Đang tải... (xem toàn văn)
(Luận văn thạc sĩ) Nghiên cứu và triển khai giải pháp bảo mật mạng VPN nguồn mở tại công an tỉnh Hậu Giang(Luận văn thạc sĩ) Nghiên cứu và triển khai giải pháp bảo mật mạng VPN nguồn mở tại công an tỉnh Hậu Giang(Luận văn thạc sĩ) Nghiên cứu và triển khai giải pháp bảo mật mạng VPN nguồn mở tại công an tỉnh Hậu Giang(Luận văn thạc sĩ) Nghiên cứu và triển khai giải pháp bảo mật mạng VPN nguồn mở tại công an tỉnh Hậu Giang(Luận văn thạc sĩ) Nghiên cứu và triển khai giải pháp bảo mật mạng VPN nguồn mở tại công an tỉnh Hậu Giang(Luận văn thạc sĩ) Nghiên cứu và triển khai giải pháp bảo mật mạng VPN nguồn mở tại công an tỉnh Hậu Giang(Luận văn thạc sĩ) Nghiên cứu và triển khai giải pháp bảo mật mạng VPN nguồn mở tại công an tỉnh Hậu Giang(Luận văn thạc sĩ) Nghiên cứu và triển khai giải pháp bảo mật mạng VPN nguồn mở tại công an tỉnh Hậu Giang(Luận văn thạc sĩ) Nghiên cứu và triển khai giải pháp bảo mật mạng VPN nguồn mở tại công an tỉnh Hậu Giang(Luận văn thạc sĩ) Nghiên cứu và triển khai giải pháp bảo mật mạng VPN nguồn mở tại công an tỉnh Hậu Giang(Luận văn thạc sĩ) Nghiên cứu và triển khai giải pháp bảo mật mạng VPN nguồn mở tại công an tỉnh Hậu Giang(Luận văn thạc sĩ) Nghiên cứu và triển khai giải pháp bảo mật mạng VPN nguồn mở tại công an tỉnh Hậu Giang(Luận văn thạc sĩ) Nghiên cứu và triển khai giải pháp bảo mật mạng VPN nguồn mở tại công an tỉnh Hậu Giang(Luận văn thạc sĩ) Nghiên cứu và triển khai giải pháp bảo mật mạng VPN nguồn mở tại công an tỉnh Hậu Giang
Mục lục Danh sách hình ảnh xii Danh sách bảng biểu xiv TỔNG QUAN 1.1 Tính cấp thiết đề tài 1.1.1 Bảo mật yêu cầu cần thiết cho tổ chức, doanh nghiệp 1.1.2 Chi phí đầu tư lớn cho giải pháp bảo mật 1.1.3 Vấn đề bị động, phụ thuộc nhà cung cấp 1.1.4 Chủ trương, sách Đảng nhà nước 1.1.5 Thực trạng công an tỉnh Hậu Giang 1.2 Mục đích nghiên cứu 1.3 Tình hình nghiên cứu ngồi nước 1.3.1 Trong nước 1.3.2 Ngoài nước 1.4 Khách thể đối tượng nghiên cứu 14 1.5 Phạm vi nghiên cứu 15 1.6 Nhiệm vụ nghiên cứu 15 1.7 Phương pháp nghiên cứu 16 1.8 Những đóng góp đề tài 16 1.9 Cấu trúc đề tài 17 CƠ SỞ LÝ THUYẾT 19 ix 2.1 19 2.1.1 Xâm nhập thụ động 19 2.1.2 Xâm nhập chủ động 20 Công nghệ mật mã 21 2.2.1 Mật mã đối xứng 22 2.2.2 Mật mã bất đối xứng 23 2.2.3 Hàm băm 28 2.3 Kiểm tra nhận dạng 29 2.4 Xác thực 29 2.5 Cơ sở hạ tầng khóa cơng khai (PKI) 30 2.5.1 CA (Certificate Authority) 30 2.5.2 Chứng số (digital certificate) 30 Mạng riêng ảo (VPN) 33 2.6.1 IPSEC VPN 34 2.6.2 OpenVPN (SSL VPN nguồn mở) 36 Smart Token (SafeNet iKey 1032) 41 2.2 2.6 2.7 Các nguy xâm nhập liệu truyền GIẢI PHÁP 44 3.1 Đặt vấn đề 44 3.2 Yêu cầu giải pháp 44 3.3 Thiết kế mơ hình giải pháp 46 3.3.1 Cấp phát chứng số (2) 46 3.3.2 Quá trình tạo chữ ký số CA (1) 50 3.3.3 Quá trình xác thực chứng số (5) 50 3.3.4 Trao đổi khóa DH tạo đường hầm bảo mật (6) 51 3.4 Kiến trúc giải pháp 53 3.5 Ưu điểm tính giải pháp 55 3.6 Phát triển giải pháp 55 3.6.1 Mơ hình sản phẩm bảo mật tích hợp FVS 55 3.6.2 Thiết kế phần cứng FVS 56 x 3.6.3 3.7 Kiến trúc phần mềm 56 Thiết kế mơ hình hệ thống mạng VPN 58 THỬ NGHIỆM HỆ THỐNG 4.1 60 Thử nghiệm hệ thống thực 60 4.1.1 Cấu hình OpenVPN Server 60 4.1.2 Cấu hình OpenVPN client Linux 63 4.1.3 Cài đặt, cấu hình SafeNet iKey 1032 64 4.2 Kiểm tra tính xác thực hệ thống 64 4.3 