Internet giao thức Mạng riêng ảo VPN LỜI CẢM ƠN Chúng em xin gửi lời cảm ơn chân thành đến thầy Nguyễn Tiến Ban – trưởng khoa Viễn Thông 1, giảng viên môn Internet giao thức hướng dẫn đạo tận tình giúp chúng em có hướng đề tài tiểu luận Do giới hạn kiến thức khả lý luận thân chúng em nhiều thiếu sót hạn chế, mong thầy xem xét tiểu luận chúng em giúp chúng em hoàn thiện tốt tiểu luận Lời cuối cùng, em xin kính chúc thầy gia đình thật nhiều sức khỏe, hạnh phúc thành công đường giảng dạy Hà Nội, tháng 11 năm 2021 Sinh viên nhóm Page |2 Học viện Cơng nghệ Bưu Chính Viễn Thơng Internet giao thức Mạng riêng ảo VPN Mục lục Lời mở đầu Chương 1: Tổng quan mạng riêng ảo VPN 1.1 Mạng riêng ảo đời từ đâu? 1.2 Khái niệm 1.3 Lịch sử phát triển 1.3.1 Tiền thân VPN 1.3.2 VPN 1.3.3 VPN việc sử dụng chúng 1.4 Ứng dụng Chương 2: Các yêu cầu xây dựng VPN 11 2.1 Tính tương thích (Compatibility) 11 2.2 Tính bảo mật (Security) 12 2.3 Tính khả dụng (Availability) 12 2.4 Khả hoạt động tương tác 12 2.5 Lợi ích VPN 12 2.6 Ưu điểm hạn chế VPN 13 Chương 3: Mơ hình hoạt động VPN 14 3.1 VPN hoạt động nào? 14 3.2 Phân loại 15 3.3 Giao thức đường hầm VPN 18 3.3.1 Giao thức đường hầm điểm tới điểm (PPTP) 18 3.3.2 Giao thức chuyển tiếp lớp (L2F) 20 3.3.3 Giao thức đường hầm lớp 2: L2TP ( Layer Tunneling Protocol) 21 3.4 Các phương pháp triển khai 22 Chương 4: Bảo mật VPN 24 4.1 Quyền riêng tư bảo mật VPN 24 4.2 Quản lý bảo mật VPN 24 4.2.1 Một số phương thức công mạng phổ biến 24 4.2.2 Các kỹ thuật bảo mật VPN 27 Page |3 Học viện Công nghệ Bưu Chính Viễn Thơng Internet giao thức Mạng riêng ảo VPN Lời mở đầu Sự đời mạng Internet tạo vũ trụ thông tin đời sống người Nó cho ta lưu trữ khối liệu khổng lồ cá nhân hay tổ chức cung cấp dịch vụ để trao đổi thông tin cách đa dạng nội dung lẫn hình thức, có nhiều thơng tin cần bảo mật cao, độ tin cậy lớn thông tin khách hàng hai sở ngân hàng thành phố Rất nhiều thông tin béo bở đưa lại lợi nhuận cao cho tin tặc đưa lên không gian Internet lý cho hình thức phá hoại, ăn cắp thơng tin mạng ngày trở nên tinh vi phức tạp Vấn đề khiến cho nhiệm vụ đảm bảo độ an toàn hệ thống mạng trở nên quan trọng cần thiết Bởi thực tế trên, nhà khai thác viễn thông nghiên cứu vấn đề bảo mật hệ thống cho đời công nghệ mạng riêng ảo VPN Chúng ta tìm hiểu cơng nghệ qua bốn phần tiểu luận: Chương 1: Tổng quan mạng riêng ảo VPN Chương 2: Các yêu cầu xây dựng VPN Chương 3: Mơ hình hoạt động VPN Chương 4: Bảo mật VPN Page |4 Học viện Cơng nghệ Bưu Chính Viễn Thơng Internet giao thức Mạng riêng ảo VPN Thuật ngữ viết tắt ARPANET- Advanced Research Projects Agency Network Mạng Cơ quan Dự án Nghiên cứu Nâng cao ATM CHAP Kỹ thuật truyền tải khơng đồng Giao thức xác thực có thăm dò trước DES DSA DSL ESP E1/T1 GRE Asynchronous Transfer Mode Challenge Handshake Authentication Protocol Data Encryption Standard Digital Signature Algorithm Digital Subcriber Line Encapsulating Security Payload Dung lượng truyền liệu Generic Routing Protocol IP IPSec Internet Protocol Internet Protocol Security IP VPN NAS NGN PKCS PPP PPTP QoS RAS RC4 Interer Protocol Virtual Private Network Internet Service Provider Layer Forwarding Layer Tunneling Protocol Local Area Network Microsoft Challenge Handshake Authentication Protocol Network Access Server Next Generation Network Public Key Cryptography Standards Point to Point Protocol Point To Point Tunneling Protocol Quality of Service Remote Access Server Rivest Cipher Giao thức Internet Giao thức mật mã bảo vệ lưu lượng liệu qua mạng Internet Mạng riêng ảo Internet RSA RSVP RTP Rivest-Shamir-Adleman Resource ReServartion Protocol Real Time Protocol Nhà cung cấp dịch vụ Internet Giao thức tầng hầm chuyển tiếp lớp Giao thức đường hầm lớp Mạng máy tính cục Giao thức xác thực có thăm dị trước Microsoft Máy trạm truy nhập mạng Mạng hệ Tiêu chuẩn mã hóa cơng khai Giao thức điểm – điểm Giao thức đường hầm điểm – điểm Chất lượng dịch vụ Máy chủ truy cập từ xa Là thuật tốn mã hóa đối xứng nhanh Là thuật tốn mã hóa cơng khai Giao thức giành trước tài ngun Giao thức thời