Đang tải... (xem toàn văn)
BÁO CÁO ĐỒ ÁN AN TOÀN MÁY CHỦ WINDOWS TÊN ĐỀ TÀI IPSEC VPN Khoa CÔNG NGHỆ THÔNG TIN Giảng viên hướng dẫn Thầy Tống Thanh Văn Sinh viên thực hiện Lớp 19DTHC2 TP Hồ Chí Minh,2022 CHƯƠNG 1 TỔNG QUAN, GIỚI THIỆU ĐỀ TÀI 7 1 1 Tổng quan về đề tài 7 1 2 Nhiệm vụ đề tài 7 1 3 Cấu trúc đề tài 7 CHƯƠNG 2 Giới thiệu về VPN 9 2 1 Khái quát về VPN 9 2 1 Các giao thức thường dung trong VPN 11 2 2 Nhứng giao thức yếu 12 2 3 Những giao thức có bảo mật tốt hơn 14 2 4 Ưu nhược điểm 17 2 4 1 Ưu điểm 18 2 4 2 Nhược.
BÁO CÁO ĐỒ ÁN AN TOÀN MÁY CHỦ WINDOWS TÊN ĐỀ TÀI IPSEC VPN Khoa: CÔNG NGHỆ THÔNG TIN Giảng viên hướng dẫn : Thầy Tống Thanh Văn Sinh viên thực : Lớp : 19DTHC2 TP Hồ Chí Minh,2022 CHƯƠNG 1: TỔNG QUAN, GIỚI THIỆU ĐỀ TÀI 1.1 Tổng quan đề tài 1.2 Nhiệm vụ đề tài 1.3 Cấu trúc đề tài CHƯƠNG 2: Giới thiệu VPN 2.1 Khái quát VPN 2.1 Các giao thức thường dung VPN .11 2.2 Nhứng giao thức yếu 12 2.3 Những giao thức có bảo mật tốt 14 2.4 Ưu nhược điểm 17 2.4.1 Ưu điểm 18 2.4.2 Nhược điểm 18 2.4.3 Kết Luận .18 CHƯƠNG 3: Khái quát IPSec .18 3.1 IPSec 18 3.2 Sơ lược lịch sử IPSec 19 3.3 Cách thức hoạt động IPSec 19 3.4 Những giao thức IPSec thành phần hỗ trợ .21 CHƯƠNG 4: Mơ hình Demo kết luận 37 4.2.1 Lợi ích dùng Vmware 38 Tính bật Wireshark .39 Ưu điểm IPSec .49 An ninh mạng .49 Ứng dụng phụ thuộc 49 Bảo mật liệu 49 Hỗ trợ mạng 49 Xác thực .49 Nhược điểm IPSec 50 Chi phí CPU 50 Tính tương thích 50 Các thuật toán .50 Phạm vi truy cập 50 Hạn chế tường lửa 50 TÀI LIỆU THAM KHẢO 52 LỜI CẢM ƠN Lời đầu tiên, chúng em xin gửi lời cảm ơn chân thành đến thầy Tống Thanh Văn Trong q trình học tập tim hiểu mơn An toàn máy chủ Windows, chúng em nhận quan tâm giúp đỡ, hướng dẫn tận tình, tâm huyết thầy Thầy giúp chúng em tích lũy thêm nhiều kiến thức để có nhìn sâu sắc hoàn thiện sống Từ kiến thức mà thầy truyền tải, chúng em dần hồn thiện kỹ Thơng qua báo cáo này, chúng em xin trình bày lại mà tìm hiểu gửi đến thầy Có lẽ kiến thức vô hạn mà tiếp nhận kiến thức thân người tồn hạn chế định Do đó, q trình hồn thành báo cáo, chắn không tránh khỏi thiếu sót Bản thân chúng em mong nhận góp ý đến từ thầy bạn để báo cáo chúng em hồn thiện Kính chúc thầy sức khỏe, hạnh phúc thành công đường nghiệp giảng dạy CHƯƠNG 1: TỔNG QUAN, GIỚI THIỆU ĐỀ TÀI 1.1 Tổng quan đề tài IPSec, viết tắt Internet Protocol Security, giao thức mật mã bảo vệ lưu lượng liệu qua mạng Internet Protocol (IP) Mạng IP – bao gồm World Wide Web – thiếu khả mã hoá bảo vệ quyền riêng tư VPN IPSec giải điểm yếu này, cách cung cấp framework cho việc giao tiếp mã hóa riêng tư web Bài viết có nhìn sâu giao thức này, giải thích IPsec cách hoạt động giao thức IPsec nhóm giao thức sử dụng để thiết lập kết nối mã hóa thiết bị Nó giúp bảo mật