TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN, BẢO MẬT MẠNG RIÊNG ẢO VÀ TÌM HIỂU CÔNG NGHỆ MÃ NGUỒN MỞ
AN TOÀN BẢO MẬT THÔNG TIN
1.1.1 Giới thiệu về bảo mật thông tin
Với sự phát triển nhanh chóng của công nghệ thông tin và Internet, nhu cầu truyền tải và lưu trữ thông tin trực tuyến ngày càng tăng An toàn bảo mật thông tin trở thành một vấn đề quan trọng, liên quan đến nhiều lĩnh vực khác nhau Để bảo vệ an toàn thông tin, có nhiều phương pháp được áp dụng, và chúng có thể được phân loại thành ba nhóm chính.
Bảo vệ an toàn thông tin là một nhiệm vụ quan trọng, được thực hiện thông qua các biện pháp hành chính như xây dựng chính sách và quy định rõ ràng Bên cạnh đó, việc áp dụng các biện pháp kỹ thuật, bao gồm phần cứng như tường lửa và hệ thống phát hiện xâm nhập, cũng đóng vai trò then chốt trong việc bảo vệ dữ liệu Cuối cùng, các biện pháp thuật toán, hay phần mềm, như mã hóa và xác thực, giúp tăng cường bảo mật thông tin, đảm bảo an toàn cho hệ thống trước những mối đe dọa tiềm ẩn.
Ba nhóm biện pháp an ninh thông tin có thể được áp dụng độc lập hoặc kết hợp với nhau Môi trường mạng và truyền tin là nơi dễ bị xâm nhập và khó đảm bảo an toàn thông tin nhất Hiện nay, các biện pháp thuật toán được coi là giải pháp hiệu quả và kinh tế nhất cho an ninh mạng và mạng máy tính.
An toàn thông tin gồm các nội dung sau:
-Tính bí mật: Tính kín đáo riêng tƣ của thông tin
-Tính xác thực của thông tin, bao gồm xác thực đối tác, xác thực thông tin trao đổi
-Tính trách nhiệm: Đảm người gửi thông tin không thể thoái thác trách nhiệm về thông tin mà mình đã gửi
1.1.2 Một số giải pháp an toàn thông tin
Các chiến lƣợc an toàn hệ thống:
Giới hạn quyền hạn tối thiểu là chiến lược cơ bản trong quản lý tài nguyên mạng, quy định rằng mỗi đối tượng chỉ được cấp quyền hạn nhất định Khi truy cập vào mạng, đối tượng đó chỉ được phép sử dụng một số tài nguyên nhất định, nhằm đảm bảo an toàn và hiệu quả trong việc quản lý.
Bảo vệ theo chiều sâu nhấn mạnh rằng không nên chỉ dựa vào một chế độ an toàn duy nhất, dù nó có mạnh mẽ đến đâu Thay vào đó, cần xây dựng nhiều cơ chế an toàn khác nhau để có thể tương tác và hỗ trợ lẫn nhau hiệu quả hơn.
Nút thắt trong hệ thống thông tin là việc tạo ra một "cửa khẩu" hẹp, cho phép thông tin chỉ đi vào qua con đường duy nhất này, đồng thời cần tổ chức một cơ cấu kiểm soát và điều khiển thông tin Điểm yếu nhất của hệ thống thường là nơi mà kẻ phá hoại tấn công, do đó cần gia cố các yếu điểm này Chúng ta thường chú trọng đến kẻ tấn công mạng mà bỏ qua kẻ tiếp cận hệ thống, dẫn đến an toàn vật lý trở thành điểm yếu chính trong hệ thống của mình.
Tính toàn cục trong các hệ thống an toàn là yếu tố quan trọng, yêu cầu sự liên kết chặt chẽ giữa các hệ thống cục bộ Nếu một kẻ xấu có khả năng phá vỡ một cơ chế an toàn, họ có thể lợi dụng lỗ hổng này để tấn công hệ thống tự do và sau đó xâm nhập vào hệ thống từ bên trong.
Để đảm bảo an ninh hiệu quả, cần áp dụng nhiều biện pháp bảo vệ khác nhau Nếu chỉ dựa vào một phương pháp duy nhất, khi kẻ tấn công xâm nhập vào một hệ thống, chúng có thể dễ dàng tiếp cận các hệ thống khác.
Các mức bảo vệ trên mạng:
Để đảm bảo an toàn thông tin mạng, cần áp dụng nhiều mức bảo vệ khác nhau nhằm tạo thành hàng rào vững chắc chống lại các hoạt động xâm phạm Bảo vệ thông tin chủ yếu tập trung vào việc bảo vệ dữ liệu lưu trữ trên máy tính, đặc biệt là các máy chủ trực tuyến Do đó, bên cạnh các biện pháp chống thất thoát thông tin trong quá trình truyền tải, nỗ lực chủ yếu là xây dựng các lớp bảo vệ từ bên ngoài vào bên trong cho hệ thống mạng Các mức bảo vệ này thường bao gồm nhiều lớp khác nhau nhằm tối ưu hóa an ninh thông tin.
Quyền truy cập là lớp bảo vệ quan trọng nhằm kiểm soát tài nguyên mạng và quyền hạn trên các tài nguyên đó, với việc kiểm soát càng chi tiết càng tốt, thường ở mức tệp Đăng ký tên và mật khẩu cũng là một hình thức kiểm soát truy cập, nhưng ở mức hệ thống, là phương pháp bảo vệ phổ biến do tính đơn giản, chi phí thấp và hiệu quả Mọi người sử dụng muốn tham gia vào mạng cần có tên đăng ký và mật khẩu Người quản trị mạng chịu trách nhiệm quản lý và kiểm soát hoạt động mạng, xác định quyền truy cập của người dùng theo thời gian và không gian.
Mã hóa dữ liệu là phương pháp bảo mật thông tin hiệu quả, giúp chuyển đổi dữ liệu từ dạng có thể nhận thức sang dạng không thể nhận thức thông qua các thuật toán Quá trình này không chỉ bảo vệ thông tin trên đường truyền mà còn cho phép khôi phục dữ liệu qua bước giải mã Đây là một lớp bảo vệ quan trọng trong việc đảm bảo an toàn thông tin.