gian thực swIPe Software IP Encryption Protocol Giao thức mã hóa IP phần mềm PSTN Public Switched Telephone Network TCP TCP/IP Transmission Control Protocol Transmission Control Protocol / Internet Protocol (suite) Virtual Private Network Triple Data Encryption Standard Mạng điện thoại chuyển mạch công cộng Giao thức điều khiển giao vận Chồng giao thức TCP/TP ISP L2F L2TP LAN MS-CHAP VPN 3DES Thuật tốn mã hóa khối Giải thuật ký số Kênh thuê bao số Giao thức đóng gói tải bảo mật 1.544 Mbps/2048 Mbps Giao thức định tuyến chung Mạng riêng ảo Thuật tốn mã hóa liệu ba lần Page |5 Học viện Công nghệ Bưu Chính Viễn Thơng Internet giao thức Mạng riêng ảo VPN Danh mục hình sử dụng Hình Mơ hình mạng riêng ảo VPN Hình Ví dụ ứng dụng tiếp cận nội dung khu vực Hình 3: Kết nối Internet khơng có VPN Hình Kết nối Internet khơng có VPN Hình Mơ hình mạng VPN truy cập Hình Mơ hình mạng VPN nội Hình Mơ hình mạng VPN mở rộng Hình Các thành phần hệ thống cung cấp VPN dựa PPTP Hình Hệ thống sử dụng L2F Hình 10 Giao thức kết nối PPP Hình 11 Password Cracker Hình 12 Tấn cơng Trojan Hình 13 Mơ hình sniffer Hình 14 Firewall Hình 15 Mã hố đối xứng Hình 16 Mã hố bất đối xứng Hình 17 Đường hầm Tunnel VPN Tài liệu tham khảo Cisco ASA: All-in-one Next-Generation Firewall, IPS, and VPN Services, 3rd Edition - Andrew Ossipov, Jazib Frahim, Omar Santos What is a VPN ? www.cisco.com Virtual Private Networking and Intranet Sercurity Copyright © 1999, Microsoft Corperation, Inc VPN Technology: Sefinitions and Requirement Copyright © 2002, VPN Consortium Cơng nghệ chuyển mạch IP Chủ biên: TS.Lê Hữu Lập, Biên soạn: KS Hồng Trọng Minh , Học viện Cơng nghệ Bưu Viễn Thơng 11/2000 Nguyễn Tiến Ban, Bài giảng “Cơ sở kỹ thuật mạng truyền thông” Học viện Cơng nghệ Bưu Viễn thơng, 2013, tr 121-127 Nguyễn Chiến Chinh, Nguyễn Tiến Ban, Hoàng Trọng Minh, Nguyễn Thanh Trà, Phạm Anh Thư, Bài giảng “An ninh mạng thơng tin”, Học viện Cơng nghệ Bưu Viễn thơng, 2016 J Michael Strewart, Network Security, Firewalls and VPNs, Second Edition, Jones & Bartlett Learning, 2014 Page |6 Học viện Cơng nghệ Bưu Chính Viễn Thơng Internet giao thức Chương Tổng quan mạng riêng ảo VPN Chương 1: Tổng quan mạng riêng ảo VPN 1.1 Mạng riêng ảo đời từ đâu? Trong nhiều thập kỷ trở lại đây, Internet phát triển mạnh mẽ từ mơ hình cơng nghệ nhằm tối ưu đáp ứng nhu cầu người sử dụng Internet thiết kế để kết nối nhiều mạng khác cho phép chuyển đến người sử dụng cách tự nhanh chóng mà khơng xem xét đến máy mạng mà người dùng Để làm ta cần thành phần gọi router nhằm kết nối mạng LAN WAN Các máy tính kết nối vào Internet thơng qua nhà cung cấp dịch vụ (ISP-Internet Service Provider), cần giao thức chung TCP/IP Điều mà kỹ thuật tiếp tục phải giải lực truyền thông nhà mạng viễn thông công cộng Với Internet, nhà dịch vụ giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế nhiều điều khác trở thành thực Tuy nhiên Internet có phạm vi tồn cầu khơng tổ chứm phủ cụ thể quản lý nên khó khan việc bảo mật an toàn liệu việc quản lý dịch vụ Từ người ta đưa mơ hình mạng nhằm thỏa mãn yêu cầu mà tận dụng lại sở hạ tầng có Internet mơ hình mạng riêng ảo Virtual Private Network VPN 1.2 Khái niệm: Mạng riêng ảo (VPN) chương trình cung cấp mạng an tồn mã hóa Internet VPN sử dụng sở hạ tầng công cộng chung bảo tồn quyền riêng tư thơng qua quy trình an tồn giao thức đường hầm Bằng cách mã hóa liệu đầu truyền giải mã liệu đầu nhận, thay cho việc sử dụng kết nối thực VPN sử dụng kết nối ảo dẫn qua Internet từ mạng riêng công ty tới site hay nhân viên từ xa Page |7 Học viện Cơng nghệ Bưu Chính Viễn Thơng Internet giao thức Chương Tổng quan mạng riêng ảo VPN Hình Mơ hình mạng riêng ảo VPN Những thiết bị đầu mạng hỗ trợ cho mạng riêng ảo switch, router firewall Chúng quản trị công ty khai thác viễn thông cung cấp dịch vụ Những kết nối bảo mật thiết lập hai host, host mạng hai mạng với Một VPN xây dựng cách sử dụng “đường hầm” “mã hố” xuất lớp mơ hình OSI Cơng nghệ cải tiến sở hạ tầng mạng WAN, làm thay đổi tính chất mạng cục 1.3 Lịch sử phát triển: Kể từ người sử dụng