BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SỸ KHOA HỌC KỸ THUẬT MẠNG RIÊNG ẢO VÀ GIẢI PHÁP NÂNG CAO TÍNH BẢO MẬT CHO HỆ THỐNG MẠNG CỤC TẦN SỐ VÔ TUYẾN ĐIỆN NGÀNH: KỸ THUẬT ĐIỆN TỬ MÃ SỐ: PHAN THỊ THUÝ HẠNH Người hướng dẫn khoa học: PGS.TS NGUYỄN THỊ VIỆT HƯƠNG HÀ NỘI 2007 -1- MỤC LỤC DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ DANH MỤC CÁC BẢNG BIỂU MỞ ĐẦU 10 Chương 1: TỔNG QUAN 12 1.1 Tình hình bảo mật giới Việt Nam 12 1.1.1 Trên giới 12 1.1.2 Tại Việt Nam 14 1.2 Các mối đe dọa an tồn thơng tin 15 1.3 Các công cụ bảo mật 15 1.4 Mục tiêu, phạm vi đề tài 16 Chương 2: TỔNG QUAN MẠNG RIÊNG ẢO (VPN) 18 2.1 Khái niệm mạng riêng ảo 18 2.2 Phân loại VPN 20 2.2.1 Mạng VPN truy nhập từ xa 20 2.2.2 Mạng VPN cục 21 2.2.3 Mạng VPN mở rộng 22 2.3 Cấu trúc VPN 23 2.3.1 Phần cứng 23 2.3.2 Phần mềm 26 2.3.3 Cổng kết nối VPN 28 2.4 Các khối chức mạng VPN 28 2.4.1 Điều khiển truy nhập 29 2.4.2 Nhận thực 30 2.4.3 An ninh 31 2.4.4 Truyền Tunnel tảng VPN 31 -2- 2.4.5 Các thỏa thuận mức dịch vụ 34 2.5 Các giao thức đường hầm IP-VPN 34 2.5.1 Giao thức đường hầm điểm-điểm PPTP 35 2.5.2 Giao thức đường hầm L2TP 42 2.5.3 So sánh L2TP PPTP 47 2.6 Kết luận 49 Chương 3: GIAO THỨC IPSEC VÀ MỘT SỐ KỸ THUẬT BẢO MẬT KHÁC SỬ DỤNG TRONG MẠNG VPN 51 3.1 Giới thiệu IPSec 51 3.2 Đóng gói thông tin IPSec 54 3.2.1 Giao thức tiêu đề xác thực AH 54 3.2.2 Giao thức đóng gói an tồn tải tin ESP 57 3.2.3 Các chế độ hoạt động IPSec 61 3.3 Kết hợp an ninh 63 3.3.1 Kết hợp an ninh SA 63 3.3.2 Giao thức trao đổi khóa IKE 65 3.4 Giao thức mã hoá tin xử lý IPSec 66 3.4.1 Tiêu chuẩn mã hoá liệu DES 66 3.4.2 Tiêu chuẩn mã hóa liệu gấp ba 3DES 67 3.5 Toàn vẹn tin 67 3.5.1 Mã nhận thực tin băm HMAC 68 3.5.2 Thuật toán MD5 69 3.5.3 Thuật toán băm an toàn SHA 69 3.6 Nhận thực đối tác 70 3.6.1 Khóa chia sẻ trước 70 3.6.2 Chữ ký số RSA 70 3.6.3 RSA mật mã nonces 70 -3- 3.7 Quản lí khóa 71 3.7.1 Giao thức Diffie-Hellman 71 3.7.2 Quyền chứng nhận CA 73 3.8 Một số kỹ thuật bảo mật khác VPN 74 3.8.1 Tường lửa (Firewall) 74 3.8.2 Secure Socket Layer (SSL) 77 Chương 4: QUẢN LÝ MẠNG RIÊNG ẢO 80 4.1 Các vấn đề hạ tầng mạng 82 4.2 Các vấn đề bảo mật 83 4.3 Các vấn đề ISP 85 Chương 5: GIẢI PHÁP NÂNG CAO TÍNH BẢO MẬT CHO HỆ THỐNG MẠNG CỤC TẦN SỐ VÔ TUYẾN ĐIỆN 87 5.1 Khảo sát trạng 87 5.2 Đánh giá trạng 89 5.2.1 Trung tâm 89 5.2.2 Các chi nhánh 90 5.3 Đề xuất giải pháp 91 5.3.1 Giai đoạn 1: Triển khai mạng VPN 91 5.3.2 Giai đoạn 2: Nâng cấp hệ thống bảo mật Cục tần số 99 5.3.3 Đề xuất số thiết bị bảo mật khác 106 5.4 Kết luận 106 KẾT LUẬN 109 TÀI LIỆU THAM KHẢO 110 -4- DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Từ viết tắt Tên đầy đủ 3DES Triple DES AAA Authentication Authorization Accounting ACL Access Control List AES Advanced Encrytion Standard AH Authentication Header CA Certificate Authentication DES Data Encryption Standard DoS Denial of Service DNS Domain Name