TRƯƠNG ĐỨC LUÂN – LÊ THỊ THANH HOA TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN KHOA CÔNG NGHỆ THÔNG TIN _ ĐỒ ÁN ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC KHOA HỌC MÁYHỌC TÍNH TỐT NGÀNH: NGHIỆP ĐẠI NGÀNH: KHOA HỌC MÁY TÍNH MẠNG RIÊNG ẢO MẠNG RIÊNG ẢO (VIRTUAL PRIVATE NETWORK) (VIRTUAL PRIVATE NETWORK) MẠNG RIÊNG ẢO Nhóm sinh viên thực hiện: TRƯƠNG ĐỨC LUÂN Sinh viên thực hiện: TRƯƠNG ĐỨC LUÂN LÊ THỊ THANH HOA LÊ THỊ THANH HOA Giảng viên hướng dẫn: KS NGUYỄN TRUNG Lớp LT CĐ ĐHPHÚ KHMT K1 Cán phản biện: Giảng viên hướng dẫn: KS NGUYỄN TRUNG PHÚ Lớp: LT CĐ ĐH KHMT1 K1 Hà Nội, 04/2009 Hà Nội, 04/2009 .Tài liệu Há»— trợ ôn tập com Luận văn Luận án NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN Tài liệu Há»— trợ ôn tập com Luận văn Luận án Tài liệu Há»— trợ ôn tập com Luận văn Luận án LỜI NÓI ĐẦU Cùng với phát triển công nghệ thông tin, cơng nghệ mạng máy tính đặc biệt mạng Internet ngày phát triển đa dạng phong phú Các dịch vụ mạng Internet xâm nhập vào hầu hết lĩnh vực đời sống xã hội Các thông tin trao đổi Internet đa dạng nội dung hình thức, có nhiều thơng tin cần bảo mật cao tính kinh tế, tính xác tin cậy Bên cạnh đó, dịch vụ mạng ngày có giá trị, u cầu phải đảm bảo tính ổn định an tồn cao Tuy nhiên, hình thức phá hoại mạng trở nên tinh vi phức tạp hơn, hệ thống, nhiệm vụ bảo mật đặt cho người quản trị quan trọng cần thiết Xuất phát từ thực tế nêu trên, giới xuất nhiều công nghệ liên quan đến bảo mật hệ thống mạng máy tính, việc nắm bắt công nghệ cần thiết Chính vậy, thơng qua việc nghiên cứu cách tổng quan bảo mật hệ thống công nghệ cụ thể liên quan đến bảo mật hệ thống, cơng nghệ Mạng Riêng Ảo (VPN-Virtual Private Network) khố luận chúng tơi góp phần vào việc hiểu thêm nắm bắt rõ kỹ thuật VPN doanh nghiệp nhà trường để phục vụ cho lĩnh vực học tập nghiên cứu Trong q trình xây dựng khóa luận này, nhận nhiều giúp đỡ, góp ý, ủng hộ thầy giáo, bạn bè đồng nghiệp Chúng xin chân thành cảm ơn hướng dẫn nhiệt tình thầy Nguyễn Trung Phú, thầy giáo trực tiếp hướng dẫn khóa luận tốt nghiệp chúng tôi, cảm ơn thấy cô giáo trong khoa Công Nghệ Thông Tin tạo điều kiện giúp đỡ chúng tơi hồn thành khóa luận tốt nghiệp Bảo mật hệ thống kỹ thuật VPN vấn đề rộng Việt Nam, đồng thời kinh nghiệm kỹ thuật hạn chế, nội dung tài liệu chắn cịn nhiều sai sót, hy vọng thầy bạn sinh viên đóng góp nhiều ý kiến bổ sung hồn thiện để tài liệu xác hữu ích .Tài liệu Há»— trợ ôn tập com Luận văn Luận án Trang .Tài liệu Há»— trợ ôn tập com Luận văn Luận án TÓM TẮT ĐỒ ÁN Tiếng Việt Mạng riêng ảo VPN(Virtual Private Network) mạng riêng rẽ sử dụng mạng chung (thường Internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dụng đường Leased Line, VPN sử dụng kết nối ảo dẫn qua đường Internet từ mạng riêng công ty tới site nhân viên từ xa Một ứng dụng điển hình VPN cung cấp kênh an toàn từ đầu mạng giúp cho văn phòng chi nhánh / văn phòng xa người làm việc từ xa dùng Internet truy cập tài ngun cơng ty cách bảo mật thoải mái sử dụng máy tính cục mạng cơng ty Những thiết bị đầu mạng hỗ trợ cho mạng riêng ảo switch, router firewall Những thiết bị quản trị cơng ty nhà cung cấp dịch vụ ISP Ưu điểm Bảo mật: VPN mã hóa tất liệu đường hầm Tiết kiệm chi phí: Sự xuất VPN làm cho quay số đường dài tốn hay đường dây th bao khơng cịn cần thiết tổ chức sử dụng VPN “đóng gói” liệu cách an tồn qua mạng Internet Những tổ chức có văn phịng chi nhánh hay người làm việc từ xa truy cập liệu văn phịng cơng ty từ địa điểm giới mà tốn nhiều cách kết nối