Internet, có phong trào bảo vệ mã hóa liệu trình duyệt Internet Bộ Quốc phịng Hoa Kỳ tham gia vào dự án làm việc mã hóa liệu liên lạc Internet từ năm 1960 1.3.1 Tiền thân VPN Những nỗ lực họ dẫn đến việc tạo ARPANET-Advanced Research Projects Agency Network(Mạng Cơ quan Dự án Nghiên cứu Nâng cao)-một mạng chuyển mạch gói, từ dẫn đến phát triển Giao thức Transfer Control Protocol/Internet Protocol (TCP/IP) Các giao thức TCP/IP có bốn lớp: Link, Internet, Transport Application Ở lớp Internet, mạng cục thiết bị kết nối với mạng toàn cầu-và nơi mà nguy phơi nhiễm trở nên rõ ràng Năm 1993, nhóm nghiên cứu Đại học Columbia AT&T Bell Labs thành công việc tạo loại phiên VPN đại, gọi swIPe (Software IP Encryption Protocol)-Giao thức mã hóa IP phần mềm Trong năm sau, Wei Xu phát triển mạng IPSec-một giao thức bảo mật Internet xác thực mã hóa gói thông tin chia sẻ trực tuyến Năm 1996, nhân viên Microsoft tên Gurdeep Singh-Pall tạo Giao thức đường hầm ngang hàng (PPTP: Peer-to-Peer Tunneling Protocol) 1.3.2 VPN đầu tiên: Liền kề với Singh-Pall phát triển PPTP Internet ngày phổ biến nhu cầu hệ thống bảo mật phức tạp, sẵn sàng cho người tiêu dùng xuất Vào thời điểm này, chương trình chống vi-rút có hiệu việc ngăn chặn phần mềm độc hại phần mềm gián điệp lây nhiễm vào hệ thống máy tính Tuy nhiên, người cơng ty bắt đầu yêu cầu phần mềm mã hóa ẩn lịch sử duyệt web họ Internet Do đó, VPN bắt đầu vào đầu năm 2000 sử dụng công ty Tuy nhiên sau hàng loạt vi phạm bảo mật, đặc biệt vào đầu năm 2010 thị trường tiêu dùng cho VPN bắt đầu khởi sắc Page |8 Học viện Cơng nghệ Bưu Chính Viễn Thông Internet giao thức Chương Tổng quan mạng riêng ảo VPN 1.3.3 VPN việc sử dụng chúng nay: Năm 2018 số lượng người dùng VPN toàn giới tăng gấp lần so với năm 2016 Tại quốc gia Thái Lan, Indonesia Trung Quốc, nơi việc sử dụng Internet bị hạn chế kiểm duyệt, người dùng Internet có người sử dụng VPN Ở Mỹ, Anh Đức, tỷ lệ người dùng VPN rơi vào khoảng 5% tăng lên 1.4 Ứng dụng: Tại tỷ lệ người dùng VPN ngày lại tăng vậy? Vì kết nối VPN ngụy trang lưu lượng liệu bạn trực tuyến bảo vệ khỏi truy cập từ bên ngồi Dữ liệu khơng mã hóa xem có quyền truy cập mạng muốn xem Với VPN, tin tặc tội phạm mạng khó giải mã liệu Mã hóa an tồn: Để đọc liệu, bạn cần có khóa mã hóa Nếu khơng có nó, máy tính phải nhiều thời gian giải mã mã trường hợp xảy công mạng Với trợ giúp VPN, hoạt động trực tuyến bạn ẩn mạng công cộng Nhân viên làm việc từ xa sử dụng VPN kết nối an tồn tới văn phịng Sinh viên sử dụng VPN để kết nối với trường học Ngụy trang vị trí: Máy chủ VPN hoạt động Proxy bạn Internet Vì liệu vị trí nhân học đến từ máy chủ quốc gia khác nên xác định vị trí thực tế người dùng hầu hết dịch vụ VPN không lưu trữ nhật ký hoạt động họ Mặt khác, số nhà cung cấp ghi lại hành vi người dùng không chuyển thơng tin cho bên thứ ba Điều có nghĩa hồ sơ tiềm hành vi người dùng bị ẩn vĩnh viễn Chúng ta sử dụng VPN để kết nối với mạng gia đình vắng nhà để chuyển ảnh, tài liệu vật dụng khác sang máy tính gia đình thiết bị lưu trữ mạng Tiếp cận nội dung khu vực: Không phải lúc bạn truy cập nội dung web khu vực từ nơi Các dịch vụ trang web thường chứa nội dung truy cập từ số nơi giới Kết nối tiêu chuẩn sử dụng máy chủ cục nước để xác định vị trí bạn Điều có nghĩa bạn truy cập nội dung nhà du lịch bạn truy cập nội dung quốc tế từ nhà Với tính giả mạo vị trí VPN, bạn chuyển sang máy chủ sang quốc gia khác thay đổi vị trí cách hiệu Page |9 Học viện Cơng nghệ Bưu Chính Viễn Thơng Internet giao thức Chương Tổng quan mạng riêng ảo VPN Hình Ví dụ ứng dụng tiếp cận nội dung khu vực Đây động lực lớn cho việc áp dụng VPN năm gần nhu cầu ngày tăng nội dung có giới hạn truy cập địa lý Ví dụ: dịch vụ phát trực tuyến video Netflix YouTube cung cấp số video định số quốc gia định Với VPN đại, bạn mã hóa địa IP để bạn lướt web từ quốc gia khác, cho phép bạn truy cập nội dung từ nơi P a g e | 10 Học viện Công nghệ Bưu Chính Viễn Thơng Internet giao thức Chương Tổng quan mạng riêng ảo VPN CHƯƠNG 2: CÁC YÊU CẦU CƠ BẢN KHI XÂY DỰNG VPN Các yếu tố thúc đẩy