làm mất an tồn thơng tin mạng
Theo các chuyên gia về an ninh mạng, hiện nay có khá nhiều nguy cơ khiên cho
dữ liệu trong máy tính bị thất thoát. Tuy nhiên, có thể cụ thể hóa thành 4 nguy cơ:
Unstructure Threats: nguy cơ từ những người không có kiên thức nhiều về
mạng và hệ thống, họ tìm kiêm các công cụ được xây dựng sẵn và thử khai
thác thông tin từ người khác.
Structure Threats: nguy cơ từ những người có hiểu biêt về mạng và hệ
thống. Họ tự xây dựng chương trình và các công cụ riêng, sử dụng các công
cụ này và đi khai thác thông tin của những người khác.
Internal Threats: nguy cơ từ những người bên trong mạng nội bộ công ty để
rị rỉ thơng tin ra ngoài.
External Threats: nguy từ mạng Internet, hacker xâm nhập vào trong mạng
nội bộ của doanh nghiệp và lấy cắp thông tin.
Bảo mật luôn là ưu tiên hàng đầu của mọi lĩnh vực trong xã hội. Ngày nay với sự
phát triển không ngừng của công nghệ thông tin, các vấn đề an ninh mạng được đặt ra
với nhiều giải pháp.
Bảo mật là một giải pháp với mục đích đảm bảo được an toàn của thông tin dữ
liệu đồng thời cho phép mức độ thể hiện (performance) hoạt động ở mức chấp nhận
được. Việc bảo mật thường tìm kiêm một vị trí thăng bằng giữa nhu cầu bảo mật-tốc
độ-nhu cầu doanh nghiệp.
1.1.2. Yêu cầu của bảo mật
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an toàn
thông tin có thể đên từ nhiều nơi theo nhiều cách chúng ta nên đưa ra các chính sách
và phương pháp đề phịng cần thiêt. Mục đích ći cùng của an toàn bảo mật là bảo vệ
các thông tin và tài nguyên theo các yêu cầu sau:
Đảm bảo tính tin cậy(Confidentiality): Thông tin không thể bị truy nhập trái
phép bởi những người không có thẩm quyền.
Đảm bảo tính nguyên vẹn(Integrity): Thông tin không thể bị sửa đổi, bị làm
giả bởi những người không có thẩm quyền.
Lê Quý Công – Lớp 06T3
Trang 2
Tìm hiểu giải pháp bảo mật ứng dụng trên VPN
Đảm bảo tính sẵn sàng(Availability): Thông tin luôn sẵn sàng để đáp ứng sử
dụng cho người có thẩm quyền.
Đảm bảo tính không thể từ chối (Non-repudiation): Thông tin được cam kêt
về mặt pháp luật của người cung cấp.
1.1.3. Các giải pháp về bảo mật
Nghiên cứu về bảo mật trên mạng là vấn đề rất rộng, nhiều giải pháp đặt ra. Các
giải pháp bảo mật chung nhất cho mạng internet. Dưới đây là một số giải pháp:
Tường lửa(Firewall): dựa trên khả năng kiểm tra mạnh và tích hợp công
nghệ ngăn chặn xâm nhập vào firewall để bảo vệ mạng biên trước những
cuộc tấn công ở cấp độ ứng dụng. Loại tường lửa này cung cấp các tính năng
kiểm soát truy cập mạng và cô lập tấn công, cho phép khách hàng bảo vệ cơ
sở hạ tầng.
Mạng riêng ảo(VPN): hoạt động chung trên mạng ADSL, không có đường
truyền riêng.
IPSec VPN: Các giải pháp VPN cung cấp kêt nối an toàn, bền vững cho
truy cập toàn mạng giữa các vị trí của trụ sở với các văn phòng ở xa và
những người làm việc từ xa cũng như các đối tác.
SSL VPN: Công nghệ này cho phép mở rộng truy cập an toàn với chi phí
thấp tới các nhân viên lưu động, đối tác và khách hàng bằng cách cung cấp
các kiểm soát truy cập theo nhóm và người dùng chính, ở cả mức ứng
dụng lẫn toàn bộ tài nguyên mạng.
Thuê kênh riêng (Leased Line):
Kêt nối Internet 24h/24h bằng các đường kêt nối trực tiêp
An toàn, tin cậy(bảo mật cao)
Tốc độ cao được dự phịng tớt trên nền mạng trục Internet q́c gia.