vào mạng Internet thông qua nhà cung cấp dịch vụ địa phương English: VPN (Virtual Private Network) is a private Network using public Network( Internet) in order to connect to other site together ( individual Network) or many people remote access VPN will replace expert actual connecting such as: Leased Line, each VPN will use virtual connecting over In ternet from company Network to employee site One Application of VPN is that provide a safety channel in the beginning of Network to help the child office or remote office or remote people can use Internet access to company properties properly way and comfortable that is the same using computer as inside company VPN require some equipments such as: Firewall, Switch, Router This equipments are controlled by company or ISP .Tài liệu Há»— trợ ôn tập com Luận văn Luận án Trang .Tài liệu Há»— trợ ôn tập com Luận văn Luận án Advandtage: Encryptation: VPN encrypt all data on VPN tunnel Cost down: VPN appear is mean that replace on Leased Line and Dial up they are expensive when VPN appear many company don’t need Leased Line and Dial up instead of they use packing VPN Data is safety in the Internet, the company have remote office or remote people can access Company’s data in everywhere which don’t need to use the local sevices .Tài liệu Há»— trợ ôn tập com Luận văn Luận án Trang .Tài liệu Há»— trợ ôn tập com Luận văn Luận án MỤC LỤC LỜI NÓI ĐẦU TÓM TẮT ĐỒ ÁN MỤC LỤC CÁC CỤM TỪ VIẾT TẮT CHƯƠNG I: TỔNG QUAN VỀ VPN 1.1 Định nghĩa, chức năng, ưu điểm VPN 1.1.1 Khái niệm VPN 1.1.2 Chức VPN 1.1.3 Ưu điểm 1.1.4 Các yêu cầu giải pháp VPN 1.2 Đường hầm mã hóa CHƯƠNG II: CÁC KIỂU VPN 2.1 Các VPN truy cập (Remote Access VPNs) 2.2 Các VPN nội (Intranet VPNs): 2.3 Các VPN mở rộng (Extranet VPNs): 10 CHƯƠNG III: GIAO THỨC ĐƯỜNG HẦM VPN 13 3.1 Giới thiệu giao thức đường hầm 13 3.2 Giao thức đường hầm điểm tới điểm (PPTP) 13 3.2.1 Nguyên tắc hoạt động PPTP 14 3.2.2 Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP 15 3.2.3 Nguyên lý đóng gói liệu đường hầm PPTP 15 3.2.4 Nguyên tắc thực gói tin liệu đầu cuối đường hầm PPTP17 3.2.5 Triển khai VPN dự PPTP 18 3.2.6 Một số ưu nhược điểm khả ứng dụng PPTP 19 3.3 Giao thức chuyển tiếp lớp (L2F) 20 3.3.1 Nguyên tắc hoạt động L2F 20 3.3.2 Những ưu điểm nhược điểm L2F 21 3.4 Giao thức đường hầm lớp L2TP ( Layer Tunneling Protocol) 21 3.4.1 Giới thiệu 21 3.4.2 Các thành phần L2TP 22 3.4.3 Qui trình xử lý L2TP 23 3.4.4 Dữ liệu đường hầm L2TP 24 Tài liệu Há»— trợ ôn tập com Luận văn Luận án Trang .Tài liệu Há»— trợ ôn tập com Luận văn Luận án 3.4.5 Chế độ đường hầm L2TP 26 3.4.6 Những thuận lợi bất lợi L2TP 29 3.5 GRE (Generic Routing Encapsulution) 30 3.6 Giao thức bảo mật IP (IP Security Protocol) 30 3.6.1 Giới thiệu 30 3.6.2 Liên kết an toàn 35 3.6.3 Giao thức xác thực tiêu đề AH 37 3.6.4 Giao thức đóng gói tải tin an tồn ESP 41 3.6.5 Giao thức trao đổi khóa 44 3.6.6 Những hạn chế IPSec 54 CHƯƠNG IV: THIẾT LẬP VPN 55 CHƯƠNG V: BẢO MẬT TRONG VPN 83 5.1 TỔNG QUAN VỀ AN NINH MẠNG 83 5.1.1 An tồn mạng gì? 83 5.1.2 Các đặc trưng kỹ thuật an toàn mạng 83 5.1.3 Các lỗ hổng điểm yếu mạng 85 5.2 MỘT SỐ PHƯƠNG THỨC TẤN CÔNG MẠNG PHỔ BIẾN 86 5.2.1 Scanner: 86 5.2.2 Bẻ khóa (Password Cracker) 86 5.2.3 Trojans 87 5.2.4 Sniffer: 87 5.3 Các mức bảo vệ an toàn mạng 88 5.4 Các kỹ thuật bảo mật VPN 89 5.4.1 Firewalls 89 5.4.2 Authentication (nhận thực) 95 5.4.3 Encryption ( mã hoá) 96 5.4.4 Đường hầm (Tunnel) 96 CHƯƠNG VI: KẾT LUẬN 97 BẢNG ĐỐI CHIẾU THUẬT NGỮ VIỆT - ANH 