Thử nghiệm hệ thống ảo 65 4.3.1 Cấu hình địa IP 66 4.3.2 Kiểm tra tính bí mật thơng tin truyền 68 Nhận xét, đánh giá kết thử nghiệm 70 4.4 KẾT LUẬN 72 5.1 Các kết thực 72 5.2 Công việc tương lai 73 5.3 Đề xuất 74 5.4 Kết luận 74 Tài liệu tham khảo 76 xi Danh sách hình vẽ 1.1 Rủi ro bảo mật tăng thời kỳ thương mại điện tử 1.2 Bảo mật kết nối hệ thống ATM sử dụng công nghệ VPN 1.3 Mơ hình Ipsec VPN tác giả Trần Quốc Thư 1.4 Mơ hình Ipsec VPN tác giả Nguyễn Quốc Cường 1.5 Mơ hình Ipsec VPN Cisco [1, 2] 10 1.6 Dữ liệu chưa mã hóa bảo mật Ipsec VPN Cisco 11 1.7 Dữ liệu mã hóa bảo mật Ipsec VPN Cisco 11 1.8 Mơ hình SSL VPN Cisco, [3] 12 1.9 Mơ hình OpenVPN 12 1.10 Mơ hình TFA Cisco 12 1.11 Mơ hình thử nghiệm TFA Cisco 13 1.12 Mơ hình Ipsec VPN nguồn mở 13 2.1 Các hình thức xâm nhập phổ biến 20 2.2 Giải thuật mã hóa đối xứng bất đối xứng 22 2.3 Thuật toán Diffie-Hellman 24 2.4 Chữ ký số 26 2.5 Trao đổi liệu sử dụng thuật toán RSA 27 2.6 HMAC 28 2.7 Chứng số X.509 31 2.8 Giao thức ESP AH 35 2.9 Giao thức SSL 37 2.10 Thủ tục bắt tay OpenVPN 40 xii 3.1 Sự cơng hacker lên kênh truyền khơng an tồn 45 3.2 Mơ hình giải pháp 47 3.3 Cơ chế hoạt động giải pháp 48 3.4 Quá trình cấp phát chứng số X.509 CA 49 3.5 Quá trình tạo xác thực chữ ký số CA 50 3.6 Trao đổi khóa Diffie-Hellman 52 3.7 Các module giải pháp 53 3.8 Dòng liệu từ client đến Server 54 3.9 Phần cứng thiết bị FVS 57 3.10 Kiến trúc phần mềm FVS 57 3.11 Sơ đồ hệ thống mạng VPN Công an tỉnh Hậu Giang 59 4.1 Xây dựng CA 61 4.2 Tạo khóa Diffie-Hellman 62 4.3 Tạo khóa bí mật chứng cho Server 63 4.4 Tạo khóa bí mật chứng cho client 64 4.5 Cài đặt SafeNet iKey 1032 65 4.6 Quá trình xác thực máy trạm 66 4.7 Sơ đồ hệ thống thử nghiệm 67 4.8 Kết kiểm tra 67 4.9 Dữ liệu bắt chưa thiết lập tunnel OpenVPN 69 4.10 Dữ liệu bắt tunnel OpenVPN thiết lập 69 xiii Danh sách bảng 3.1 Thơng số cấu hình thiết bị FVS 58 4.1 Kết thử nghiệm OpenVPN chưa thiết lập tunnel 68 4.2 Kết thử nghiệm OpenVPN thiết lập tunnel 70 xiv Chương TỔNG QUAN 1.1 1.1.1 Tính cấp thiết đề tài Bảo mật yêu cầu cần thiết cho tổ chức, doanh nghiệp Với phát triển Internet thương mại điện tử, nhu cầu truyền thông thương mại thông qua mạng Internet ngày gia tăng nguy an ninh, an tồn thơng tin, lộ lọt bí mật (thương mại, nhà nước ) ngày nghiêm trọng khơng có giải pháp phịng chống hữu hiệu khơng đơn nhằm mục đích thu thập thơng tin bí mật, ngưng trệ hoạt động mà cịn mang mục đích kinh tế, trị, bí mật thương mại, sở hữu trí tuệ, chí trở thành loại vũ khí nguy hiểm có nguy xâm phạm đến an ninh quốc gia Vấn đề bảo mật thông tin trở thành nhu cầu lớn yếu tố quan trọng tổ chức, doanh nghiệp Biểu đồ 1.1 minh họa rủi ro an ninh tăng lên tổ chức mở rộng hoạt động mạng Internet, thương mại điện tử 1.1.2 Chi phí đầu tư lớn cho giải pháp bảo mật Hiện hầu hết tổ chức, doanh nghiệp sử dụng sản phẩm an ninh nhập từ nước giải pháp bảo mật Giải pháp địi hỏi phải đầu tư chi phí lớn cho giải pháp bảo mật Việc đầu tư hệ thống bảo mật đồ sộ, kinh phí lớn với nhà cung cấp giải " ! #$ %& $ '$ Hình 1.1: Rủi ro bảo mật tăng thời kỳ thương mại điện tử pháp bảo mật hàng đầu Cisco, Checkpoint, Juniper điều với doanh nghiệp vừa nhỏ họ có nhu cầu lớn cho việc triển khai giải pháp bảo mật cho tổ chức 1.1.3 Vấn đề bị động, phụ thuộc nhà cung cấp Việc phụ thuộc vào nhà cung