Chi phí lắp đặt cao vì phải thuê riêng đường truyền
Ứng dụng nhiều trong các tổ chức, doanh nghiệp
Phải nói thêm rằng sẽ không có một giải pháp dùng chung cho mọi qui mô mạng
của doanh nghiệp. Lựa chọn tốt nhất cho doanh nghiệp phải dựa trên việc cân nhắc
các yêu tố: hệ điều hành triển khai trên máy chủ và máy trạm, tài nguyên mạng cần
Lê Quý Công – Lớp 06T3
Trang 3
Báo cáo đồ án tốt nghiệp
GVHD : KSGV.Nguyễn Thế Xuân Ly
thiêt cho việc truy cập, mức độ bảo mật yêu cầu, các vấn đề về hiệu suất, khả năng
quản trị…
Từ những giải pháp trên, tôi nhận thấy giải pháp bảo mật trên VPN vừa đáp ứng
được tính bảo mật dữ liệu, nhu cầu của các doanh nghiệp và vấn đề chi phí lắp đặt.
Phần tiêp theo sẽ hướng chúng ta vào công nghệ VPN trên Router CISCO. Một ứng
dụng đang được áp dụng rộng rãi trong các doanh nghiệp và nhà trường.
Một trong những mối quan tâm chính của bất kỳ công ty nào là việc bảo mật dữ
liệu của họ. Bảo mật dữ liệu chống lại các truy nhập và thay đổi trái phép không chỉ là
một vấn đề trên các mạng. Việc truyền dữ liệu giữa các máy tính hay giữa các mạng
LAN với nhau có thể làm cho dữ liệu bị tấn công và dễ bị thâm nhập hơn là khi dữ
liệu vẫn còn trên một máy tính đơn.
Bảo mật không phải là vấn đề riêng của VPN mà thực tê là mối quan tâm và thách
thức của tất cả các tổ chức có nhu cầu sử dụng môi trường mạng Internet để trao đổi
thông tin. Để thực hiện bảo mật cho dữ liệu trong mạng VPN người ta thực hiện hai
quá trình đó là xác thực (Authentication) và mật mã (Encryption).
1.2. Giới thiệu công nghệ VPN
1.2.1. Lịch sử hình thành và phát triển của mạng VPN
VPN không phải là một công nghệ hoàn toàn mới, khái niệm về VPN đã có từ
nhiều năm trước và trải qua nhiều quá trình phát triển, thay đổi cho đên nay đã tạo ra
một dạng mới nhất.
VPN đầu tiên đã được phát sinh bởi AT&T từ cuối những năm 80 và được biêt
như Software Defined Networks (SDN).
Thê hệ thứ hai của VPN ra đời từ sự xuất hiện của công nghệ X.25 và mạng dịch
vụ tích hợp kỹ thuật số ISDN (Integrated Services Digital Network) từ đầu những năm
90. Hai công nghệ này cho phép truyền những gói dữ liệu qua các mạng chia sẽ
chung.
Sau khi thê hệ thứ hai của VPN ra đời, thị trường VPN tạm thời lắng động và
chậm tiên triển, cho tới khi có sự nổi lên của hai công nghệ FR (Frame Relay) và ATM
(Asynchronous Tranfer Mode). Thê hệ thứ ba của VPN đã phát triển dựa theo 2 công
nghệ này. Hai công nghệ này phát triển dựa trên khái niệm về chuyển mạch kênh ảo,
theo đó các gói dữ liệu sẽ không chứa địa chỉ nguồn và đích. Thay vào đó, chúng sẽ
mang những con trỏ, trỏ đên các mạch ảo nơi mà dữ liệu nguồn và đích sẽ được giải
quyêt.
Lê Quý Công - Lớp 06T3
Trang 4
Tìm hiểu giải pháp bảo mật ứng dụng trên VPN
1.2.2. Định ngĩa VPN
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để
kêt nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm.
Thay vì dùng kêt nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các
liên kêt ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm
hoặc người sử dụng ở xa.
Một mạng riêng ảo (VPN – Virtual Private Network) là một công nghệ cung cấp
sự bảo mật và riêng tư trong quá trình trao đổi dữ liệu trong môi trường mạng không
an toàn. VPN đảm bảo dữ liệu được truyền bằng cách đóng gói dữ liệu và mã hóa dữ
liệu.