99 Tài liệu Há»— trợ ôn tập com Luận văn Luận án Trang .Tài liệu Há»— trợ ôn tập com Luận văn Luận án CÁC CỤM TỪ VIẾT TẮT ACL: Access Control List ATM: Asynchronous Transfer Mode ( Chế độ truyền không đồng bộ) AH: Authentication Header ESP: Encapsulation Security Payload GRE: Generic Routing Protocol ISP: Internet Service Provides (Nhà cung cấp dịch vụ Internet) IP: Internet Protocol ( Giao thức Internet) IPSec: IP Security IETF: Internet Engineering Task Force IPX: Internetwork Packet Exchange ICMP: Internet Control Message protocol IPMG: Internet Group Management Protocol ISAKMP: Internet Security Association and Key Management Protocol IKE: Internet Key Exchange TCP/IP: Transfer Control Protocol/Internet Protocol NAS: Network Access Server (Máy chủ truy cập mạng) LAC: L2TP Access Concentrator LNS: L2TP Network Server LAN: Local area network (Mạng cục bộ) L2TP: Layer Tunneling Protocol L2F: Layer Forwarding OC3: optical carrier-3 ( Đường truyền cap quang) OSI: Open Systems Interconnection (Mơ hình liên kết hệ thống mở) PPP: Point To Point Protocol ( Giao thức điểm nối điểm) PAP: Password Authentication Protocol (Giao thức xác thực mật mã) POP: Post Office Protocol (Giao thức bưu điện) PPTP: Point To Point Tunneling Protocol (Dịch vụ quay số ảo) PVC: Permanent Virtual Circuit (Mạch ảo cố định) QoS: Quanlity of Service (Chất lượng phục vụ) SA: Security Association SPD: Security Policy Database SPI: Security Parameter Index Tài liệu Há»— trợ ôn tập com Luận văn Luận án Trang .Tài liệu Há»— trợ ôn tập com Luận văn Luận án SAD: Security Association Database RAS: Remote Access Server UDP: User DataGram Protocol VPN: Virtual Private Network ( Mạng riêng ảo) WAN: Wide Are Network ( Mạng Wan) Tài liệu Há»— trợ ôn tập com Luận văn Luận án Trang 10 .Tài liệu Há»— trợ ôn tập com Luận văn Luận án CHƯƠNG I: TỔNG QUAN VỀ VPN 1.1 Định nghĩa, chức năng, ưu điểm VPN 1.1.1 Khái niệm VPN Phương án truyền thơng nhanh, an tồn tin cậy trở thành mối quan tâm nhiều doanh nghiệp, đặc biệt doanh nghiệp có địa điểm phân tán mặt địa lý Nếu trước giải pháp thông thường thuê đường truyền riêng (leased lines) để trì mạng WAN (Wide Are Network) Các đường truyền giới hạn từ ISDN (128 Kbps) đến đường cáp quang OC3 (optical carrier-3, 155Mbps) Mỗi mạng WAN có điểm thuận lợi mạng cơng cộng Internet độ tin cậy, hiệu tính an tồn, bảo mật Nhưng để bảo trì mạng WAN, đặc biệt sử dụng đường truyền riêng, trở nên đắt doanh nghiệp muốn mở rộng chi nhánh Khi tính phổ biến Internet gia tăng, doanh nghiệp đầu tư vào phương tiện quảng bá mở rộng mạng mà họ sở hữu Ban đầu, mạng nội (Intranet) mà site bảo mật mật thiết kế cho việc sử dụng thành viên cơng ty Hình 1.1 Mơ hình VPN Tài liệu Há»— trợ ôn tập com Luận văn Luận án Trang .Tài liệu Há»— trợ ôn tập com Luận văn Luận án Lỗ hổng loại A: Các lỗ hổng cho phép người sử dụng cho thể truy nhập vào hệ thống bất hợp pháp Lỗ hổng nguy hiểm, làm phá hủy toàn hệ thống Các phương thức cơng mạng: Kẻ phá hoại lợi dụng lỗ hổng để tạo lỗ hổng khác tạo thành chuỗi lỗ hổng Để xâm nhập vào hệ thống, kẻ phá hoại tìm lỗ hổng hệ thống, từ sách bảo mật, sử dụng cơng cụ dị xét (như SATAN, ISS) để đạt quyền truy nhập Sau xâm nhập, kẻ phá hoại tiếp tục tìm hiểu dịch vụ hệ thống, nắm bắt điểm yếu thực hành động phá hoại tinh vi 5.2 MỘT SỐ PHƯƠNG THỨC TẤN CÔNG MẠNG PHỔ BIẾN 5.2.1 Scanner: Kẻ phá hoại sử dụng chương trình Scanner tự động rà sốt phát điểm yếu lỗ hổng bảo mật server xa Scanner chương trình trạm làm việc cục trạm xa Các chương trình