1. Trang chủ
  2. Luận Văn - Báo Cáo

Nghiên cứu giao thức Wireguard và ứng dụng để bảo mật thông tin trên kênh truyền

64 11 0
Nghiên cứu giao thức Wireguard và ứng dụng để bảo mật thông tin trên kênh truyền

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Nghiên cứu giao thức Wireguard và ứng dụng để bảo mật thông tin trên kênh truyền  Tổng quan về an toàn thông tin và vấn đề bảo mật thông tin trên kênh truyền  Tổng quan về giao thức WireGuard, nghiên cứu thành phần, hoạt động của giao thức WireGuard, đánh giá độ an toàn của WireGuard và so sánh WireGuard với một số giao thức bảo mật khác.  Về mặt thực nghiệm, đồ án đã thu được những kết quả sau:  Triển khai được giao thức WireGuard để bảo mật thông tin trên kênh truyền.  Đánh giá hiệu quả của WireGuard thông qua việc triển khai thử nghiệm tốc độ truyền dữ liệu giữa WireGuard và so sánh với một giao thức bảo mật khác (cụ thể đồ án sử dụng giao thức OpenVPN). Trong chương này, đồ án đã thực hiện triển khai được giao thức WireGuard và thực hiện đánh giá hiệu quả của WireGuard thông qua việc tiến hành triển khai thử nghiệm đo và phân tích tốc độ truyền dữ liệu của WireGuard với OpenVPN và cho kết quả là WireGuard nhanh hơn OpenVPN giao thức Wireguard,Wireguard,bảo mật thông tin trên kênh truyền, Academy of Cryptography Techniques, Học viện Kỹ thuật mật mã, kma , hoc vien ky thuat mat ma , bảo mật mạng, bảo mật thư điện tử, openca, kma

ĐẠI HỌC BÁCH KHOA HÀ NỘI ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP NGHIÊN CỨU GIAO THỨC WIREGUARD VÀ ỨNG DỤNG ĐỂ BẢO MẬT THÔNG TIN TRÊN KÊNH TRUYỀN Học viên thực hiện: Trần Minh Quang i MỤC LỤC MỤC LỤC ii DANH MỤC CÁC TỪ VIẾT TẮT iv DANH MỤC HÌNH VẼ v LỜI NÓI ĐẦU vi CHƯƠNG 1: TỔNG QUAN VỀ AN TỒN THƠNG TIN VÀ VẤN ĐỀ BẢO ĐẢM AN TỒN THÔNG TIN TRÊN KÊNH TRUYỀN 1.1 Tổng quan an tồn thơng tin mạng máy tính 1.1.1 Một số khái niệm 1.1.2 Nguy an tồn thơng tin mạng máy tính 1.1.3 Giải pháp bảo mật thơng tin mạng máy tính 1.2 Nguy an tồn thơng tin kênh truyền 11 1.3 Giải pháp bảo mật thông tin kênh truyền 13 1.3.1 Giấu tin 13 1.3.2 Bộ giao thức SSL/TLS 14 1.3.3 Bộ giao thức IPSec 17 KẾT LUẬN CHƯƠNG 21 CHƯƠNG 2: NGHIÊN CỨU GIAO THỨC WIREGUARD 22 2.1 Tổng quan giao thức WireGuard 22 2.1.1 Giới thiệu giao thức WireGuard 22 2.1.2 Ưu điểm nhược điểm WireGuard 22 2.2 Thành phần giao thức WireGuard 23 2.2.1 Các thuật toán mật mã 23 2.2.2 Giao thức bắt tay Noise IKpsk2 23 2.2.3 Bảo mật liệu truyền tải 28 2.2.4 Quản lý khóa phiên WireGuard 29 2.3 Hoạt động giao thức WireGuard 30 2.3.1 Bắt tay 30 2.3.2 Mã hóa luồng liệu (Transport Data) 33 2.3.3 Cookie Reply message 33 2.4 Đánh giá độ an toàn WireGuard 34 2.5 Giao thức WireGuard so với giao thức bảo mật phổ biến khác 35 2.5.1 WireGuard PPTP(Point-to-Point Tunneling Protocol) 35 2.5.2 WireGuard IPSec (Internet Protocol Security) 35 ii 2.5.3 WireGuard SSTP (Secure Socket Tunneling Protocol) 36 2.5.4 WireGuard với OpenVPN 37 KẾT LUẬN CHƯƠNG 38 CHƯƠNG 3: TRIỂN KHAI VÀ ĐÁNH GIÁ HIỆU QUẢ CỦA WIREGUARD 39 3.1 Triển khai giao thức WireGuard 39 3.1.1 Mơ hình triển khai 39 3.1.2 Các bước triển khai 40 3.1.3 Phân tích q trình bắt tay 47 3.2 Đánh giá hiệu WireGuard 49 3.2.1 Kết công bố 49 3.2.2 Triển khai thử nghiệm tốc độ truyền liệu WireGuard Open VPN50 3.2.3 So sánh tốc độ truyền liệu WireGuard OpenVPN 54 KẾT LUẬN CHƯƠNG 55 KẾT LUẬN 56 TÀI LIỆU THAM KHẢO 57 iii DANH MỤC CÁC TỪ VIẾT TẮT TLS SSL IPSec MAC CGI IKE SA AH ESP UDP AEAD ECDH HMAC DH PPTP SSTP TCP HTTPS PSK VPN ISP Transport Layer Security Secure Sockets Layer Internet Protocol Security Message Authentication Code Common Gateway Interface Internet Key Exchange Security Association Authentication Header Encapsulation Security Payload User Datagram Protocol Authenticated Encryption with Associated Data Elliptic Curve Diffie - Hellman Keyed-Hash Message Authentication Code Diffie - Hellman Point-to-Point Tunneling Protocol Secure Socket Tunneling Protocol Transmission Control Protocol Hypertext Transfer Protocol Secure Pre-Shared Key Virtual Private Network Internet Service Provider iv DANH MỤC HÌNH VẼ Hình 2.1: Các thơng báo giao thức IKPSK2 WireGuard 24 Hình 2.2: Các tính tốn thực tính tốn thơng báo giao thức 26 Hình 2.3: Quá trình trao đổi thông báo bắt tay 30 Hình 2.4: Định dạng thơng báo Handshake initiation 31 Hình 2.5: Định dạng thơng báo Handshake Response 32 Hình 2.6: Định dạng Data Message 33 Hình 2.7: Định dạng Cookies reply messages 33 Hình 3.1: Mơ hình triển khai giao thức WireGuard 39 Hình 3.2: Cặp khóa máy VPN-Gateway-Left 41 Hình 3.3: Cặp khóa máy VPN-Gateway-Right 42 Hình 3.4: Cấu hình file Wg0.conf VPN-Gateway-Left 43 Hình 3.5: Cấu hình file wg0.conf VPN-Gateway-Left 43 Hình 3.6: Interface wg0 VPN-Gateway-Left 44 Hình 3.7: Interface wg0 VPN-Gateway-Right 44 Hình 3.8: Địa IP PC1 45 Hình 3.9: Địa cho IP PC2 45 Hình 3.10: Kết ping từ máy PC2 sang máy PC1 46 Hình 3.11: Kết bắt gói tin Wireshark 46 Hình 3.12: Trạng thái wireguard máy server VPN-Gateway-Left 47 Hình 3.13: Trạng thái wireguard máy server VPN-Gateway-Right 47 Hình 3.14: Thành phần bên gói Handshake Initiation 48 Hình 3.15: Thành phần bên gói Handshake Response 48 Hình 3.16: Gói Transport messsage sau kết thúc bắt tay 49 Hình 3.17: Tốc độ truyền liệu 49 Hình 3.18: Tốc độ phải hồi 50 Hình 3.19: Mơ hình triển khai OpenVPN 52 Hình 3.20: Kết ping từ PC1 sang PC2 53 Hình 3.21: Kết bắt gói tin Wireshark 53 Hình 3.22: Tốc độ truyền liệu sử dụng wireguard 54 Hình 3.23: Tốc độ truyền liệu sử dụng OpenVPN 54 v LỜI NĨI ĐẦU Ngày mạng máy tính sử dụng hầu hết lĩnh vực mang lại cho người lợi ích lớn Tuy nhiên với lợi ích mà mạng máy tính mang lại, nguy an toàn mạng máy tính mang đến hậu to lớn Trong số nguy an toàn mạng máy tính nguy an tồn thơng tin kênh truyền vấn đề quan trọng hầu hết mạng máy tính phải truyền thông với qua số nút mạng khơng an tồn Nhiều giải pháp đưa để đảm bảo cho thơng tin an tồn truyền qua nút mạng khơng an tồn Có thể kể đến số giải pháp