Hình 1:
Mô hình VPN thông thường
1.2.3. Nguyên tắc hoạt động của VPN
Một mạng riêng ảo (Virtual Private Network) là sự mở rộng của mạng nội bộ bằng
cách kêt hợp thêm với các kêt nối thông qua các mạng chia sẻ hoặc mạng công cộng
như Internet. Với VPN, người dùng có thể trao đổi dữ liệu giữa hai máy tính trên
mạng chia sẻ hoặc mạng công cộng như Internet thông qua mô phỏng một liên kêt
điểm tới điểm (point-to-point). Các gói tin được gửi qua VPN nêu bị chặn trên mạng
chia sẻ hoặc mạng công cộng sẽ không thể giải mã được vì không có mã khóa. Đó là
một mạng riêng sử dụng hạ tầng truyền thông công cộng, duy trì tính riêng tư bằng
cách sử dụng một giao thức đường hầm (tunneling protocol) và các thủ tục bảo mật
Lê Quý Công – Lớp 06T3
Trang 5
Báo cáo đồ án tốt nghiệp
GVHD : KSGV.Nguyễn Thế Xuân Ly
(security procedures). VPN có thể sử dụng để kêt nối giữa một máy tính tới một mạng
riêng hoặc hai mạng riêng với nhau.
Tính bảo mật trong VPN đạt được thông qua "đường hầm" (tunneling) bằng cách
đóng gói thông tin trong một gói IP khi truyền qua Internet. Thông tin sẽ được giải mã
tại đích đên bằng cách loại bỏ gói IP để lấy ra thông tin ban đầu.
Có bốn giao thức đường hầm (tunneling protocols) phổ biên thường được sử dụng
trong VPN, mỗi một trong chúng có ưu điểm và nhược điểm riêng. Chúng ta sẽ xem
xét và so sánh chúng dựa trên mục đích sử dụng.
Internet Protocol Security (IPSec)
Point-to-Point Tunneling Protocol (PPTP)
Layer2 Tunneling Protocol (L2TP)
Secure Socket Layer (SSL)
Các giao thức này chúng ta sẽ nghiên cứu vào phần sau của bài.
1.2.4. Các chức năng, ưu và nhược điểm của VPN
1.2.4.1. Các chức năng
VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính toàn
vẹn (Integrity) và tính bảo mật (Confidentiality).
Tính xác thực : Để thiêt lập một kêt nối VPN thì trước hêt cả hai phía phải
xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người
mình mong muốn chứ không phải là một người khác.
Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có
bất kỳ sự xáo trộn nào trong quá trình truyền dẫn.
Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua
mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như
vậy, không một ai có thể truy nhập thông tin mà không được phép. Thậm chí
nêu có lấy được thì cũng không đọc được.
1.2.4.2. Ưu và nhược điểm của VPN
Ưu điểm
Giảm thiểu chi phí triển khai.
Giảm chi phí quản lý.
Lê Quý Công - Lớp 06T3
Trang 6
Tìm hiểu giải pháp bảo mật ứng dụng trên VPN
Cải thiện kêt nối.
An toàn trong giao dịch.
Hiệu quả về băng thông.
Dễ mở rộng, nâng cấp.
Với những ưu điểm trên cho thấy sự vượt trội của VPN về mặt chi phítriển khai
và đáp ứng được tính bảo mật so với dịch vụ thuê kênh riêng Leased Line chi phí thuê
kênh riêng rất tốn kém nên không sử dụng phổ biên như VPN.
Nhược điểm
Phụ thuộc trong môi trường Internet.
Thiêu sự hổ trợ cho một số giao thức kê thừa.
1.2.5. Các kiểu VPN trên Router Cisco, Fix, ASA
VPN nhằm hướng vào 3 yêu cầu cơ bản sau đây:
Có thể truy cập bất cứ lúc nào bằng máy tính để bàn, bằng máy tính xách
tay… nhằm phục vụ việc liên lạc giữa các nhân viên của một tổ chức tới các
tài nguyên mạng.
Nối kêt thơng tin liên lạc giữa các chi nhánh văn phịng từ xa.
Ðược điều khiển truy cập tài nguyên mạng khi cần thiêt của khách hàng, nhà
cung cấp và những đối tượng quan trọng của công ty nhằm hợp tác kinh
doanh.
Dựa trên những nhu cầu cơ bản trên, ngày nay VPN đã phát triển và phân chia ra
làm 2 phân loại chính sau:
VPN truy cập từ xa (Remote-Access).
VPN điểm-nối-điểm (Site-to-Site).
1.2.5.1. VPN truy cập từ xa
Giống như gợi ý của tên gọi, VPN truy cập từ xa là một kêt nối người dùng-đênLAN, cho phép truy cập bất cứ lúc nào bằng máy tính để bàn, máy tính xách tay hoặc
các thiêt bị truyền thông của nhân viên các chi nhánh kêt nối đên tài nguyên mạng của
tổ chức. Ðặc biệt là những người dùng thường xuyên di chuyển hoặc các chi nhánh
văn phịng nhỏ mà khơng có kêt nới thường xun đên mạng Intranet hợp tác.