Scanner rà sốt phát số hiệu cổng (Port) sử dụng giao thức TCP/UDP tầng vận chuyển phát dịch vụ sử dụng hệ thống đó, ghi lại đáp ứng (Response) hệ thống xa tương ứng với dịch vụ mà phát Dựa vào thông tin này, kẻ cơng tìm điểm yếu hệ thống Các chương trình Scanner cung cấp thơng tin khả bảo mật yếu hệ thống mạng Những thông tin hữu ích cần thiết người quản trị mạng, nguy hiểm kẻ phá hoại có thơng tin 5.2.2 Bẻ khóa (Password Cracker) Chương trình bẻ khố Password chương trình có khả giải mã mật mã hố vơ hiệu hố chức bảo vệ mật hệ thống Hầu hết việc mã hoá mật tạo từ phương thức mã hố Các chương trình mã hố sử dụng thuật toán mã hoá để mã hoá mật Có thể thay phá khố hệ thống phân tán, đơn giản so với việc phá khoá Server cục Một danh sách từ tạo thực mã hoá từ Sau lần mã hoá, so sánh với mật (Password) mã hố cần phá Nếu khơng trùng hợp, trình lại quay lại Phương thức bẻ khố gọi Bruce-Force Phương pháp khơng chuẩn tắc thực nhanh dựa vào nguyên tắc đặt mật người sử dụng thường tuân theo số qui tắc để thuận tiện sử dụng .Tài liệu Há»— trợ ôn tập com Luận văn Luận án Trang 86 .Tài liệu Há»— trợ ôn tập com Luận văn Luận án Thông thường chương trình phá khố thường kết hợp số thơng tin khác q trình dị mật như: thơng tin tập tin /etc/passwd, từ điển sử dụng từ lặp từ liệt kê tuần tự, chuyển đổi cách phát âm từ Biện pháp khắc phục cần xây dựng sách bảo vệ mật đắn 5.2.3 Trojans Một chương trình Trojans chạy không hợp lệ hệ thống với vai trị chương trình hợp pháp Nó thực chức khơng hợp pháp Thơng thường, Trojans chạy chương trình hợp pháp bị thay đổi mã mã bất hợp pháp Virus loại điển hình chương trình Trojans, chương trình virus che dấu đoạn mã chương trình sử dụng hợp pháp Khi chương trình hoạt động đoạn mã ẩn thực số chức mà người sử dụng khơng biết Trojan có nhiều loại khác Có thể chương trình thực chức ẩn dấu, tiện ích tạo mục cho file thư mục, đoạn mã phá khoá, chương trình xử lý văn tiện ích mạng Trojan lây lan nhiều môi trường hệ điều hành khác Đặc biệt thường lây lan qua số dịch vụ phổ biến Mail, FTP qua tiện ích, chương trình miễn phí mạng Internet Hầu hết chương trình FTP Server sử dụng phiên cũ, có nguy tiềm tàng lây lan Trojans Đánh giá mức độ phá hoại Trojans khó khăn Trong số trường hợp, làm ảnh hưởng đến truy nhập người sử dụng Nghiêm trọng hơn, kẻ công lỗ hổng bảo mật mạng Khi kẻ cơng chiếm quyền Root hệ thống, phá huỷ toàn phần hệ thống Chúng sử dụng quyền Root để thay đổi logfile, cài đặt chương trình Trojans khác mà người quản trị phát người quản trị hệ thống cịn cách cài đặt lại toàn hệ thống 5.2.4 Sniffer: Sniffer theo nghĩa đen “đánh hơi” “ngửi” Là công cụ (có thể phần cứng phần mềm) “tóm tắt” thông tin lưu chuyển mạng để “đánh hơi” thơng tin có giá trị trao đổi mạng Hoạt động Sniffer giống chương trình "tóm bắt" thơng tin gõ từ bàn phím (Key Capture) Tuy nhiên tiện ích Key Capture thực trạm làm việc cụ thể, Sniffer bắt thông tin trao đổi nhiều trạm làm việc với Các chương trình Sniffer thiết bị Sniffer ”ngửi” giao thức TCP, UDP, IPX tầng mạng Vì tóm bắt gói tin IP Datagram Ethernet Packet Mặt khác, giao thức tầng IP định nghĩa tường minh cấu trúc trường Header rõ ràng, nên việc giải mã gói tin khơng khó khăn .Tài liệu Há»— trợ ôn tập com Luận văn Luận án Trang 87 .Tài liệu Há»— trợ ôn tập com Luận văn Luận án Mục đích chương trình Sniffer thiết lập chế độ dùng chung (Promiscuous) Card mạng Ethernet, nơi gói tin trao đổi "tóm bắt" gói tin firewalls Physical protection data encrytion login/password In f o r ma t io