Tổng quan về an ninh bảo mật thông tin; một số khái niệm, mô hình, giao thức của VPN; Tìm hiểu về công nghệ mã nguồn mở. Nghiên cứu, đánh giá một số vấn đề bảo mật của các giao thức VPN hiện nay; Tìm hiểu một số công nghệ bảo mật VPN. Đề xuất giải pháp VPN mã nguồn mở trên nền tảng Openvpn. Giải pháp triển khai thực tế cho mô hình kết nối của Bộ Ngoại giao.
Nghiên cứu xây dựng giải pháp Bảo mật mạng riêng ảo VPN dựa trên công nghệ mở Research construction security solutions of VPN based on open technology NXB H. : ĐHCN, 2012 Số trang 112 tr. + Nguyễn Anh Đoàn Trƣờng Đại học Công nghệ Luận văn ThS ngành: Truyền dữ liệu và Mạng máy tính; Mã số: 60 48 15 Cán bộ hƣớng dẫn khoa học: Tiến sĩ Hồ Văn Hƣơng Năm bảo vệ: 2012 Abstract. Tổng quan về an ninh bảo mật thông tin; một số khái niệm, mô hình, giao thức của VPN; Tìm hiểu về công nghệ mã nguồn mở. Nghiên cứu, đánh giá một số vấn đề bảo mật của các giao thức VPN hiện nay; Tìm hiểu một số công nghệ bảo mật VPN. Đề xuất giải pháp VPN mã nguồn mở trên nền tảng Openvpn. Giải pháp triển khai thực tế cho mô hình kết nối của Bộ Ngoại giao. Keywords: Truyền dữ liệu; Bảo mật mạng; Mạng riêng ảo; Công nghệ mở; An toàn dữ liệu; Mạng máy tính Content. I. CHƢƠNG 1 TỔNG QUAN 1.1 Tổng quan về an toàn bảo mật thông tin 1.1.1 Giới thiệu về bảo mật thông tin Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về công nghệ thông tin không ngừng đƣợc phát triển ứng dụng để nâng cao chất lƣợng và lƣu lƣợng truyền tin thì các quan niệm ý tƣởng và biện pháp bảo vệ thông tin dữ liệu cũng đƣợc đổi mới. Bảo vệ an toàn thông tin dữ liệu là một chủ đề rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rất nhiều phƣơng pháp đƣợc thực hiện để bảo vệ an toàn thông tin dữ liệu. An toàn thông tin bao gồm các nội dung sau: - Tính bí mật: tính kín đáo riêng tƣ của thông tin - Tính xác thực của thông tin, bao gồm xác thực đối tác, xác thực thông tin trao đổi. - Tính trách nhiệm: đảm bảo ngƣời gửi thông tin không thể thoái thác trách nhiệm về thông tin mà mình đã gửi. 1.1.2 Một số giải pháp an toàn thông tin Các mức bảo vệ trên mạng: Thực hiện một số giải pháp: Quyền truy nhập; Đăng ký tên /mật khẩu; Mã hoá dữ liệu; Tƣờng lửa; Quản trị mạng An toàn thông tin bằng mật mã: Để bảo vệ thông tin trên đƣờng truyền ngƣời thực hiện các giải pháp mật mã nhằm mục đích để ngƣời không đƣợc phép đọc đƣợ thông tin. Đây là một lớp bảo vệ thông tin rất quan trọng và đƣợc sử dụng rộng rãi trong môi trƣờng mạng. Để bảo vệ thông tin bằng mật mã ngƣời ta thƣờng tiếp cận theo hai hƣớng: - Theo đƣờng truyền (Link_Oriented_Security). - Từ nút đến nút (End_to_End). Theo cách thứ nhất thông tin đƣợc mã hoá để bảo vệ trên đƣờng truyền giữa hai nút mà không quan tâm đến nguồn và đích của thông tin đó. Ở đây ta lƣu ý rằng thông tin chỉ đƣợc bảo vệ trên đƣờng truyền, tức là ở mỗi nút đều có quá trình giải mã sau đó mã hoá để truyền đi tiếp, do đó các