BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - LÊ NGỌC HOÀN NGHIÊN CỨU VÀ THỬ NGHIỆM HẠ TẦNG PKI, MẠNG RIÊNG ẢO VPN ÁP DỤNG CHO TRƯỜNG ĐẠI HỌC VĂN HÓA THỂ THAO VÀ DU LỊCH Chuyên ngành: CÔNG NGHỆ THÔNG TIN LUẬN VĂN THẠC SĨ KỸ THUẬT CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC PGS.TS NGUYỄN LINH GIANG Hà Nội - 2014 Luận văn thạc sỹ LỜI CAM ĐOAN Tên Lê Ngọc Hoàn, sinh ngày 06 tháng 01 năm 1982 Quê quán: Thọ Sơn, Triệu Sơn, Thanh Hóa, Học viên lớp: Cao học Cơng nghệ Thơng tin, khóa học 2012-2014 Trường Đại học Bách khoa Hà Nội Tôi xin cam đoan nội dung luận văn hoàn toàn kết tìm hiểu nghiên cứu thân tơi sở hướng dẫn khoa học PGS.TS.Nguyễn Linh Giang, Viện Công nghệ Thông tin - Đại học Bách khoa Hà Nội luận văn tơi có sử dụng số tài liệu tham khảo nước nước ngồi, có liệt kê đầy đủ mục tài liệu tham khảo luận văn không chép nguồn tài liệu Tơi xin cam đoan chịu hồn tồn trách nhiệm luận văn Hà nội, tháng năm 2014 Lê ngọc Hoàn Lê Ngọc Hoàn Trang Luận văn thạc sỹ DANH MỤC CÁC KÍ HIỆU, CÁC CHỮ VIẾT TẮT CA ISP CNTT LAN L2TP PPTP 10 11 12 PPP L2F IPSec VPN PKI ROOT CA 13 14 RA PKIX 15 16 POP CSP 17 18 19 PGP DTE DCE 20 LCP Lê Ngọc Hoàn Certification Authorities Internet Service Provider Công nghệ thông tin Internet service provider Layer Tunneling Protocol Point-to-Point Tunneling Protocol Point-to-point Protocol Layer Forwarding Internet Protocol Security Virtual Private Network Public Key Infrastructure Root Certification Authorities Registration Authorities Public-Key Infrastructure X.509 proof of possession Certification Service Provider Prety Good Privacy Data Terminal Equipment Data Circuit-terminating Equipment Link Control Protocol Trang Luận văn thạc sỹ DANH MỤC CÁC BẢNG Bảng .81 Bảng .82 DANH MỤC HÌNH VẼ, ĐỒ THỊ Hình 1.1 Thơng báo lỗ hổng 10 Hình 1.2 Thông báo cố .10 Hình 1.3 Trands in attack sophistication and intruder knowledge – 11 Các xu hướng công tinh vi phát kẻ xâm nhập .11 Hình 1.4 Mơ hìn an tồn mạng 14 Hình 1.5 Mơ hình an tồn truy cập mạng 15 Hình 1.6 Các thành phần PKI 17 Hình 1.7 Đường dẫn chứng chéo .24 Hình 1.8 Mơ hình CA đơn 26 Hình 1.9 Mơ hình phân cấp 27 Hình 1.10 Mơ hình mắt lưới .29 Hình 1.11 Mơ hình Hub Spoke (Bridge CA) 31 Hình 1.12 Mơ hình web 32 Hình 1.13 Các ứng dụng tiêu biểu PKI .34 Hình 2.1 Thiết lập truy nhập từ xa khơng có VPN 46 Hình 2.2 Thiết lập VPN truy nhập từ xa 46 Hình 2.3 Thiết lập Intranet sử dụng WAN 47 Hình 4.4 Thiết lập Intranet dựa VPN .48 Hình 2.5 Mạng Extranet truyền thống .50 Hình 2.6 Mạng Extranet dựa VPN 50 Hình 2.7 Vị trí L2F, PPTP, L2TP mơ hình OSI 55 Hình 2.8 Vị trí IPSec mơ hình OSI 56 Hình 2.9 Mơ tả vai trị PPP giao dịch dựa PPTP .57 Hình 2.10 Mơ tả tiến trình xử lý liệu PPTP đường hầm 59 Lê Ngọc Hoàn Trang Luận văn thạc sỹ Hình 2.11 Đường hầm L2F từ POP ISP tới Gateway mạng riêng 61 Hình 2.12 Đường hầm L2TP 63 Hình 2.13 Đường hầm L2TP bắt buộc 65 Hình 2.14 Đường hầm L2TP tự nguyện 65 Hình 2.15 Quá trình thiết lập đường hầm L2TP tự nguyện 66 Hình 2.16 Vị trí IPSec mơ hình OSI .67 Hình 2.17 Kiến trúc giao thức IPSec 68 Hình 2.18 Mơ tả ba trường IPSec SA 69 Hình 2.19 Khn dạng gói tin AH 71 Hình 2.20 Khn dạng gói tin AH chế độ Tunnel 72 Hình 2.21 Khn dạng ESP 74 Hình 2.22 Gói ESP chế độ Transport .75 Hình 2.23 Gói ESP chế độ Tunnel 76 Hình 2.24 Mơ hình mạng MPLS .81 Lê Ngọc Hoàn Trang Luận văn thạc sỹ MỤC LỤC LỜI CAM ĐOAN .1 DANH MỤC