n Access rights 5.3 Các mức bảo vệ an tồn mạng Hình 5.1 Các lớp bảo vệ Vì khơng có giải pháp an tồn tuyệt đối nên người ta thường phải sử dụng đồng thời nhiều mức bảo vệ khác tạo thành nhiều lớp "rào chắn" hoạt động xâm phạm Việc bảo vệ thông tin mạng chủ yếu bảo vệ thơng tin cất giữ máy tính, đặc biệt server mạng ➢ Lớp bảo vệ quyền truy nhập nhằm kiểm soát tài nguyên (ở thông tin) mạng quyền hạn (có thể thực thao tác gì) tài ngun Hiện việc kiểm sốt mức áp dụng sâu tệp ➢ Lớp bảo vệ hạn chế theo tài khoản truy nhập gồm đăng ký tên mật tương ứng Đây phương pháp bảo vệ phổ biến đơn giản, tốn có hiệu Mỗi người sử dụng muốn truy nhập vào mạng sử dụng tài nguyên phải có đăng ký tên mật Người quản trị hệ thống có trách nhiệm quản lý, kiểm soát hoạt động mạng xác định quyền truy nhập người sử dụng khác tuỳ theo thời gian không gian ➢ Lớp thứ ba sử dụng phương pháp mã hoá (encryption) Dữ liệu biến đổi từ dạng "đọc được" sang dạng “không đọc được" theo thuật tốn Chúng ta xem xét phương thức thuật toán mã hoá sử dụng phổ biến phần ➢ Lớp thứ tư bảo vệ vật lý (physical protection) nhằm ngăn cản truy nhập vật lý bất hợp pháp vào hệ thống Thường dùng biện pháp truyền thống Tài liệu Há»— trợ ôn tập com Luận văn Luận án Trang 88 .Tài liệu Há»— trợ ôn tập com Luận văn Luận án ngăn cấm người khơng có nhiệm vụ vào phịng đặt máy, dùng hệ thống khố máy tính, cài đặt hệ thống báo động có truy nhập vào hệ thống ➢ Lớp thứ năm: Cài đặt hệ thống tường lửa (firewall), nhằm ngăn chặn thâm nhập trái phép cho phép lọc gói tin mà ta khơng muốn gửi nhận vào lý 5.4 Các kỹ thuật bảo mật VPN VPNs sử dụng vài kỹ thuật để bảo vệ liệu truyền qua mạng Internet Những khái niệm quan trọng firewalls (tường lửa) , nhận thực, mã hoá tunneling 5.4.1 Firewalls Thuật ngữ Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thông tin, Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập khơng mong muốn vào hệ thống Cũng hiểu Firewall chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi mạng không tin tưởng (Untrusted network) Thông thường Firewall đặt mạng bên (Intranet) công ty, tổ chức, ngành hay quốc gia, Internet Vai trị bảo mật thông tin, ngăn chặn truy nhập không mong muốn từ bên (Internet) cấm truy nhập từ bên (Intranet) tới số địa định Internet Một tường lửa Internet sử dụng kỹ thuật ví dụ kiểm tra địa Internet gói liệu cổng truy nhập mà kết nối yêu cầu để định truy nhập có phép hay khơng Hình 5.2 Firewall Tài liệu Há»— trợ ôn tập com Luận văn Luận án Trang 89 .Tài liệu Há»— trợ ôn tập com Luận văn Luận án Firewalls cung cấp hai chức cho nhà quản trị mạng Thứ chức kiểm sốt mà người dùng từ mạng ngồi nhìn thấy dịch vụ cho phép sử dụng mạng nội Thứ hai kiểm soát nơi nào, dịch vụ Internet mà user mạng nội truy cập, sử dụng Hầu hết kỹ thuật tường lửa thiết kết tương tự có điểm điều khiển tập trung, cần khảo sát số biến đổi mức cao đủ 5.4.1.1 Router lọc gói liệu ( Packets Filtering Router) Các router mà có nhiệm vụ lọc gói liệu lựa chọn để gửi liệu tới mạng dựa vào bảng gồm luật xác định trước Router không định dựa thông tin liệu gói liệu mà quan tâm gói đến từ đâu đích đến gì, tức quan tâm đến phần thơng tin tiêu đề TCP/IP Nếu gói phù hợp với một tập hợp luật router thực tương ứng cho phép qua hay khơng Bảng luật danh sách điều khiển truy cập - ACL ( Access Control List) Những danh sách cho Router biết kiểu gói liệu chấp nhận “permit” loại bỏ “deny” Việc chấp nhận hay loại bỏ dựa điều kiện Các ACL giúp quản lý lưu lượng bảo mật truy cập tới từ mạng Các ACL tạo