nút cần phải đƣợc bảo vệ tốt. 1.2 Tổng quan về mạng riêng ảo VPN 1.2.1 Định nghĩa về mạng riêng ảo Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng làm cơ sở hạ tầng để truyền thông tin nhƣng vẫn đảm bảo là một mạng riêng và kiểm soát đƣợc truy nhập. Nói cách khác, VPN đƣợc định nghĩa là liên kết của khách hàng đƣợc triển khai trên một hạ tầng công cộng với các chính sách nhƣ là trong một mạng riêng. Hạ tầng công cộng này có thể là mạng IP, Frame Relay, ATM hay Internet. 1.2.2 Lợi ích của mạng riêng ảo VPN mang lại nhiều lợi ích, những lợi ích này bao gồm: - Giảm chi phí thực thi - Bảo mật các giao dịch - Sử dụng hiệu quả băng thông - Nâng cao khả năng mở rộng Trên đây là một số lợi ích cơ bản mà giải pháp VPN mang lại. Tuy nhiên bên cạnh đó, nó cũng không tránh khỏi một số bất lợi nhƣ: Phụ thuộc nhiều vào Internet. Sự thực thi của một mạng dựa trên VPN phụ thuộc nhiều vào sự thực thi của Internet. 1.2.3 Mô hình mạng riêng ảo thông dụng VPN đƣợc phát triển và phân thành 3 loại nhƣ sau: VPN truy cập từ xa (Remote Access VPN): VPN truy cập từ xa cho phép ngƣời dùng từ xa, ngƣời dùng di động của một tổ chức có thể truy cập tới các tài nguyên mạng của tổng công ty. VPN Cục bộ (Intranet VPN): Intranet VPN thƣờng đƣợc dùng để kết nối các nhánh Văn phòng từ xa của một tổ chức với Intranet trung tâm của tổ chức đó. Mạng riêng ảo mở rộng (Extranet VPN): Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ nhƣ đối tác cung cấp, khách hàng ), họ có thể xây dựng một VPN extranet kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trƣờng chung. 1.2.4 Một số giao thức mạng riêng ảo Có bốn giao thức đƣờng hầm (tunneling protocols) phổ biến thƣờng đƣợc sử dụng trong VPN, mỗi một trong chúng có ƣu điểm và nhƣợc điểm riêng. Chúng ta sẽ xem xét và so sánh chúng dựa trên mục đích sử dụng. - Point-to-Point Tunneling Protocol (PPTP) - Layer2 Tunneling Protocol (L2TP) - Secure Socket Layer (SSL) - Internet Protocol Security (IPSec) 1.3 Công nghệ mã nguồn mở 1.3.1 Phần mềm mã nguồn mở là gì? Phần mềm nguồn mở (PMNM) là phần mềm với mã nguồn đƣợc công bố và sử dụng một giấy phép nguồn mở. Giấy phép này cho phép bất cứ ai cũng có thể nghiên cứu, thay đổi và cải tiến phần mềm, và phân phối phần mềm ở dạng chƣa thay đổi hoặc đã thay đổi. 1.3.2 Phƣơng pháp xây dựng phần mềm mã nguồn mở Mô hình xây dựng phần mềm nguồn mở là một mô hình độc đáo và nó đƣợc hiện thực hoá chỉ với sự ra đời của Internet và sự bùng nổ thông tin do Internet mang lại. việc xây dựng phần mềm nguồn mở khởi đầu một cách rất phi cấu trúc. Những ngƣời lập trình đầu tiên chỉ đƣa ra với công chúng một số mã chức năng tối thiểu, rồi chỉnh sửa dần trên cơ sở các ý kiến phản hồi. Cứ thế theo thời gian, cả một hệ điều hành hay bộ ứng dụng sẽ định hình và không ngừng phát triển. Phƣơng thức xây dựng phần mềm mã nguồn mở trên đã chứng tỏ tính ƣu việt của mình trên một số khía cạnh sau: Giảm