phát triển VPN VPN phát triển nhiều môi trường khác nhau: X.25, Frame Relay, ATM, Internet Tuy nhiên môi trường khác phát triển VPN có đặc điểm khác mặt kỹ thuật mặt đáp ứng yêu cầu khách hàng Sự phát triển dịch vụ mạng tạo mạng riêng ảo Internet (IP VPN) xu tất yếu trình hội tụ Internet mạng dùng riêng Có lý dẫn đến trình hội tụ Việt Nam giới Sự phát triển mặt địa lý Sự phát triển mặt địa lý công ty lớn dẫn đến gia tăng số lượng hoạt động phân tán , điều gây khó khăn việc quản lý mạng dùng riêng Nhu cầu liên lạc công tác hay xu hướng làm việc nhà, xu hướng hội nhâp mở rộng công ty diễn mạnh mẽ làm cho hệ thống mạng dùng riêng không đáp ứng nhanh chóng VPN giải pháp thích hợp trường hợp Nhu cầu sử dụng tác nghiệp trực tuyến Sự phát triển kinh tế dẫn đến xu hướng việc với nhiều nhà cung cấp dịch vụ, sản phẩm với nhiều đối tượng khách hàng khác Mỗi nhà cung cấp dịch vụ sản phẩm, khách hàng sử dụng cấu trúc mạng khách (như thủ tục, ứng dụng, nhà cung cấp dịch vụ, hệ thống quản trị mạng lưới…) Điều thách thức lớn mạng dùng riêng việc kết nối với tất mạng Chi phí Chi phí cho việc cài đặt trì mạng diện rộng lớn Điều đặc biệt ảnh hưởng tới cơng ty có phạm vi hoạt động vượt khỏi biên giớ quốc gia Nhu cầu tích hợp đơn giản hóa giao diện cho người sử dụng Vậy có yêu cầu cần phải đạt xây dựng mạng riêng ảo (VPN)? Có yêu cầu xây dựng VPN: 2.1 Tính tương thích (Compatibility) Mỗi cơng ty, doanh nghiệp xây dựng hệ thống mạng nôi diện rộng dựa thủ tục khác không tuân theo chuẩn định nhà cung cấp dịch vụ Rất nhiều hệ thống mạng riêng không sử dụng chuẩn TCP/IP hay Frame Relay khơng thể kết nối trực tiếp với Internet hay mạng Frame Relay công P a g e | 11 Học viện Cơng nghệ Bưu Chính Viễn Thơng Internet giao thức Chương Mơ hình hoạt động VPN Hình Mơ hình mạng VPN truy cập -Một số thành phần chính: +Remote Access Server (RAS) : đặt trung tâm có nhiệm vụ xác nhận chứng nhận yêu cầu gửi tới +Quay số kết nối đến trung tâm:điều làm giảm chi phí cho số yêu cầu xa so với trung tâm +Hỗ trợ cho người có nhiệm vụ cấu hình, bảo trì quản lý RAS hỗ trợ truy cập từ xa người dùng -Lợi ích Remote Access VPNs: Sự cần thiết hỗ trợ cho người dung cá nhân loại trừ kết nối từ xa tạo điều kiện thuận lợi bời ISP Việc quay số từ khoảng cách xa loại trừ , thay vào đó, kết nối với khoảng cách xa thay kết nối cục Giảm giá thành chi phí cho kết nối với khoảng cách xa Do kết nối mang tính cục bộ, tốc độ nối kết cao so với kết nối trực tiếp đến khoảng cách xa *Các VPN nội (Intranet VPNs) -Intranet VPNs sử dụng để kết nối đến chi nhánh văn phòng tổ chức đến Corporate Intranet ( mạng nội công ty) -Là VPN nội đươc sử dụng để bảo mật kết nối địa điểm khác công ty Điều cho phép tất địa điểm truy cập nguồn liệu phép tồn mạng cơng ty Các VPN nội liên kết trụ sở chính, văn phịng, văn phòng chi nhánh sở hạ tầng chung sử dụng kết nối mà luôn mã hố =>Kiểu VPN thường cấu VPN Site-to-Site P a g e | 17 Học viện Cơng nghệ Bưu Chính Viễn Thơng Internet giao thức Chương Mơ hình hoạt động VPN Hình Mơ hình mạng VPN nội -Lợi ích VPN nội bộ: Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, trạm số remote site khác Bởi Internet hoạt động kết nối trung gian, dễ dàng cung cấp kết nối ngang hàng Kết nối nhanh tốt chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề khoảng cách xa thêm giúp tổ chức giảm thiểu chi phí cho việc thực Intranet *Các VPN mở rộng (Extranet VPNs) -Extranet VPNs cho phép truy cập tài nguyên mạng cần thiết đối tác kinh doanh, chẳng hạn khách hàng, nhà cung cấp, đối tác người giữ vai trò quan trọng tổ chức -Các VPN mở rộng cung cấp đường hầm bảo mật khách hàng, nhà cung cấp, đối tác qua sở hạ tầng công cộng sử dụng kết nối mà luôn bảo mật =>Kiểu VPN thường cấu VPN Site-to-Site Nhưng khác VPN nội VPN mở rộng truy cập mạng mà cơng nhận hai đầu cuối VPN P a g e | 18 Học viện Cơng nghệ Bưu Chính Viễn Thông Internet giao thức Chương Mô hình hoạt động VPN Hình Mơ hình mạng VPN mở rộng -Một số thuận lợi dùng mạng VPN mở rộng: Do hoạt động môi trường Internet, lựa chọn nhà phân phối lựa chọn đưa phương pháp