cấp dẫn tới tình trạng bị ép buộc phải nâng cấp phần mềm hay trang bị tính mà người sử dụng khơng có nhu cầu sử dụng đến Ngồi việc giá thành cao, thiết bị khiến chủ động việc ứng dụng, ta hồn tồn khơng biết mơ hình sử dụng cho cài đặt cụ thể mà biết ứng dụng thiết bị cung cấp Hơn nữa, phần mềm ứng dụng đa phần sản phẩm đóng gói, việc nhúng chế bảo mật người dùng tạo vào hệ thống thực 1.1.4 Chủ trương, sách Đảng nhà nước Quyết định số 235/2004/QĐ-TTg phê duyệt tổng thể “Ứng dụng phát triển phần mềm nguồn mở Việt Nam giai đoạn 2004-2008” Chỉ thị 07/2008/CT-BTTTT ngày 30 tháng 12 năm 2008 đẩy mạnh sử dụng phần mềm nguồn mở hoạt động quan, tổ chức Nhà nước Quyết định số 1605/QĐ-TTg ngày 27 tháng năm 2010 Chương trình quốc gia ứng dụng công nghệ thông tin hoạt động quan nhà nước giai đoạn 2011 - 2015 Chỉ thị 15/CT-TTg ngày 22 tháng năm 2012 việc tăng cường sử dụng văn điện tử hoạt động quan nhà nước đảm bảo an tồn thơng tin qua mạng Chỉ thị số 28-CT/TW, ngày 16-9-2013 Ban Bí thư Trung ương Đảng (khóa XI) tăng cường cơng tác bảo đảm an tồn thơng tin mạng 1.1.5 Thực trạng cơng an tỉnh Hậu Giang Được thành lập vào tháng 01 năm 2004, gồm 01 Trung tâm huy 30 phịng ban, 07 cơng an huyện, thị, thành phố, 74 cơng an phường xã, thị trấn bố trí địa bàn tỉnh Hậu Giang Do thành lập, nên sở vật chất, hạ tầng viễn thông, hệ thống thơng tin cịn gặp nhiều khó khăn, chưa đáp ứng tốt theo yêu cầu đặt Trong cịn số cán bộ, đảng viên chưa nhận thức tầm quan trọng hiệu việc ứng dụng công nghệ thông tin vào hoạt động công tác, chưa thấy tầm quan trọng vấn đề bảo đảm an tồn thơng tin xem vấn đề sống đất nước Hiện Công an tỉnh Hậu Giang, việc trao đổi thông tin liệu từ Công an tỉnh xuống huyện, thị, thành phố địa bàn ngược lại thực đường giao liên Fax Việc tốn nhiều thời gian, chi phí khơng đảm bảo độ an tồn bảo mật thơng tin Hệ thống cịn nhiều mặt hạn chế, mơ hình kết nối mạng kết nối mạng LAN phạm vi hẹp, chí số phòng ban, huyện, thị, thành phố chưa có kết nối mạng, việc truyền nhận thơng tin liệu chưa mã hóa, chưa xây dựng giải pháp an ninh, chưa thực phân cấp phân quyền, chưa đặt tính an tồn bảo mật thơng tin Để khắc phục thực trạng này, việc đưa mơ hình giải pháp bảo mật, mơ hình tương tự hệ thống bảo mật nhà cung cấp dịch vụ Cisco, Checkpoint, Juniper quy mô nhỏ hơn, phù hợp với điều kiện thực tế công an tỉnh Do em mạnh dạn chọn đề tài: “Nghiên cứu triển khai giải pháp bảo mật mạng VPN nguồn mở Công an tỉnh Hậu Giang” Nghiên cứu công nghệ mạng riêng ảo (VPN) để bảo mật liệu đường truyền, nguồn mở (cung cấp dạng mã nguồn) để tùy biến, chủ động việc ứng dụng sửa đổi, cải tiến, phát triển hay nâng cấp 1.2 Mục đích nghiên cứu Nghiên cứu giải pháp xây dựng bước mạng riêng ảo sở sử dụng cơng nghệ nguồn mở OpenVPN sẵn có cộng đồng cho việc bảo mật liệu truyền mạng 1.3 1.3.1 Tình hình nghiên cứu nước Trong nước (1) Các quan, doanh nghiệp, trường học Việt Nam nghiên cứu ứng dụng phát triển giải pháp bảo mật liệu đường truyền dùng công nghệ VPN phục vụ tốt hoạt động cơng tác Viễn thông VNPT, FPT, ngân hàng Sacombank, Vietinbank dùng giải pháp VPN Cisco; Bảo hiểm Bảo Việt dùng giải pháp VPN Juniper số tỉnh thành phố Hà Nội, Đà Nẵng, TP Hồ Chí Minh, TP Cần Thơ, Đồng Nai, Phú Yên, Long An Đặc biệt hệ thống Hình 4.6: Quá trình xác thực máy trạm Router, Firewall VPN Mỗi