sự trùng lặp nguồn lực; Tiếp thu kế thừa; Quản lý chất lƣợng tốt hơn; Giảm chi phí duy trì CHƢƠNG 2 BẢO MẬT MẠNG RIÊNG ẢO 2.1 Những vấn đề bảo mật trong mạng riêng ảo Nền tảng VPN có thể bị tấn công bằng rất nhiều cách. Dƣới đây là một số loại tấn công phổ biến vào và hệ thống VPN - Các mối đe dọa an ninh cho các thành phần VPN - Các cuộc tấn công các giao thức VPN - Các cuộc tấn công mật mã - Các cuộc tấn công từ chối dịch vụ 2.1.1 Tấn công các thành phần mạng riêng ảo Nhƣ thể hiện trong hình 2.1, các yếu tố quan trọng nhất của một thiết lập VPN bao gồm: - Ngƣời dùng truy cập từ xa - Kêt nối trong phân đoạn ISP - Internet công cộng - Gateway của mạng Hình 2. 1: Các yếu tố của một thiết lập dựa trên VPN 2.1.2 Tấn công giao thức mạng riêng ảo Các giao thức VPN chính, PPTP, L2TP, và IPSec, cũng dễ bị tổn thƣơng các mối đe dọa an ninh. Những phần sau mô tả về các cuộc tấn công trên các giao thức VPN. Tấn công trên PPTP PPTP là dễ bị tổn thƣơng trên hai khía cạnh. Chúng bao gồm: - Generic Routing Encapsulation (GRE) - Mật khẩu trao đổi trong quá trình xác thực Tấn công trên IPSec Nhƣ chúng ta biết IPSec không phải là thuật toán mã hóa thuần túy cũng không phải một cơ chế xác thực. Trong thực tế, IPSec là một sự kết hợp của cả hai và giúp các thuật toán khác bảo vệ dữ liệu. Tuy nhiên, IPSec là dễ bị các cuộc tấn công: - Các cuộc tấn công chống lại thực hiện IPSec - Tấn công chống lại quản lý khóa - Các cuộc tấn công quản trị và ký tự đại diện 2.1.3 Tấn công mật mã Mật mã nhƣ là một trong các thành phần bảo mật của một VPN. Tùy thuộc vào các kỹ thuật mật mã và các thuật toán khác nhau, các cuộc tấn công giải mã đƣợc biết là tồn tại. Những phần sau tìm hiểu về một số cách thức tấn công giải mã nổi tiếng: - Chỉ có bản mã (ciphertext-Only) - Tấn công biết bản rõ (know plaintext attacks) - Tấn công lựa chọn bản rõ - Man-in-the-Middle (tấn công trung gian) - Tấn công Brute Force (duyệt toàn bộ) - Tấn công thời gian (Timing attacks): 2.1.4 Tấn công từ chối dịch vụ Các cuộc tấn công DoS đang trở nên khá phổ biến ngày này vì nó không yêu cầu bất kỳ phần mềm đặc biệt hoặc truy cập vào mạng mục tiêu. Chúng đƣợc dựa trên khái niệm của sự tắc nghẽn mạng. Bất kỳ kẻ xâm nhập có thể gây ra tắc nghẽn mạng bằng cách gửi các tải các dữ liệu rác vào mạng. Điều này làm cho các máy tính mục tiêu không thể đƣợc truy cập trong một khoảng thời gian bởi đƣờng truyền bị quá tải hoặc máy tính mục tiêu không thể phục vụ do quá tải. Tình trạng quá tải thông tin thậm chí có thể dẫn đến việc sụp đổ của máy tính mục tiêu. Hình 2.4 minh họa làm thế nào tin tặc có thể gây ra tắc nghẽn mạng bằng cách gửi các dữ liệu giả vào mạng. Hình 2. 