System EAP Extensible Authentication Protocol ESP Encapsulating Security Payload ECP Encryption Control Protocol GRE Generic Routing Encapsulation ICV Intergrity Check Value IDS Intrusion Detect System IETF Internet Engineering Task Force IKE Internet Key Exchange IKMP Internet Key Management Protocol IPSec Internet Protocol Security LAC L2TP Access Concentrator L2F Layer-2 Forwarding L2TP Layer-2 Tunneling Protocol LAN Local Area Network -5- LNS L2TP Nerwork Server MAC Message Authentication Code MD5 Message Digest MPPE Microsoft Point-to-Point Encryption MS-CHAP Microsoft Challenge Handshake Authentication Protocol NAS Network Access Server NSA National Security Agency PAP Password Authentication Protocol PDU Protocol Data Unit PKI Public Key Infrastructure POP Point of Presence PPP Point-to-Point Protocol PPTP Point-to-Point Tunneling Protocol PSTN Public Switched Telephone Network RAS Remote Access Service RSA Rivest, Shamir Adleman RADIUS Remote Access Dial-In User Service SA Security Association SHA-1 Sercure Hash Algorithm -1 RFC Request For Comment SPI Security Parameter Index SN Sequence Number SSPI Security Support Provider Interface SSL Secure Socket Layer TACACS Terminal Access Controller Access Control System -6- TCP Tranmition Control Protocol TLS Transport Layer Sucurity UDP User Datagram Payload VPN Virtual Private Network -7- DANH MỤC CÁC HÌNH VẼ Hình 2-1: Mơ hình mạng VPN truy nhập từ xa 21 Hình 2-2: Mơ hình mạng VPN cục 22 Hình 2-3: Mơ hình mạng VPN mở rộng 22 Hình 2-4: Đặc trưng máy khách VPN 25 Hình 2-5: Truyền Tunnel nối mạng riêng ảo 32 Hình 2-6: Che đậy địa IP riêng truyền Tunnel 33 Hình 2-7: PPTP truyền thơng tin PAC PNS 35 Hình 2-8: Kết nối điều khiển PPTP client sever 37 Hình 2-9: Cấu trúc gói tin PPTP 39 Hình 2-10: Các tầng giao thức hoạt động kết nối PPTP 40 Hình 2-11: Cấu trúc GRE header 41 Hình 2-12: Kết nối đường hầm L2TP 43 Hình 2-13: Hoạt động kết nối L2TP 44 Hình 2-14: Cấu trúc giao thức L2TP 45 Hình 2-15: Cấu trúc gói tin L2TP 45 Hình 2-16: L2TP header 46 Hình 3-1: Khung giao thức sử dụng IPSec 54 Hình 3-2: Cấu trúc tiêu đề AH cho IPSec Datagram 55 Hình 3-3: Xử lý đóng gói ESP 58 Hình 3-4: Khn dạng gói ESP 59 Hình 3-5: Gói tin IP kiểu Transport 61 Hình 3-6: Gói tin IP kiểu Tunnel 62 Hình 3-7: Thiết bị mạng thực IPSec kiểu Tunnel 63 Hình 3-8: Các kết hợp an ninh 64 Hình 3-9: Các chế độ chính, chế độ cơng, chế độ nhanh IKE 66 -8- Hình 3-10: Tường lửa đặt sau VPN server 76 Hình 3-11: VPN Server đặt sau tường lửa 77 Hình 3-12: Mơ hình hoạt động SOCKS 78 Hình 5-1: Sơ đồ mạng có Cục tần số vơ tuyến điện 87 Hình 5-2: Mơ hình giải pháp giai đoạn 92 Hình 5-3: Cisco ASA 5500 Series Adaptive Security Appliances 93 Hình 5-4: Giải pháp dự phịng cho Cục tần số vô tuyến điện 98 Hình 5-5: Mơ hình giải pháp giai đoạn 99 Hình 5-7: Giải pháp chống virus 103 -9- DANH MỤC CÁC BẢNG BIỂU Bảng 1-1: Số vụ công mạng