thiết bi FVS đặt đầu site ta cần cấu hình VPN site để thực kết nối VPN Dùng PC mạng Internet (hacker) thực bắt phân tích gói liệu q trình trao đổi site Sơ đồ hệ thống thử nghiệm trình bày hình 4.7 Việc thử nghiệm tiến hành theo bước sau: 4.3.1 Cấu hình địa IP Cấu hình địa IP cho thiết bị FVS (làm VPN Server) đặt Trung tâm huy Công an tỉnh (SiteA) FVS (làm VPN client) đặt huyện thị, thành phố (SiteB, SiteC) người dùng di động (MobiUser), máy Gateway giao thơng mạng Các thơng số thử nghiệm trình bày hình 4.7 cấu hình địa IP thực phần /etc/sysconfig/network-scripts hệ thống Linux Cấu hình địa IP định tuyến phải đạt kết hình 4.8(a) chưa thiết lập đường hầm VPN, hình hình 4.8(b) thiết lập đường hầm VPN 66 + + ,/ ,/ !# $%& '% ( ! $ &' % # !# $%& '% ( ( ( $% ! # &' % ! ( # '% $% %& $% ! # &' % ( ! # $ %& '% ( ( ) !# $%& + , * * - % + !# $%& '% ( #* ! % ( &' $% * - ( ,/ '% ( !# $%& '% ( - ) + !" !# $%& '% ( !# &' $% , $% ! # &' % ) ) , Hình 4.7: Sơ đồ hệ thống thử nghiệm Hình 4.8: Kết kiểm tra 67 - 4.3.2 Kiểm tra tính bí mật thơng tin truyền Bắt gói tin chưa kết nối OpenVPN Ipsec VPN: Kết trình bày bảng 4.1, cụ thể sau: Sử dụng NC (NetCat) để truyền liệu PC mạng LAN trung tâm PC mạng LAN từ xa Sử dụng chương trình tcpdump, WireShark để bắt gói tin phân tích gói tin truyền mạng Phân tích gói tin: Trong hình 4.9 trình bày gói liệu mà hacker bắt truyền Kết cho thấy việc mã hóa liệu chưa thực hiện, nội dung thông tin truyền mạng không bảo vệ lúc Bảng 4.1: Kết thử nghiệm OpenVPN chưa thiết lập tunnel Dữ liệu truyền (Bên A) Dữ liệu bắt Dữ liệu nhận (Bên B) Truong dai hoc su pham Hình 4.9 Truong dai hoc su pham ky thuat TPHCM Dữ liệu không bảo mật ky thuat TPHCM Bắt gói tin kết nối OpenVPN thành cơng: Kết trình bày bảng 4.2, cụ thể sau: Sử dụng NC (NetCat) để truyền liệu PC mạng LAN trung tâm PC mạng LAN từ xa Sử dụng trình trình tcpdump, WireShark để bắt gói tin truyền mạng Phân tích gói tin: Qua q trình xác thực, trao đổi khóa, thiết lập đường hầm, liệu mã hóa, đóng gói truyền đường hầm bảo mật Trong hình 4.10 trình bày gói liệu OpenVPN mà hacker bắt truyền Kết cho thấy việc mã hóa liệu thực hiện, nội dung thông tin truyền mạng bảo vệ lúc 68 Hình 4.9: Dữ liệu bắt chưa thiết lập tunnel OpenVPN Hình 4.10: Dữ liệu bắt tunnel OpenVPN thiết lập 69 Bảng 4.2: Kết thử nghiệm OpenVPN thiết lập tunnel Dữ liệu truyền (Bên A) Dữ liệu bắt Dữ liệu nhận (Bên B) Truong dai hoc su pham Hình 4.10 Truong dai hoc su pham ky thuat TPHCM Dữ liệu mã hóa bảo mật ky thuat TPHCM 4.4 Nhận xét, đánh giá kết thử nghiệm Khóa bí mật chứng số tạo từ CA lưu SafeNet iKey 1032 Khi SafeNet iKey 1032 gắn vào client tác động với mã PIN Mã PIN (cái mà người dùng biết) yếu tố xác thực thứ nhất, iKey 1032 (cái mà người dùng có) yếu tố xác thực thứ hai, kiểm tra chứng số lưu trữ SafeNet iKey 1032 yếu tố xác thực thứ Quá trình xác thực thành công ba yếu tố thỏa mãn Như ta phải trải qua việc xác thưc ba yếu tố kết nối vào hệ thống, cụ thể là: Mã PIN xác thực SafeNet iKey 1032 (cái mà người biết) SafeNet iKey 1032 (vật mà người có) Kiểm tra chứng thư số lưu iKey Để tạo kết nối với máy chủ (VPN server), máy trạm (VPN client) yêu cầu ta nhập mật SafeNet iKey 1032 Khi nhập mật iKey, VPN Client tạo kết nối tới VPN server để xác thực chứng Nếu chứng q trình xác thực chứng thành cơng, từ VPN