sử dụng phổ biến để bảo vệ thông tin kênh truyền như: OpenVPN, IPsec,… Tuy nhiên phát triển giải pháp bảo mật để bảo mật thông tin kênh truyền hướng quan tâm cần thiết Gần đây, WireGuard giải pháp phát triển đánh giá kế thừa tốt ưu điểm hạn chế số nhược điểm của giải pháp có Nội dung đề tài nghiên cứu chia chương: CHƯƠNG 1: TỔNG QUAN VỀ AN TỒN THƠNG TIN VÀ VẤN ĐỀ BẢO ĐẢM AN TỒN THƠNG TIN TRÊN KÊNH TRUYỀN Chương đồ án trình bày tổng quan an tồn thơng tin mạng máy tính, nguy an tồn thơng tin kênh truyền giải pháp bảo mật thông tin kênh truyền CHƯƠNG 2: NGHIÊN CỨU GIAO THỨC WIREGUARD Chương đồ án trình bày tổng quan WireGuard, thành phần, hoạt động WireGuard đánh giá độ an toàn WireGuard, so sánh WireGuard với số giao thức bảo mật khác CHƯƠNG 3: TRIỂN KHAI VÀ ĐÁNH GIÁ HIỆU QUẢ CỦA WIREGUARD Chương đồ án trình bày triển khai giao thức bảo mật WireGuard đánh giá hiệu WireGuard vi CHƯƠNG 1: TỔNG QUAN VỀ AN TỒN THƠNG TIN VÀ VẤN ĐỀ BẢO ĐẢM AN TỒN THÔNG TIN TRÊN KÊNH TRUYỀN 1.1 Tổng quan an tồn thơng tin mạng máy tính 1.1.1 Một số khái niệm Phần đồ án trình bày số khái niệm thường sử dụng lĩnh vực an tồn, bảo mật thơng tin mạng máy tính  Theo Luật An tồn thơng tin mạng, số khái niệm mô tả sau:  Mạng mơi trường thơng tin cung cấp, truyền đưa, thu thập, xử lý, lưu trữ trao đổi thông qua mạng viễn thông mạng máy tính  An tồn thơng tin mạng bảo vệ thông tin, hệ thống thông tin mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật tính khả dụng thông tin  Hệ thống thông tin tập hợp phần cứng, phần mềm sở liệu thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ trao đổi thơng tin mạng  Xâm phạm an tồn thông tin mạng hành vi truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, phá hoại trái phép thông tin, hệ thống thông tin  Sự cố an tồn thơng tin mạng việc thơng tin, hệ thống thông tin bị gây nguy hại, ảnh hưởng tới tính nguyên vẹn, tính bảo mật tính khả dụng  Rủi ro an tồn thơng tin mạng nhân tố chủ quan khách quan có khả ảnh hưởng tới trạng thái an tồn thơng tin mạng  Theo Luật An ninh mạng, số khái niệm mô tả sau:  Không gian mạng mạng lưới kết nối sở hạ tầng công nghệ thông tin, bao gồm mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thơng tin, hệ thống xử lý điều khiển thông tin, sở liệu; nơi người thực hành vi xã hội không bị giới hạn không gian thời gian  An ninh mạng bảo đảm hoạt động không gian mạng không gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội, quyền lợi ích hợp pháp quan, tổ chức, cá nhân  Bảo vệ an ninh mạng phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi xâm phạm an ninh mạng  Tội phạm mạng hành vi sử dụng không gian mạng, công nghệ thông tin phương tiện điện tử để thực tội phạm quy định Bộ luật Hình  Tấn công mạng hành vi sử dụng không gian mạng, công nghệ thông tin phương tiện điện tử để phá hoại, gây gián đoạn hoạt động mạng viễn thơng, mạng Internet, mạng máy tính, hệ thống thông tin, hệ thống xử lý điều khiển thông tin, sở liệu, phương tiện điện tử  