qua năm gần 12 Bảng 2-1: So sánh hai giao thức PPTP L2TP 48 - 97 - 5.3.1.1 Kết nối Hiện nay, trung tâm Hà Nội sử dụng đường Lease Line có IP tĩnh tất trung tâm lại kết nối đến Internet đường ADSL có IP động Như nói phần trước, kết nối VPN có IP tĩnh điều kiện tốt Vì vậy, chúng tơi khuyến nghị việc dùng kết nối Leased line 128kbps trung tâm lớn khác ngồi Hà Nội TP Hồ Chí Minh Đà Nẵng, nhằm đảm bảo cho kết nối trung tâm lơn ổn định Bên cạnh đó, kết nối WAN trung tâm Cục tần số đường Lease Line 128kbps Tốc độ kết nối không đáp ứng nhu cầu băng thông sau Cục tần triển khai hệ thống VPN tồn quốc Do lúc có nhiều kết nối đổ trung tâm Vì vậy, khuyến cáo Cục tần số nên nâng cấp đường truyền lên đường Leased line 1M, tối thiểu 512Kbps Như vậy, kết nối VPN Site-to-Site điểm với nhau, lại trung tâm khác sử dụng ADSL kết nối VPN trung tâm theo mơ hình Client-to-Site sơ đồ giải pháp 5.3.1.2 Giải pháp dự phòng Theo khảo sát tôi, trung tâm Cục tần số Hà Nội có kết nối Internet đường Lease Line 128kbps Điều khơng đảm bảo cho tính sẵn sàng cao, trường hợp đường Lease Line Cục tần số gặp cố khơng lưu lượng từ trung tâm khác kết nối trung tâm Hà Nội mà thân người dùng bên trung tâm kết nối ngồi Chính lý mà tơi đề xuất giải pháp sau: - 98 - Hình 5-4: Giải pháp dự phịng cho Cục tần số vơ tuyến điện Theo sơ đồ giải pháp trên, Cục tần số phải đầu tư thêm đường ADSL IP tĩnh làm đường kết nối dự phòng cho đường Lease Line có trách nhiệm giảm tải cho đường Lease Line Qua đó, tơi đề xuất cho Cục tần số giải pháp dựa công nghệ Policy Based Routing thực Router 2811 Với việc đầu tư thêm đường ADSL IP tĩnh, cấu hình Router 2811 Cisco ASA 5520 để tất users bên mạng LAN Internet qua đường ADSL Còn lưu lượng VPN lưu lượng Web, Mail theo đường Lease Line Khi cấu vậy, giảm tải đáng kể cho đường Lease Line lưu lượng VPN Web, Mail Ngồi ra, với việc có thêm đường ADSL IP tĩnh, có thêm phương án dự phịng cho kết nối VPN Trong trường hợp kết nối Lease Line - 99 - xảy cố, hồn tồn cấu hình lại thiết bị Firewall/VPN để trỏ đường ADSL có IP tĩnh cho kết nối VPN 5.3.2 Giai đoạn 2: Nâng cấp hệ thống bảo mật Cục tần số Hiện nay, ngồi hệ thống Firewall Cục tần số chưa có hệ thống bảo mật khác như: Hệ thống ngăn chặn xâm nhập, hệ thống Antivirus từ Gateway, Server đến client, thiết bị quản lý băng thơng Do nhu cầu đó, chúng tơi đưa giải pháp bảo mật tổng thể cho toàn hệ thống Cục tần số sau: Hình 5-5: Mơ hình giải pháp giai đoạn 5.3.2.1 Hệ thống ngăn chặn xâm nhập IPS Khi virus, sâu hay trojan cơng vào tổ chức, khơng phá hoại liệu quan trọng mà gây ngừng trệ công việc, gây thiệt hại kinh tế nghiêm trọng Với khả phát tán nhanh chóng, cơng vào sâu mạng, gây lên khó khăn cơng việc tiêu tốn nhiều tiền để khắc phục Giải pháp ngăn chặn xâm nhập Cisco chống lại mối đe dọa cách: - 100 - + Bảo vệ tài sản quan trọng khỏi mối đe dọa phạm vi rộng + Bảo vệ nơi hệ thống mạng + Ngăn chặn nhanh