2: Tin tặc gây nghẽn mạng. Một số phƣơng pháp thƣờng đƣợc sử dụng để bắt đầu cuộc tấn công DoS nhƣ sau: - SYN Floods (lụt gói SYN) - Broadcast Storm (bão gói tin quảng bá) - Smurf DoS - Ping of Death 2.2 Công nghệ bảo mật mạng riêng ảo 2.2.1 Tính xác thực Để thiết lập một kết nối VPN thì trƣớc hết cả hai phía phải xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với ngƣời mình mong muốn chứ không phải là một ngƣời khác. Một số phƣơng pháp xác thực: - Xác thực bằng mật khẩu - Hệ thống điều khiển truy cập TASCAS - Hệ thống xác thực ngƣời dụng quay số RADIUS - Sử dụng phần cứng - Xác thực sinh trắc 2.2.2 Tính toàn vẹn Xác thực tính toàn vẹn liên quan đến các khía cạnh sau khi truyền tin trên mạng: Bảo vệ tính toàn vẹn của mẩu tin: bảo vệ mẩu tin không bị thay đổi hoặc có các biện pháp phát hiện nếu mẩu tin bị thay đổi trên đƣờng truyền. Kiểm chứng danh tính và nguồn gốc: xem xét mẩu tin có đúng do ngƣời xƣng tên gửi không hay một kẻ mạo danh nào khác gửi. Không chối từ bản gốc: trong trƣờng hợp cần thiết, bản thân mẩu tin chứa các thông tin chứng tỏ chỉ có ngƣời xƣng danh gửi, không một ai khác có thể làm điều đó. Nhƣ vậy ngƣời gửi không thể từ chối hành động gửi, thời gian gửi và nội dung của mẩu tin. Với mong muốn đáp ứng các yêu cầu trên, có 3 hàm lựa chọn sau đây đƣợc sử dụng: + Mã mẩu tin bằng mã đối xứng hoặc mã công khai. + Mã xác thực mẩu tin (MAC): dùng khoá và một hàm nén mẩu tin cần gửi để nhận đƣợc một đặc trƣng đính kèm với mẩu tin và ngƣời gửi đó. + Hàm hash (hàm băm) là hàm nén mẩu tin tạo thành “dấu vân tay” cho mẩu tin. 2.2.2.1 Mã xác thực mẫu tin MAC + Sinh ra bởi một thuật toán mà tạo ra một khối thông tin nhỏ có kích thƣớc cố định Phụ thuộc vào cả mẩu tin và khoá nào đó. Giống nhƣ mã nhƣng không cần phải giải mã. + Bổ sung vào mẩu tin nhƣ chữ ký để gửi kèm theo làm bằng chứng xác thực. + Ngƣời nhận thực hiện tính toán nào đó trên mẩu tin và kiểm tra xem nó có phù hợp với MAC đính kèm không. Tạo niềm tin rằng mẩu tin không bị thay đổi và đến từ ngƣời gửi. Hình 2. 3: Xác thực mẫu tin MAC Các mã xác thực mẩu tin MAC cung cấp sự tin cậy cho ngƣời nhận là mẩu tin không bị thay đổi và từ đích danh ngƣời gửi. Cũng có thể sử dụng mã xác thực MAC kèm theo với việc mã hoá để bảo mật. Nói chung ngƣời ta sử dụng các khoá riêng biệt cho mỗi MAC và có thể tính MAC trƣớc hoặc sau mã hoá, tốt hơn là thực hiện MAC trƣớc và mã hoá sau. 2.2.2.2 Hàm Hash Nén mẩu tin bất kỳ về kích thƣớc cố định. Và giả thiết là hàm hash là công khai và không dùng khoá. Hash chỉ phụ thuộc mẩu tin, còn MAC phụ thuộc thêm cả vào khoá. Hash đƣợc sử dụng để phát hiện thay đổi của mẩu tin. Hash có thể sử dụng nhiều cách khác nhau với mẩu tin, Hash thƣờng đƣợc kết hợp dùng để tạo chữ ký trên mẩu tin. Hình 2. 