Khủng bố mạng việc sử dụng không gian mạng, công nghệ thông tin phương tiện điện tử để thực hành vi khủng bố, tài trợ khủng bố  Gián điệp mạng hành vi cố ý vượt qua cảnh báo, mã truy cập, mật mã, tường lửa, sử dụng quyền quản trị người khác phương thức khác để chiếm đoạt, thu thập trái phép thông tin, tài nguyên thông tin mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thơng tin, hệ thống xử lý điều khiển thông tin, sở liệu, phương tiện điện tử quan, tổ chức, cá nhân  Nguy đe dọa an ninh mạng tình trạng khơng gian mạng xuất dấu hiệu đe dọa xâm phạm an ninh quốc gia, gây tổn hại nghiêm trọng trật tự, an toàn xã hội, quyền lợi ích hợp pháp quan, tổ chức, cá nhân  Sự cố an ninh mạng việc bất ngờ xảy không gian mạng xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền lợi ích hợp pháp quan, tổ chức, cá nhân 1.1.2 Nguy an tồn thơng tin mạng máy tính Trong mạng máy tính, người dùng sử dụng phần mềm thiết bị đầu cuối máy tính, smartphone,… kết nối với qua thiết bị mạng switch, router, modem, nhằm mục tiêu chia sẻ, trao đổi thông tin Khi xem xét nguy an tồn thơng tin mạng máy tính, xem xét theo khía cạnh sau: a) Nguồn phát sinh nguy an toàn  Nguy an toàn từ phần cứng Mạng máy tính gồm thiết bị phần cứng như: máy tính, dây truyền tín hiệu, thu/phát tín hiệu, thiết bị mạng, Nếu thiết bị phần cứng hoạt động không ổn định ảnh hưởng đến hoạt động mạng Một ví dụ minh họa tình trạng hoạt động mạng bị ảnh hưởng phần cứng mạng việt nam số vụ việc đường truyền cáp quang từ Việt Nam quốc tế bị đứt, truy cập từ Việt Nam quốc tế ngược lại bị ảnh hưởng rõ ràng Hầu hết nguy an toàn thiết bị phần cứng mạng thường ảnh hưởng đến tính sẵn sàng mạng, nhiên có số báo cáo việc phần cứng chế tạo với số thành phần không công bố bị lỗi thiết kế dẫn đến khả bị công gây ảnh hưởng đến tính bí mật thơng tin  Nguy an toàn phần mềm  Lỗi trình phát triển phần mềm Trong mạng máy tính sử dụng phần mềm để xử lý thông tin Phần mềm chia làm hai loại phần mềm hệ thống phần mềm ứng dụng Các phần mềm phát triển tiềm ẩn thân nguy an tồn tiềm ẩn Sau vài lỗi/nguy an toàn q trình phát triển phần mềm Thơng thường nguy an toàn phần mềm lỗi lập trình gây chia thành hai nhóm: Nhóm chứa lỗi chung lỗi ngữ cảnh gây  Nguy an tồn cấu hình yếu Trong số trường hợp, người thiết kế ứng dụng người sử dụng dịch vụ mạng phải cân nhắc lựa chọn an toàn hiệu Trường hợp dễ thấy giả sử ứng dụng mã hóa thơng tin thuật tốn sử dụng thuật tốn RSA Rõ ràng sử dụng khóa có độ dài lớn độ an tồn đảm bảo, nhiên tốc độ mã hóa-giải mã tỷ lệ nghịch với độ an tồn Do số người dùng cấu hình chương trình để chạy với khóa có độ dài ngắn để tăng tốc độ Một ví dụ khác dịch vụ web, số quản trị viên khơng cấu hình web server chạy https để giảm độ phức tạp, nhiên điều đồng nghĩa với việc liệu truyền nhận Webserver Webclient truyền dạng rõ  Nguy an toàn người sử dụng Trong an tồn hệ thống nói chung an toàn ứng dụng dịch vụ mạng nói riêng người sử dụng ln coi điểm yếu cần quan tâm Trong