liệu gửi qua public network Nhóm giao thức này thường sử dụng để thiết lập VPN Nó hoạt động cách mã hóa IP packet với việc xác thực nguồn packet Trong thuật ngữ “IPsec”, “IP” viết tắt “Internet Protocol” “sec” “security” Internet Protocol routing protocol sử dụng Internet Nó định nơi liệu địa IP Nhóm giao thức an tồn thêm mã hóa xác thực vào trình Virtual private network (VPN) kết nối mã hóa hai nhiều máy tính Kết nối VPN diễn qua public network, liệu trao đổi qua VPN riêng tư mã hóa VPN giúp bạn truy cập trao đổi liệu bí mật cách an toàn qua sở hạ tầng shared network Ví dụ, nhân viên làm việc từ xa thay văn phịng, họ thường sử dụng VPN để truy cập file app công ty Nhiều VPN sử dụng IPsec protocol để thiết lập chạy kết nối mã hóa Tuy nhiên, khơng phải tất VPN sử dụng nhóm giao thức Một giao thức khác cho VPN SSL/TLS, hoạt động lớp khác mơ hình OSI so với IPsec (Mơ hình OSI đại diện trừu tượng trình cho Internet hoạt động 1.2 Nhiệm vụ đề tài Tìm hiểu chức cách thức hoạt động IPSec VPN để áp dụng vào toán thực tế phát triển cho dự án sau 1.3 Cấu trúc đề tài Báo cáo đồ án gồm có chương: Chương 1: Tổng quan, giới thiệu đề tài Phần giới thiệu tổng quan, nhiệm vụ đồ án, giúp hiểu nội dung đồ án Chương 2: Giới thiệu VPN Phần giới thiệu cụ thể VPN trước vào IPSec VPN Chương 3: Giới thiệu IPSec Phần giúp tìn hiểu sâu IPSec để tìm yếu tố ý nghĩa IPSec IPSec VPN Chương 4: Mô hình Demo kết luận Phần rút kết chức kết thu CHƯƠNG 2: Giới thiệu VPN 2.1 Khái quát VPN Đối với bạn học, bước chân vào lĩnh vực Công Nghệ Thông Tin - CNTT, người làm hẳn họ nhiều lần nghe đến từ VPN, hay mạng riêng ảo, mạng cá nhân ảo Vậy thực VPN gì, ưu nhược điểm VPN sao? Hãy nhóm thảo luận định nghĩa VPN, cách ứng dụng mơ hình, hệ thống cơng việc VPN mạng riêng ảo, Virtual Private Network, cơng nghệ mạng giúp tạo kết nối mạng an tồn tham gia vào mạng công cộng Internet mạng riêng nhà cung cấp dịch vụ sở hữu Các tập đoàn lớn, sở giáo dục quan phủ sử dụng cơng nghệ VPN phép người dùng từ xa kết nối an tồn đến mạng riêng quan - hệ thống VPN kết nối nhiều site khác nhau, dựa khu vực, diện tích địa lý tượng tự chuẩn Wide Area Network (WAN) Bên cạnh đó, VPN cịn dùng để "khuếch tán", mở rộng mơ hình Intranet nhằm truyền tải thơng tin, liệu tốt Ví dụ, trường học phải dùng VPN để nối khuôn viên trường (hoặc chi nhánh với trụ sở chính) lại với Nếu muốn kết nối vào hệ thống VPN, tài khoản phải xác thực (phải có Username Password) Những thơng tin xác thực tài khoản dùng để cấp quyền truy cập thông qua liệu - Personal Identification Number (PIN), mã PIN thường có tác dụng khoảng thời gian định (30s phút) Khi kết nối máy tính thiết bị khác chẳng hạn điện thoại, máy tính bảng với VPN, máy tính hoạt động giống nằm mạng nội với VPN Tất traffic