chóng mối đe dọa phát Hệ thống ngăn chăn chặn xâm nhập Cisco giải pháp inline, lớp mạng, thiết kế để xác định, phân loại, ngăn chặn xác lưu lượng nguy hiểm, bao gồm sâu, spyware/adware, sâu virus trước chúng ảnh hưởng đến hoạt động thương mại tổ chức Sử dụng phần mềm Cisco IPS Sensor version 5, giải pháp ngăn chặn xâm nhập Cisco kết hợp dịch vụ ngăn chặn inline với cơng nghệ tiên tiến cải thiện tính xác việc ngăn chặn lưu lượng nguy hiểm mà không làm ảnh hưởng đến lưu lượng hợp lệ Giải pháp ngăn chặn xâm nhập Cisco giúp người sử dụng ngăn chặn nhiều mối đe dọa với tính tin cậy cao việc sử dụng phương pháp sau: + Các công nghệ ngăn chặn inline xác: Cơng nghệ đưa phân tích thông minh tự động liệu bạn giúp bạn chắn ngăn chặn lưu lượng nguy hiểm mà không ảnh hưởng đến lưu lượng hợp lệ + Xác định mối đe dọa từ phía: bảo vệ hệ thống mạng bạn khỏi vi phạm xách, thám lỗ hổng hoạt động bất thường thông qua việc kiểm tra chi tiết lưu lượng từ lớp đến lớp + Sự cộng tác mạng độc nhất: nâng cao khả co dãn thông qua cộng tác mạng, bao gồm công nghệ thu lấy liệu hiệu quả, khả chia tải tính rõ lưu lượng mã hóa - 101 - + Giải pháp triển khai toàn diện: cung cấp giải pháp từ mạng doanh nghiệp vừa nhỏ đến mạng doanh nghiệp lớn mạng nhà cung cấp dịch vụ + Cisco Security Monitoring, Analysis, and Response System (MARS) xác định, cách ly loại bỏ yếu tố bị lỗi Và Cisco Incident Control System ngăn chặn virus sâu Khi kết hợp, yếu tố cung cấp giải pháp ngăn chặn inline toàn diện, mang đến cho bạn tin tưởng để phát ngăn chặn lưu lượng nguy hiểm phạm vi rộng trước ảnh hưởng đến hoạt động hệ thống Đối với hệ thống Cục tần số, đưa thiết bị IPS 4240 Cisco cho hệ thống phát ngăn chặn xâm nhập Đặc điểm kỹ thuật IPS 4240 + Inline IPS ready: Yes + Performance: 250Mbps + Standard Monitoring Interface: Four 10/100/1000 BASE-TX + Standard Command and Control Interface: 10/100BASE-TX + Optional Interface: Four 10/100/1000 BASE-TX monitoring interfaces (copper) in the future Four 1000 BASE-SX (fiber) in the future + ACL Modifications on Switches, Routers, and Firewalls: Yes + Multiple Packet Drop Actions to Stop Worms and Viruses: Yes*… 5.3.2.2 Anti-virus a Các đường để virus máy tính thâm nhập vào hệ thống mạng máy tính Cục tần số - 102 - Với hệ thống mạng máy tính Cục tần số virus máy tính xâm nhập vào đường sau: + Thâm nhập từ Internet vào máy tính bên mạng kết nối vào mạng Internet + Thâm nhập qua hệ thống thư điện tử + Thâm nhập người dùng chép liệu từ đĩa mềm, thiết bị lưu trữ bên ngồi có nhiễm Virus + Từ máy lây nhiễm mạng lây lan sang Với gia tăng nhanh số lượng, mức độ nguy hiểm, phát tán (lây nhiễm) virus nay, cần đưa giải pháp, sách tổng thể để phịng chống virus cách có hiệu Với hệ thống thơng tin vậy, tơi đề xuất giải pháp phịng chống Virus máy tính sản phẩm Trend Micro cho hệ thống sau b Giải pháp anti-virus mạng máy tính Cục tần số sản phẩm TrendMicro Để