Đang tải... (xem toàn văn)
Đề tài : NGHIÊN CỨU CÁC GIẢI PHÁP ĐẢM BẢO AN NINH CHO MẠNG RIÊNG ẢO VPN Luận văn được chia làm 03 chương : Chương 1 nói về tổng quan và các tiêu chuẩn, phân loại về mạng riêng ảo. Chương 2 đề cập đến các yếu tố ảnh hưởng đến an ninh mạng riêng ảo. Để có một mạng an toàn có nghĩa là các cơ chế bảo mật phải được đặt đúng nơi, đúng chỗ và các giải pháp đảm bảo an ninh cho mạng riêng ảo đó sẽ được trình bày trong Chương 3. Phần cuối cùng sẽ là kết luận của bản luận văn và hướng nghiên cứu tiếp theo.
LỜI CẢM ƠN Tôi muốn gửi lời cám ơn chân thành tới tất cả những người đã hỗ trợ và giúp đỡ tôi trong quá trình hoàn thành quyển luận văn này. Tôi muốn gửi lời cám ơn đặc biệt tới TS. Lê Ngọc Giao, người đã hướng dẫn cho tôi hướng nghiên cứu của đề tài, người đã đưa ra những nhận xét quý giá và trực tiếp hướng dẫn tôi trong quá trình nghiên cứu. Tôi xin cám ơn các thầy cô giáo Học viện Công nghệ Bưu chính Viễn thông và các đồng nghiệp tại Viễn thông Hà Nội – nơi tôi công tác, đã có những giúp đỡ cho tôi trong quá trình công tác và học tập. Cuối cùng, tôi xin gửi những lời cám ơn chân thành nhất tới cha mẹ, anh em, bè bạn và vợ con của tôi, những người đã có nhiều động viên, khuyến khích với tôi trong cuộc sống cũng như trong học tập. Hà Nội – 08/2008 Nguyễn Minh Tuấn i MỤC LỤC LỜI CẢM ƠN i MỤC LỤC ii THUẬT NGỮ VÀ CÁC CHỮ VIẾT TẮT vii DANH MỤC HÌNH VẼ x MỞ ĐẦU 1 CHƯƠNG 1: TỔNG QUAN VÀ CÁC TIÊU CHUẨN VỀ MẠNG RIÊNG ẢO 2 1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO 2 1.1.1 Vài nét về mạng riêng : 2 1.1.2 Khái niệm mạng riêng ảo – VPN : 2 1.1.2.1 Các yếu tố thúc đẩy sự phát triển của VPN: 2 1.1.2.2 Lợi ích của mạng riêng ảo VPN 3 1.2 CHUẨN HOÁ, PHÂN LOẠI, CÔNG NGHỆ CÁC MẠNG RIÊNG ẢO LỚP 2 VÀ LỚP 3 4 1.2.1 Các chuẩn cho các mạng VPN 4 1.2.2 Giới thiệu về công nghệ: 4 1.2.3 VPN lớp 2: 5 1.2.3.1 Kiến trúc L2VPN: 6 1.2.3.2 Phân loại L2VPN-over-Packet: 6 1.2.4 VPN lớp 3: 10 1.2.4.1 Kiến trúc L3 VPN 10 1.2.4.2 Phân loại L3VPN 10 CHƯƠNG 2: CÁC YẾU TỐ ẢNH HƯỞNG ĐẾN AN NINH MẠNG VPN 15 2.1 XÁC ĐỊNH CÁC YÊU CẦU ĐỐI VỚI AN NINH MẠNG VPN 15 2.1.1 Tính tương thích (compatibility): 15 2.1.2 Tính bảo mật (security): 15 2.1.3 Tính khả dụng (Availability): 15 2.2 NHỮNG KIỂU ĐE DOẠ 16 ii 2.3 ĐE DOẠ BẢO MẬT CÁC PHẦN TỬ CỦA VPN 17 2.4 TẤN CÔNG CÁC GIAO THỨC VPN 20 2.4.1 Tấn công vào PPTP 20 2.4.2 Tấn công vào IPSec 21 2.5 TẤN CÔNG GIẢI MÃ 22 2.5.1 Các tấn công chỉ nhằm vào văn bản mã hóa 22 2.5.2 Các tấn công plaintext đã biết được 23 2.5.3 Các tấn công plaintext được lựa chọn 23 2.5.4 Các tấn công Man-in-the-Middle 23 