mạng gửi qua kết nối an toàn đến VPN Nhờ đó, bạn truy cập an toàn đến tài nguyên mạng nội xa Bạn sử dụng Internet giống vị trí của VPN, điều mang lại số lợi ích sử dụng WiFi public truy cập trang web bị chặn, giới hạn địa lý Khi duyệt web với VPN, máy tính liên hệ với trang web thơng qua kết nối VPN mã hóa Mọi u cầu, thơng tin, liệu trao đổi bạn website truyền kết nối an toàn Nếu sử dụng VPN Hoa Kỳ để truy cập vào Netflix, Netflix thấy kết nối bạn đến từ Hoa Kỳ Dù nghe đơn giản, thực tế VPN lại ứng dụng để làm nhiều thứ: Truy cập vào mạng doanh nghiệp xa: VPN thường sử dụng người kinh doanh để truy cập vào mạng lưới kinh doanh họ, bao gồm tất tài nguyên mạng cục bộ, đường, du lịch, Các nguồn lực mạng nội không cần phải tiếp xúc trực tiếp với Internet, nhờ làm tăng tính bảo mật Truy cập mạng gia đình, dù khơng nhà: Bạn thiết lập VPN riêng để truy cập không nhà Thao tác cho phép truy cập Windows từ xa thông qua Internet, sử dụng tập tin chia sẻ mạng nội bộ, chơi game máy tính qua Internet giống mạng LAN Duyệt web ẩn danh: Nếu sử dụng WiFi công cộng, duyệt web trang web khơng phải https, tính an toàn liệu trao đổi mạng dễ bị lộ Nếu muốn ẩn hoạt động duyệt web để liệu bảo mật bạn nên kết nối VPN Mọi thông tin truyền qua mạng lúc mã hóa Truy cập đến website bị chặn giới hạn địa lý, bỏ qua kiểm duyệt Internet, vượt tường lửa, Tải tập tin: Tải BitTorrent VPN giúp tăng tốc độ tải file Điều có ích với traffic mà ISP bạn gây trở ngại 2.1 Các giao thức thường dung VPN - Các sản phẩm VPN thường co tiện lợi, tính hiệu bảo mật đa dạng Nếu bảo mật mối quan tâm hàng đầu, tổ chức cần phải ý đến giao thức mà dịch vụ VPN hỗ trợ Một số giao thức sử dụng rộng rãi có điểm yếu đáng quan ngại, giao thức khác lại cung cấp khả bảo mật tiên tiến Những giao thức tốt OpenVPN IKEv2 Bản chất giao thức VPN tập hợp giao thức Có số chức mà VPN phải giải được: - Tunnelling (kỹ thuật truyền liệu qua nhiều mạng có giao thức khác nhau) - Chức VPN phân phối gói (packet) từ điểm đến điểm khác mà không để lộ chúng cho đường truyền Để làm điều này, VPN đóng gói tất liệu theo định dạng mà máy khách máy chủ hiểu Bên gửi liệu đặt vào định dạng tunnelling bên nhận trích xuất để có thơng tin - Mã hóa: Tunnelling khơng cung cấp tính bảo vệ Bất trích xuất liệu Dữ liệu cần phải mã hóa đường truyền Bên nhận biết cách giải mã liệu từ người gửi định - Xác thực: Để bảo mật, VPN phải xác nhận danh tính client cố gắng “giao tiếp” với Client cần xác nhận đến máy chủ dự định - Quản lý phiên: Một người dùng xác thực, VPN cần trì phiên để client tiếp tục “giao tiếp” với khoảng thời gian Nói chung giao thức VPN coi việc tạo tunnel, xác thực quản lý phiên gói Điểm yếu chức lỗ hổng bảo mật tiềm ẩn giao thức Mã hóa chun ngành, khó, nên thay cố