server tạo kết nối riêng ảo cấp địa IP ảo tới máy client Máy trạm máy chủ lúc trao đổi thông tin với theo kênh riêng ảo, liệu đường truyền mã hóa bảo mật 70 Chứng lưu SafeNet iKey 1032 theo định dạng PKCS12, người dùng phải cấp chứng số VPN server, để lấy chứng số ta liên hệ với người quản trị VPN server Trong trình xác thực mật iKey, người dùng nhập mật iKey lần khơng đúng, hệ thống tự động thơng báo lỗi Nếu trình tạo kết nối VPN người dùng sử dụng iKey không đăng ký iKey chưa cắm vào đầu đọc USB, hệ thống thơng báo lỗi Qua q trình kiểm tra thử nghiệm tính an tồn chế xác thực mã hóa bảo mật giải pháp, cho thấy giải pháp ta đảm bảo tính an tồn giải pháp bảo mật khác có vài ưu điểm sau: Chi phí đầu tư cho giải pháp thấp, phù hợp cho tổ chức, doanh nghiệp nhỏ vừa Chủ động việc sở hữu phần mềm bảo mật Có thể tùy biến theo yêu cầu ứng dụng bảo mật, dễ dàng bổ sung thêm chế xác thực bảo mật theo nhu cầu người dùng 71 Chương KẾT LUẬN 5.1 Các kết thực Đã thực hoàn thành nhiệm vụ nghiên cứu đề Nghiên cứu xây dựng thử nghiệm thành công mạng riêng ảo dựa công nghệ nguồn mở OpenVPN cộng đồng (thay đổi, chỉnh sữa mã nguồn lại cho phù hợp với ứng dụng thực tế) Đã xây dựng bước đầu mạng riêng ảo dựa công nghệ mở Tạo sản phẩm phần mềm bảo mật công nghệ mạng riêng ảo nguồn mở OpenVPN cho riêng sở khai thác mã nguồn OpenVPN sẵn có, tiến tới chủ động việc sở hữu phần mềm bảo mật, vừa tiết kiệm chi phí đầu tư giải pháp vừa bước chủ động mặt công nghệ, không phụ thuộc vào nhà cung cấp Hơn giải pháp tùy biến, dễ dàng nhúng thêm chế bảo mật vào hệ thống nhằm khắc phục lỗ hổng bảo mật giải pháp công nghệ truyền thống Hơn nữa, chủ động việc ứng dụng (như sửa đổi, cải tiến, phát triển hay nâng cấp) Tạo tảng cho việc tự phát triển thiết bị an ninh giải pháp Trong điều kiện nguồn vốn hạn chế eo hẹp nước ta giải pháp sử dụng phần mềm nguồn mở có nhiều tiện ích Phân tích, đánh giá xác thực trạng cần thiết việc nghiên cứu đề xuất giải pháp bảo mật riêng, mang tính đặc thù lĩnh vực an ninh triển 72 khai mạng truyền liệu an tồn nội cơng an tỉnh Mạnh dạn đề xuất giải pháp bảo mật mới, tiết kiệm chi phí đầu tư, giảm ngoại tệ, bước chủ động mặt cơng nghệ, góp phần chủ động cơng tác đấu tranh phịng chống tội phạm Qua q trình nghiên cứu triển khai giải pháp bảo mật VPN nguồn mở đáp ứng hết yêu cầu đặt ra, xây dựng thành cơng mơ hình hệ thống mạng truyền liệu Công an tỉnh Hậu Giang giải pháp bảo mật nghiên cứu, phù hợp với ứng dụng thực tế chi phí đầu tư Công an tỉnh, phù hợp với phát triển kỹ thuật vấn đề an ninh mạng nay, phục vụ tốt cho nhu cầu trao đổi thông tin an toàn Trung tâm huy đơn vị trực thuộc Công an tỉnh (công an huyện, thị, thành phố), góp phần nâng cao hiệu hoạt động công tác công an tỉnh Thiết kế xây dựng mơ hình giải pháp kỹ thuật cho hệ thống đảm bảo theo tiêu chuẩn an tồn thơng tin ISO/IEC 27000, tiêu chuẩn ISO/IEC 27001:2005 quy định yêu cầu hệ thống quản lý an tồn thơng tin Mơ thành cơng mơ hình giải pháp, kiểm tra độ an toàn mạng qua việc bắt phân tích gói tin đường truyền 5.2 Cơng việc tương lai Hiện giải pháp xây dựng bước đầu mạng riêng ảo dựa công nghệ mở OpenVPN thử nghiệm phần cứng chuyên dụng Bước giải pháp tiến tới nghiên cứu sản xuất thiết bị phần cứng chun dụng, khơng phải nhập từ nước ngồi, giảm ngoại tệ chủ động công nghệ Bảo mật không