loại hình cơng mạng phổ biến cơng kênh kề loại hình cơng khó chống, hình thức cơng người dùng thơng qua hình thức giả mạo, lừa gạt để người dùng để lộ thông tin nhạy cảm ưa chuộng đạt tỷ lệ thành công cao người dùng chưa có ý thức tự bảo vệ trình độ tương đối hạn chế Theo khảo sát gần Kaspersky Lab – công ty cung cấp phần mềm chống virus cho thấy, có tới 30% người sử dụng máy tính thừa nhận thường xuyên truy cập vào điểm phát Wifi công cộng để lướt web có 14% mua sắm trực tuyến mà khơng có biện pháp đặc biệt để bảo vệ Tình trạng khiến người dùng dễ trở thành mục tiêu công tội phạm mạng thông qua việc đánh cắp thơng tin người dùng Khi đó, tội phạm mạng đóng vai trị máy trung gian cho việc trao đổi thông tin hai thiết bị Từ đây, q trình trao đổi thơng tin gửi qua tin tặc, sau đến máy đích Qua phương thức này, tin tặc không đánh cắp liệu từ người dùng mà can thiệp luồng liệu để kiểm soát sâu nạn nhân chúng Một trường hợp khác mạng Wifi người dùng kết nối giả mạo, không thuộc quán cà phê, nhà hàng, khách sạn Nếu chẳng may gặp hình thức cơng này, tin tặc dễ dàng chụp liệu bí mật mà ta gõ, tiếp cận với có thiết bị chúng ta, cài đặt mã độc thiết bị chí sử dụng thiết bị để phân phối tin nhắn rác cho họ [1] b) Một số công gây an tồn thơng tin  Tấn cơng sử dụng phần mềm độc hại  Virus: Virus phần mềm thiết kế để lây lan từ máy tính sang máy tính khác Chúng thường dược gửi dạng tệp đính kèm email tải xuống trang web cụ thể với mục đích lây nhiễm máy tính người dùng máy tính khác danh sách liên hệ cách sử dụng hệ thống mạng họ Virus thường biết với thư giác , vơ hiệu hóa cài đặt bảo mật người dùng, làm hỏng đánh cắp liệu từ máy tính người dùng bao gồm thơng tin cá nhân mật khẩu, chí xóa thứ ổ cứng họ Một số loại virus thường gặp:  Lưu lại thay đở i và kích hoạt Wireguard service firewall: firewall-cmd permanent add-service=wireguard  Sau đó, kić h hoa ̣t chế đô ̣ Masquerading để các lưu lươṇ g ma ̣ng từ bên có thể ma ̣ng với địa chỉ IP Public Server: firewall-cmd permanent add-masquerade  Cuối cùng là reload la ̣i firewalld: sudo firewall-cmd reload  Kiểm tra Firewalld: firewall-cmd zone=public list-all  Kiểm tra Ifconfig xem file cấu hình chạy interface wg0 chưa:  Trên máy VPN-Gateway-Left Hình 3.6: Interface wg0 VPN-Gateway-Left  Trên máy VPN-Gateway-Right Hình 3.7: Interface wg0 VPN-Gateway-Right 44 Cài đặt máy PC Trên máy PC cần đặt ip theo mơ hình Hình 3.8: Địa IP PC1 Hình 3.9: Địa cho IP PC2 45 Kết  Thực ping đến địa máy PC1 từ máy PC2 để kiểm tra kết nối, kết kết nối thành cơng Hình 3.10: Kết ping từ máy PC2 sang máy PC1  Sử dụng phần mềm Wireshark để bắt gói tin kiểm tra xem gói tin ping hai máy PC có mã hóa sử dụng giao thức WireGuard hay khơng Hình 3.11: Kết bắt gói tin Wireshark 46 Kết thành cơng, gói tin mã hóa sử dụng giao thức wireguard  Kiểm tra trạng thái wireguard máy server thấy:  Trên máy server VPN-Gateway-Left Hình 3.12: Trạng thái wireguard máy server VPN-Gateway-Left  Trên máy server