4: Mô hình hàm Hash Các tính chất của hàm Hash Hàm Hash tạo nên dấu vân tay (tức là thông tin đặc trƣng) của một tệp, mẩu tin hay dữ liệu h = H(M). Nén mẩu tin có kích thƣớc tùy ý về dấu vân tay có kích thƣớc cố định. Hàm Hash đƣợc giả thiết là công khai, mọi ngƣời đều biết cách sử dụng Các yêu cầu của hàm Hash: Có thể áp dụng cho mọi mẩu tin có kích thƣớc tuỳ ý. Tuy nhiên phải tạo đầu ra h có kích thƣớc cố định, thƣờng là 128 bit đến 1024 bit. Dễ tính h = H(M)cho mọi mẫu tin M, hàm H tính toán nhanh, hiệu quả phụ thuộc chặt vào mẩu tin M và không tính toán ngƣợc lại. Cho trƣớc h không thể tìm đƣợc (rất khó) x sao cho H(x) = h. Tính chất này gọi là tính chất một chiều, chiều tìm nghịch ảnh rất khó khăn, tuy chiều tìm ảnh lại dễ dàng. Cho x không thể tìm đƣợc y sao cho H(y) = H(x). Đây là tính chất chống đỡ va chạm yếu, không tìm đƣợc mẩu tin có cùng Hash với mẩu tin đã cho. Và không thể tìm đƣợc x, y sao cho H(y) = H(x). Đây gọi là tính chất chống đỡ va chạm mạnh, đây là yêu cầu cao hơn tính chống đỡ va chạm yếu. 2.2.3 Tính bảo mật 2.2.3.1 Mã hóa đối xứng EncryptEncrypt DecryptDecrypt Ecryption Message Clear Message Clear Message Shared Secret Key Shared Secret Key Hình 2. 5: Mã hoá khoá bí mật hay đối xứng Thuật toán đối xứng đƣợc định nghĩa là một thuật toán khoá chia sẻ sử dụng để mã hoá và giải mã một bản tin. Các thuật toán mã hoá đối xứng sử dụng chung một khoá để mã hoá và giải mã bản tin, điều đó có nghĩa là cả bên gửi và bên nhận đã thoả thuận, đồng ý sử dụng cùng một khoá bí mật để mã hoá và giải mã. Ƣu điểm của mã hoá khoá đối xứng: - Thuật toán này mã hoá và giải mã rất nhanh, phù hợp với một khối lƣợng lớn thông tin - Chiều dài khoá từ 40÷168 bit. - Các tính toán toán học dễ triển khai trong phần cứng. - Ngƣời gửi và ngƣời nhận chia sẻ chung một mật khẩu. Cơ chế mã hoá đối xứng nảy sinh vấn đề đó là: việc nhận thực bởi vì đặc điểm nhận dạng của nhận dạng của một bản tin không thể chúng minh đƣợc. Do hai bên cùng chiếm giữ một khoá giống nhau nên đều có thể tạo và mã hoá và cho là ngƣời khác gửi bản tin đó. Điều này gây nên cảm giác không tin cậy về nguồn gốc của bản tin đó. Một số thuật toán đối xứng nhƣ DES (Data Encryption Standard), 3DES… 2.2.3.2 Mã hóa bất đối xứng Thuật toán mã hoá khoá công cộng đƣợc định nghĩa là một thuật toán sử dụng một cặp khoá để mã hoá và giải mã bảo mật một bản tin. Theo thuật toán này thì sử dụng một khoá để mã hoá và một khoá khác để giải mã nhƣng hai khoá này có liên quan với nhau tạo thành một cặp khoá duy nhất của một bản tin, chỉ có hai khoá này mới có thể mã hoá và giải mã cho nhau. EncryptEncrypt DecryptDecrypt Encrypted Message clear Message clear Message Public Key Private Key Hình 2. 6: Thuật toán mã hoá khoá công cộng Ƣu điểm của thuật toán mã hoá khoá công cộng: - Khoá công cộng của khoá đôi có thể đƣợc phân phát một các sẵn sang mà không sợ rằng điều này làm ảnh hƣởng đến việc sử dụng các khoá riêng. Không cần phải gửi một bản sao chép khoá công cộng cho tất cả các đáp ứng mà chúng ta có thể lấy nó từ một máy chủ đƣợc duy trì bởi một công ty hay là nhà cung cấp dịch vụ. - Cho phép xác thực nguồn phát của bản tin. Nhƣơc điểm của mã hoá khoá công cộng là quá trình mã hoá và giải mã rất châm, chậm hơn nhiều so với mã hoá khoá bí mật. Do đó nó thƣờng đƣợc sử