CÁC KÍ HIỆU, CÁC CHỮ VIẾT TẮT .2 DANH MỤC CÁC BẢNG DANH MỤC HÌNH VẼ, ĐỒ THỊ MỤC LỤC Chương Hạ tầng mã khố cơng khai (PKI) 1.1 Tổng quan an ninh thông tin 1.2 Tổng quan PKI 15 1.3 Các thành phần PKI 16 1.4 Chức PKI 20 1.5 Một số kiến trúc (mô hình) PKI 24 1.6 Các ứng dụng, hệ thống PKI hành .34 Chương Tìm hiểu mạng riêng ảo (VPN) 38 2.1 Tổng quan mạng riêng ảo 38 2.2 Các thành phần mạng riêng ảo (VPN) 40 2.3 Mơ hình mạng riêng ảo thông dụng 44 2.4 Các giải pháp an toàn bảo mật mạng riêng ảo (VPN) 51 2.5 Các giao thức sử dụng công nghệ mạng riêng ảo (VPN) .54 Chương Ứng dụng hạ tầng PKI, mạng riêng ảo (VPN) cho Trường Đại học Văn Hóa, Thể thao Du lịch Thanh Hóa .85 3.1 Đặc điểm chung an toàn an ninh thông tin 85 3.2 Quản lý an toàn an ninh thông tin 86 3.3 Các yêu cầu triển khai .86 3.4 Kết triển khai 88 3.5 Đánh giá hiệu nghiên cứu triển khai thử nghiệm hệ thống 89 TÀI LIỆU THAM KHẢO 94 Lê Ngọc Hoàn Trang Luận văn thạc sỹ LỜI MỞ ĐẦU Lí chọn dề tài Những năm gần đây, khoa học công nghệ phát triển mạnh mẽ, đặc biệt công nghệ thông tin truyền thông thực đem lai ảnh hưởng to lớn đến lĩnh vực đời sống, kinh tế xã hội, tham gia tác động mạnh mẽ vào trình phát triển kinh tế xã hội, mà cụ thể tạo nhiều thành tựu to lớn cho ngành công tác quản lý, xử lý thông tin, truyển thông Nhưng bên cạnh vấn đề bảo mật, an tồn an ninh riêng tư hệ thống đường truyền đặt với nhiều mối đe dọa, thách thức ngày đa dạng phức tạp Việc phát triển sách chế bảo mật, an toan an ninh cho hệ thống cho đường truyền đa dạng phổ biến Trong đó, ứng dụng hạ tầng PKI cho vấn đề bảo mật, an toàn an ninh phổ biến mang lại hiệu lớn Tìm hiểu xây dựng hạ tầng sở xác thực khóa cơng khai PKI kết hợp với hạ tầng mạng riêng ảo cách tiếp cận cho tảng mà triển khai thử nghiệm ứng dụng cho thực tiễn nhằm nâng cao hiệu quản lý, đáp ứng nhu cầu truy cập liệu ứng dụng cho người dùng xa qua internet Kết nghiên cứu áp dụng cho tất văn phòng chi nhánh, văn phòng cần trao đổi liệu với Nhận thức mối quan hệ kết nối vấn hai vấn đề trên, chọn đề tài nghiên cứu cho luận văn minh là: “Nghiên cứu thử nghiệm hạ tầng PKI, mạng riêng ảo áp dụng cho Trường Đại học Văn hóa, Thể thao Du lịch Thanh Hóa” Lịch sử nghiên cứu Ở Việt Nam, hạ tầng khóa cơng khai PKI khơng cịn q số doanh nghiệp lớn Đặc biệt nhà cung cấp phát triển dịch vụ mạng, hầu hết hệ thống dịch vụ họ triển khai ứng dụng giải pháp bảo mật, an ninh thông tin Hạ tầng PKI ứng dụng Bên cạnh đó, hệ thống mạng internet dịch vụ mạng phát triền mạnh mẽ nhu cầu truy cập trao đổi tài nguyên thông tin tạo ra, dẫn đến lỗ hổng bảo mật an ninh thông tin kênh truyền Một giải pháp nghiên cứu triển khai để đảm bảo tính bảo Lê Ngọc Hồn Trang Luận văn thạc sỹ mật an ninh thông tin truyền Mục tiêu giải pháp tạo kênh truyền riêng sở mạng dùng chung với chế sách riêng Cơ sở hạ tầng khóa cơng khai PKI mạng kết nối riêng hệ thống mạng dùng chung (Mạng riêng ảo -VPN) cho thấy hiệu lớn bảo mật, an tồn an ninh thơng tin tổ chức, doanh nghiệp Vì chúng nhiều nhà khoa học, nhiều tổ chức nghiên cứu phát triển cho hệ thống, dịch vụ mạng Mục đích, đối tượng, phạm vi nghiên cứu đề tài: Nghiên cứu thử nghiệm hạ tầng PKI, mạng riêng ảo (VPN) áp dụng cho Trường Đại học Văn hóa, Thể thao Du lịch Thanh Hóa Môi trường thử nghiệm xây dựng kết nối hệ thống mạng LAN sở trường windows server 2008 Đề tài tập trung nghiên cứu hạ tầng PKI mạng riêng