cho tất giao thức mạng có khả định tuyến, IP, IPX Các ACL cấu hình Router để điều khiển truy cập tới mạng hay mạng Các ACL lọc lưu lượng mạng cách điều khiển cho phép hay khơng cho phép gói liệu chuyển hay chặn lại cổng Router Router kiểm tra gói liệu để xác định có hay khơng chuyển hay huỷ nó, sở điều kiện ACL Cơ sở phép hay huỷ bỏ địa IP nguồn, đích, giao thức, số hiệu cổng lớp .Tài liệu Há»— trợ ôn tập com Luận văn Luận án Trang 90 .Tài liệu Há»— trợ ôn tập com Luận văn Luận án Hình 5.3 Các thông số ACL Để điều khiển luồng lưu lượng cổng, ACL cần định nghĩa cho giao thức sử dụng cổng Một ACL riêng biệt cần tạo cho hướng, cho lối vào, cho lối Cuối cổng có nhiều giao thức nhiều hướng định nghĩa Nếu Router có hai cổng cấu hình cho IP, IPX, Apple Talk phải cần định nghĩa 12 ACL riêng biệt Hình 5.4 Vị trí ACL Chức ACL ➢ Giới hạn lưu lượng mạng tăng hiệu suất mạng ➢ Điều khiển luồng lưu lượng Các ACL loại bỏ việc trao đổi tin cập nhật định tuyến tin không yêu cầu ➢ Cung cấp mức bảo mật cho truy cập mạng Các ACL cho phép máy truy cập đến phần mạng ngăn cản máy khác truy cập đến phần mạng ➢ Quyết định kiểu lưu lượng chuyển hay bị huỷ cổng Router Một ví dụ hình Nếu router yêu cầu cho phép tất traffic từ mạng 1.34.21.0/24, kiểm tra tất gói liệu xem gói Tài liệu Há»— trợ ôn tập com Luận văn Luận án Trang 91 .Tài liệu Há»— trợ ôn tập com Luận văn Luận án có địa nguồn phù hợp với địa cho phép qua, cịn gói thuộc mạng khác bị huỷ bỏ Hình 5.5 Packet filtering Router 5.4.1.2 Bastion host Đây host vừa có chức bảo mật lại vừa có chức lọc gói liệu router, hệ điều hành dịch vụ quan trọng cài đặt chương trình bảo mật chuyên dụng Nhiệm vụ bảo mật thực chủ yếu router host bảo mật sử dụng để thực thi luồng liệu theo hai chiều Bastion host thường với router lọc hệ thống lọc gói liệu đơn giản lọc loại giao thức hay lớp ứng dụng Việc cấu hình bảo trì dễ dàng nhóm traffic gửi tới hệ thống (mail server hay ftp server….) Bastion host chạy version an toàn (secure version) phần mềm hệ thống (Operating system) Các version an toàn thiết kế chuyên cho mục đích chống lại công vào Operating System, đảm bảo tích hợp firewall Chỉ dịch vụ mà người quản trị mạng cho cần thiết cài đặt bastion host, đơn giản dịch vụ khơng cài đặt, khơng thể bị Tài liệu Há»— trợ ôn tập com Luận văn Luận án Trang 92 .Tài liệu Há»— trợ ôn tập com Luận văn Luận án công Thông thường, số giới hạn ứng dụng cho dịch vụ Telnet, DNS, FTP, SMTP xác thực user cài đặt bastion host Bastion host yêu cầu nhiều mức độ xác thực khác nhau, ví dụ nh user password hay smart card Tuy nhiên phương pháp điều khiển tập trung trở nên bất tiện sử dụng mạng lớn cần nhiều bastion host, chí cần phải có hẳn mạng bastion host ngoại vi để tránh xung đột Hình 5.6 Bastion host 5.4.1.3 Proxy server Đây loại Firewall thiết kế để tăng cường chức kiểm soát loại dịch vụ, giao thức cho phép truy cập vào hệ thống mạng Cơ chế hoạt động dựa cách thức gọi Proxy service Proxy service code đặc biệt cài đặt gateway cho ứng dụng Nếu người quản trị mạng không cài đặt proxy code cho ứng dụng đó, dịch vụ tương ứng khơng cung cấp khơng thể chuyển thơng tin qua firewall Ngồi ra, proxy code định cấu hình để hỗ trợ số đặc điểm ứng dụng mà người quản trị mạng cho chấp nhận từ chối đặc điểm khác Mỗi proxy đặt cấu hình phép truy nhập số máy chủ định Điều có nghĩa lệnh đặc điểm thiết lập cho proxy với số máy chủ toàn hệ thống .Tài liệu Há»— trợ ôn tập com Luận văn Luận án Trang 93 .Tài liệu Há»— trợ ôn tập com Luận văn Luận án Mỗi proxy trì