gắng tạo mới, VPN thường sử dụng kết hợp nhiều giao thức mã hóa đáng tin cậy Dưới giao thức VPN phổ biến độ mạnh yếu chúng 2.2 Nhứng giao thức yếu Point-To-Point Tunneling Protocol (PPTP) Giao thức cũ sử dụng PPTP (Point-to-Point Tunneling Protocol) PPTP lần sử dụng vào năm 1995 PPTP không định giao thức mã hóa sử dụng số giao thức MPPE-128 mạnh mẽ Việc thiếu tiêu chuẩn hóa giao thức mạnh rủi ro, sử dụng tiêu chuẩn mã hóa mạnh mà phía hỗ trợ Nếu phía hỗ trợ tiêu chuẩn yếu kết nối phải sử dụng mã hóa yếu người dùng mong đợi Tuy nhiên, vấn đề thực với PPTP trình xác thực PPTP sử dụng giao thức MS-CHAP, dễ dàng bị crack giai đoạn Kẻ công đăng nhập mạo danh người dùng ủy quyền IP security (IPSec) Được dùng để bảo mật giao tiếp, luồng liệu môi trường Internet (mơi trường bên ngồi VPN) Đây điểm mấu chốt, lượng traffic qua IPSec dùng chủ yếu Transport mode, tunnel (hay gọi hầm - khái niệm hay dùng Proxy, SOCKS) để MÃ HÓA liệu VPN Sự khác biệt mode là: Transport mode có nhiệm vụ mã hóa liệu bên gói (data package - biết từ payload) Trong Tunnel mã hóa tồn data package Do vậy, IPSec thường coi Security Overlay, IPSec dùng lớp bảo mật so với Protocol khác L2TP Giao thức L2TP thường hoạt động với thuật tốn mã hóa IPSec Nó mạnh đáng kể so với PPTP khiến người dùng lo ngại Lỗ hổng L2TP/IPSec phương thức trao đổi khóa cơng khai (public key) Trao đổi khóa cơng khai DiffieHellman cách để hai bên thỏa thuận khóa mã hóa khơng biết khóa Có phương pháp “bẻ khóa” q trình này, địi hỏi sức mạnh điện tốn lớn, sau cho phép truy cập vào tất giao tiếp VPN định 10 Nhóm sử dụng cơng cụ VMWare 16.0 WireShark phiên 3.6.6 để tiến hành Demo dự án Dùng VMWare để chạy máy ảo trình triển khai Demo đồ án sử dụng WireShark để tiến hành bắt gói tin ping thông với chia sẻ liệu để kiểm tra mã hóa 4.2.1 Lợi ích dùng Vmware Theo Vmware, ảo hóa giải thách thức cấp bách CNTT: giảm chi phí bảo trì mở rộng sở hạ tầng Các tổ chức thuộc quy mô áp dụng công nghệ ảo hóa Vmware gặt hái nhiều lợi ích trình sử dụng, chẳng hạn như: Loại bỏ cơng việc hành thơng thường cho nhân viên IT nội Nhiều tùy chọn lưu bảo mật liệu, giảm nguy liệu Tăng tính hiệu linh hoạt hệ thống trung tâm liệu Giảm chi phí vận hành, từ tăng khả sinh lời 4.2.2 WireShark 36 Tính bật Wireshark Có thể thấy Wireshark có nhiều cơng dụng khác Vậy cịn tính chúng nào? Sau khám phá xem tính bật Wireshark Wireshark có sẵn cho hệ điều hành UNIX Windows Ứng dụng giúp người dùng chụp liệu gói trực tiếp từ giao diện mạng Thực mở tệp có chứa liệu gói tcpdump/ WinDump, Wireshark số chương trình packet capture khác Nhập gói từ tệp văn có chứa hex dumps packet data Hiển thị gói thơng tin cách vô chi tiết Tiến hành việc lưu trữ tất liệu gói bị bắt Xuất số tất gói thơng qua định dạng capture