giải tuỳ theo nhu cầu tổ chức Bởi phần Internet-connectivity bảo trì nhà cung cấp (ISP) nên giảm chi phí bảo trì th nhân viên bảo trì Dễ dàng triển khai, quản lý chỉnh sửa thông tin 3.3 Giao thức đường hầm VPN Có nhiều giao thức đường hầm khác công nghệ VPN, việc sử dụng giao thức lên quan đến phương pháp xác thực mật mã kèm Một số giao thức đường hầm phổ biến là: -Giao thức tầng hầm chuyển tiếp lớp (L2F-Layer Forwarding) -Giao thức đường hầm điểm tới điểm (PPTP-Point To Point Tunneling Protocol: dịch vụ quay số ảo) -Giao thức tầng hầm lớp (L2TP-Layer Tunneling Protocol) -GRE: Generic Routing Protocol -IPSEC: IP Security 3.3.1 Giao thức đường hầm điểm tới điểm (PPTP) -Cơ sở giao thức tách chức chung riêng việc truy nhập từ xa, dự sở hạ tầng Internet có sẵn để tạo kết nối đường hầm người dùng mạng riêng ảo.Người dùng xa dùng phương pháp quay số tới nhà cung cấp dịch vụ Internet để tạo đường hầm riêng để kết nối tới truy nhập tới mạng riêng ảo người dùng P a g e | 19 Học viện Cơng nghệ Bưu Chính Viễn Thơng Internet giao thức Chương Mơ hình hoạt động VPN -Giao thức PPTP xây dựng dựa tảng PPP (Point to Point Protocol), cung cấp khả truy nhập tạo đường hầm thông qua Internet đến site (địa điểm) đích -Nguyên tắc hoạt động +PPP giao thức truy nhập vào Internet mạng IP phổ biến Nó làm việc lớp liên kết liệu mơ hình OSI, PPP bao gồm phương thức đóng gói, tách gói IP, truyền chỗ kết nối điểm tới điểm từ máy sang máy khác +PPTP đóng gói tin khung liệu giao thức PPP vào gói tin IP để truyền qua mạng IP PPTP dùng kết nối TCP để khởi tạo trì, kết thức đường hầm dùng gói định tuyến chung GRE để đóng gói khung PPP Phần tải khung PPP mã hố nén lại +PPTP sử dụng PPP để thực chức thiết lập kết thức kết nối vật lý, xác định người dùng, tạo gói liệu PPP *Triển khai VPN dựa PPTP Khi triển khai VPN dự giao thức PPTP yêu cầu hệ thống tối thiểu phải có thành phần thiết bị hình bao gồm: Một máy chủ truy nhập mạng dùng cho phương thức quay số truy nhập bảo mật VPN Một máy chủ PPTP Máy trạm PPTP với phần mềm client cần thiết Hình Các thành phần hệ thống cung cấp VPN dựa PPTP -Máy chủ PPTP: đóng vai trị điểm kết nối đường hầm PPTP chuyển gói tin đến đường hầm mạng LAN riêng.Nó chuyển gói tin đến máy đích cách xử lý gói tin PPTP để địa mạng máy đích P a g e | 20 Học viện Cơng nghệ Bưu Chính Viễn Thơng Internet giao thức Chương Mơ hình hoạt động VPN -Phần mềm Client PPTP:Các thiết bị ISP hỗ trợ PPTP khơng cần phần cứng hay phần mềm bổ sung cho máy trạm, cần kết nối PPP chuẩn Nếu thiết bị ISP khơng hỗ trợ PPTP phần mềm ứng dụng Client tạo liên kết nối bảo mật quay số kết nối tới ISP PPP, sau quay số lần thông qua cổng PPTP ảo thiết lập máy trạm -Máy chủ truy nhập mạng:Máy chủ truy nhập mạng Network Access Server (NAS) cịn có tên gọi máy chủ truy nhập từ xa hay tập trung truy nhập NAS cung cấp khả truy nhập đường dây dựa phần mềm có khả tính cước +Nếu ISP cung cấp dịch vụ PPTP cần phải cài NAS cho phép PPTP để hỗ trợ client chạy hệ điều hành khác Trong trường hợp máy chủ ISP đóng vai trò client PPTP kết nối với máy chủ PPTP mạng riêng máy chủ ISP trở thành điểm cuối đường hầm, điểm cuối lại máy chủ đầu mạng riêng 3.3.2 Giao thức chuyển tiếp lớp (L2F) -Là phương pháp truyền thống người sử dụng truy nhập từ xa vào mang doanh nghiêp thông qua thiết bị L2F cung cấp giải cho dịch vụ quay số ảo thiết bị đường hầm bảo mật thông qua sở hạ tầng công cộng Internet Nó cho phép đóng gói gói tin PPP khuôn dạng L2F định đường hầm lớp liên kết liệu -Nguyên tắc hoạt động:Giao thức chuyển tiếp L2F đóng gói gói tin lớp 2, sau truyền chúng qua mạng Hệ thống sử dụng L2F gồm thành phần sau: +Máy trạm truy nhập mạng NAS (Network Access Server): hướng lưu lượng đến máy khách xa Home Gateway +Đường hầm: định hướng đường NAS Home Gateway Một đường hầm gồm số kết nối +Kết nối: Là kết nối PPP đường hầm Một kết nối L2F xem phiên +Điểm đích: Là điểm kết thúc đâu xa đường hầm Trong trường hợp Home Gateway đích P a g e | 21 Học viện Công nghệ Bưu Chính Viễn Thơng Internet giao thức Chương Mơ hình hoạt động VPN Server Tunnel