VPN-Gateway-Right Hình 3.13: Trạng thái wireguard máy server VPN-Gateway-Right Như đường hầm wireguard hoạt động thành cơng , hiển thị Latest handshake kích thước liệu truyền 3.1.3 Phân tích q trình bắt tay  Đầu tiên người khởi tạo ( VPN-Gateway-Right) gửi Handshake Initiation: Bao gồm thành phần: 47 Hình 3.14: Thành phần bên gói Handshake Initiation Như thơng tin gói tin bắt được, khóa cơng khai tĩnh, timestamp mã hóa  Sau nhận thông báo Handshake Initiation, người phản hồi (VPN-GatewayLeft) gửi Handshake Response: Gói tin bao gồm thành phần: Hình 3.15: Thành phần bên gói Handshake Response Như thơng tin gói tin bắt được, trường Empty mã hóa  Sau trao đổi thơng báo bắt tay xong, người khởi tạo ( VPN-Gateway-Right) gửi Transport Data để xác nhận hoàn tất q trình bắt tay tới người phản hồi (VPN-Gateway-Left): Thơng báo có nội dung sau: 48 Hình 3.16: Gói Transport messsage sau kết thúc bắt tay Về lý thuyết, kể từ gói tin thứ ba VPN-Gateway-Left VPN-Gateway-Right bắt đầu truyền liệu (đã mã hóa) Tuy nhiên trình bày phần trên, gói transport WireGuard dùng để VPN-Gateway-Left xác nhận với VPN-Gateway-Right hồn tất q trình bắt tay 3.2 Đánh giá hiệu WireGuard 3.2.1 Kết công bố Theo nghiên cứu tài liệu [7]: WireGuard đánh giá với IPsec hai chế độ OpenVPN, sử dụng iperf3 để đo kết trung bình ba mươi phút, kết sau: Hình 3.17: Tốc độ truyền liệu 49 Hình 3.18: Tốc độ phải hồi Theo kết này, hai số, WireGuard vượt trội OpenVPN hai chế độ IPsec CPU sử dụng 100% kiểm tra thông lượng OpenVPN IPsec, khơng sử dụng hồn tồn cho kiểm tra WireGuard (WireGuard sử dụng tài nguyên CPU hơn) Mặc dù mật mã AES-GCM IPsec tăng tốc AES-NI hoạt động tốt mã hóa ChaCha20Poly1305 IPsec tăng tốc AVX2, chip tương lai tăng chiều rộng lệnh vectơ chẳng hạn AVX512 dự kiến theo thời gian ChaCha20Poly1305 hoạt động tốt AES-NI ChaCha20Poly1305 đặc biệt phù hợp để triển khai phần mềm, không bị công kênh kề, với hiệu cao, trái ngược với AES, tảng nhúng khơng có hướng dẫn AES chuyên dụng, ChaCha20Poly1305 hoạt động hiệu Hơn nữa, WireGuard vượt trội hai mật mã IPsec, đơn giản việc triển khai chi phí Giữa OpenVPN WireGuard có khoảng cách lớn, thời gian ping thơng lượng, OpenVPN ứng dụng khơng gian người dùng, có nghĩa có thêm độ trễ chi phí lập lịch chép gói khơng gian người dùng không gian nhân số lần 3.2.2 Triển khai thử nghiệm tốc độ truyền liệu WireGuard Open VPN Kịch thử nghiệm Để đánh giá hiệu thực tế triển khai sử dụng giao thức WireGuard so với số giao thức khác, đồ án em tiến hành triển khai thử nghiệm theo 50 kịch sau:  Triển khai mơ hình VPN site-to-site sử dụng WireGuard (sử dụng giao thức WireGuard)  Trên máy đầu cuối, triển khai phần mềm jperf để đo băng thông truyền giữ liệu đầu cuối, ghi nhận kết  Cũng hệ thống thiết bị dùng để triển khai WireGuard, tiến hành gỡ bỏ WireGuard triển khai OpenVPN (sử dụng giao thức OpenVPN) theo mô hình siteto-site  Trên máy đầu cuối, triển khai phần mềm jperf để đo băng thông truyền giữ liệu đầu cuối, ghi nhận