ảo (VPN) sở lý thuyết sau thực xây dựng thử nghiệm windows server 2008 Tóm tắt nội dung đề tài Đề tài tập chung nghiên cứu ứng dụng triển khai nội dung sau đây: - Tổng quan an ninh thơng tin - Hạ tầng mã khóa khóa cơng khai PKI - Tìm hiểu mạng riêng ảo (VPN) - Cơng nghệ PKI – Mạng riêng ảo (VPN) - Xây dựng thử nghiệm hạ tầng PKI, mạng riêng ảo (VPN) windows server 2008 Phương pháp nghiên cứu Đề tài sử dụng nhóm phương pháp nghiên cứu: - Nhóm phương pháp nghiên cứu lý luận: Phân tích, đánh giá, tổng hợp mơ hình, - Nhóm phương pháp thực hành, thử nghiệm: Nghiên cứu sản phẩm; ứng dụng thuật tốn mơ hình; thực hành thử nghiệm hệ thống Lê Ngọc Hoàn Trang Luận văn thạc sỹ Luận văn hoàn thành với hướng dẫn tận tình PGS.TS Nguyễn Linh Giang, Viện Cơng nghệ Thông tin, Trường Đại học Bách Khoa Hà Nội với cố gắng, nỗ lực thân giúp đỡ tạo điều kiện Cơ quan, gia đình, bạn bè Tôi xin chân thành cảm ơn giúp đõ hỗ trợ quý báu Trong luận văn tơi có tham khảo số tài liệu nước nước ngồi, có liệt kê đầy đủ phần tài liệu tham khảo Hà Nội, tháng năm 2014 Lê Ngọc Hoàn Lê Ngọc Hoàn Trang Luận văn thạc sỹ Chương Hạ tầng mã khố cơng khai (PKI) 1.1 Tổng quan an ninh thông tin 1.1.1 Xu hướng an ninh Năm 1994 hiệp hội an ninh mạng (IAB) đưa báo cáo mang tên “kiến trúc an ninh mạng internet” Báo cáo đưa thống chung mạng internet cần đảm bảo tốt vấn đề an ninh, định danh khóa cục cho chế an ninh Điều cần thiết để đảm bảo an toàn sở hạ tầng mạng tránh khỏi giám sát trái phép điều khiển đường truyền mạng cần thiết để đảm bảo đường truyền từ người dùng cuối đến người dùng cuối sử dụng chế mã hóa xác thực đường truyền Những mối quan tâm minh chứng đầy đủ xác nhận, xem xét xu hướng báo cáo đội máy tính ứng cứu khẩn cấp/ Trung tâm điều phối Hình 1.1 cho thấy xu hướng lỗ hổng liên quan đến internet báo cáo đến đội máy tính phản ứng khẩn cấp 10 năm Điều bao gồm điểm yếu bảo mật hệ điều hành máy tính (thí dụ: Windows, linux) Cũng lỗ hổng định tuyến mạng internet thiết bị mạng khác Hình 1.2 cho thấy số lượng cố an ninh liên quan đến báo cáo cho đội máy tính phản ứng khẩn cấp/trung tâm điều phối (CERT/CC-computer emergency response team/ coordination center) Điều bao gồm công từ chối dịch vụ; IP giả mạo, kẻ xâm nhập giả mạo tạo gói tin với địa IP giả khai thác ứng dụng sử dụng xác thực dựa IP; hình thức khác việc nghe trộm thám thính gói tin, kẻ cơng đọc thơng tin truyền bao gồm nội dung đăng nhập nội dung sở liệu Lê Ngọc Hoàn Trang Luận văn thạc sỹ nối với PE router Bảng VRF bao gồm thông tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), giao diện bảng định tuyến; quy tắc, tham số giao thức định tuyến Mỗi site kết hợp với VRF Các VRF site khách hàng mang tồn thơng tin “tuyến” có sẵn từ site tới VPN mà thành viên Đối với VRF, thông tin sử dụng để chuyển tiếp gói tin lưu bảng định tuyến IP bảng CEF Các bảng trì riêng rẽ cho VRF nên ngăn chặn tượng thông tin bị chuyển tiếp ngồi mạng VPN ngăn chặn gói tin bên mạng VPN chuyển tiếp vào router bên mạng VPN chế bảo mật MPLS VPN Bên MPLS VPN, kết nối hai điểm với site gửi thơng tin trực tiếp cho mà không cần thông qua site trung tâm Tham số phân biệt tuyến RD (Route Distinguisher) giúp nhận biết địa IP thuộc VPN riêng biệt Xét mơ hình mạng hình 2, có VPN khác xác định RD: 10, 20 30 Một mạng MPLS hỗ trợ hàng trăm đến hàng nghìn VPN Phần bên kiến trúc mạng MPLS VPN kết cấu thiết bị nhà cung