nhật ký ghi chép lại tồn chi tiết giao thơng qua nó, kết nối, khoảng thời gian kết nối Nhật ký có ích việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại Mỗi proxy độc lập với proxies khác bastion host Điều cho phép dễ dàng trình cài đặt proxy mới, hay tháo gỡ mơt proxy có vấn đề Ưu điểm Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ mạng, ứng dụng proxy hạn chế lệnh định máy chủ truy nhập dịch vụ Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ cho phép, vắng mặt proxy cho dịch vụ tương ứng có nghĩa dịch vụ bị khoá Luật lệ lọc filltering cho cổng ứng dụng dễ dàng cấu hình kiểm tra so với lọc packet Hạn chế Yêu cầu users thay đổi thao tác, thay đổi phần mềm cài đặt máy client cho truy nhập vào dịch vụ proxy Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ Tuy nhiên, có số phần mềm client cho phép ứng dụng cổng ứng dụng suốt, cách cho phép user máy đích khơng phải cổng ứng dụng lệnh Telnet khác .Tài liệu Há»— trợ ôn tập com Luận văn Luận án Trang 94 .Tài liệu Há»— trợ ôn tập com Luận văn Luận án Hình 5.7 Proxy server 5.4.2 Authentication (nhận thực) Authentication đóng vai trị quan trọng VPNs, phương pháp đảm bảo bên tham gia truyền tin trao đổi liệu với người, host Authentication tương tự "logging in" vào hệ thống với username password, nhiên VPNs yêu cầu phương pháp nhận thực chặt chẽ, nghiêm ngặt nhiều để xác nhận tính hợp lệ Hầu hết hệ thống nhận thực VPN dựa hệ thống khoá bảo mật chung, khoá đưa vào thuật toán băm để tạo giá trị băm Để có quyền truy nhập giá trị băm bên yêu cầu phải trùng với giá trị băm phép đích Các giá trị băm khơng nhìn thấy truyền qua Internet việc ăn cắp password Một số phương pháp nhận thực thông dụng CHAP, RSA Authentication thường thực bắt đầu phiên truy cập, sau lại thực ngẫu nhiên thời điểm suốt thời gian phiên để đảm bảo chắn khơng có kẻ mạo danh thâm nhập trái phép Ngồi authentication sử dụng để đảm bảo nguyên vẹn liệu Bản thân liệu đưa vào hàm băm để thu giá trị băm gửi liệu, tương tự checksum tin Bất kỳ sai khác giá trị gửi với giá trị nhận trạm điều có nghĩa liệu bị phá huỷ ,bị chặn trình truyền tin liệu bị thay đổi đường truyền .Tài liệu Há»— trợ ôn tập com Luận văn Luận án Trang 95 .Tài liệu Há»— trợ ôn tập com Luận văn Luận án 5.4.3 Encryption ( mã hoá) Encryption sử dụng để chắn tin không bị đọc đọc người nhận Khi mà có nhiều thơng tin lưu thơng mạng cần thiết việc mã hố thơng tin trở nên quan trọng Mã hoá biến đổi nội dung thông tin thành văn mật mã mà vô nghĩa dạng mật mã Chức giải mã để khơi phục văn mật mã thành nội dung thơng tin dùng cho người nhận Quá trình mật mã liệu truyền khỏi máy tính theo quy tắc định máy phép từ xa giải mã Hầu hết hệ thống mã hố máy tính thuộc hai loại sau: o Mã hoá sử dụng khoá riêng ( Symmetric-key encryption) o Mã hố sử dụng khố cơng khai (Public-key encryption) Trong hệ symmetric-key encryption, máy tính có mã bí mật sử dụng để mã hố gói tin trước truyền Khố riêng cần cài máy tính có trao đổi thơng tin sử dụng mã hố riêng máy tính phải biết trình tự giả mã quy ước trước Ví dụ: Bạn tạo thư mã hoá mà nội dung thư ký tự thay ký tự sau vị trí bảng ký tự Như A thay C, B thay D Bạn nói với người bạn khố riêng Dịch vị trí (Shift by 2) Bạn bạn nhận thư giải mã sử dụng chìa khố riêng Cịn người khác khơng đọc nội dung thư (symetric key), sau sử dụng khố bí mật để giải mã liệu Hệ Public-key encryption sử dụng tổ hợp khoá riêng khố cơng cộng để thực mã hố, giải mã Khố riêng sử dụng máy tính đó, cịn khố cơng cộng truyền đến máy tính khác