Data Mạng riêng Mạng ISP Người dùng truy nhập từ xa Home gateway Hình Hệ thống sử dụng L2F =>L2F dùng rộng rãi so với PPTP giải pháp chuyển hướng khung cấp thấp Nó cung cấp tảng giải pháp VPN tốt PPTP mạng doanh nghiệp 3.3.3 Giao thức đường hầm lớp 2: L2TP ( Layer Tunneling Protocol) -L2TP kết hợp đặc điểm tốt PPTP L2F Vì vậy, L2TP cung cấp tính linh động, thay đổi, hiệu chi phí cho giải pháp truy cập từ xa L2F khả kết nối điểm điểm nhanh PPTP -Do L2TP trộn lẫn hai đặc tính PPTP L2F, bao gồm: +L2TP hỗ trợ đa giao thức đa công nghệ mạng, IP, ATM, PPP +L2TP không yêu cầu việc triển khai thêm phần mềm nào, điều khiển hệ điều hành hỗ trợ Do đó, người dùng mạng riêng Intranet không cần triển khai thêm phần mềm chuyên biệt +L2TP cho phép người dùng từ xa truy cập vào mạng từ xa thông qua mạng công cộng với địa IP chưa đăng ký (hoặc riêng tư) -Điểm L2TP thiếp lập đường hầm PPP không giống PPTP, không kết thúc gần vùng ISP Thay vào đó, đường hầm mở rộng đến cổng mạng máy chủ (hoặc đích), u cầu đường hầm L2TP khởi tạo người dùng từ xa cổng ISP Kết nối Điều khiển mạng ISP’s Intranet Internet Người sử dụng NAS LAC LNS Đường hầm L2TP Kết nối PPP P a g e | 22 Học viện Cơng nghệ Bưu Chính Viễn Thơng Internet giao thức Chương Mơ hình hoạt động VPN Hình 10 Giao thức kết nối PPP 3.4 Các phương pháp triển khai Trước cài đặt VPN, phải làm quen với phương pháp triển khai khác nhau: -Máy khách VPN: Phần mềm phải cài đặt cho máy khách VPN độc lập Phần mềm cấu hình để đáp ứng yêu cầu điểm cuối Khi thiết lập VPN, điểm cuối thực thi liên kết VPN kết nối với điểm cuối ,tạo đường hầm mã hóa +Ở cơng ty, bước thường yêu cầu nhập mật công ty cấp cài chứng thích hợp => Bằng cách tường lửa nhận kết nối ủy quyền -Tiện ích mở rộng trình duyệt: thêm vào hầu hết trình duyệt web google chrome firefox Các tiện ích giúp người dùng dễ dàng chuyển đổi cấu hình VPN họ cách nhanh chóng lướt Internet -Bộ định tuyến VPN: Nếu nhiều thiết bị kết nối với kết nối Internet, việc triển khai VPN trực tiếp định tuyến dễ dàng so với việc cài đặt VPN riêng thiết bị -Có thể sử dụng VPN cho điện thoại thông minh thiết bị kết nối Internet khác.VPN cần thiết cho thiết bị di động bạn bạn sử dụng để lưu trữ thơng tin tốn liệu cá nhân khác chí để lướt web P a g e | 23 Học viện Công nghệ Bưu Chính Viễn Thơng Internet giao thức Chương Bảo mật VPN CHƯƠNG 4: BẢO MẬT TRONG VPN 4.1 Quyền riêng tư bảo mật VPN VPN biện pháp hiệu để trì bảo mật trực tuyến Nhưng khơng có thứ bảo mật tuyệt đối thời đại công nghệ phát triển này, đặc biệt mục tiêu có giá trị cao kẻ thù có đủ thời gian, tiền bạc nguồn lực Tin tốt đa số người dùng khơng thuộc nhóm “có giá trị cao” nên không cần lo lắng khả bị công Vậy nên VPN có an tồn Việc nâng cao an toàn dùng VPN sử dụng nhà cung cấp VPN đáng tin cậy, thường trả phí, nhà cung cấp dịch vụ VPN miễn phí thường khơng đáng tin cậy lắm, họ khơng thể tạo doanh thu từ sản phầm mình, nên xuất hiện tượng bán thông tin cá nhân khách hàng Nhưng kĩ thuật khơng thể gọi công VPN 4.2 Quản lý bảo mật VPN 4.2.1 Một số phương thức công mạng phổ biến * Scanner: Kẻ phá hoại sử dụng chương trình Scanner tự động rà sốt phát điểm yếu lỗ hổng bảo mật server xa Scanner chương trình trạm làm việc cục trạm xa Các chương trình Scanner rà sốt phát số hiệu cổng (Port) sử dụng giao thức TCP/UDP tầng vận chuyển phát dịch vụ sử dụng hệ thống đó, ghi lại đáp ứng (Response) hệ thống xa tương ứng với dịch vụ mà phát Dựa vào thông tin này, kẻ cơng tìm điểm yếu hệ thống Các chương trình Scanner cung cấp thơng tin khả bảo mật yếu hệ thống mạng Những thông tin hữu ích cần thiết người quản trị mạng, nguy hiểm kẻ phá hoại có thơng tin * Bẻ khố (Password Cracker): Chương trình bẻ khố Password chương trình có khả giải mã mật mã hố vơ hiệu hố chức bảo vệ mật hệ thống Hầu hết việc mã hoá mật tạo từ phương thức mã hố Các chương trình mã hố sử dụng thuật toán mã hoá để mã hoá mật Có thể thay phá khố hệ thống phân tán, đơn giản so với việc phá khoá Server cục Một danh sách từ tạo thực mã hoá từ Sau lần mã hoá, so sánh với mật (Password) mã hố cần