Lê Quý Công – Lớp 06T3
Trang 7
Báo cáo đồ án tốt nghiệp
GVHD : KSGV.Nguyễn Thế Xuân Ly
Trong hình minh hoạ 1 ở trên cho thấy kêt nới giữa văn phịng chính và văn phịng
tại nhà hoặc nhân viên di động là loại VPN truy cập từ xa
Thuận lợi chính của VPN truy cập từ xa:
Sự cần thiêt của RAS và việc kêt hợp với modem được loại trừ.
Sự cần thiêt hổ trợ cho người dùng cá nhân được loại trừ bởi vì kêt nối từ xa
đã được tạo điều kiện thuận lợi bởi ISP.
Việc quay số từ những khoảng cách xa được loại trừ, thay vào đó, những kêt
nối với khoảng cách xa sẽ được thay thê bởi các kêt nối cục bộ.
Giảm giá thành chi phí cho các kêt nối với khoảng cách xa.
Do đây là một kêt nối mang tính cục bộ, do vậy tốc độ nối kêt sẽ cao hơn so
với kêt nối trực tiêp đên những khoảng cách xa.
VPN cung cấp khả năng truy cập đên trung tâm tốt hơn bởi vì nó hổ trợ dịch
vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kêt
nối đồng thời đên mạng.
1.2.5.2. VPN điểm nối điểm
VPN điểm nối điểm là việc sử dụng mật mã dành cho nhiều người để kêt nối
nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có
thể dựa trên Intranet hoặc Extranet.
VPN Intranet
Áp dụng trong trường hợp công ty có một hoặc nhiều địa điểm ở xa, mỗi địa điểm
đều đã có một mạng LAN. Khi đó họ có thể xây dựng một mạng riêng ảo để kêt nối
các mạng cục bộ vào một mạng riêng thống nhất.
Trong hình minh họa 1.1 ở trên, kêt nối giữa Văn phòng chính và Văn phòng từ xa
là loại VPN Intranet.
Thuận lợi của Intranet VPN:
Giảm thiểu đáng kể số lượng hổ trợ yêu cầu người dùng cá nhân qua toàn
cầu, các trạm ở một số remote site khác nhau.
Bởi vì Internet hoạt động như một kêt nối trung gian, nó dễ dàng cung cấp
những kêt nối mới ngang hàng.
Lê Quý Công - Lớp 06T3
Trang 8
Tìm hiểu giải pháp bảo mật ứng dụng trên VPN
Kêt nối nhanh hơn và tốt hơn do về bản chất kêt nối đên nhà cung cấp dịch
vụ, loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu
chi phí cho việc thực hiện kêt nối mạng Intranet.
Bất lợi của Intranet VPN:
Bởi vì dữ liệu vẫn cịn tunnel trong śt quá trình trùn thơng trên mạng
cơng cộng (Internet) nên tồn tại những nguy cơ tấn công, như tấn cơng bằng
từ chới dịch vụ (denial-of-service) vẫn cịn là một mối đe doạ an toàn thông
tin.
Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng vẫn rất cao.
Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn
như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ chậm.
Do là kêt nối dựa trên Internet, nên tính hiệu quả không liên tục, và chất
lượng dịch vụ cũng không được đảm bảo.
VPN Extranet
Khi một công ty có một mối quan hệ mật thiêt với một công ty khác (ví dụ như:
một đối tác, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng Extranet VPN
để kêt nối kiểu mạng LAN với mạng LAN và cho phép các công ty đó có thể làm việc
trong một môi trường có chia sẻ tài nguyên.
Trong hình minh họa 1ở trên, kêt nới giữa Văn phịng chính với Đới tác kinh
doanh là VPN Extranet
Thuận lợi của Extranet VPN:
Do hoạt động trên môi trường Internet nên chúng ta có thể lựa chọn nhà
phân phối khi lựa chọn và đưa ra phương pháp giải quyêt tuỳ theo nhu cầu
của tổ chức.
Bởi vì một phần kêt nối được bảo trì bởi nhà cung cấp (ISP) nên cũng giảm
chi phí bảo trì khi thuê nhân viên bảo trì.
Dễ dàng triển khai, quản lý và chỉnh sửa thông tin.
Bất lợi của Extranet VPN:
Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn cịn tờn
tại.
Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet.