phòng chống virus hiệu cần ngăn chặn phịng chống virus tất đường mà virus lây nhiễm làm hỏng hệ thống, với hệ thống mạng Cục tần số đường lây nhiễm virus nêu chúng tơi xin đưa giải pháp phịng chống virus: + Tại Gateway: Gateway Cục tần số ASA 5520 Để cài đặt Interscan Trendmicro, ASA 5520 phải mua thêm Module CSC-SSM + Tại máy chủ Mail + Tại hệ thống máy chủ liệu + Tại máy trạm - 103 - Để làm cần dùng sản phẩm NeaTSuite Enterprise Edition hãng Trend Micro Bộ sản phẩm bao gồm modules sau: + InterScan Web Security Suite HTTP/FTP - IWSS HTTP/FTP + InterScan Messaging Security Suite – IMSS + OfficeScan Corporate Edition – OSCE + ScanMail for Exchange - SMEX Suite + ServerProtect – SP + Trend Micro Control Manager –TMCM Các module cài đặt, triển khai độc lập để bảo vệ thành phần khác mạng Hình 5-6: Giải pháp chống virus InterScan Web Security Suite - Chống virus bảo vệ nội dung mức Gateway: + InterScan Web Security SuiteTM giải pháp bảo vệ doanh nghiệp mức Gateway với độ tin cậy cao ổn định cho luồng HTTP - 104 - FTP Được thiết kế để cải thiện khả sử dụng Web người sử dụng, InterScan Web Security Suite lỗi trình diễn tiềm ẩn quét virus + InterScan Web Security Suite hỗ trợ việc quét độc lập qua giao thức ICAP, đưa bảo vệ Web linh hoạt cho doanh nghiệp + Được thiết kế cho việc cấu hình luân phiên ứng dụng tương lai, đặc tính thêm vào chiến lược Trend Micro cho Enterprise, mở rộng khả quản lý chống bùng nổ virus luồng Web, giảm chi phí tăng khả đầu tư InterScan Messaging Security + Trend Micro™ InterScan™ Messaging Security Suite hỗ trợ việc đưa cảnh báo gateway nhằm giúp cho việc thiết lập sách phịng chống virus, chống spam an toàn liệu + InterScan Messaging Security Suite giúp cho quản trị IT giảm thiểu tối đa thời gian cài đặt cấu hình cảnh báo cho giải pháp bảo mật Hơn nữa, việc gửi thông báo cho biết việc gửi thông tin tới đích an tồn hữu ích việc tính chi phí giúp cho quản trị IT nâng cao việc bảo vệ khỏi công từ nhiều hướng xảy đồng thời ảnh hưởng nguy hại đến hoạt động hệ thống + Đi kèm với sản phẩm Trend Micro Control Manager™, cung cấp khả mở rộng hệ thống cảnh báo mạng, cho phép xuất báo cáo cấu hình, cập nhật file mẫu virus máy quét dịch vụ chống bùng nổ Trend Micro tập chung cách người quản trị hồn tồn thực thao tác từ xa OfficeScan Corporate Edition + OfficeScanTM Corporate Edition cung cấp giải pháp phòng chống virus toàn diện cho máy để bàn máy xách tay OfficeScan đưa chức - 105 - quản lý tập trung, cho phép người quản trị quản lý đầy đủ thi hành sách phịng chống virus thơng qua tồn tổ chức + Được thiết kế để quét diệt virus cách suốt tin cậy, OfficeScan kết hợp chặt chẽ với Damage Cleanup Service, dịch vụ loại bỏ đoạn mã nguy hiểm sửa chữa hệ thống bị phá hoại đoạn mã nguy hiểm ScanMail for Microsoft Exchange + Bảo vệ môi trường Microsoft Exchange chống lại cơng nguy hiểm nội dung khơng thích hợp + ScanMail™ for