phá Nếu khơng trùng hợp, trình lại quay lại Phương thức bẻ khố gọi Bruce-Force Phương pháp khơng chuẩn tắc P a g e | 24 Học viện Cơng nghệ Bưu Chính Viễn Thơng Internet giao thức Chương Bảo mật VPN thực nhanh dựa vào nguyên tắc đặt mật người sử dụng thường tuân theo số qui tắc để thuận tiện sử dụng Thông thường chương trình phá khố thường kết hợp số thơng tin khác q trình dị mật như: thơng tin tập tin /etc/passwd, từ điển sử dụng từ lặp từ liệt kê tuần tự, chuyển đổi cách phát âm từ, Hình 11 Password Cracker Biện pháp khắc phục cần xây dựng sách bảo vệ mật đắn * Trojans: Một chương trình Trojans chạy khơng hợp lệ hệ thống với vai trị chương trình hợp pháp Nó thực chức khơng hợp pháp Thơng thường, Trojans chạy chương trình hợp pháp bị thay đổi mã mã bất hợp pháp Virus loại điển hình chương trình Trojans, chương trình virus che dấu đoạn mã chương trình sử dụng hợp pháp Khi chương trình hoạt động đoạn mã ẩn thực số chức mà người sử dụng khơng biết Trojan có nhiều loại khác Có thể chương trình thực chức ẩn dấu, tiện ích tạo mục cho file thư mục, đoạn mã phá khố, chương trình xử lý văn tiện ích mạng Trojan lây lan nhiều mơi trường hệ điều hành khác Đặc biệt thường lây lan qua số dịch vụ phổ biến Mail, FTP qua tiện ích, chương trình miễn phí mạng Internet Hầu hết chương trình FTP Server sử dụng phiên cũ, có nguy tiềm tàng lây lan Trojans P a g e | 25 Học viện Cơng nghệ Bưu Chính Viễn Thông Internet giao thức Chương Bảo mật VPN Hình 12 Tấn cơng Trojan Đánh giá mức độ phá hoại Trojans khó khăn Trong số trường hợp, làm ảnh hưởng đến truy nhập người sử dụng Nghiêm trọng hơn, kẻ cơng lỗ hổng bảo mật mạng Khi kẻ công chiếm quyền Root hệ thống, phá huỷ tồn phần hệ thống Chúng sử dụng quyền Root để thay đổi logfile, cài đặt chương trình Trojans khác mà người quản trị khơng thể phát người quản trị hệ thống cịn cách cài đặt lại tồn hệ thống * Sniffer: Sniffer theo nghĩa đen “đánh hơi” “ngửi” Là cơng cụ (có thể phần cứng phần mềm) “tóm tắt” thơng tin lưu chuyển mạng để “đánh hơi” thơng tin có giá trị trao đổi mạng Hoạt động Sniffer giống chương trình "tóm bắt" thơng tin gõ từ bàn phím (Key Capture) Tuy nhiên tiện ích Key Capture thực trạm làm việc cụ thể, Sniffer bắt thông tin trao đổi nhiều trạm làm việc với Các chương trình Sniffer thiết bị Sniffer ”ngửi” giao thức TCP, UDP, IPX tầng mạng Vì tóm bắt gói tin IP Datagram Ethernet Packet Mặt khác, giao thức tầng IP định nghĩa tường minh cấu trúc trường Header rõ ràng, nên việc giải mã gói tin khơng khó khăn P a g e | 26 Học viện Cơng nghệ Bưu Chính Viễn Thông Internet giao thức Chương Bảo mật VPN Hình 13 Mơ hình sniffer Mục đích chương trình Sniffer thiết lập chế độ dùng chung (Promiscuous) Card mạng Ethernet, nơi gói tin trao đổi "tóm bắt" gói tin 4.2.2 Các kỹ thuật bảo mật VPN VPN sử dụng vài kỹ thuật để bảo vệ liệu truyền qua mạng Internet Những khái niệm quan trọng firewalls (tường lửa), nhận thực, mã hoá tunnel, Firewalls (tường lửa): Thuật ngữ Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thông tin, Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Cũng hiểu Firewall chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi mạng không tin tưởng (Untrusted network) Thông thường Firewall đặt mạng bên (Intranet) công ty, tổ chức, ngành hay quốc gia Internet Vai trị bảo mật thơng tin, ngăn chặn truy nhập không mong muốn từ bên (Internet) cấm truy nhập từ bên (Internet) tới số địa định Internet P a g e | 27 Học viện Công nghệ Bưu Chính Viễn Thơng Internet giao thức Chương Bảo mật VPN Một tường lửa Internet sử dụng kỹ thuật ví dụ kiểm tra địa Internet gói liệu cổng truy nhập mà kết nối yêu cầu để định truy nhập có phép hay khơng Hình 14 Firewall Firewalls cung cấp hai chức cho nhà quản trị mạng Thứ chức kiểm sốt mà người dùng từ mạng ngồi nhìn thấy dịch vụ cho phép sử dụng mạng nội Thứ hai kiểm soát nơi nào, dịch vụ Internet mà user mạng nội truy cập, sử dụng Hầu hết kỹ thuật tường lửa thiết kết tương tự có điểm điều khiển tập trung, cần khảo sát số biến đổi mức cao đủ Authentication (nhận thực): Authentication đóng vai