Bảo vệ vật lý là biện pháp ngăn cản truy nhập không hợp pháp vào hệ thống, thường thông qua việc hạn chế người không có quyền vào phòng máy chủ và sử dụng ổ khóa cho máy tính hoặc các trạm không có ổ mềm Tường lửa đóng vai trò quan trọng trong việc ngăn chặn các cuộc tấn công trái phép, đồng thời lọc bỏ các gói tin không mong muốn để bảo vệ an toàn cho máy tính và mạng nội bộ.
Quản trị mạng đóng vai trò quan trọng trong thời đại công nghệ thông tin, khi mà mạng máy tính quyết định toàn bộ hoạt động của tổ chức Để đảm bảo hệ thống mạng hoạt động an toàn và không gặp sự cố, việc quản trị mạng trở thành một nhiệm vụ cấp thiết.
An toàn thông tin bằng mật mã:
Mật mã là một ngành khoa học chuyên nghiên cứu các phương pháp truyền tin bí mật Mật mã bao gồm: Lập mã và phá mã
Mã hóa thông tin bao gồm hai quá trình chính: mã hóa và giải mã Để bảo vệ thông tin trên đường truyền, dữ liệu thường được chuyển đổi từ dạng nhận thức được sang dạng không nhận thức được, quá trình này gọi là mã hóa (encryption) Khi thông tin đến trạm nhận, quá trình ngược lại, tức là giải mã, sẽ diễn ra để biến đổi dữ liệu từ dạng không nhận thức được về dạng gốc Đây là một lớp bảo vệ thông tin quan trọng và phổ biến trong môi trường mạng Để bảo vệ thông tin bằng mật mã, có hai hướng tiếp cận chính.
Thông tin được mã hóa nhằm bảo vệ an toàn trên đường truyền giữa hai nút, mà không cần quan tâm đến nguồn gốc và đích đến của thông tin.
MẠNG RIÊNG ẢO
Mạng riêng ảo có tên tiếng Anh là Virtual Private Network, viết tắt là VPN Sau đây thường gọi ngắn gọn theo tên viết tắt
Theo VPN Consortium, VPN là một mạng riêng ảo sử dụng hạ tầng công cộng như Internet hoặc các dịch vụ ATM/Frame Relay để truyền thông tin một cách an toàn VPN cho phép khách hàng kết nối qua một hạ tầng công cộng nhưng vẫn duy trì các chính sách bảo mật và kiểm soát truy cập như một mạng riêng Hạ tầng công cộng này có thể bao gồm mạng IP, Frame Relay, ATM hoặc Internet.
1.2.2 Những lợi ích cơ bản của mạng riêng ảo
VPN mang lại nhiều lợi ích, bao gồm:
Giảm chi phí thực thi là một trong những lợi ích lớn nhất của VPN, vì chi phí sử dụng VPN thấp hơn nhiều so với các giải pháp truyền thống như đường Lease-Line VPN loại bỏ những yếu tố cần thiết cho các kết nối đường dài, thay vào đó sử dụng các kết nối cục bộ tới nhà cung cấp dịch vụ Internet (ISP) hoặc các điểm đại diện của ISP, giúp tiết kiệm chi phí hiệu quả.
Sử dụng VPN giúp giảm chi phí thuê nhân viên và quản trị mạng, nhờ vào việc tiết kiệm chi phí truyền thông đường dài Bên cạnh đó, VPN còn làm giảm đáng kể chi phí hoạt động của mạng WAN Khi các thiết bị trong mạng VPN được quản lý bởi nhà cung cấp dịch vụ Internet (ISP), tổ chức có thể giảm thiểu toàn bộ chi phí mạng và không cần thuê thêm nhiều nhân viên mạng cao cấp.
VPN giúp nâng cao khả năng kết nối bằng cách sử dụng Internet để liên kết các phần tử xa trong một Intranet Nhờ vào tính khả dụng toàn cầu của Internet, các chi nhánh, văn phòng và người dùng di động từ xa có thể dễ dàng truy cập vào Intranet của công ty.
VPN sử dụng công nghệ đường hầm để bảo mật dữ liệu khi truyền qua mạng công cộng không an toàn Dữ liệu được bảo vệ bằng các biện pháp như mã hóa, xác thực và cấp quyền, đảm bảo an toàn, tính tin cậy và tính xác thực Nhờ đó, VPN cung cấp mức độ bảo mật cao cho việc truyền tin.
Sử dụng băng thông hiệu quả trong kết nối Internet qua đường truyền Lease-Line là rất quan trọng, vì băng thông sẽ không bị lãng phí khi không có kết nối hoạt động Các VPN chỉ thiết lập các đường hầm logic khi cần thiết để truyền dữ liệu, giúp băng thông mạng được sử dụng tối ưu chỉ khi có kết nối Internet thực sự Điều này làm giảm đáng kể nguy cơ lãng phí băng thông.
VPN giúp nâng cao khả năng mở rộng cho Intranet của tổ chức với chi phí tối thiểu cho phương tiện và thiết bị, cho phép dễ dàng tương thích với sự phát triển trong tương lai Mặc dù giải pháp VPN mang lại nhiều lợi ích, nhưng cũng có những hạn chế như sự phụ thuộc vào Internet; quá tải lưu lượng và tắc nghẽn mạng có thể ảnh hưởng đến hoạt động của toàn bộ mạng VPN.
1.2.3 Các mô hình kết nối VPN
VPN nhằm hướng vào 3 yếu cầu cơ bản sau đây:
Người dùng có thể dễ dàng truy cập tài nguyên mạng mọi lúc thông qua điều khiển từ xa và điện thoại di động, đồng thời tạo điều kiện thuận lợi cho việc giao tiếp giữa nhân viên trong tổ chức.
-Có khả năng kết nối từ xa giữa các nhánh văn phòng
Được điều khiển truy cập tài nguyên mạng theo yêu cầu của khách hàng, nhà cung cấp và các đối tượng quan trọng trong công ty nhằm thúc đẩy hợp tác kinh doanh.