2.5.5 Các tấn công Brute Force 23 2.6 CÁC TẤN CÔNG TỪ CHỐI DỊCH VỤ 24 2.6.1 SYN floods 24 2.6.2 Broadcast Storm 25 2.6.3 Smurf DoS 25 2.6.4 Ping of Death 25 CHƯƠNG 3: GIẢI PHÁP ĐẢM BẢO AN NINH CHO MẠNG RIÊNG ẢO 26 3.1 AN TOÀN CƠ SỞ HẠ TẦNG 26 3.1 AN TOÀN CƠ SỞ HẠ TẦNG 26 3.1.1 Những thách thức bảo mật doanh nghiệp 26 3.1.1 Những thách thức bảo mật doanh nghiệp 26 3.1.2 Chính sách bảo mật doanh nghiệp 26 3.1.2 Chính sách bảo mật doanh nghiệp 26 3.1.3 Bảo mật doanh nghiệp 27 3.1.3 Bảo mật doanh nghiệp 27 3.1.3.1 Bảo mật logic và bảo mật vật lý 28 3.1.3.1 Bảo mật logic và bảo mật vật lý 28 3.1.3.2 Simple Network Management Protocol – SNMP 29 3.1.3.2 Simple Network Management Protocol – SNMP 29 3.1.3.3 Nhận thực giao thức định tuyến – Routing Protocol Authentication 30 iii 3.1.3.3 Nhận thực giao thức định tuyến – Routing Protocol Authentication 30 3.1.3.4 Bộ lọc định tuyến – Routing Filter 30 3.1.3.4 Bộ lọc định tuyến – Routing Filter 30 3.1.3.5 HTTP Access 31 3.1.3.5 HTTP Access 31 3.2 CÔNG NGHỆ BẢO MẬT AAA 31 3.2 CÔNG NGHỆ BẢO MẬT AAA 31 3.2.1 Sự bảo mật điều khiển truy nhập 31 3.2.1 Sự bảo mật điều khiển truy nhập 31 3.2.1.1 Sự nhận thực 32 3.2.1.1 Sự nhận thực 32 3.2.1.2 Cho phép (Authorization) 34 3.2.1.2 Cho phép (Authorization) 34 3.2.1.3 Sự thanh toán (Accounting) 35 3.2.1.3 Sự thanh toán (Accounting) 35 3.2.2 Các giao thức AAA 35 3.2.2 Các giao thức AAA 35 3.2.2.1 TACACS+ 36 3.2.2.1 TACACS+ 36 3.2.2.2 RADIUS 39 3.2.2.2 RADIUS 39 3.3 BẢO MẬT CHO ROUTER BIÊN 42 3.3 BẢO MẬT CHO ROUTER BIÊN 42 3.3.1 Unicast Reverse Path Forwarding 43 3.3.1 Unicast Reverse Path Forwarding 43 3.3.2 Chắn TCP (TCP Intercept) 44 3.3.2 Chắn TCP (TCP Intercept) 44 3.3.3 Biên dịch địa chỉ mạng (Network Address Translation – NAT) 46 3.3.3 Biên dịch địa chỉ mạng (Network Address Translation – NAT) 46 iv 3.4 TẬP ĐẶC TÍNH TƯỜNG LỬA IOS 47 3.4 TẬP ĐẶC TÍNH TƯỜNG LỬA IOS 47 3.4.1 Sự điều khiển truy nhập dựa trên ngữ cảnh (Context-Based Access Control - CBAC) 48 3.4.1 Sự điều khiển truy nhập dựa trên ngữ cảnh (Context-Based Access Control - CBAC) 48 3.4.1.1 Hỗ trợ giao thức điều khiển truy nhập dựa trên ngữ cảnh 49 3.4.1.1 Hỗ trợ giao thức điều khiển truy nhập dựa trên ngữ cảnh 49 3.4.1.2 Hoạt động của điều khiển truy nhập dựa trên ngữ cảnh 49 3.4.1.2 Hoạt động của điều khiển truy nhập dựa trên ngữ cảnh 49 3.4.1.3 Điều khiển truy nhập dựa vào ngữ cảnh - CBAC và IPSec 52 3.4.1.3 Điều khiển truy nhập dựa vào ngữ cảnh - CBAC và IPSec 52 3.4.2 Ánh xạ ứng dụng Cổng – Port Application Mapping 52 3.4.2 Ánh xạ ứng dụng Cổng – Port Application Mapping 52 3.4.2.1 