mà muốn trao đổi thơng tin bảo mật Để giải mã liệu mã hố, máy tính phải sử dụng khố cơng cộng nhận được, khố riêng 5.4.4 Đường hầm (Tunnel) Cung cấp kết nối logic, điểm tới điểm qua mạng IP không hướng kết nối Điều giúp cho việc sử dụng ưu điểm tính bảo mật Các giải pháp đường hầm cho VPN sử dụng mã hố để bảo vệ liệu khơng bị xem trộm không phép để thực đóng gói đa giao thức cần thiết Mã hoá sử dụng để tạo kết nối đường hầm để liệu đọc người nhận người gửi .Tài liệu Há»— trợ ôn tập com Luận văn Luận án Trang 96 .Tài liệu Há»— trợ ôn tập com Luận văn Luận án CHƯƠNG VI: KẾT LUẬN Công nghệ mạng riêng ảo VPN (Virtual Private Network) công nghệ tương đối mới, việc nghiên cứu triển khai loại mạng VPN địi hỏi nhiều thời gian cơng sức Trong đồ án này, chúng tơi trình bày khái niệm VPN, vấn đề bảo mật hệ thống, nghiên cứu cách kỹ lưỡng sở lý thuyết Trong phần thực nghiệm đồ án, chúng tơi xây dựng cấu hình thành cơng mạng VPN Client to site Trong khoảng thời gian ngắn, chúng tơi khơng thể tránh khỏi sai sót, xin chân thành cảm ơn thầy cô đặc biệt thầy Nguyễn Trung Phú, bạn bè, đồng nghiệp giúp đỡ, góp ý chúng tơi hồn thành đồ án .Tài liệu Há»— trợ ôn tập com Luận văn Luận án Trang 97 .Tài liệu Há»— trợ ôn tập com Luận văn Luận án TÀI LIỆU THAM KHẢO [1] Quản trị mạng ứng dụng Active Directory, tác giả K/S Ngọc Tuấn NXB Thống kê năm 2004 [2] Mạng truyền thơng cơng nghiệp, tác giả Hồng Minh Sơn, NXB Khoa học kỹ thuật năm 2004 [3] 100 thủ thuật bảo mật mạng, tác giả K/S Nguyễn Ngọc Tuấn, Hồng Phúc NXB Giao thông vận tải, năm 2005 [4] TS Nguyễn Tiến Ban Thạc sĩ Hoàng Trọng Minh, “Mạng riêng ảo VPN”, 2007 [5] PGS-TS.Nguyễn Văn Tam - Giáo trình An tồn mạng ĐH Thăng Long [6] D_link Australia & NZ, “Vitual Private Network self study” [7] Stephen Thomas, “SSL and TLS Essential” [8] David Bruce, Yakov Rekhter - (2000) Morgan Kaufmann Publisher MPLS Technology and Application MPLS_Cisco.pdf Tài liệu Há»— trợ ôn tập com Luận văn Luận án Trang 98 .Tài liệu Há»— trợ ôn tập com Luận văn Luận án BẢNG ĐỐI CHIẾU THUẬT NGỮ VIỆT - ANH Danh sách điều khiển truy nhập Access Control List Chế độ truyền không đồng Asynchronous Transfer Mode Đầu nhận thực Authentication Header Số lượng bảo mật gói gọn Encapsulation Security Payload Giao thức đường chung Generic Routing Protocol Nhà cung cấp dịch vụ Internet Internet Service Provides Giao thức Internet Internet Protocol Bảo mật địa IP IP Security Độ mạnh chủ đề kỹ sư Internet Internet Engineering Task Force Trao đổi gói làm việc Internet Internetwork Packet Exchange Giao thức thông điệp điều khiển Internet Internet Control Message protocol Giao thức quản lý nhóm Internet Internet Group Management Protocol Giao thức quản lý khóa tích hợp an ninh Security Association and Key Management Protocol Trao đổi khóa Internet Internet Key Exchange Giao thức điều khiển chuyển đổi Transfer Control Protocol/Internet Protocol Máy chủ truy cập mạng Network Access Server Truy cập tập trung giao thức tầng hầm lớp L2TP Access Concentrator Máy chủ mạng L2TP L2TP Network Server Mạng cục Local area network Giao thức tầng hầm lớp Layer Tunneling Protocol Chuyển tiếp lớp Layer Forwarding Đường truyền cáp quang Optical carrier-3 Mơ hình liên kết hệ thống mở Open Systems Interconnection Giao thức điểm nối điểm Point To Point Protocol Giao thức xác thực mật mã Password Authentication Protocol Tài liệu Há»— trợ ôn tập com Luận văn Luận án Trang 99 .Tài liệu Há»— trợ ôn tập com Luận văn Luận án .Tài liệu Há»— trợ ôn tập com Luận văn Luận án