Ngày nay VPN đã phát triển thanh và phân chia thanh 3 mô hình chính: VPN truy cập từ xa (Remote Access VPN), VPN Cục bộ (Intranet VPN), VPN
Hình 1.1 Mạng VPN điển hình gồm mạng LAN trụ sở chính, các văn phòng từ xa và người truy cập từ bên ngoài
1.2.3.1 VPN truy nhập từ xa (Remote Access VPN)
VPN truy cập từ xa cho phép người dùng di động và nhân viên làm việc từ xa kết nối với tài nguyên mạng của tổ chức một cách an toàn Điều này đặc biệt hữu ích cho những người thường xuyên di chuyển hoặc các văn phòng chi nhánh ở xa, giúp họ duy trì hiệu suất làm việc và truy cập thông tin cần thiết mọi lúc, mọi nơi.
Việc triển khai giải pháp VPN truy cập từ xa cho phép các chi nhánh văn phòng và người dùng từ xa dễ dàng thiết lập kết nối Dial-up cục bộ tới ISP, từ đó kết nối vào mạng công ty qua Internet.
Hình 1.2 Thiết lập VPN truy cập từ xa
1.2.3.2 VPN cục bộ (Intranet VPN)
Intranet VPN là giải pháp kết nối hiệu quả giữa các chi nhánh văn phòng từ xa và Intranet trung tâm của tổ chức Khi không sử dụng công nghệ VPN, mỗi mạng từ xa phải thông qua các Router trung gian để kết nối với Intranet, gây ra sự phức tạp và tiềm ẩn rủi ro về bảo mật.
Hình 1.3 Thiết lập Intranet sử dụng WAN
Việc thiết lập Intranet qua WAN có chi phí cao do cần ít nhất 2 Router để kết nối với khu trung tâm từ xa Hơn nữa, việc thực thi, duy trì và quản trị Intranet xương sống cũng tốn kém Tuy nhiên, giải pháp VPN cho phép thay thế đường WAN xương sống bằng kết nối Internet chi phí thấp, giúp giảm đáng kể chi phí thực thi toàn bộ Intranet.
Hình 1.4 Thiết lập Intranet dựa trên VPN Ƣu điểm của việc thiết lập dựa trên VPN:
- Loại trừ được các Router từ đường WAN xương sống
- Vì Intenet hoạt động như một phương tiện kết nối, nó dễ dàng cung cấp các liên kết ngang hàng mới
- Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn
Tuy nhiên cũng có một số nhƣợc điểm:
Dữ liệu di chuyển qua một đường hầm trên mạng công cộng, do đó, các cuộc tấn công mạng như từ chối dịch vụ vẫn là mối đe dọa nghiêm trọng đối với an ninh mạng.
- Khả năng mất các dữ liệu khi truyền
Đường truyền dữ liệu đầu trên như Multimedia có độ trễ truyền tin cao, và thông lượng có thể giảm xuống rất thấp khi có sự hiện diện của Internet.
- Vì sự hiện diện của kết nối Internet có thể bị gián đoạn và QoS có thể không đƣợc đảm bảo
1.2.3.3 Mạng riêng ảo mở rộng (Extranet VPN)
CÔNG NGHỆ MÃ NGUỒN MỞ
1.3.1 Khái niệm phần mềm mã nguồn mở
Phần mềm mã nguồn mở (PMNM) là phần mềm cung cấp mã nguồn miễn phí, không chỉ miễn phí tiền mua mà còn miễn phí bản quyền Người dùng có quyền truy cập vào mã nguồn và được phép sửa đổi, cải tiến, nâng cấp phần mềm theo các quy định giấy phép mà không cần xin phép.
PMNM là một sản phẩm được phát triển bởi cá nhân, nhóm người hoặc tổ chức, với phiên bản đầu tiên và mã nguồn được công khai trên Internet Dựa trên phiên bản này, cộng đồng người dùng có thể tham gia đóng góp, phát triển, sửa lỗi và bổ sung để hoàn thiện sản phẩm cho các phiên bản tiếp theo.
Nhà cung cấp PMNM có quyền yêu cầu người dùng thanh toán chi phí cho các dịch vụ như bảo hành, huấn luyện, tư vấn và nâng cấp đã thực hiện Tuy nhiên, các mã nguồn mở không được bán ra vì chúng thuộc về tài sản trí tuệ chung, không phải của riêng một nhà cung cấp nào.
1.3.2 Những ưu điểm của PMNM
PMNM có chi phí thấp vì được sử dụng miễn phí về bản quyền, và nếu có chi phí, chỉ bao gồm chi phí đóng gói và dịch vụ sản phẩm Hơn nữa, PMNM hoàn toàn độc lập, không bị phụ thuộc vào bất kỳ nhà cung cấp nào.
Làm chủ công nghệ và đảm bảo an toàn, riêng tư là rất quan trọng, đặc biệt khi người dùng có quyền thay đổi phần mềm nguồn mở (PMNM) Việc nắm giữ mã nguồn cho phép người sử dụng phát triển, điều chỉnh và bổ sung tính năng theo nhu cầu cụ thể, điều mà các phần mềm thương mại thường không đáp ứng được.
Tính thích ứng và sáng tạo là khả năng quan trọng giúp các nhà phát triển tự nâng cấp và sửa lỗi phần mềm, đồng thời cho phép họ sáng tạo ra sản phẩm phù hợp với yêu cầu và phong cách riêng.
Chất lượng và độ tin cậy của phần mềm là yếu tố quan trọng, với nhiều phần mềm được phát triển và kiểm tra kỹ lưỡng Sau khi hoàn thành, các phần mềm này thường xuyên được đánh giá và cải tiến bởi đội ngũ phát triển đông đảo.
PMNM thường được phát triển dựa trên các tiêu chuẩn cao hơn, trong khi nhiều sản phẩm thương mại có thể chỉ tuân theo tiêu chuẩn riêng của từng công ty, điều này có thể dẫn đến sự không đồng nhất trong việc chấp nhận các tiêu chuẩn giữa các công ty khác nhau.