cấp Những thiết bị hình thành mạng lõi (core) MPLS khơng nối trực tiếp đến CE router Các chức VPN mạng MPLS-VPN thực PE router bao quanh mạng lõi Cả P router PE router định tuyến chuyển mạch nhãn LSR (Label Switch Router) mạng MPLS Các site khách hàng kết nối với PE router nhiều cách khác T1, Frame Relay, DSL, ATM, v.v Lê Ngọc Hoàn Trang 80 Luận văn thạc sỹ Hình 2.24 Mơ hình mạng MPLS Trong mạng MPLS VPN, site phía khách hàng sử dụng IP thông thường mà không cần biết đến MPLS, IPSec hay chức VPN đặc biệt Tại PE router, cặp VRF RD tương ứng với liên kết đến site khách hàng (customer site) Liên kết liên kết vật lý T1, Frame Relay hay ATM VC, DSL Giá trị RD hoàn tồn “ẩn” khơng cấu hình thiết bị khách hàng Sau xem xét ví dụ cụ thể đường gói tin mạng VPN khách hàng từ PC A thuộc site A tới PC B thuộc site B thơng qua mạng MPLS - Gói tin đến từ site A PE router R1 gói IP thơng thường với địa đích 10.2.1.100 Site thuộc mạng VPN với RD:10 - R1 tra cứu bảng chuyển tiếp VPN dựa vào bảng để gán nhãn cho gói tin, trường hợp nhãn 56 Nhãn mang thơng tin đích đến gói tin mạng VPN với RD:10 Bảng RD Lê Ngọc Hoàn Prefix Destination PE Trang 81 Label Luận văn thạc sỹ 10 10.1.0.0/16 216.70.128.216 318 10 10.2.0.0/16 216.70.128.192 56 10 10.3.0.0/16 216.70.128.133 32 10 10.4.0.0/16 216.70.128.60 210 10 10.5.0.0/16 216.70.128.84 109 - R1 chuyển tiếp gói tin dựa vào địa PE đích bảng FIB (Label Forwarding Information Base) Khi gói tin chuyển đi, gán nhãn MPLS bảng LIB Nhãn (188) tương ứng với nhãn yêu cầu để chuyển tiếp gói tin đến R2, có địa IP 216.70.128.192 - LSR1 tiếp nhận gói tin thưc hoạt động chuyển mạch nhãn thông thường Trong ví dụ này, LSR1 tráo đổi nhãn 188 với nhãn 62, sau chuyển tiếp gói tin đến LSR2 - LSR2 tiếp nhận gói tin thực chức Penultimate Hop Popping chặng cuối trước gói tin đến PE đích, LSR2 loại bỏ nhãn (62) gửi gói tin tới R2 với nhãn 56 - Sau R2 tiếp nhận gói tin, tra nhãn 56 bảng chuyển tiếp VPN, trường hợp này, nhãn tương ứng với RD:10 Sau đó, R2 tham chiếu địa IP gói tin để xác định đích đến RD:10 với địa IP 10.2.1.100 R2 xác định RD:10 địa IP:10.2.1.100 thuộc site liên kết trực tiếp với R2 liên kết IP thông thường nên loại bỏ nhãn chuyển tiếp gói IP tới site Bảng Lê Ngọc Hồn RD Prefix Destination PE Label 10 10.1.0.0/16 216.70.128.216 318 10 10.2.0.0/16 216.70.128.192 56 10 10.3.0.0/16 216.70.128.133 32 10 10.4.0.0/16 216.70.128.60 210 Trang 82 Luận văn thạc sỹ 10 10.5.0.0/16 216.70.128.84 109 Chú ý địa IP 10.2.1.100 216.70.128.192 khác phạm vi, địa IP 10.2.1.100 thuộc mạng VPN với RD:10 gói tin bên VPN đến địa Có thể có địa IP 10.2.1.100 khác VPN khác, chúng đặc trưng RD khác địa 216.70.128.192 thuộc mạng đường trục khơng thuộc VPN Một ưu điểm lớn MPLS VPN không địi hỏi thiết bị CPE thơng minh toàn chức VPN thực phía mạng lõi nhà cung cấp dịch vụ hoàn toàn “trong suốt” CPE Các CPE khơng địi hỏi chức VPN hỗ trợ IPSec điều có nghĩa khách hàng khơng phí cao cho thiết bị CPE Trễ mạng giữ mức thấp gói tin lưu chuyển mạng khơng phải thơng qua hoạt động đóng gói mã hóa Sở dĩ khơng cần chức mã hóa MPLS VPN tạo nên mạng riêng Phương pháp bảo mật gần giống bảo mật mạng Frame Relay Thậm chí trễ MPLS VPN cịn thấp mạng MPLS IP sử dụng chuyển mạch nhãn Việc tạo mạng đầy đủ (full mesh) VPN hoàn tồn đơn giản MPLS VPN khơng sử dụng chế tạo đường hầm Vì vậy, cấu hình mặc định cho mạng MPLS VPN full mesh, site