đơn giải pháp kỹ thuật mà cịn có sách bảo mật hiệu giúp giải pháp kỹ thuật thực thi theo Chính sách bao gồm ba "con người, quy trình kỹ thuật" an tồn thơng tin bao gồm quản lý, vân hành kỹ thuật Bước giải pháp xây dựng sách bảo mật 73 theo tiêu chuẩn an tồn thơng tin ISO/IEC 27000, tiêu chuẩn ISO/IEC 27001:2005 quy định yêu cầu hệ thống quản lý an tồn thơng tin Tiêu chuẩn ISO/IEC 27001 thiết lập để cung cấp thước đo chuẩn mực dựa mà xây dựng hệ thống an tồn thơng tin cho quan, tổ chức 5.3 Đề xuất Đối với Công an tỉnh Bộ Cơng an: đầu tư chi phí, cho phép triển khai giải pháp thực tế Đối với Trung ương: Có sách đầu tư thích hợp cho việc triển khai chiến lược bảo mật thực tế, đầu tư phát triển công nghệ thông tin, đầu tư nhân lực, kinh phí, khai thác ứng dụng phần mềm mã nguồn mở, chủ động việc sở hữu phần mềm, tiến tới chủ động phần cứng, tự phát triển, sản xuất thiết bị an ninh, coi nhiệm vụ quan trọng, cấp bách, thường xuyên, lâu dài vấn đề sống đất nước 5.4 Kết luận Hầu hết giải pháp bảo mật tổ chức doanh nghiệp sử dụng giải pháp sản phẩm an ninh nhập từ nước ngoài, dạng hộp đen, ta hồn tồn khơng biết mơ hình sử dụng cho cài đặt cụ thể mà biết ứng dụng thiết bị cung cấp, chủ động việc ứng dụng, phụ thuộc hồn tồn vào cơng nghệ nhà cấp việc nhúng chế bảo mật người dùng tạo vào hệ thống điều khơng thể thực Việc sử dụng thiết bị nước ngồi cịn đặt nhiều nghi ngại vấn đề bảo mật, đặc biệt bối cảnh tội phạm cơng nghệ cao, tội phạm gián điệp có diễn biến phức tạp Trên giới, không thiếu vụ việc tin tặc công hệ thống thông tin lưu trữ để đánh cấp thông tin liệu an ninh, thiếu việc 74 thiết bị an ninh bị cài phần mềm gián điệp để theo dõi an ninh Việt Nam sớm chủ động bước phát triển, sản xuất thiết bị phần mềm an ninh mạng khả tiến tới làm chủ cơng nghệ, giảm chi phí ngoại tệ, hạn chế rủi ro bảo mật phần mềm gián điệp cho hệ thống mạng cao nhiêu Giải pháp đề tài tạo bước đầu việc xây dựng phát triển tiềm lực công nghệ thông tin, truyền thông nước bước tiến tới làm chủ công nghệ mạng riêng ảo, đủ điều kiện tiếp nhận lợi ích thực mà lĩnh vực công nghệ cao đem lại cho đất nước Tạo hội phát triển sản phẩm nước, giảm dần tình trạng nước ta phải mua sản phẩm phần mềm nước với chi phí cao, gánh đáng kể cho kinh tế non yếu Nếu triển khai mơ hình giải pháp bảo mật đề tài nghiên cứu hệ thống mạng nội Công an tỉnh Hậu Giang đáp ứng nhiều yêu cầu hoạt động công tác, đảm bảo nhu cầu trao đổi thơng tin an tồn phịng ban, cơng an huyện thị, thành phố địa bàn tỉnh Hậu Giang, góp phần làm giảm chi phí hành chính, nguồn nhân lực, thời gian làm tăng hiệu hoạt động công tác Việc đẩy mạnh ứng dụng công nghệ thông tin hoạt động công tác đảm bảo an tồn thơng tin, tự phát triển sản phẩm an ninh riêng nhằm để tiết kiệm chi phí, chủ động việc ứng dụng kiểm soát vấn đề bảo mật yêu cầu cấp thiết Công an tỉnh Hậu Giang, phù hợp với chủ trương, sách, giải pháp Đảng Nhà nước thời kỳ cơng nghiệp hóa, đại hóa đất nước 75 Tài liệu tham khảo [1] H Dhall, D Dhall, S Batra, and P Rani, “Implementation of ipsec protocol,” in Advanced Computing Communication Technologies (ACCT), 2012 Second International Conference on, 2012, pp 176–181 [2] Z Jiang and Y Xie, “Study and implement of vpn penetrating nat based on ipsec protocol,” in Transportation, Mechanical, and Electrical Engineering (TMEE), 2011 International Conference on, 2011, pp 404–407 [3] C Fei, W Kehe, C Wei, and Z Qianyuan, “The research and implementation of the vpn gateway based on ssl,” in Computational and Information Sciences (ICCIS), 2013 Fifth International Conference on, 2013, pp 1376–1379 [4] R Wang, “Using vpn technology in the campus office network systems,” in E-Business and E-Government (ICEE), 2010 International Conference on, 2010, pp 4997–5000 [5] X Bai, F Zhang, and D Wang, “The application of vpn technology in the university’s library,” in Communication Software and Networks (ICCSN), 2011 IEEE 3rd International Conference on, 2011, pp 563–566 [6] Z Zhu, J Zong, and N He, “Discussion on application of vpn technology in library management system,” in Robotics and Applications (ISRA), 2012 IEEE Symposium on, 2012, pp 809–812 [7] H Yanju, H Yanling, and H Yiwei, “Study of the data exchanging safely and quickly for sudden leakage of dangerous chemicals emergency decision system based on vpn,” 76 in Information Technology and Applications (IFITA), 2010 International Forum on, vol 2, 2010, pp 52–54 [8] J Lu and C Dong, “Study on the application of vpn technology based on ipsec in the modern universities,” in Software Engineering and Service Science (ICSESS), 2011 IEEE 2nd International Conference on, 2011, pp 881–883 [9] Y Hu, H Yin, C Lin, X Jiang, Y Ouyang, and C Li, “Csgw-ras: A novel secure solution for remote access based on ssl,” in Intelligent Signal Processing and Communication Systems, 2007 ISPACS 2007 International Symposium on, Nov 2007, pp 798–801 [10] L Zheng and S Chen, “Research and implementation of wireless security acess system,” in Electrical and Control Engineering (ICECE), 2011 International Conference on, 2011, pp 3583–3586 [11] W Zhong, Y Zhang, and Y Jiang, “The design of vpn security gateway in remote monitoring system of rheometer,” in Strategic Technology (IFOST), 2011 6th International Forum on, vol 2, 2011, pp 1109–1113 [12] W Kehe, H Jianping, and D Tao, “Secure wireless remote access platform in power utilities based on ssl vpn,” in Information Technology and Artificial Intelligence Conference (ITAIC), 2011 6th IEEE Joint International, vol 1, 2011, pp 93–97 [13] S H Sun, “The advantages and the implementation of ssl vpn,” in Software Engineering and Service Science (ICSESS), 2011 IEEE 2nd International Conference on, 2011, pp 548–551 [14] H Mao, L Zhu, and H Qin, “A comparative research on ssl vpn and ipsec vpn,” in Wireless Communications, Networking and Mobile Computing (WiCOM), 2012 8th International Conference on, 2012, pp 1–4 [15] A Lakbabi, G Orhanou, and S El Hajji, “Vpn ipsec amp; ssl technology security and management point of view,” in Next Generation Networks and Services (NGNS), 2012, 2012, pp 202–208 77 [16] W Huang and F Kong, “The research of vpn on wlan,” in Computational and Information Sciences (ICCIS), 2010 International Conference on, 2010, pp 250–253 [17] L Lian and G Wen-mei, “Building ipsec vpn in ipv6 based on openswan,” in Network and Parallel Computing Workshops, 2007 NPC Workshops IFIP International Conference on, 2007, pp 784–787 [18] D Meng, “Implementation of a host-to-host vpn based on udp tunnel and openvpn tap interface in java and its performance analysis,” in Computer