Ánh xạ System - defined 53 3.4.2.1 Ánh xạ System - defined 53 3.4.2.2 Ánh xạ User-defined 53 3.4.2.2 Ánh xạ User-defined 53 3.4.2.3 Ánh xạ Host-defined 53 3.4.2.3 Ánh xạ Host-defined 53 3.4.3 Phát hiện sự xâm nhập tường lửa IOS 54 3.4.3 Phát hiện sự xâm nhập tường lửa IOS 54 3.5 CÔNG NGHỆ MÃ HOÁ 55 3.5 CÔNG NGHỆ MÃ HOÁ 55 3.5.1 Lợi ích của mã hoá 56 3.5.1 Lợi ích của mã hoá 56 3.5.2 Mã hoá khoá đối xứng và bất đối xứng 57 3.5.2 Mã hoá khoá đối xứng và bất đối xứng 57 3.5.2.1 Mã hoá khoá đối xứng 57 v 3.5.2.1 Mã hoá khoá đối xứng 57 3.5.2.2 Mã hoá khoá bất đối xứng 59 3.5.2.2 Mã hoá khoá bất đối xứng 59 3.5.2.3 Mã chung 62 3.5.2.3 Mã chung 62 3.6 INTERNET PROTOCOL SECURITY 62 3.6 INTERNET PROTOCOL SECURITY 62 3.6.1 Các kiểu gói IPSec 63 3.6.1 Các kiểu gói IPSec 63 3.6.1.1 Mào đầu nhận thực – AH 63 3.6.1.1 Mào đầu nhận thực – AH 63 3.6.1.2 Tải trọng bảo mật đóng gói 64 3.6.1.2 Tải trọng bảo mật đóng gói 64 3.6.2 Các chế độ hoạt động IPSec 64 3.6.2 Các chế độ hoạt động IPSec 64 3.6.2.1 Chế độ Transport 64 3.6.2.1 Chế độ Transport 64 3.6.2.2 Chế độ Tunnel 65 3.6.2.2 Chế độ Tunnel 65 3.6.3 Quản lý khoá 67 3.6.3 Quản lý khoá 67 3.6.3.1 Trao đổi khoá Internet (Internet Key Exchange – IKE) 67 3.6.3.1 Trao đổi khoá Internet (Internet Key Exchange – IKE) 67 3.6.3.2 Thoả thuận khoá Diffie-Hellman 68 3.6.3.2 Thoả thuận khoá Diffie-Hellman 68 KẾT LUẬN 69 PHỤ LỤC 1: Quá trình nhận thực Password Authentication Protocol (PAP) 71 PHỤ LỤC 2: Quá trình nhận thực Challenge Handshake Authentication (CHAP) 72 PHỤ LỤC 4: Quá trình điều khiển truy nhập dựa trên ngữ cảnh CBAC 75 vi PHỤ LỤC 5: Những giao thức lớp ứng dụng có thể được cấu hình toàn bộ cho CBAC 76 PHỤ LỤC 6: Các dịch vụ hỗ trợ cổng system-defined 77 PHỤ LỤC 7: Thuật toán RSA 77 PHỤ LỤC 8: Thuật toán Diffie-Hellman 78 TÀI LIỆU THAM KHẢO 79 THUẬT NGỮ VÀ CÁC CHỮ VIẾT TẮT 3DES Triple Data Encryption Standard Chuẩn mã dữ liệu 3DES AAA Authentication – Authorization – Accounting Nhận thực – Cho phép – Thanh toán AC Attachment circuits Các mạch đính kèm AH Authentication header Mào đầu nhận thực ACL Access Control List Danh sách điểu khiển truy nhập BGP Border Gateway Protocol Giao thức cổng biên CA Certification Authority Quyền Chứng nhận CBAC Context-Based Access Control Sự điều khiển truy nhập dựa trên ngữ cảnh vii CDS Certificate Distribution System Hệ thống phân phối chứng chỉ CEF Cisco Express Forwading Cơ chế chuyển tiếp dựa trên mô hình lớp 3 cải tiến, nó tối ưu hoá hiệu năng mạng và cung cấp các đặc tính lưu lượng internet cho giao thức IP DES Data Encryption Standard Chuẩn mã dữ liệu DLCI Data link channel identifier Nhận dạng kênh liên kết dữ liệu ERS Ethernet relay service Ethernet VPWS tính toán số VLAN và đề xuất dịch vụ giống như frame-relay cho người sử dụng EWS Ethernet wire service Ethernet VPWS phân phối các dịch vụ dựa trên cổng (port- based service) FIB Forwarding Information Base Cơ sở thông tin chuyển tiếp IDS Intrusion detection system Hệ thống phát hiện xâm nhập IKE Internet key exchange Trao đổi khóa Internet IKE SA IKE Security Association Liên kết bảo mật IKE IPSec Internet Protocol Security. Bảo mật giao thức internet ISAKMP Internet Security Association Key Management Protocol Giao thức quản lý khoá liên kết bảo mật Internet GRE Generic Routing Encapsulation Giao thức mã hóa định tuyến L2TP Layer 2 Tunneling Protocol Giao thức đường hầm lớp 2 L2VPN Layer 2 virtual private network Mạng riêng ảo lớp 2 L3VPN Layer 3 virtual private network Mạng riêng ảo lớp 3 MAC Media access control Điều khiển truy nhập thiết bị MEF Metro Ethernet Forum Forum Ethernet Metro MIB Management Information Base Cơ sở thông tin quản lý MPPE Microsoft point-to-point encryption Mã hóa điểm-tới-điểm của Microsoft NAS Network Access Server Máy chủ truy cập mạng viii NAT Network address Translation dịch chuyển địa chỉ mạng- OAM Operation , administration , and maintenance Bảo dưỡng, quản lý, khai thác PAM Port Application Mapping Ánh xạ ứng dụng cổng PKI Public Key Infrastructure Cở sở hạ tầng của mã chung PPP Point-to-Point Protocol giao thức điểm-nối-điểm PPTP Point-to-Point Tunneling Protocol Giao thức Tunnelling điểm nối điểm PVC Permanent virtual circuit Kênh ảo cố định RA Registration Authority Quyền Đăng ký RADIUS Remote Access Dial-In User Service Dịch vụ người sử dụng quay số truy nhập từ xa SA Security Associations Tập hợp bảo mật SHA Secure Hash Algorithm Thuật toán hash bảo mật SSL Secure Socket Layer Lớp Socket bảo mật TACACS Terminal Access Controller Access Control System Hệ thống điều khiển truy nhập những thiết bị điều khiển truy nhập đầu cuối TLS Transport Layer Security Bảo mật lớp truyền dẫn User VPLS Multipoint virtual private LAN service Dịch vụ LAN riêng ảo đa điểm VPN Virtual Private Network Mạng riêng ảo VPDN Virtual Private Dial-up Network Mạng riêng ảo Dial-up VPWS The point-to-point virtual private wire service Dịch vụ dây riêng ảo điểm-tới- điểm VPLS Multipoint virtual private LAN service Dịch vụ LAN riêng ảo đa điểm VR Virtual Router Bộ định tuyến ảo ix DANH MỤC HÌNH VẼ Hình 1.1: Kiến trúc L2VPN 5 Hình 1.2: Kiến trúc L2VPN 6 Hình 1.3: Kiến trúc đơn giản của VPLS 9 Hình 1.4: Hệ thống VPLS với PE phân bố 10 Hình 1.5: Các thành phần phổ biến của L3VPNs dựa trên nền mạng 11 Hình 2.1: Các phần tử của một mạng dựa trên VPN 18 Hình 2.2: Vai trò của một ISP giả trong việc truyền dữ liệu có hại cho một mạng intranet của một tổ chức 19 Hình 2.3 Vai trò của một router giả trong việc truyền dữ liệu có hại cho một mạng intranet của một tổ chức 20 Hình 3.1: Mào đầu gói tin TACACS+ 36 Hình 3.2: Nhận thực TACACS+ 38 Hình 3.3: Quá trình cho phép TACACS+ 39 Hình 3.4: Quá trình nhận thực của RADIUS 41 Hình 3.5: Quá trình thanh toán của RADIUS 42 x [...]... bảo mật Các yêu cầu này được đề cập trong luận văn Nghiên cứu các giải pháp đảm bảo an ninh cho mạng riêng ảo VPN Luận văn được chia làm 03 chương Chương 1 nói về tổng quan và các tiêu chuẩn, phân loại về mạng riêng ảo Chương 2 đề cập đến các yếu tố ảnh hưởng đến an ninh mạng riêng ảo Để có một mạng an toàn có nghĩa là các cơ chế bảo mật phải được đặt đúng nơi, đúng chỗ và các giải pháp đảm bảo an. .. bảo an ninh cho mạng riêng ảo đó sẽ được trình bày trong chương 3 Phần cuối cùng sẽ là kết luận của bản luận văn và hướng nghiên cứu tiếp theo 2 CHƯƠNG 1: TỔNG QUAN VÀ CÁC TIÊU CHUẨN VỀ MẠNG RIÊNG ẢO 1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO 1.1.1 Vài nét về mạng riêng : Mạng riêng là một thuật ngữ dùng để mô tả một mạng diện rộng gồm những thành phần công cộng nhưng được kiểm soát bởi một tổ chức Mạng riêng được... 2.1.2 Tính bảo mật (security): Tính bảo mật cho khách hàng là một yếu tố quan trọng nhất đối với một giải pháp VPN Người sử dụng cần được đảm bảo các dữ liệu thông qua mạng VPN đạt được mức độ an toàn Việc cung cấp tính năng bảo đảm an toàn cần đảm bảo hai mục tiêu sau: − Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu cho người sử dụng trong mạng và mã hoá dữ liệu khi truyền − Đơn giản... LOẠI, CÔNG NGHỆ CÁC MẠNG RIÊNG ẢO LỚP 2 VÀ LỚP 3 1.2.1 Các chuẩn cho các mạng VPN Thuật ngữ mạng riêng ảo được hiểu rất rộng và nghĩa khác nhau đối với các đối tượng khác nhau Hơn nữa, có nhiều cách để phân biệt mạng VPN Đầu tiên, cách tiếp cận VPN được phân loại theo trách nhiệm quản lý Việc chuẩn hoá chú trọng đến lớp PPVPN (Provider Provisioned VPN) , lớp được phân loại nhỏ hơn nữa theo cách tiếp cận... dịch vụ đã tìm cách cung cấp cho các khách hàng là doanh nghiệp dịch vụ VPN kết hợp với các yêu cầu khác sử dụng hiệu quả mạng lõi chuyển mạch gói Về cơ bản, mạng riêng ảo VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm 1.1.2.1 Các yếu tố thúc đẩy sự phát triển của VPN: − VPN có thể được... thông tin Càng ngày càng nhiều doanh nghiệp đang sử