nối trực tiếp với PE site trao đổi thơng tin với VPN Và chí, site trung tâm gặp trục trặc, spoke site liên lạc với Hoạt động khai thác bảo dưỡng đơn giản mạng MPLS-VPN Hoạt động cần thực thiết bị bên mạng core mà không cần phải tiếp xúc đến CPE Một site cấu hình xong, ta khơng cần đụng chạm đến cho dù muốn thêm site vào mạng thay đổi cấu hình lúc cần thực PE mà nối tới Vấn đề bảo mật chí cịn đơn giản nhiều triển khai mạng MPLS VPN VPN khép kín thân đạt an tồn thơng tin Lê Ngọc Hồn Trang 83 Luận văn thạc sỹ khơng có kết nối với mạng Internet cơng cộng Nếu có nhu cầu truy nhập Internet, tuyến thiết lập để cung cấp khả truy nhập Lúc này, firewall sử dụng tuyến để đảm bảo kết nối bảo mật cho toàn mạng VPN Cơ chế hoạt động rõ ràng dễ dàng nhiều cho hoạt động quản lý mạng cần trì sách bảo mật cho firewall mà đảm bảo an toàn cho toàn VPN Một ưu điểm mạng MPLS VPN cần kết nối cho remote site So sánh với mạng Frame Relay truyền thống có nút trung tâm 10 remote site (mỗi remote site cần Frame Relay PVC) nút trung tâm (hub) cần 10 PVCs Trong bên mạng MPLS VPN cần PVC vị trí hub trung tâm phí mạng giảm đáng kể Lê Ngọc Hoàn Trang 84 Luận văn thạc sỹ Chương Ứng dụng hạ tầng PKI, mạng riêng ảo (VPN) cho Trường Đại học Văn Hóa, Thể thao Du lịch Thanh Hóa 3.1 Đặc điểm chung an tồn an ninh thơng tin 3.1.1 Đặc điểm chung: Sự gia tăng công với gia tăng sử dụng internet, giao thức mạng internet, ứng dụng mạng internet Trong đó, sở hạ tầng hoạt động thông tin người ngày dựa vào internet Vì vậy, an tồn thơng tin cho hoạt động dựa vào internet, web, email, ứng dụng web lớn Do đó, có hàng loạt công nghệ công cụ cần thiết thiết kế để đối phó với mối đe dọa an tồn an ninh thơng tin ngày gia tăng 3.1.2 Đặc điểm an tồn an ninh thơng tin trường ĐHVH,TT&DL Thanh Hóa Nhu cầu sử dụng dịch vụ internet để trao đổi truy cập thông tin vấn đề cần thiết cho đối tượng đơn vị, phòng, ban, khoa, HSSV,… Trường ĐHVH,TT&DLThanh Hóa Chính vậy, vấn đề đảm bảo bảo mật cho nguồn tài nguyên hệ thống Trường áp dụng sử dụng giải pháp phần mềm bảo mật: Fiwall, chương trình diệt vi rus đặt mật thiết bị phần cứng máy tính riêng lẻ Đối với quản lý truy cập khâu bảo mật an toàn truy cập mức độ quản lý quyền truy cập thông qua tài khoản địa IP server cung cấp cho máy tính hệ thống mạng LAN Vấn đề đặt Trường có sở đào tạo Cơ sở Cơ sở cách xa 5km: - Làm thể để kết nối truy cập từ xa hai sở với để đơn vị, người sử dụng trao đổi truy cập thơng tin thông qua đường truyền internet dịch vụ - Vấn đề an tồn an ninh thơng tin hệ thống đường truyền sở (Đảm bảo tính bảo mật, tồn vẹn liệu, tính xác thực) - Công cụ, dịch vụ sử dụng với giải pháp Lê Ngọc Hoàn Trang 85 Luận văn thạc sỹ Xây dựng hạ tầng PKI, mang riêng ảo (VPN), với dịch vụ đảm bảo an toàn an ninh thông tin cho hệ thống đường truyền mạng internet dịch vụ mà Trường Đại học Văn hóa, Thể thao Du lịch Thanh Hóa sử dụng việc cần thiết; cần nghiên cứu triển khai thực 3.2 Quản lý an tồn an ninh thơng tin Có nhiều vấn đề an ninh, đặc biệt bối cảnh mà công nghệ thông tin ngày phát triển với dịch vụ mạng nhu cầu kết nối truy cập mang ngày gia tăng kéo theo ngày có nhiều hành động truy cập, công mạng vào hệ thống Trong VPN có nhiều vấn đề cần quản lý đặc biệt quan trọng quản lý xác thực người sử dụng điều khiển quyền truy cập tài nguyên mạng Vì vậy, cần phải có sách quản lý an ninh thông tin (Security policy) như: xác thực người sử dụng, bảo mật liệu, toàn vẹn liệu, quyền truy cập, không chối bỏ, quản trị, kiểm tra lưu vết Tuy nhiên ngồi sách an ninh cần phải có sách khác hỗ trợ như: lựa chọn phương thức mã hóa; sử dụng dịch vụ xác thực; điều khiển quyền truy cập 3.3 Các yêu cầu triển khai - Xây dựng hệ hạ tầng PKI, mạng riêng ảo trên windows server 2008 cho hệ thống mạng LAN với máy chủ làm trung tâm phân phối thu hồi chứng chứng thực; máy trạm – Client kết nối, truy cập với hệ thống thông qua máy chủ trung tâm (server) cung cấp kết nối mạng riêng (VPN) với sách áp dụng cho mạng riêng - Với điều kiện khách quan, việc cài đặt thử nghiệm xây dựng hệ thống hạ tầng PKI, mạng riêng ảo windows server 2008 - Thơng qua q trình triển khai thử nghiệm thành cơng sở, tảng để đề tài tiếp tục triển khai áp dụng thực tế cho Trường Đại học Văn hóa, Thể thao Du lịch Thanh hóa với mơ hình rộng (nhiều sở kết nối với nhau), đáp ứng nhu cầu an ninh thông tin cho hệ thống Lê Ngọc Hoàn Trang 86 Luận văn thạc sỹ 3.3.1 Mơ hình xây dựng hệ thống Mơ hình thử nghiệm mơ hình mạng riêng ảo truy cập từ xa sử dụng phần mềm thông dụng sản phẩm sẵn có khai thác mạng trường Đại học VH,TT&DL Thanh Hóa Máy khách truy cập từ xa máy tính cá nhân cso modem, chay hệ điều hành windows XP windows 7, máy cấu hình máy khách VPN Máy chủ máy trung tâm cài windows server 2008 Máy chủ có giao diện mạng, vói dịch vụ định tuyến truy cập từ xa (roundting and remote access) Trong hai giao diện giao diện dùng để kết nối với mạng internet thông qua ethenet với địa IP 210.210.10.8 giao diện cịn lại sử dụng để kết nói với mạng cục thông qua ethenet với địa IP 192.168.1.11, máy cấu hình máy chủ VPN Hình 3.1 Mơ hình mạng truy cập từ xa 3.3.2 Chương trình cơng cụ xây dựng Lê Ngọc Hồn Trang 87 Luận văn thạc sỹ - Sử dụng hệ điều hành windows server 2008 cài máy Server; - Các máy Client sử dụng hệ điều hành windows xp windows 7; - Các router định tuyến’; - Các thiết bị kết nối cần thiết khác 3.4 Kết triển khai - Cài đặt kết nối hệ thống: Máy tính Server cài đặt windows server 2008, thiết lập hạ tầng PKI, VPN, với giao diện mạng Các máy Client hệ thống mạng LAN kết nối trực tiếp với server đặt sở Các máy Client hệ thống đặt sở kết nối với máy tính hệ thống sở đường ống riêng qua server với sách riêng - Cụ thể triển khai: B1 Cài đặt windows server enterprise 2008 máy server (máy chủ VPN) B2 Cài đặt máy Internal Client hệ thống mạng LAN sở với máy chủ B3 Cài đặt máy External Client sở hệ thống mạng LAN - Thiết lập kết nối cho Client Server B4 Thiết lập Network Adapter cho Internal Client; Thiết lập địa IP cho kết nối hệ thống B5 Thiết lập Network Adapter cho External Client B6 Thiết lập Network Adapter cho Server B7 Thiets lập VPN cho user với sách riêng cho B8 Thiết lập VPN cho user (Client) B9 Thiết lập sách cho user – Network policy and Access service B10 Thiết lập Routing and Romote Access Service cho Client B11 Kiểm tra thông tin Client kết nối với hệ thống qua VPN tạo server B12 Thiết lập Remote Access cho Client B13 Thử nghiệm Client kết nối truy cập liệu với Client hệ thống LAN qua VPN Lê Ngọc Hoàn Trang 88 Luận văn thạc sỹ 3.5 Đánh giá hiệu nghiên cứu triển khai thử nghiệm hệ thống 3.5.1 Những kết đạt Với mục đích đề tài “Nghiên cứu thử nghiệm hạ tầng PKI, mạng riêng ảo cho trường Đại học Văn hóa, Thể thao Du lịch Thanh Hóa” Tơi tiến hành nghiên cứu trình bày