dụng để mã hoá các khoá phiên, một lƣợng dữ liệu nhỏ. Một số thuật toán sử dụng mã hoá khoá công cộng nhƣ RSA, Diffie-Hellman. Một số thuật toán khóa công khai: Thuật toán RSA, Thuật toán Diffie-Hellman 2.2.4 Hạ tầng PKI 2.2.4.1 Tổng quan về PKI Public Key Infrastructure (PKI) là một cơ chế để cho một bên thứ ba (thƣờng là nhà cung cấp chứng thực số ) cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này cũng cho phép gán cho mỗi ngƣời sử dụng trong hệ thống một cặp public/private. Các quá trình này thƣờng đƣợc thực hiện bởi một phần mềm đặt tại trung tâm và các phần mềm khác tại các địa điểm của ngƣời dùng. Khoá công khai thƣờng đƣợc phân phối trong chứng thực khóa công khai – hay Public Key Infrastructure. 2.2.4.2 Các thành phần PKI Một hệ thống PKI gồm 4 thành phần sau : - Certification Authorities (CA) : Cấp và thu hồi chứng chỉ - Registration Authorities (RA) : Gằn kết giữa kháo công khai và định danh của ngƣời giữ chứng chỉ - Clients : Ngƣời sử dụng chứng chỉ PKI hay theo cách khác đƣợc xác định nhƣ những thực thể cuối. - Repository : Hệ thống ( có thể phân tán ) lƣu trữ chứng chỉ và danh sách các chứng chỉ bị thu hồi. Hình 2. 7: Các thành phần PKI 2.2.4.3 Chức năng cơ bản của PKI Những hệ thống cho phép PKI có những chức năng khác nhau. Nhƣng nhìn chung có hai chức năng chình là: chứng thực và kiểm tra. Chứng thực ( Certification) : là chức năng quan trong nhất của hệ thống PKI. Đây là quá trình ràng buộc khóa công khai với định danh của thực thể. CA là thực thể PKI thực hiện chứng năng, chứng thực. Thẩm tra ( validation) : quá trình các định liệu chứng chỉ đã đƣa ra có thể đƣợc sử dụng đúng mục đích thích hợp hay không đƣợc xem nhƣ là quá trình kiểm tra tính hiệu lực của chứng chỉ. [...]... đó xây dựng giải pháp VPN mã nguồn mở tƣơng đối hoàn thiện có tính ứng dụng thực tiễn cao Trong quá trình thực hiện đề tài tôi đã đạt đƣợc một số kết quả sau: - Nghiên cứu tổng quan về an ninh bảo mật, công nghệ VPN - Nghiên cứu, khảo sát, đánh giá các điểm yếu an toàn thông tin của các công nghệ VPN hiện nay - Nghiên cứu các công nghệ bảo mật mạng riêng ảo VPN - Nghiên cứu giải pháp VPN mã nguồn mở, ... LeaseLine, … Yêu cầu bảo mật: Để đảm bảo xây dựng kết nối an toàn tới Trung tâm yêu cầu giải pháp: - Sử dụng các công nghệ bảo mật hiện đại - Có thể thay đổi linh hoạt các phƣơng pháp bảo mật - Bổ xung các phƣơng pháp bảo mật nhằm đảm bảo an toàn, an ninh Yêu cầu quản trị: Đảm bảo sự hoạt động liên tục của mạng, gải pháp đặt ra phải thiết kế phần mềm giám sát, quản trị hệ thống VPN Server tại Trung... LUẬN Bảo mật là một trong những khía cạnh quan trọng nhất của các công nghệ triển khai trên nền IP, đặc biệt là đối với công nghệ VPN Việc lựa chọn giải pháp bảo mật là một trong những yếu tố quan trọng giúp cho công việc quản lý mạng đƣợc an toàn trƣớc những nguy cơ tấn công ngày càng nguy hiểm và đa dạng của kẻ phá hoại Luận văn tập trung