Không bị hạn chế quyền sử dụng: Quyền được dùng PMNM dưới bất kỳ hình thức nào làm yên tâm mọi nhà phát triển và người dùng
Tự do: PMNM cũng cho phép mỗi người sử dụng tạo ra và duy trì một phiên bản đặc thù theo yêu cầu của riêng mình
Phát triển dễ dàng: Những dự án phát triển phần mềm mới có thể tiến hành nhanh chóng mà không phải xin phép bất kỳ ai
1.3.3 Những hạn chế của PMNM
Người dùng có thể gặp khó khăn do thiếu hỗ trợ kỹ thuật đáng tin cậy, mặc dù họ có thể nhận được sự trợ giúp từ cộng đồng mã nguồn mở quốc tế Tuy nhiên, không có ai đảm nhận trách nhiệm hỗ trợ một cách toàn diện.
Số các thiết bị hỗ trợ PMNM còn hạn chế: Việc tìm kiếm và cài đặt trình điều khiển cho những thiết bị còn gặp nhiều khó khăn
Các ứng dụng chuyên nghiệp trên nền PMNM còn ít
Thiếu các hướng dẫn sử dụng cụ thể
Không có cam kết bắt buộc phải hoàn thành một sản phẩm cụ thể
Năng lực hạn chế của người sử dụng
Việc áp dụng PMNM trong các cơ quan công quyền và doanh nghiệp mang lại nhiều thuận lợi nhưng cũng không thiếu khó khăn, dựa trên kinh nghiệm quốc tế Để phát triển hiệu quả, Việt Nam cần nhận thức rõ ràng về những lợi ích và thách thức liên quan đến từng vấn đề cụ thể, từ đó đưa ra các giải pháp hợp lý và khả thi.
KẾT LUẬN
Chương này cung cấp cái nhìn tổng quan về an toàn và bảo mật thông tin, nhấn mạnh các thuật toán khả thi về mặt kinh tế và triển khai Nó cũng trình bày các mô hình và giao thức trong mạng riêng ảo (VPN), đồng thời nhấn mạnh sự phát triển mạnh mẽ của giải pháp mã nguồn mở nhờ vào những lợi ích vượt trội mà nó mang lại.
CÁC NGUY CƠ MẤT AN TOÀN THÔNG TIN TRONG MẠNG RIÊNG ẢO VÀ CÁC GIẢI PHÁP BẢO MẬT MẠNG RIÊNG ẢO
NGUY CƠ MẤT AN TOÀN THÔNG TIN TRONG MẠNG RIÊNG ẢO
2.1.1 Tấn công các thành phần mạng riêng ảo
Các yếu tố quan trọng nhất của một thiết lập VPN bao gồm:
-Người dùng truy cập từ xa -Kết nối trang phân đoạn ISP -Internet công cộng
Hình 2.1 Mô hình VPN cơ bản
VPN-Client là người dùng cuối hoặc người dùng từ xa, và các mối đe dọa an ninh lớn nhất đối với họ là thông tin bí mật như ID và mật khẩu Để bảo vệ thông tin quan trọng, người dùng cần thường xuyên thay đổi mật khẩu, giúp giảm thiểu khả năng bị đoán mật khẩu bởi kẻ xấu.
Kết nối phân đoạn ISP là thành phần dễ bị tổn thương thứ hai trong một hệ thống có thể đọc được vào cuối ISP Khả năng dữ liệu bị đọc trong quá trình giao dịch giữa người dùng cuối và mạng nội bộ của ISP là khá cao Để giảm thiểu nguy cơ nghe trộm từ các thực thể bên ngoài, việc mã hóa dữ liệu người dùng từ xa trước khi gửi đến ISP là cần thiết Tuy nhiên, nếu thuật toán mã hóa yếu, nó sẽ không bảo vệ đầy đủ chống lại các nhà cung cấp dịch vụ Internet, những người có thể giải mã dữ liệu và khai thác thông tin khách hàng cho lợi ích của họ.
Kết nối Internet và đường hầm phụ thuộc vào nhà cung cấp dịch vụ (ISP), nhưng nếu ISP có ý định xấu, họ có thể thiết lập đường hầm và gateway giả mạo Trong tình huống này, người dùng dữ liệu nhạy cảm sẽ kết nối với gateway giả mạo, cho phép ISP thu thập và kiểm tra dữ liệu cho mục đích riêng Gateway giả mạo cũng có khả năng thay đổi dữ liệu trước khi chuyển tiếp đến gateway thực, khiến các gateway đích tin rằng dữ liệu đến từ nguồn đáng tin cậy Điều này có thể dẫn đến việc dữ liệu độc hại xâm nhập vào mạng.
Một mối đe dọa bảo mật dữ liệu là khi gói tin di chuyển qua các đường hầm trên mạng Internet công cộng Đường hầm dữ liệu được thiết lập thông qua nhiều thiết bị định tuyến, trong đó các bộ định tuyến trung gian có khả năng kiểm tra và thậm chí sửa đổi dữ liệu, ngay cả khi nó đã được mã hóa, nếu chúng được cấu hình với mục đích xấu.
PPTP và L2TP thiếu cơ chế bảo mật mạnh mẽ để chống lại việc giả mạo từ nhà cung cấp dịch vụ Internet và các thiết bị định tuyến Ngược lại, IPSec cung cấp khả năng mã hóa tiên tiến, mang lại mức độ bảo vệ cao chống lại các yếu tố lừa đảo.
Điểm đến cuối cùng của một gói dữ liệu đường hầm là gateway, nơi mà các gói dữ liệu có thể bị tấn công nếu không có cơ chế xác thực mật mã Các cuộc tấn công như giả mạo địa chỉ và bắt gói tin có thể truy cập thông tin cleartext mà gateway sử dụng Cơ chế xác thực mật mã cung cấp một mức độ bảo mật nhất định, làm cho việc xâm nhập vào các thuật toán trở nên khó khăn hơn đối với kẻ tấn công Tuy nhiên, kẻ tấn công nội bộ vẫn có khả năng truy cập thông tin cleartext được gửi vào mạng nội bộ bởi gateway.
2.1.2 Tấn công giao thức mạng riêng ảo 2.1.2.1 Tấn công trên PPTP
PPTP dễ bị tổn thương trên hai khía cạnh Chúng bao gồm:
Generic Routing Encapsulation (GRE) là một giao thức đường hầm đơn giản, chỉ đóng gói dữ liệu dạng cleartext mà không cung cấp phương pháp vận chuyển an toàn Điều này khiến cho các gói tin GRE dễ bị tấn công, vì kẻ tấn công có thể dễ dàng nắm bắt và đọc dữ liệu nếu không được mã hóa Kết quả là, thông tin nhạy cảm như địa chỉ IP hợp lệ trong mạng nội bộ có thể bị lộ, tạo điều kiện cho kẻ tấn công truy cập vào dữ liệu và tài nguyên trong mạng riêng Hơn nữa, các kẻ tấn công có thể thực hiện các cuộc tấn công định hướng, gây gián đoạn lưu lượng mạng.
Các đường hầm GRE tự động định tuyến có thể gây ra rủi ro cho VPN Để bảo vệ dữ liệu, nên áp dụng định tuyến tĩnh cho các đường hầm Một biện pháp hiệu quả để chống lại tấn công này là cho phép dữ liệu đi qua tường lửa sau khi loại bỏ tiêu đề GRE.
Một điểm yếu của GRE là việc sử dụng chuỗi số # để đồng bộ hóa đường hầm, nhưng các thông số kỹ thuật GRE không kiểm tra sự trùng lặp hoặc tính hợp lệ của số thứ tự gói tin Điều này cho phép các nút đích bỏ qua số thứ tự và xử lý gói tin mà không kiểm tra Kết quả là, kẻ xâm nhập có thể dễ dàng gửi các gói tin không hợp lệ chứa dữ liệu độc hại vào mạng nội bộ của tổ chức.
PPTP không chỉ gặp phải các lỗ hổng bảo mật mà còn có thể bị tấn công kiểu từ điển, trong đó kẻ tấn công tìm kiếm mật khẩu ở dạng rõ ràng Thời gian để phát hiện mật khẩu phụ thuộc vào hệ thống, độ phức tạp của mật khẩu và kỹ năng của kẻ tấn công; ví dụ, một cuộc tấn công brute-force có thể tiết lộ mật khẩu chỉ trong vài giây, vài giờ hoặc vài ngày.
IPSec không chỉ đơn thuần là thuật toán mã hóa hay cơ chế xác thực, mà thực chất là sự kết hợp của cả hai, giúp bảo vệ dữ liệu thông qua các thuật toán khác Tuy nhiên, IPSec vẫn có thể bị tấn công theo nhiều phương thức khác nhau.
+ Các cuộc tấn công chống lại thực hiện IPSec + Tấn công chống lại quản lý khóa
Các cuộc tấn công quản trị và ký tự đại diện khai thác hai điểm yếu của IPSec bằng cách sử dụng các thuật toán NULL và thương lượng khóa yếu hơn khi giao thức kết thúc không hỗ trợ các khóa mạnh hơn.
IPSec sử dụng DES-CBC để mã hóa và HMAC-MD5, HMAC-SHA1 cho xác thực Giao thức IPSec ESP và AH là tùy chọn, cho phép sử dụng thuật toán NULL Việc áp dụng thuật toán NULL cho phép kết nối mà không cần DES-CBC, dẫn đến khả năng các thiết lập trở nên dễ bị tổn thương trước các mối đe dọa an ninh.
IPSec cho phép thiết lập giao tiếp qua việc đàm phán các khóa mã hóa Nếu một đầu hỗ trợ khóa yếu (40bit), đầu kia cũng phải sử dụng khóa yếu tương tự, mặc dù có khả năng hỗ trợ khóa mạnh hơn (56bit và 128bit) Hiện nay, các khóa 56bit có thể bị phá trong vài tháng, thậm chí vài ngày, trong khi khóa 40bit dễ bị tấn công hơn nhiều.
IPSec sử dụng IKE để quản lý khóa, nhưng các cuộc tấn công nhắm vào quản lý khóa có thể khai thác điểm yếu này Khi một trong hai bên giao tiếp chấm dứt phiên, bên kia không có cách nào nhận biết điều này, tạo ra lỗ hổng bảo mật Lỗ hổng này cho phép kẻ xâm nhập bên thứ ba giả mạo danh tính của các bên đã chấm dứt và tiếp tục trao đổi dữ liệu.
KẾT LUẬN
Chương này phân tích các nguy cơ mất an toàn của mạng riêng ảo, bao gồm tấn công vào các thành phần và giao thức mạng riêng ảo, tấn công mật mã, và tấn công từ chối dịch vụ Dựa trên những nguy cơ này, bài viết cũng xem xét các giải pháp bảo mật hiện tại nhằm đảm bảo tính xác thực, tính toàn vẹn và tính bí mật của thông tin Cuối cùng, chương này tìm hiểu về hạ tầng khóa công khai PKI để tích hợp với công nghệ VPN.
LỰA CHỌN GIẢI PHÁP BẢO MẬT, XÁC THỰC VPN VÀ TRIỂN KHAI ỨNG DỤNG DỰA TRÊN CÔNG NGHỆ MỞ
KHẢO SÁT HIỆN TRẠNG
3.1.1 Mô hình mạng của trường
Mạng cho Quản lý điều hành được triển khai theo mô hình client-server nhằm đảm bảo an toàn dữ liệu Hệ thống này cho phép tạo và phân quyền các nhóm người dùng, cũng như xác thực người dùng từ xa khi truy cập vào mạng nội bộ Đồng thời, việc chuyên môn hóa chức năng từng máy như printer server, file server và mail server giúp tăng tốc độ truy xuất và cải thiện hiệu suất làm việc của người dùng.
Mạng cho trung tâm TT yêu cầu bảo mật thấp hơn, được triển khai theo mô hình mạng ngang hàng Mỗi phòng đều có mạng LAN và internet, với việc chặn hoặc cho phép internet tùy thuộc vào yêu cầu và mục đích sử dụng để đảm bảo chất lượng.
Các máy trong hai khu vực được phân chia thành các VLAN khác nhau, tạo thành các khu vực riêng biệt theo kiến trúc hoặc mục đích sử dụng Người dùng từ xa có thể truy cập vào mạng nội bộ của trường thông qua công nghệ mạng riêng ảo (VPN).
Hiện tại nhà trường có 2 đường mạng FTTH của VNPT, với các khu nhà nhƣ sau:
STT Địa điểm Số máy trạm
Hình 3.1 Hệ thống mạng của trường
Hệ thống bao gồm các thành phần cơ bản sau:
Máy chủ được trang bị nhằm cung cấp các ứng dụng đào tạo và dịch vụ công nghệ thông tin, đồng thời hỗ trợ lưu trữ dữ liệu cho cán bộ và nhân viên trong cơ quan.
Hạ tầng mạng của Cao đẳng nghề Giao thông vận tải Trung ƣơng I được thiết lập để kết nối toàn bộ các phòng làm việc, phòng họp và phòng chức năng của các Phòng-ban Hệ thống này bao gồm cả mạng có dây và mạng không dây, đảm bảo sự liên kết hiệu quả giữa các khu vực trong trường.
- Hệ thống bảo vệ an ninh bảo mật: trang thiết bị bảo vệ an toàn thông tin cho hệ thống
Dịch vụ bao gồm các dịch vụ công cộng như Web, Mail, DNS và lưu trữ (SAN), cùng với các dịch vụ dành cho mạng nội bộ như DHCP, hệ thống giám sát mạng và hệ thống máy chủ dịch vụ.
Việc kết nối và truy cập dữ liệu chia sẻ trong mạng nội bộ là rất quan trọng đối với nhân viên ở nhà trường, đặc biệt khi họ thường xuyên làm việc xa Tuy nhiên, hiện tại cơ quan vẫn chưa triển khai được giải pháp này.
Cần tích hợp xây dựng hệ thống mạng riêng ảo (VPN) tối ưu để đáp ứng nhu cầu của Cao đẳng nghề Giao thông vận tải Trung ương I.
Môi trường internet công cộng đặt ra nhiều thách thức cho việc bảo mật thông tin, đặc biệt là những thông tin nhạy cảm và nội bộ, thường là mục tiêu tấn công có chủ đích Để đảm bảo an toàn cho kết nối mạng nội bộ, cần áp dụng các giải pháp bảo mật hiệu quả.
- Sử dụng các công nghệ bảo mật hiện đại
- Có thể thay đổi linh hoạt các phương pháp bảo mật
- Bổ sung các phương pháp bảo mật nhằm đảm bảo an toàn, an ninh
Để đảm bảo hoạt động liên tục của mạng, cần thiết kế phần mềm giám sát và quản trị hệ thống VPN Server tại trường Phần mềm này sẽ có khả năng theo dõi kết nối một cách hiệu quả.
Người quản trị mạng cần liên tục theo dõi kết nối VPN và thông tin cấu hình để đảm bảo an toàn Quản lý mạng VPN yêu cầu thiết lập chính sách bảo mật, lựa chọn thuật toán mã hóa phù hợp và quản lý, phân phối khóa an toàn Bên cạnh đó, việc quản lý địa chỉ IP theo các dải địa chỉ và cấp phát IP động cũng rất quan trọng.
Chi phí đầu tư là yếu tố quan trọng không thể bỏ qua Việc đưa ra một giải pháp chi phí hợp lý sẽ tạo điều kiện thuận lợi cho quá trình triển khai.
LỰA CHỌN GIẢI PHÁP
3.2.1 Phân tích yêu cầu thực tế và lựa chọn giải pháp OpenVPN
Hiện nay, nhiều giải pháp và thiết bị hỗ trợ công nghệ VPN từ các hãng như Cisco, Checkpoint, Juniper đang có mặt trên thị trường, nhưng giá thành cao của chúng là một rào cản lớn cho các tổ chức có ngân sách hạn chế Trong bối cảnh nhu cầu triển khai VPN ngày càng tăng, việc giảm giá thành sản phẩm là rất cần thiết Công nghệ phần mềm, đặc biệt là mã nguồn mở, đang phát triển mạnh mẽ và nếu được tận dụng, sẽ giúp giảm chi phí triển khai VPN mà vẫn đảm bảo an ninh và an toàn Việc áp dụng phần mềm VPN mã nguồn mở mang lại lợi thế cạnh tranh lớn so với các sản phẩm thương mại Hiện nay, có hai nhóm giải pháp VPN mã nguồn mở phổ biến: giải pháp không gian nhân và không gian người sử dụng.
Nhóm giải pháp không gian nhân bao gồm các giải pháp sửa đổi nhân thông qua các bản vá lỗi, với độ phức tạp cao hơn và tính linh hoạt thấp hơn so với nhóm giải pháp không gian người sử dụng Hầu hết các giải pháp này được triển khai trên giao thức bảo mật IPsec, có thể được hỗ trợ bởi nhân hoặc thông qua các bản vá nhân Một trong những dự án tiêu biểu là FreeS/WAN, dự án đầu tiên cung cấp mã nguồn IPsec cho Linux, bao gồm chồng nhân IPsec gọi là KLIPS.
Dự án FreeS/WAN đã bị hủy bỏ vào năm 2004 OpenSwan và StrongSwan là sự tiếp tục của dự án FreeS/WAN [4]
Giải pháp không gian người sử dụng hoạt động độc lập với mô đun nhân và các bản vá, mang lại sự linh hoạt và dễ cài đặt trên nhiều hệ điều hành Các giải pháp VPN không gian người sử dụng, như Tinc, CIPE, vTun và Open VPN, sử dụng "giao diện đường hầm áp đảo" để thiết lập kết nối mạng cơ bản và tạo đường hầm IP Những giải pháp này có thể được phân loại theo giao thức bảo mật, bao gồm các giao thức mã hóa sử dụng OpenSSL (Open VPN, vTun, Tinc) và các phương thức mã hóa riêng (CIPE, PPTP, L2TP).