kết nghiên cứu vấn đề: 3.5.1.1 Về sở hạ tầng: - Cơ sở vật chất CNTT đảm bảo đáp ứng tốt để triển khai xây dựng hệ thống như: máy tính, đường truyền, thiết bị kết nối, - Có đủ lực lượng đội ngũ CBGV đảm bảo kiến thức để tham gia triển khai vận hành hệ thống - Dịch vụ internet tốc độ cao ADSL sử dụng đường truyền cáp quang, đảm bảo tốc độ đường truyền tốt - Các đơn vị, phòng ban, trung tâm trang bị hệ thống máy tính tốt, đầy đủ 3.5.1.2 Về mơ hình lựa chọn giải pháp Trên sở yêu cầu ứng dụng đặt là: xây dựng ứng dụng hạ tầng PKI, mạng riêng ảo áp dụng cho trường Đại học VH,TT&DL Thanh Hóa Bước đầu xác định mơ hình với kiến trúc PKI CA, áp dụng sử dụng cho khối CBGV trung tâm, phòng ban sở với số lượng truy cập khơng q lớn Chính mơ hình xây dựng với tiêu chí yêu cầu sau: - Mơ hình xây dựng khơng q phức tạp, đáp ứng cho truy cập từ xa, đảm bảo tiện dụng đảm bảo an tồn an ninh thơng tin trình khai thác trao đổi, phù hợp với điều kiện yêu cầu chung công tác quản lý trao đổi thông tin trường - Mơ hình hình thức đảm bảo tính tiện dụng, nhanh chóng, bảo mật, an tồn thơng tin cho đơn vị, tổ chức vừa nhỏ với ựng dụng hạ tầng PKI, mạng riêng ảo nhằm giảm bớt chi phí giá thành; chủ động cơng tác quản lý khai tác thông tin so với việc sử dụng dịch vụ nhà cung cấp thị trường Lê Ngọc Hoàn Trang 89 Luận văn thạc sỹ - Mơ hình phát triển mở rộng hệ thống tăng nhu cầu sử dụng quy quy mơ hệ thống có phương án liên kết hợp tác với đơn vị hệ thống trường 3.5.1.3 Các sách dịch vụ triển khai cho an tồn an ninh thơng tin a Quản lý địa IP Sự phát triển bùng nổ việc sử dụng IP để truyền liệu, kể ngồi mạng cơng ty, doanh nghiệp,…dẫn đến số vấn đề phân bổ quản lý IP Ban đầu với không gian địa IP 32 bit (IPv4) Tuy nhiên Vấn đề cấp IP động giải cấp phát địa Ip định tuyến, lại gây nên phức tạp xây dựng VPN IPSec giao thức, phù hợp để sử dụng với IPv6, phần lớn phải tương thích vơi IPv4 có thêm nhiều chế để giải vấn đề Một giải pháp làm tăng thêm không gian quản lý địa IP việc sử dụng IP mạng riêng ảo (VPN) mà giữ nguyên kết nối với internet công cộng b Quản lý chất lượng dịch vụ Để phối hợp nhiều lưu lượng khác mạng đa dịch vụ, bao gồm: truyền thông điệp, giao dịch trực tuyến, liệu đa phương tiện, … tạo nên nhiều khó khăn cho việc cấp phát băng thông quản lý mạng Lưu lượng mạng VPN có gắn bó chặt chẽ với để giải lưu lượng băng thông bị tắc nghẽn, bao gồm: - Cung cấp vượt mức băng thông mạng - Bảo tồn băng thơng - Ưu tiên lưu lượng (phân phối dịch vụ) - Cấp phát tài nguyền tĩnh 3.5.3 Các đề xuất hướng phát triển Với hạ tầng PKI triển khai CA đơn đáp ứng nhu cầu hoạt động cho doanh nghiệp đơn vị quy mơ vừa, đảm bảo tính linh họa dễ triển khai Tuy nhiên với yêu cầu hệ thống mạng riêng ảo phát triển quy mô mở rộng Lê Ngọc Hoàn Trang 90 Luận văn thạc sỹ cho nhiều người sử dụng có liên kết với đơn vị bên ngồi hệ thống LAN CA khó đảm bảo quản lý an tồn Vì nâng cấp thành mơ hình CA phân cấp với CA làm trung tâm để kiểm sốt chính, nhanahs CA Vấn đề roaming ISP khả kết hợp MPLS với IPSec để mở rộng biên VPN đồng thời tăng cường mức an ninh cho VPN Khả áp dụng IPv6 dịch vụ VPN khả triển khai hạ tầng internet làm tăng khả quản lý phân phối IP mạng VPN Lê Ngọc Hoàn Trang 91 Luận văn thạc sỹ Kết luận Nội dung nghiên cứu hạ tầng sở PKI, mạng riêng ảo VPN cho thấy: với chức là: chứng thực thẩm tra hạ tầng PKI với hạ tầng mạng riêng ảo VPN thiết