nghiên cứu đánh giá một số giải pháp công nghệ VPN, trên cơ... triển khai giải pháp Openvpn - Triển khai hệ thống mạng riêng ảo VPN trên nền tảng Openvpn áp dụng thực tế yêu cầu trong mô hình kết nối của Bộ Ngoại giao o Xây dựng mô hình triển khai o Nghiên cứu tích hợp hạ tầng PKI, tích hợp giải pháp phần cứng etoken cho việc lƣu trữ khóa o Xây dựng phần mềm quản trị o Tích hợp giải pháp tƣờng lửa Hƣớng phát triển: - Xây dựng giải pháp hoàn thiện hơn - Xây dựng giao... nhận các gói tin của một máy 3.2.3 Giải pháp bảo mật 3.2.3.3 Tích hợp PKI Hiện nay nhiều mạng riêng ảo (VPN) đang thể hiện sự hạn chế bởi chính hệ thống bảo mật quá đơn giản Vấn đề đặt ra để có thể đáp ứng yêu cầu phát triển một mạng riêng ảo lớn và có tính bảo mật cao Đa số các mạng riêng ảo ngày nay đang đƣợc khai thác không sử dụng sự hỗ trợ của cơ sở hạ tầng mã khoá công khai (PKI) Một cách đơn giản... 3.2.1.1 Giải pháp kernel space Các giải pháp không gian nhân là những giải pháp sửa đổi nhân qua các bản vá lỗi Chúng phức tạp hơn và ít linh hoạt hơn so với các giải pháp không gian ngƣời dùng Hầu hết các giải pháp triển khai trên giao thức bảo mật IPsec Hoặc là có nguồn gốc đƣợc hỗ trợ bởi nhân hoặc thông qua các bản vá nhân Một số dự án: Một số dự án kernel space: FreeS/WAN, Kame… 3.2.1.2 Giải pháp. .. phí khởi đầu là rất lớn Với việc đƣa ra một giải pháp chi phí đầu tƣ hợp lý sẽ tạo điều kiện thuận lợi để áp dụng vào thực tế 3.2 3.2.1 Đề xuất giải pháp Giải pháp phần mềm VPN mã nguồn mở Ngày nay, công nghệ phần mềm ngày càng phát triển mạnh mẽ Đặc biệt là công nghệ mã nguồn mở Nếu tận dụng đƣợc những ƣu thế này, tức là phần mềm mã nguồn mở vào ứng dụng VPN thì sẽ giảm đƣợc khá nhiều chi phí cho việc... đảm bảo tính bảo mật 1 cách an toàn nhất Tƣờng lửa ( Firewall ) dùng để bảo mật mạng nội bộ chống lại những cuộc tấn công vào lƣu lƣợng trên mạng và những kẻ phá hoại Tƣờng lửa có thể phân biệt các lƣu lƣợng dựa trên cơ cở ngƣời dùng, trình ứng dụng hoặc nguồn gốc Tƣờng lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet Có thể thiết lập các tƣờng lửa để hạn chế số lƣợng cổng mở, loại gói...Một số công nghệ bảo mật bổ xung 2.2.5 2.2.5.1 Công nghệ SSL/TLS a Giao thức SSL Giao thức Secure Socket Layer (SSL), ban đầu định hƣớng là nhằm mục đích bảo vệ thông tin trao đổi giữa Client và Server trong các mạng máy tính, là giao thức tầng phiên, nó sử dụng các phƣơng pháp mật mã cho việc bảo vệ thông tin Dữ liệu đƣợc truyền đƣợc giữ bí mật bằng việc mã hoá, trong khi... riêng ảo trên tầng phiên, ngoài việc bổ sung thêm sự bảo vệ bằng mật mã (bao gồm cả xác thực), nó cũng có khả năng thực thi các công nghệ Proxy SSL/TSL là hai giao thức thông dụng nhất hiện nay 2.2.5.2 Tƣờng lửa VPN thực chất chỉ là 1 mạng ảo, môi trƣờng thực hiện vẫn là Internet mà Internet thì vô cùng phức tạp và nguy hiểm vì vậy cần phải có sự can thiệp của tƣờng lửa để bảo vệ cho hệ thống đảm bảo