file Dựa vào tiêu chí khác để lọc gói tin Dựa nhiều tiêu chí để tìm kiếm gói Colorize gói hiển thị dựa lọc Wireshark giúp tạo số liệu thống kê khác 4.3 Các bước thực 4.3.1 Cấu hình máy Đầu tiên tiến hành cấu hình máy theo mơ hình nhữ thiết kế để sau tiến hành ping thử máy với để kiểm tra - Máy File Server 37 - Máy Server Hanoi + Card Mạng Lan VMNet2 + Card mạng Wan VMnet3 38 - Máy Server Saigon + Card mạng Wan VNMnet3 39 + Card mạng Lan VMNet4 - Máy Client 4.3.2 Cấu hình VPN cho máy Server Hanoi Saigon 40 Tiến hành add tính năn Remote Access cho máy VPN Hanoi Saigon Máy Server Hanoi Máy Server Saigon Tạo tạo tài khoản User Hanoi Saigon máy tương ứng để kết nối máy Máy Server Hanoi 41 Máy Server Saigon Cài đặt dịch vụ VPN cho máy Sever VPN Hanoi Saigon Máy Server Hanoi 42 Máy Server Saigon - Cài đặt khóa để máy server xác thực việc tiến hành xây đường hầm Máy Server Hanoi 43 Máy Server Saigon 44 4.4 Kết - Đã ping thông thành công máy tập tập tin chuyển mã hóa Chúng ta dung WireSharrk để kiểm chứng kết gói tin ESD Đã tiến hành ping thành công truy cập thành công vào file Data từ máy Client sang máy File Server 45 4.5 Kết luận - Nhóm Demo thành cơng theo mơ hình lab nghiệp vụ mơ hình đề theo dự kiến IPSec sử dụng cho công việc như: Mã hóa liệu lớp ứng dụng Cung cấp bảo mật cho định tuyến gửi liệu định tuyến qua internet công cộng Cung cấp xác thực khơng mã hóa, xác thực liệu bắt nguồn từ người gửi biết Bảo vệ liệu mạng cách thiết lập mạch sử dụng đường hầm IPsec, tất liệu gửi hai điểm cuối mã hóa, với kết nối Mạng riêng ảo (VPN) Đối với doanh nghiệp ngày nay, bảo mật liệu mối quan tâm lớn Cách tốt để có bảo mật liệu bật VPN IPSec Mạng riêng ảo ( VPN ) dựa lớp bảo mật Lớp bảo mật IPSec nhúng mạng để tất lưu lượng truyền qua mạng bảo vệ 46 Về bản, mã hóa xác thực gói liệu internet Khơng nghi ngờ nữa, IPSec mang lại lợi đáng kể cho môi trường mạng Tuy nhiên, tương tự công nghệ mạng khác, IPSec có ưu nhược điểm riêng Do đó, trước triển khai IPSec, cần phải xem xét ưu nhược điểm chúng Ưu điểm IPSec An ninh mạng Do thực tế IPSec hoạt động cấp độ mạng, hồn tồn vơ hình hoạt động Hơn nữa, người dùng khơng bắt buộc phải tương tác với chúng, điều khiến chúng đề xuất cho VPN Thêm vào IPSec hoạt động lớp mạng, tất lưu lượng qua mạng giám sát Đó lý VPN dựa IPSec khuyến nghị cho máy khách cần bảo vệ lưu lượng vào Ứng dụng phụ thuộc Vì IPSec VPN vận hành cấp độ mạng nên khơng có phụ thuộc vào ứng dụng Bất kể loại ứng dụng sử dụng, IPSec khơng phụ thuộc vào Tất ứng dụng IPSec định tuyến IP giúp chúng tương thích Điều yêu cầu sửa đổi hệ điều hành Bảo mật liệu Quyền riêng tư liệu bảo vệ IPSec cách sử dụng khóa cơng khai Bất kỳ liệu trao đổi máy chủ mạng sử dụng khóa cơng khai để đảm bảo an toàn Ngoài