lập tạo khả ứng dụng bảo mật hữu hiệu cho hệ thống đường truyền sở sử dụng đường truyền internet chung nhà cung cấp dịch vụ mạng Hiệu cho thấy việc triển khai hệ thơng tạo dịch vụ quản lý mạng với chế quản lý chứng thực thẩm tra giao dịch điện tử với hệ thống kết nối đường truyền riêng rẽ đảm bảo tính bí mật thơng tin đường truyền vấn đề phân phối, kiểm soát truy cập tài nguyên hệ thống… Các nghiên cứu hạ tầng PKI, mạng riêng ảo ứng dụng cho hệ thống mạng trường đại học Văn hóa, Thể thao Du lịch Thanh Hóa trình bày luận văn với phần nghiên cứu cụ thể chương với tảng sở hạ tầng khóa cơng khai PKI mạng riêng ảo VPN Trên sở lựa chọn giải pháp cụ thể để áp dụng thực tế vào đơn vị nghiên cứu Cụ thể, luận văn thực nghiên cứu nội dụng: Tìm hiểu hạ tầng PKI, thành phần, chức năng, cơng nghệ mơ hình PKI phổ biến nay; ưu, nhược điểm triển khai mơ hình Tìm hiểu nắm bắt mơ hình mạng riêng ảo VPN, chức năng, thành phần công nghệ mạng riêng ảo; nắm bắt yêu cầu kỹ thuật triển khai mơ hình ưu điểm, nhược điểm mơ hình triển khai Từ đó, lựa chọn công cụ điều kiện cần thiết để áp dụng mơ hình phù hợp để triển khai ứng dụng cho trường đại học Văn hóa, Thể thao Du lịch Thanh Hóa Lê Ngọc Hồn Trang 92 Luận văn thạc sỹ Mặc dù có nhiều cố gắng trình nghiên cứu thực đề tài thời gian mức độ tìm hiểu có hạn, phương tiện triển khai ứng dụng hạn chế nên chắn luận văn nhiều thiếu sót Tuy nhiên với lĩnh vực bảo mật an tồn an ninh thơng tin lĩnh vực phức tạp ln có nhiều tình xảy với nhiều phương thức nên việc triển khai hay vài giải pháp cho vấn đề bảo mật an tồn an ninh thơng tin chưa đủ khơng vĩnh viễn lĩnh vực có nhiều hứa hẹn để nghiên cứu sâu để có giải pháp cơng nghệ áp dụng tương xứng với mơ hình quy mơ hợp lý điều kiện kỹ thuật, sở vật chất khác doanh nghiệp, rộng quốc gia… Lê Ngọc Hoàn Trang 93 Luận văn thạc sỹ TÀI LIỆU THAM KHẢO [1] Bài giảng An tồn Bảo mật thơng tin PGS.TS.Nguyễn Khanh Văn, Đại học Bách khoa Hà Nội, khóa cao học Cơng nghệ thông tin 2012, [2] Brian Komar, Windows Server 2008 PKI and Certificate Security, Microsoft Press, 2008 [3] Building and Managing Virtual Private Networks, Dave Kosiur, Wiley & Sons; ISBN: 0471295264 [4] Cryptography and Network Security Principles and Practices_ 4th Ed William Stallings, Copyright 2006 [5] Hạ tầng mã khóa cơng khai VPN, An Tồn Mạng Máy Tính, Học viện Kỹ Thuật Mật Mã [6] ITU-T telecommunication standardization sector of ITU, Recommendation X.800 (1991) Amendment1 [7] Mạng riêng ảo: công nghệ triển khai ứng dụng, Luận văn thạc sỹ, Nguyễn Thạc Thanh Quang, 2004 [8] Network Security Technologies, Second Edition, Kwok T Fung, Auerbach publications, 2005 [9] Virtual Private Networking Basics – Conputer, By NETGEAR, Inc All rights reserved, v1.0, October 2005 Lê Ngọc Hoàn Trang 94 ... văn minh là: ? ?Nghiên cứu thử nghiệm hạ tầng PKI, mạng riêng ảo áp dụng cho Trường Đại học Văn hóa, Thể thao Du lịch Thanh Hóa? ?? Lịch sử nghiên cứu Ở Việt Nam, hạ tầng khóa cơng khai PKI khơng cịn... học, nhiều tổ chức nghiên cứu phát triển cho hệ thống, dịch vụ mạng Mục đích, đối tượng, phạm vi nghiên cứu đề tài: Nghiên cứu thử nghiệm hạ tầng PKI, mạng riêng ảo (VPN) áp dụng cho Trường Đại. .. hiểu mạng riêng ảo (VPN) - Cơng nghệ PKI – Mạng riêng ảo (VPN) - Xây dựng thử nghiệm hạ tầng PKI, mạng riêng ảo (VPN) windows server 2008 Phương pháp nghiên cứu Đề tài sử dụng nhóm phương pháp nghiên