Microsoft™ Exchange phát diệt virus theo thời gian thực từ email file đính kèm trước chúng đến máy để bàn Nó dễ dàng triển khai cấu hình qua giao diện quản lý Windows hay Web-based + Kết hợp với thành phần plug-in eManager cung cấp việc lọc nội dung để ngăn chặn email không liên quan đến việc kinh doanh lọc nội dung không thích hợp email file đính kèm ScanMail kết hợp chặt chẽ với giao diện ứng dụng Microsoft hỗ trợ cho Microsoft Exchange 5.5, Microsoft Exchange 2000, Exchange 2003 servers ServerProtect for Microsoft Windows/Novell Netware + ServerProtectTM cung cấp giải pháp quét virus cho server, phát diệt virus file file nén theo thời gian thực trước chúng đến người sử dụng cuối Người quản trị sử dụng giao diện dựa Windows để quản lý tập trung việc bùng nổ virus, quét virus, cập nhật pattern file, cảnh báo cài đặt từ xa - 106 - + ServerProtect hỗ trợ Microsoft™ Windows™ Server 2003, Microsoft Windows 2000, Microsoft Windows NT™ Novell™ NetWare™ server Trend Micro Control Manager™ + Trend Micro Control Manager™ phần sản phẩm quản lý tập chung sản phẩm bảo mật thông tin chống virus mạng Trend Micro + Control Manager tập hợp thông tin trạng thái bên hệ thống giúp cho người quản trị đưa định mức khác hệ thống mạng suốt trình bùng nổ Thành phần chiến lược bảo vệ cho tổ chức, kết hợp sản phẩm, dịch vụ chuyên gia, Control Manager trung tâm thực yêu cầu thực dịch vụ hỗ trợ chuyên gia Trend Micro mạng lưới toàn cầu 5.3.3 Đề xuất số thiết bị bảo mật khác Bên cạnh hệ thống bảo mật thiết yếu trên, ta nên triển khai hệ thống bảo mật khác như: thiết bị quản lý băng thông, thiết bị AntiSpam mail, thiết bị chống DDoS Đối với các hệ thống bảo mật trên, đề xuất thiết bị hãng: + Thiết bị quản lý băng thông: NetEnfocer Allot + Thiết bị Anti-Spam mail: Barracuda Spam Firewall Barracuda + Thiết bị chống DDoS: Cisco Guard XT 5650 Cisco 5.4 Kết luận Với giải pháp mà đề xuất, danh mục thiết bị mà Cục tần số cần đầu tư: - 107 - GIAI ĐOẠN Mô tả thiết bị Số lượng Ghi Tại trung tâm Hà Nội Cisco Firewall/VPN ASA 5520 Tại trung tâm TP Hồ CHÍ MINH Cisco Firewall/VPN ASA 5510 Tại trung tâm Đà Nẵng Cisco Firewall PIX 515E (thiết bị A sử dụng trung tâm Hà Nội) Các trung tâm cịn lại Cisco® 877 Series Integrated Services Routers Với danh mục thiết bị cần trang bị trên, tổng mức đầu tư Cục tần số giai đoạn 39.500USD Khi mơ hình hoạt động, chi phí hàng tháng mà Cục tần số trả để thuê đường leased line ADSL hệ thống vào khoảng triệu VNĐ (chưa kể cước tính theo dung lượng internet) Trong đó, sử dụng thuê kênh leased line MegaWan hệ thống chi phí hàng tháng vào khoảng 23,7 triệu VNĐ (chưa kể cước dung lượng internet) Như vậy, tháng Cục Tần số tiết kiệm 16,7 triệu VNĐ (tiết kiệm tới 70% chi phí hàng tháng) Và theo tính tốn, sau năm số tiền tiết kiệm với số tiền đầu tư ban đầu - 108 - GIAI ĐOẠN Mô tả thiết bị Số lượng Cisco ASA 5500 Series CSC-SSM-20 TrendMicro Anti-virus