Lê Quý Công – Lớp 06T3
Trang 9
Báo cáo đồ án tốt nghiệp
GVHD : KSGV.Nguyễn Thế Xuân Ly
Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn
như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ chậm.
Do là kêt nối dựa trên Internet, nên tính hiệu quả không liên tục, và chất
lượng dịch vụ cũng không được đảm bảo.
Ngoài ra, VPN còn nghiên cứu và phát triển các ứng dụng, giao thức mới vào.
DMVPN cho phép mở rộng những mạng IPSec VPN.
1.2.5.3. DMVPN
Dynamic Multipoint Virtual Private Network (DMVPN) là sự kêt hợp của các
công nghệ: IPSec, mGRE và NHRP.
IPSec: Mã hóa dữ liệu, cung cấp những tính năng chứng thực và toàn vẹn dữ
liệu.
GRE: Thiêt lập những “đường hầm” (tunnel) cho phép đóng gói bất kì gói
tin nào của lớp network. Ngoài ra GRE còn có thể định tuyên trên tunnel.
NHRP: Giao thức dùng để ánh xạ địa chỉ tunnel sang địa chỉ trên cổng vật lí
của Router. Nó giải quyêt được vấn đề các spoke có thể sử dụng địa chỉ IP
được cấp động bởi ISP.
Các công nghệ này kêt hợp lại cho phép triển khai IPSec trong DMVPN một cách
dễ dàng, linh động và an toàn.
Ưu điểm DMVPN
DMVPN cho phép mở rộng những mạng IPSec VPN. Ngoài ra nó cịn có một sớ
tḥn lợi như sau:
Giảm độ phức tạp khi cấu hình trên router hub mà nó cung cấp khả năng
thêm nhiều kênh một cách tự động mà không đụng đên cấu hình của hub.
Bảo đảm các packet được mã hóa khi truyền đi
Hỗ trợ nhiều giao thức định tuyên động chạy trên DMVPN tunnels
Khả năng thiêt lập động và trực tiêp giữa các kênh spoke-to-spoke IPSec
giữa các site mà không cần thông qua hub (nhờ mGRE và NHRP)
Hỗ trợ các spoke router với những địa chỉ IP vật lý động (được cấp bởi ISP)
Trong phần công nghệ DMVPN này chủ yêu giới thiệu sơ qua về DMVPN và
DMVPN có những lợi điểm gì hơn so với khi sử dụng VPN thông thường. Trong các
Lê Quý Công - Lớp 06T3
Trang 10
Tìm hiểu giải pháp bảo mật ứng dụng trên VPN
phần tiêp theo sẽ giới thiệu về các công nghệ DMVPN và cách thức hoạt động của
DMVPN.
Cách thức hoạt động DMVPN
DMVPN là một giải pháp phần mềm hệ điều hành Cisco (Cisco IOS Software)
dùng để xây dựng các IPSec + GRE VPN dễ hơn và có khả năng mở rộng hơn.
DMVPN dựa trên hai công nghệ Cisco đã được thử nghiệm :
NHRP
Hub duy trì một cơ sở dữ liệu NHRP chứa tất cả địa chỉ thật của Spoke
(địa chỉ public trên cổng vật lý).
Mỗi Spoke đăng ký địa chỉ của nó khi nó khởi động.
Các spoke truy vấn cơ sở dữ liệu NHRP cho việc tìm địa chỉ thật của các
Spoke đích để xây dựng các đường hầm (tunnel) trực tiêp.
mGRE
Cho phép một cổng GRE đơn hỗ trợ nhiều đường hầm IPSec.
Làm đơn giản quy mô và sự phức tạp của việc cấu hình.
Ngoài ra, IPSec là một đặc tính không thể thiêu trong DMVPN để xây dựng các
tunnel an toàn. DMVPN không thay đổi các chuẩn tunnel IPSec VPN, nhưng có một
chút thay đổi trong việc cấu hình.
Các Spoke có một tunnel IPSec cố định tới Hub, nhưng không tới Spoke. Các
Spoke đăng ký như là các client của NHRP server. Khi một Spoke cần gửi một gói đên
mạng đích (private) trên Spoke khác, nó phải truy vấn NHRP server để tìm địa chỉ
thực (public) của Spoke đích. Bây giờ Spoke có thể khởi tạo một đường hầm IPSec
động tới Spoke đích bởi vì nó đã biêt địa chỉ của thiêt bị ngang hàng (peer). Tunnel
spoke-to-spoke được xây dựng trên cổng mGRE.
Lê Quý Công – Lớp 06T3
Trang 11