Science Education (ICCSE), 2013 8th International Conference on, 2013, pp 940–943 [19] J Qu, T Li, and F Dang, “Performance evaluation and analysis of openvpn on android,” in Computational and Information Sciences (ICCIS), 2012 Fourth International Conference on, 2012, pp 1088–1091 [20] C Hosner, “Openvpn and the ssl vpn revolution,” 2004 [21] J Zhang, W Hu, and F Gao, “Construction of vpn gateway based on frees/wan under linux,” in Signal Processing, 2008 ICSP 2008 9th International Conference on, Oct 2008, pp 2876–2879 [22] G Wang, M Xu, and X Huan, “Design and implementation of an embedded router with packet filtering,” in Electrical Electronics Engineering (EEESYM), 2012 IEEE Symposium on, 2012, pp 285–288 [23] B Zhong and L Huaqing, “Design of a new firewall based on netfilter,” in Computer Science and Electronics Engineering (ICCSEE), 2012 International Conference on, vol 3, 2012, pp 624–627 [24] P Butler, A Rhodes, and R Hasan, “Manticore: Masking all network traffic via ip concealment with openvpn relaying to ec2,” in Cloud Computing (CLOUD), 2012 IEEE 5th International Conference on, 2012, pp 487–493 [25] P Thanh and K Kim, “A methodology for implementation and integration two-factor authentication into vpn,” in Performance Computing and Communications Conference (IPCCC), 2012 IEEE 31st International, Dec 2012, pp 195–196 78 [26] P N Thanh and K Kim, “Implementation of open two-factor authentication service applied to virtual private network,” in Information Networking (ICOIN), 2013 International Conference on, 2013, pp 135–140 [27] J R Vacca, Network and System Security Syngress Publishing, 2010 [28] Y Bhaiji, Network Security Technologies and Solutions, 1st ed., 2008 [29] Q H Jazib Frahim, Designing VPN Security, V 1.0, Ed Cisco, 2003 [30] M E Charlie Scott, Paul Wolfe, Virtual Private Networks, Second Edition, S Edition, Ed O’Reilly, January 1999 [31] A G Mason, Ed., Cisco Secure Virtual Private Networks Cisco Press, 2001 [32] M Lewis, Comparing, Designing, and Deploying VPNs (Networking Technology) Cisco Press, 2006 [33] M Feilner, Beginning OpenVPN 2.0.9, A Johari, Ed Packt Publishing Ltd 32 Lincoln Road Olton Birmingham, B27 6PA, UK., December 2009 [34] ——, Building and Integrating Virtual Private Networks, J Karumalil, Ed Packt Publishing Ltd 32 Lincoln Road Olton Birmingham, B27 6PA, UK., April 2006 [35] K B Paul Wouters, Building and Integrating Virtual Private Networks with Openswan, R Deeson, Ed Packt Publishing Ltd 32 Lincoln Road Olton Birmingham, B27 6PA, UK, February 2006 [36] J J Keijser, OpenVPN Cookbook, M S Ajay Shanker, Ed Packt Publishing Ltd 32 Lincoln Road Olton Birmingham, B27 6PA, UK., February 2011 79 S K L 0 ... cứu triển khai giải pháp bảo mật mạng VPN nguồn mở Công an tỉnh Hậu Giang 1.4 Khách thể đối tượng nghiên cứu Đối tượng: Nghiên cứu triển khai giải pháp bảo mật mạng VPN nguồn mở Công an tỉnh Hậu. .. kiện thực tế công an tỉnh Do em mạnh dạn chọn đề tài: ? ?Nghiên cứu triển khai giải pháp bảo mật mạng VPN nguồn mở Công an tỉnh Hậu Giang? ?? Nghiên cứu công nghệ mạng riêng ảo (VPN) để bảo mật liệu đường... OpenVPN với giải pháp IPSEC VPN vấn đề bảo mật, khả sử dụng, mở rộng triển khai Nghiên cứu triển khai giải pháp bảo mật OpenVPN hệ điều hành nguồn mở Linux (Ubuntu, Android), thiết lập OpenVPN