dụng mạng riêng ảo VPN để điều hành các hoạt động kinh doang của doanh nghiệp Về nguyên tắc, các mạng riêng ảo VPN có thể được xây dựng trên cơ sở hạ tầng mạng của một nhà cung cấp duy nhất hoặc được xây dựng dựa trên hạ tầng mạng của nhiều nhà cung cấp Sự phát triển của dịch vụ tạo mạng riêng ảo trên Internet (IP VPN) là một xu thế tất yếu trong... môi trường VPN IPSec Định tuyến động: Không có các tiêu chuẩn rõ ràng cho việc truyền và ứng dụng các giao thức định tuyến giữa các cổng Gateway IPSec, và sự tương tác của định tuyến động với các chức năng giống như tường lửa của IPSec, ặc biệt với chế độ hầm 15 CHƯƠNG 2: CÁC YẾU TỐ ẢNH HƯỞNG ĐẾN AN NINH MẠNG VPN 2.1 XÁC ĐỊNH CÁC YÊU CẦU ĐỐI VỚI AN NINH MẠNG VPN Mạng riêng có môi trường bảo mật cao... thành một kiểu mạng dữ liệu mới Các mạng riêng được xây dựng trên các kênh lôgích có tính ảo đầu tiên đã được xây dựng trên mạng chuyển mạch gói X.25, Frame relay và ATM 1.1.2 Khái niệm mạng riêng ảo – VPN : Mạng riêng ảo (VPN) được định nghĩa như mạng thông tin giới hạn giữa các điểm kết nối sử dụng mạng đường trục chia sẻ lưu lượng với các loại thông tin khác Từ cuối thế kỷ trước, các nhà cung cấp... đang xây dựng các mạng L2 tách biệt với các mạng nền IP và tách biệt với mạng quang Một vài nhà cung cấp đã kết luận rằng các mạng đa mục đích sẽ hiệu quả về giá hơn khai thác nhiều mạng mục đích riêng biệt Điều này khiến người ta nghĩ ngay đến phương pháp hội tụ hạ tầng mạng L2 qua hạ tầng mạng đơn giản Phương pháp được quan tâm là phân phối các dịch vụ L2 qua mạng IP lớp 3 Hình 1.1: Kiến trúc L 2VPN. .. kết nối tới một VPN cụ thể nào đó Tất cả các PE/VR khác trong mạng nhận các thông báo BGP này a Các mạng L 3VPN theo RFC2547BIS RFC 2547 bis mô tả một SP có một mạng đường trục IP cho phép MPLS có thể cung cấp các mạng L 3VPN đến các khách hàng như thế nào RFC 2547 bis mô tả sự tác động lẫn nhau giữa các router CE và router PE ngang hàng Các CE gửi các tuyến từ vị trí khách hàng tới các PE, điển hình . cho các mạng VPN 4 1.2.2 Giới thiệu về công nghệ: 4 1.2.3 VPN lớp 2: 5 1.2.3.1 Kiến trúc L 2VPN: 6 1.2.3.2 Phân loại L 2VPN- over-Packet: 6 1.2.4 VPN lớp 3: 10 1.2.4.1 Kiến trúc L3 VPN 10 1.2.4.2. PPVPN đã được phân loại theo vị trí đặt thiết bị VPN đặc biệt như là: mạng VPN dựa trên biên khách hàng (Customer edge-based VPNs) hay mạng VPN dựa trên biên nhà cung cấp (Provider edge-base VPNs) mạng VPN dựa trên biên nhà cung cấp cũng được hiểu như network-based VPN. Lớp mạng VPN dựa trên biên nhà cung cấp lại được phân loại theo dịch vụ cung cấp: L1 VPNs cung cấp dịch vụ lớp 1, L2 VPNs