kết  So sánh kết đo sử dụng WireGuard sử dụng OpenVPN Triển khai thử nghiệm a) Triển khai mơ hình VPN site-to-site sử dụng WireGuard Đối với nội dung này, sử dụng hệ thống WireGuard triển khai mục 3.1.2 Trên máy PC1 PC2 cài chương trình jperf để đo băng thơng b) Trên máy đầu cuối, triển khai phần mềm jperf để đo băng thông truyền giữ liệu, ghi nhận kết Kết đo tốc độ truyền liệu sử dụng WireGuard thực nhiều lần lưu lại kết vào file Các file dùng để làm sở cho việc đánh giá tốc độ WireGuard mục 3.2.3 tài liệu c) Triển khai mơ hình VPN site-to-site sử dụng OpenVPN Triển khai sử dụng OpenVPN(các máy PC1, PC2, VPN-Gateway-Left, VPNGateway-Right mơ hình sử dụng địa ip cấu hình với máy PC1, PC2, VPN-Gateway-Left, VPN-Gateway-Right mơ hình triển khai wireguard)  Mơ hình mạng: 51 Site A Net-3 Net-2 Net-1 10.10.10.5/24 PrivateIP VPNGateway Left IP: 192.168.10.1/24 10.10.10.6/24 Site B PrivateIP VPNGateway Right IP: 172.16.10.1/24 Switch IP: 192.168.10.5/24 GW: 192.168.10.1 PC1 VMNET3 VPN-Gateway-Left IP: 172.16.10.4/24 GW: 172.16.10.1 VPN-Gateway-Right (openvpn) (openvpn) Switch Switch VMNET2 VMNET4 WiresharkPC PC2 IP: 10.10.10.7/24 Hình 3.19: Mơ hình triển khai OpenVPN  Các bước triển khai: Các bước chi tiết q trình triển khai openvpn khơng phải mục tiêu đồ án, phần em trình bày tóm tắt số bước để triển khai openvpn theo mơ hình site-to-site sau:  Bước 1: Tắt SELinux (hoặc cấu hình SELinux cho phép openvpn)  Bước 2: Bật chuyển tiếp IP  Bước 3: Cài đặt phần mềm OpenVPN VPN-Gateway-Left VPN-GatewayRight  Bước 4: Cài đặt easy-rsa để tự khởi tạo CA, sinh chứng thư số, file tham số dh  Bước 5: Khởi tạo CA  Bước 6: Sinh tệp chứng thư tự ký cho máy VPN-Gateway-Left  Bước 7: Sinh tệp chứng thư tự ký cho máy VPN-Gateway-Right  Bước 8: Cấu hình máy VPN-Gateway-Left  Bước 9: Cấu hình máy VPN-Gateway-Right  Bước 10: Khởi động dịch vụ OpenVPN  Kiểm tra kết triển khai OpenVPN  Ping từ PC1 qua PC2: 52 Hình 3.20: Kết ping từ PC1 sang PC2  Sử dụng phần mềm Wireshark để bắt gói tin, kết đường hầm hoạt động thành công Hình 3.21: Kết bắt gói tin Wireshark Trên máy đầu cuối, triển khai phần mềm jperf để đo băng thông truyền giữ liệu, ghi nhận kết Tương tự thao tác đo băng thông triển khai mơ hình site-to-site sử dụng WireGuard, sau triển khai site-to-site sử dụng OpenVPN tiến hành sử dụng phần mềm jperf để đo tốc độ truyền liệu đầu cuối, thao tác đo tiến hành nhiều lần lưu lại vào file 53 3.2.3 So sánh tốc độ truyền liệu WireGuard OpenVPN Sau thu file đo tốc độ truyền liệu đầu cuối mơ hình site-to-site sử dụng WireGuard mơ hình site-to-site sử dụng OpenVPN, ta tiến hành phân tích đánh giá thu kết sau:  Khi sử dụng WireGuard: Hình 3.22: Tốc độ truyền liệu sử dụng wireguard  Khi sử dụng OpenVPN: Hình 3.23: Tốc độ truyền liệu sử dụng OpenVPN Tốc độ truyền liệu trung bình sử dụng WireGuard 7.71 Mbyte/s nhanh tốc độ truyền liệu trung bình OpenVPN 5.20 Mbyte/s 54 KẾT LUẬN CHƯƠNG Trong chương này, đồ án thực triển khai giao thức WireGuard