ra, cách đảm bảo an tồn cho khóa, người dùng đảm bảo liệu đến từ máy chủ lưu trữ phù hợp từ trang web giả mạo Do đó, nội dung bên gói liệu bảo vệ khỏi bị nghe trộm hình thức gián điệp khác Hỗ trợ mạng Do diện Lớp IP, IPSec triển khai cho mạng từ quy mô Không phân biệt mạng từ LAN đến WAN, chúng áp dụng bao gồm internet Xác thực IPSec thực xác thực cách đặt chữ ký số gói liệu Bất kỳ hình thức can thiệp từ bên thứ ba bảo vệ Do đó, nội dung bên tiêu đề gói khơng thể sửa đổi khơng bị phát Và xác minh danh tính cho đầu kết nối 47 Nhược điểm IPSec Chi phí CPU Tất liệu qua máy cần mã hóa giải mã liên tục Do đó, IPSec u cầu hình thức sức mạnh xử lý cao CPU Điều đặc biệt bất lợi kích thước gói liệu nhỏ Khi IPSec tạo chi phí lớn, hiệu suất mạng bị giảm Tính tương thích Một số nhà phát triển phần mềm khơng tn theo quy trình IPSec Do đó, tạo vấn đề tương thích với số phần mềm Hơn nữa, IPSec khơng có tiêu chuẩn qn cho khả tương thích riêng Các thuật toán Các thuật toán bảo mật IPSec dễ bị bẻ khóa Nếu sử dụng thuật tốn đó, khả bảo mật họ mức độ rủi ro cao Tuy nhiên, mơ hình thuật tốn biết có khả ngăn chặn lỗ hổng Phạm vi truy cập Vì IPSec cung cấp phạm vi truy cập rộng, nên có hội cao để cấp đặc quyền cho thiết bị khác mạng Ví dụ: PC gặp phải phần mềm độc hại, tất máy tính khác mạng cơng ty bị ảnh hưởng Do đó, trừ có phép đo bảo mật đặc biệt, mạng dựa IPSec dễ bị công mạng Hạn chế tường lửa Đôi hạn chế áp đặt tường lửa công ty, người dùng truy cập internet Ngay mạng lưới công ty riêng Do đó, cách liên hệ với quản trị viên mạng, người dùng truy cập vào mạng tương ứng 4.6 Demo 4.6.1 Mục tiêu: Thực demo theo dung mơ hìnhđã đặt ping thông để trao đổi tập tin với máy truy cập từ máy Client lên File Server Tiếp tục tìm hiểu phát triển chức nâng cao cho dự án 4.6.2 Hướng phát triển 48 Tìm hiểu sâu giao thức khác để có góc nhìn rõ điểm mạnh điểm yếu cảu giao thức Hướng đến tiện dụng thơng minh, an tồn bảo mật để phù hợp với nhu cầu sử dụng Phát triển triển thêm nghiệp vụ 49 TÀI LIỆU THAM KHẢO [1] https://quantrimang.com/ipsec-la-gi-174155 [2] https://vietnix.vn/ipsec-la-gi/ [3] https://www.youtube.com/watch?v=x-PhH7nUXuA Hết 50 ... Saigon Máy Server Hanoi Máy Server Saigon Tạo tạo tài khoản User Hanoi Saigon máy tương ứng để kết nối máy Máy Server Hanoi 41 Máy Server Saigon Cài đặt dịch vụ VPN cho máy Sever VPN Hanoi Saigon Máy. .. hoạt động IPSec VPN để áp dụng vào toán thực tế phát triển cho dự án sau 1.3 Cấu trúc đề tài Báo cáo đồ án gồm có chương: Chương 1: Tổng quan, giới thiệu đề tài Phần giới thiệu tổng quan, nhiệm... đồ án, giúp hiểu nội dung đồ án Chương 2: Giới thiệu VPN Phần giới thiệu cụ thể VPN trước vào IPSec VPN Chương 3: Giới thiệu IPSec Phần giúp tìn hiểu sâu IPSec để tìm yếu tố ý nghĩa IPSec