trò quan trọng VPNs, phương pháp đảm bảo bên tham gia truyền tin trao đổi liệu với người, host Authentication tương tự "logging in" vào hệ thống với username password, nhiên VPNs yêu cầu phương pháp nhận thực chặt chẽ, nghiêm ngặt nhiều để xác nhận tính hợp lệ Hầu hết hệ thống nhận thực VPN dựa hệ thống khoá bảo mật chung, khoá đưa vào thuật toán băm để tạo giá trị băm Để có quyền truy nhập giá trị băm bên yêu cầu phải trùng với giá trị băm phép đích Các giá trị băm khơng nhìn thấy truyền qua Internet việc ăn cắp password Một số phương pháp nhận thực thông dụng CHAP, RSA Authentication thường thực bắt đầu phiên truy cập, sau lại thực ngẫu nhiên thời điểm suốt thời gian phiên để đảm bảo chắn khơng có kẻ mạo danh thâm nhập trái phép Ngồi authentication sử dụng để đảm bảo nguyên vẹn liệu Bản thân liệu đưa vào hàm băm để thu giá trị băm gửi liệu, tương tự P a g e | 28 Học viện Cơng nghệ Bưu Chính Viễn Thơng Internet giao thức Chương Bảo mật VPN checksum tin Bất kỳ sai khác giá trị gửi với giá trị nhận trạm điều có nghĩa liệu bị phá huỷ, bị chặn trình truyền tin liệu bị thay đổi đường truyền Encryption (mã hoá): Mã hoá (Encryption) để chắn tin khơng bị đọc đọc người nhận Khi mà có nhiều thơng tin lưu thơng mạng cần thiết việc mã hố thơng tin trở nên quan trọng Mã hố biến đổi nội dung thơng tin thành văn mật mã mà vơ nghĩa dạng mật mã Chức giải mã để khôi phục văn mật mã thành nội dung thơng tin dùng cho người nhận Có nhiều kiểu thuật tốn mã hố khác sử dụng Tuy nhiên, có hai kiểu thuật tốn mã hoá sử dụng khoá sử dụng phổ biến là: thuật tốn mã hố khố bí mật (secret key) hay cịn gọi mã hố đối xứng (symmetric) thuật tốn mã hố khố cơng cộng (public key) hay cịn gọi mà mã hóa bất đối xứng (asymmetric) o Mã hố đối xứng: Hình 15 Mã hố đối xứng Mã hóa đối xứng kỹ thuật mã hóa đơn giản sử dụng phổ biến nhất, với số đặc điểm bật như: - Do thuật tốn mã hóa đối xứng phức tạp thực thi nhanh hơn, kỹ thuật đặc biệt ưa thích hoạt động truyền tải liệu hàng loạt - Văn gốc mã hóa key trước gửi đi, key người nhận sử dụng để giải mã liệu - Một số thuật toán mã hóa đối xứng sử dụng phổ biến bao gồm AES; DES, 3DES (ESP – IPSec); RC4(MS-CHAP) o Mã hoá bất đối xứng: P a g e | 29 Học viện Cơng nghệ Bưu Chính Viễn Thơng Internet giao thức Chương Bảo mật VPN Hình 16 Mã hố bất đối xứng Mã hóa bất đối xứng loại hình mã hóa đời sau mã hóa đối xứng cịn gọi cơng nghệ mã hóa public-key: - Mã hóa bất đối xứng cho an tồn mã hóa đối xứng sử dụng hai key riêng biệt cho hai quy trình mã hóa giải mã - Public key sử dụng để mã hóa cơng khai, private key để giải mã hồn tồn bí mật -Phương pháp mã hóa sử dụng giao tiếp hàng ngày qua Internet Khi tin nhắn mã hóa public key, giải mã private key Tuy nhiên, tin nhắn mã hóa private key, giải mã public key - Chứng kỹ thuật số mơ hình máy khách-máy chủ sử dụng để tìm thấy public key - Điểm hạn chế mã hóa bất đối xứng nhiều thời gian thực so với mã hóa đối xứng - Các kỹ thuật mã hóa bất đối xứng phổ biến bao gồm Diffie-Hellman (IPSec), RSA (CHAP), DSA PKCS Tunnel (Đường hầm): Đường hầm (Tunnel) cung cấp kết nối logic, điểm tới điểm qua mạng IP không hướng kết nối Điều giúp cho việc sử dụng ưu điểm tính bảo mật P a g e | 30 Học viện Cơng nghệ Bưu Chính Viễn Thơng Internet giao thức Chương Bảo mật VPN Hình 17 Đường hầm Tunnel VPN Các giải pháp đường hầm cho VPN sử dụng mã hoá để bảo vệ liệu không bị xem trộm khơng phép để thực đóng gói đa giao thức cần thiết Mã hoá sử dụng để tạo kết nối đường hầm để liệu đọc người nhận người gửi P a g e | 31 Học viện Công nghệ Bưu Chính Viễn Thơng ...Internet giao thức Mạng riêng ảo VPN Mục lục Lời mở đầu Chương 1: Tổng quan mạng riêng ảo VPN 1.1 Mạng riêng ảo đời từ đâu? 1.2 Khái niệm... nghệ mạng riêng ảo VPN Chúng ta tìm hiểu cơng nghệ qua bốn phần tiểu luận: Chương 1: Tổng quan mạng riêng ảo VPN Chương 2: Các yêu cầu xây dựng VPN Chương 3: Mơ hình hoạt động VPN Chương 4: Bảo... 4: Bảo mật VPN 24 4.1 Quyền riêng tư bảo mật VPN 24 4.2 Quản lý bảo mật VPN 24 4.2.1 Một số phương thức công mạng phổ biến 24 4.2.2 Các kỹ thuật bảo mật VPN