Mục đích nghiên cứu này là xây dựng giải pháp VPN trên môi trường Linux, với OpenVPN là lựa chọn tối ưu Việc sửa đổi nhân và biên dịch lại không khả thi và tốn thời gian, trong khi IPsec có cấu hình phức tạp OpenVPN cung cấp phương thức bảo mật gần như tương đương với IPsec, sử dụng SSL/TLS làm hệ thống bảo mật Đây là phần mềm an toàn và đáng tin cậy, không có lỗ hổng bảo mật lớn nào được phát hiện.
Ngày nay, sự phát triển mạnh mẽ của công nghệ phần mềm, đặc biệt là công nghệ mã nguồn mở, mang lại nhiều cơ hội cho việc triển khai ứng dụng VPN Việc tận dụng mã nguồn mở không chỉ giúp giảm đáng kể chi phí cho mô hình mạng riêng ảo mà còn tạo điều kiện thuận lợi cho các đơn vị áp dụng công nghệ mới.
OpenVPN là một trong những lựa chọn hàng đầu cho việc thiết lập VPN, nhờ vào khả năng cấu hình đơn giản và tính năng bảo mật mạnh mẽ mà nó cung cấp.
3.2.2 Tích hợp PKI dùng usb eToken Để đáp ứng yêu cầu một mạng riêng ảo có tính bảo mật cao Đa số các mạng riêng ảo ngày nay đang đƣợc khai thác không sử dụng sự hỗ trợ của cơ sở hạ tầng mã khóa công khai (PKI) Các điểm kết nối cuối của các mạng VPN này nhận biết lẫn nhau thông qua thiết lập các đường hầm IP Một cách đơn giản nhất, là cài đặt cấu hình tại hai đầu của đường hầm VPN cùng chia sẻ một bí mật chung - một cặp mật khẩu Phương pháp giải quyết đơn giản này có thể hoạt động tốt trong một mạng VPN nhỏ nhƣng sẽ trở nên khó khăn khi điều khiển trong mạng VPN có số lƣợng điểm truy cập lớn
Hai đầu cuối VPN nhận diện nhau qua chứng nhận điện tử, một yếu tố thiết yếu trong mạng VPN lớn Khi đường hầm IP được khởi tạo, các điểm kết nối cuối xác thực lẫn nhau bằng chứng nhận điện tử Hệ thống mã hóa công khai đóng vai trò quan trọng trong việc thiết lập và duy trì sự an toàn cho các mạng VPN quy mô lớn.
USB eToken là thiết bị phần cứng chuyên dụng cho việc tạo và lưu trữ cặp khóa công khai và bí mật, kết nối với máy tính qua cổng USB Thiết bị này mang lại nền tảng bảo mật an toàn, hiệu quả và dễ dàng triển khai trên quy mô lớn.
Giải pháp sử dụng thiết bị Secure Token ST 3 của hãng SecureMetric tương thích với các môi trường Linux, Windows
Hình 3.2 Thiết bị usb eToken secureToken ST3
TRIỂN KHAI ỨNG DỤNG
Mô hình mạng thông tin được đề xuất nhằm thử nghiệm cho hai nhóm mạng: mạng kết nối Internet/WAN và mạng nội bộ không kết nối Internet Dựa trên các đánh giá và phân tích các giải pháp bảo mật mạng riêng ảo, tác giả đã lựa chọn và đề xuất sử dụng giải pháp Firewall/VPN mã nguồn mở Việc triển khai giải pháp này sẽ được thực hiện tại trường Cao đẳng nghề Giao thông vận tải Trung ương I.
Hệ thống Firewall/VPN đóng vai trò VPN Server
Triển khai tại trung tâm
Essential security features include a VPN that supports both Site-to-Site and Client-to-Site connections, a firewall compatible with the VPN system, and centralized management for monitoring the entire VPN connection system.
Hệ thống Firewall/VPN tại các Site
Deployment occurs at remote locations, establishing a connection to the VPN server through a Site-to-Site model Essential features include support for both Site-to-Site and Client-to-Site VPN, as well as a robust firewall.
Triển khai hệ thống cho phép người dùng từ xa và di động kết nối dễ dàng thông qua phần mềm OpenVPN Người dùng sẽ cài đặt OpenVPN để kết nối tới máy chủ VPN, đồng thời lưu trữ khóa bảo mật trên thiết bị etoken để đảm bảo an toàn thông tin.
Chính sách truy cập: Thiết lập lớp chính sách truy cập cho các lớp khác nhau của người sử dụng
Nhân viên có quyền truy cập vào các dịch vụ như email và website nội bộ, trong khi quản trị viên có quyền truy cập toàn quyền vào hệ thống Để quản lý truy cập, cần phân tách người sử dụng theo dải IP ảo và thiết lập chính sách kiểm soát truy cập trên Firewall cho từng dải IP ảo.
Hệ thống Server VPN sẽ được cấu hình với IP public để đảm bảo các VPN client có thể nhận diện và kết nối thành công trên Internet Đối với hệ thống IP VPN, lớp IP private được sử dụng với đề xuất 172.16.100.0/24 và 172.16.50.0/24 Giải pháp kết nối point to point sẽ tạo ra một lớp subnet/30 cho mỗi kết nối.
Triển khai mô hình remote access (hình 3):
Giải pháp VPN theo hai mô hình Site to Site và remote access đã được triển khai thành công trên cả Windows và Linux Các VPN client sử dụng khóa lưu trên thiết bị phần cứng etoken để xác thực và khởi tạo kết nối Khi kết nối thành công với VPN server, người dùng có thể truy cập các ứng dụng nội bộ của cơ quan Tường lửa tích hợp kiểm soát từng kết nối đến VPN server dựa trên IP, với quyền truy cập được phân hoạch theo chính sách của quản trị viên.