thực đánh giá hiệu WireGuard thông qua việc tiến hành triển khai thử nghiệm đo phân tích tốc độ truyền liệu WireGuard với OpenVPN cho kết WireGuard nhanh OpenVPN 55 KẾT LUẬN Về mặt lý thuyết, đồ án trình bày nội dung sau:  Tổng quan an tồn thơng tin vấn đề bảo mật thơng tin kênh truyền  Tổng quan giao thức WireGuard, nghiên cứu thành phần, hoạt động giao thức WireGuard, đánh giá độ an toàn WireGuard so sánh WireGuard với số giao thức bảo mật khác  Về mặt thực nghiệm, đồ án thu kết sau:  Triển khai giao thức WireGuard để bảo mật thông tin kênh truyền  Đánh giá hiệu WireGuard thông qua việc triển khai thử nghiệm tốc độ truyền liệu WireGuard so sánh với giao thức bảo mật khác (cụ thể đồ án sử dụng giao thức OpenVPN)  Hướng phát triển Từ kết ban đầu đồ án nhận thấy WireGuard có nhiều ưu điểm Do hướng phát triển đồ án triển khai ứng dụng WireGuard thiết bị bảo mật chuyên dụng để bảo mật cho mạng máy tính quan, đơn vị dân sự, … 56 TÀI LIỆU THAM KHẢO [4].Đặng Thị Huê, Nghiên cứu sử dụng công nghệ bảo mật SSL/TSL, khóa luận tốt nghiệp, Hà Nội, 2005 [5] Jacob Appelbaum, Janson A Donenfeld, Analysis of the WireGuard protocol, Eindhoven University of Technology, 2019 [6] Benjamin Lipp, Bruno Blanchet, Karthikeyan Bhargavan, A Mechanised Cryptographic Proof of the WireGuardVirtual Private Network Protocol, 2019 IEEE European Symposium on Security and Privacy (EuroS&P), 2019 [7] Jason A Donenfeld, WireGuard: Next Generation Kernel Network Tunnel, www.wireguard.com, 2020 [8] Andrew He, Baula Xu, Jerry Wu, Security Analysis of WireGuard, MIT 6.857 Final Project, 2018 [9] KDDI Research, Inc, Security Analysis of ChaCha20-Poly1305 AEAD, 2/2007 [10] Gordon Procter, A Security Analysis of the Composition of ChaCha20 and Poly1305, Information Security Group, Royal Holloway, University of London, London, UK, 2014 [11] Moti Yung, Yevgeniy Dodis, Aggelos Kiayias, Tal Malkin, Public Key Cryptography –PKC 2006, 9th International Conference on Theory and Practice of Public-Key Cryptography New York, NY, USA, April 24-26, papes 211-232, 2026 [12] A Langley, M Hamburg, S Turner, RFC 7748- Elliptic Curves for Security, Internet Research Task Force, 1/2016 [13] Hugo Krawczyk, Cryptographic Extraction and Key Derivation:The HKDF Scheme, Watson Research Center, Hawthorne, New York Email: hugo@ee.technion.ac.il, papes15-18, 2010 [14] Jean-Philippe Aumasson , Daniel J Bernstein, SipHash: a fast short-input PRF, University of Illinois at Chicago, 2012 [15] M-J Saarinen, J-P Aumasson, RFC 7693-The BLAKE2 Cryptographic Hash and Message Authentication Code (MAC), 11/2015 57 [16] Jian Guo, Pierre Karpman, Ivica Nikoli, Lei Wang1, Shuang Wu, Analysis of BLAKE2, Nanyang Technological University, Singapore, 2014 [17] https://www.wireguard.com [18] https://www.cactusvpn.com/beginners-guide-tovpn/whatiswireguard/#comparison [19] https://lib.hpu.edu.vn/ 58

Ngày đăng: 27/05/2023, 14:37

Xem thêm:

Tài liệu cùng người dùng

Tài liệu liên quan