Cisco IPS 4240 Ghi Tổng mức đầu tư Cục tần số giai đoạn vào khoảng 30.000USD Như vậy, việc sử dụng công nghệ tạo VPN qua môi trường Internet ADSL giải pháp tối ưu phuơng diện dễ dàng triển khai lẫn chi phí hoạt động hàng tháng - 109 - KẾT LUẬN Công nghệ mạng riêng ảo VPN cho phép tận dụng môi trường mạng công cộng Internet để xây dựng mạng riêng đảm bảo an ninh Với ưu điểm mặt giá thành, phạm vi hoạt động không hạn chế, linh hoạt triển khai mở rộng, VPN công nghệ hứa hẹn triển vọng thị trường lớn Qua chương trình bày, luận văn nghiên cứu nội dung kỹ thuật VPN kỹ thuật mã hoá, định danh, xác thực Các giao thức tạo đường hầm kết nối an toàn PPTP, L2TP, IPSec Quản lý hoạt động VPN Cuối số giải pháp đề xuất nhằm nâng cao tính bảo mật tục Quản lý tần số, giải pháp đáp ứng cách tốt yêu cầu đặt Cục tần số kết nối người dùng chi nhánh tỉnh thành với trung tâm với chi phí thấp mà đảm bảo tin cậy an toàn cho mạng Hiện nay, Việt Nam có nhiều hãng cung cấp giải pháp VPN cho doanh nghiệp, hãng có cấu hình VPN riêng có mạnh định Theo đánh giá nhiều cơng ty thị trường VPN Việt Nam ước tính có tốc độ phát triển từ 50-60% năm năm tới Với tăng trưởng mạnh mẽ đó, VPN trở nên phổ biến tương lai gần cần phải đầu tư nghiên cứu, phát triển mạnh nhằm đáp ứng nhu cầu ngày cao người sử dụng - 110 - TÀI LIỆU THAM KHẢO [1] Cisco Secure Virtual Private Networks (Volume 1,2) Copyright © 2001, Cisco System, Inc [2] Security Protocols Overview Copyright ©1999, RSA Data Security, Inc [3] Virtual Private Networking and Intranet Security Copyright © 1999, Microsoft Corperation, Inc [4] Network Protocol Handbook Matthew G.Naugle, McGraw-Hill, Inc.1994 [5] Building and Managing Virtual Private networks Dave kosiur, USA, 1998 [6] VPN technologies: Definitions and Requirements Copyright © 2002, VPN Consortium [7] Understanding Virtual Private networking Copyright © 2001, ADTRAN, Inc Các Websites http:// www.vpnlabs.org http:// www.vpnc org http:// www ietf Org http:// www.techguide.com http:// www.javvin.com http:// www.techRepublic.com Các chuẩn RFCs RFC 2403- Use of HMAC-MD5-96 winthin ESP and AH - 111 - RFC 2402- IP Authentication Header (AH) RFC 2404- Encapsulation Security Payload (ESP) RFC 2341- layer Forwarding Protocol (L2F) RFC 2647- Point-to-Point Tunneling Protocol (PPTP) RFC 2661- Layer Tunnling Protocol (L2TP) ... doanh nghiệp Với mục đích nghiên cứu số kỹ thuật mạng riêng ảo, để từ đề xuất giải pháp nhằm nâng cao tính bảo mật cho hệ thống mạng Cục tần số vô tuyến điện Nội dung luận văn bao gồm: • Chương... quản lý việc quản lý hạ tầng mạng, quản lý bảo vật quản lý ISP • Chương 5: Từ trạng Cục tần số vô tuyến điện, đề xuất số giải pháp nâng cao tính bảo mật cho hệ thống mạng Tôi xin chân thành cảm... 82 4.2 Các vấn đề bảo mật 83 4.3 Các vấn đề ISP 85 Chương 5: GIẢI PHÁP NÂNG CAO TÍNH BẢO MẬT CHO HỆ THỐNG MẠNG CỤC TẦN SỐ VÔ TUYẾN ĐIỆN 87 5.1 Khảo sát trạng