Phân chia các mô hình vật lý
Center Network Remote Office Network
Site Wan IP Ethernet IP Site Wan IP Ethernet IP VPN server (B) eth0:
Chính sách truy cập: Thiết lập lớp chính sách truy cập cho các lớp khác nhau của người sử dụng
- Quản trị: Truy cập toàn quyền vào hệ thống
Lớp Dải IP ảo Chính sách Đặt tên
Nhân viên 172.16.102.0/24 Truy cập email, website
Tên người dùng Quản trị 172.16.50.0/24 Toàn quyền truy cập sysadmin1
- Cách tiếp cận cơ bản, tách các lớp người sử dụng theo dải IP ảo
- Kiểm soát truy cập bằng cách thiết lập chính sách trên firewall áp dụng cho từng dải IP ảo
Phân hoạch IP cho hệ thống server VPN sẽ bao gồm cấu hình IP public để đảm bảo các VPN client có thể nhận diện và kết nối thành công trên internet Hệ thống IP VPN sẽ sử dụng lớp IP private, với đề xuất sử dụng các dải địa chỉ 172.16.102.0/24 và 172.16.50.0/24 Giải pháp kết nối sẽ theo dạng point to point, trong đó mỗi kết nối sẽ khởi tạo một lớp subnet /30.
3.3.2 Cài đặt và cấu hình openvpn
Bước 1: tải gói ứng dụng wget http://www.openvpn.net/release/openvpn-2.3.8.tar.gz wget http:/www.oberhumer.com/opensource/lzo/download/lzo-2.3.8.tar.gz
Bước 2: Trước tiên cài đặt gói lzo : tar –xvzf lzo-2.38.tar.gz cd lzo-2.38 /configure make make check make test make install
Bước 3 : tiến hành cài đặt openvpn : tar –xvzf openvpn-2.3.8.tar.gz cd openvpn-2.3.8 /configure make make install
Sinh khóa là quá trình thiết lập CA và tạo ra chứng chỉ số cùng khóa cho máy chủ OpenVPN và nhiều máy khách Bước đầu tiên trong quá trình này là thiết lập một PKI (cơ sở hạ tầng khóa công khai), bao gồm các thành phần cần thiết để đảm bảo tính bảo mật và xác thực trong việc quản lý chứng chỉ.
- Khóa công khai và khóa riêng của máy chủ và mỗi máy khách
- Giấy chứng nhận CA, chứng chỉ và khóa đƣợc sử dụng để đăng ký mỗi chứng chỉ số của máy chủ và các máy khách
Việc tạo và quản lý PKI (small PKI) được thực hiện dưới dạng scrip được cài đặt tại /etc/openvpn/easy-rsa:
- Chỉnh sửa các thông số KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG, and KEY_EMAIL trong tệp cấu hình vars
/vars /clean-all /build-ca ai:easy-rsa # /build-ca
++++++ writing new private key to 'ca.key' -
You are about to be asked to enter information that will be incorporated into your certificate request
What you are about to enter is what is called a Distinguished Name or a
There are quite a few fields but you can leave some blank For some fields there will be a default value,
If you enter '.', the field will be left blank
- Country Name (2 letter code) [KG]:
State or Province Name (full name) [NA]:
Locality Name (eg, city) [BISHKEK]:
Organization Name (eg, company) [OpenVPN-TEST]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:OpenVPN-CA Email Address [me@myhost.mydomain]:
- Tạo chứng chỉ số và khóa cho server
- Tạo chứng chỉ và khóa cho máy khách / build-key client
/build-dh ai:easy-rsa # /build-dh Generating DH parameters, 1024 bit long safe prime, generator 2 This is going to take a long time
In the context of server and client security, several key files are essential for establishing a secure connection The Root CA certificate (ca.crt) is required for both the server and all clients, while the Root CA key (ca.key) is crucial for the key signing machine Diffie-Hellman parameters (dh{n}.pem) are necessary solely for the server The server certificate (server.crt) is exclusive to the server, and the server key (server.key) is also specific to the server For client authentication, the Client1 Certificate (client1.crt) is designated for client1, whereas the Client1 Key (client1.key) is exclusively for client1 as well.
Cấu hình hệ thống Openvpn:
To set up a VPN server, configure the server to use UDP on port 1554 with the IP range 172.16.102.0/24 Ensure you include the necessary certificates and keys located in the /etc/openvpn/scfg directory, such as ca.crt, server.crt, and server.key Enable client-to-client communication and specify the client configuration directory Use management commands to facilitate local management on 127.0.0.1:6300 Push routing options for the local network and DNS settings, while setting the MTU to 1300 For clients, connect to the server at 192.168.98.44 on the same port, utilizing the same certificate and key configurations Implement PKCS#11 for additional security, and configure keepalive settings and logging for monitoring Adjust the maximum number of clients to 100 and ensure persistent connections with appropriate verbosity for troubleshooting.
Thông tin cấu hình CA:
Thông tin cấu hình Client
Thông tin cấu hình Server:
Cài đặt giao diện quản trị mạng VPN sử dụng webmin:
Tải bộ cài đặt webmin từ địa chỉ sau: http://www.webmin.com/download.html
Và cài đặt [root@uynq ~]# rpm -Uvh webmin-1.550-1.noarch.rpm Sau khi cài đặt, đăng nhập vào Webmin bằng địa chỉ https://localhost:10000
Chọn Server -> OpenVPN + CA, chọn Certification Authority List Điền các thông tin, chọn Save
Hệ thống sẽ tạo ra các tham sô ca.key và ca.crt cho Certification Authority
Tạo khóa cho máy chủ VPN Để tạo Server key, vào Server -> OpenVPN + CA -> Certication Authority List, và chọn Keys list
Tạo mới và cấu hình VPN server
Chọn Servers -> OpenVPN + CA -> VPN List, chọn New VPN server Điền các thông tin cho VPN Server
Tạo khóa và tài khoản VPN client
Chọn Servers -> OpenVPN + CA -> Certication Authority List -> Keys list
Hệ thống tạo khóa cho client
Giải pháp OpenVPN là lựa chọn tối ưu cho yêu cầu về bảo mật và dễ dàng triển khai Mô hình kiến trúc của OpenVPN khắc phục nhiều vấn đề bảo mật, bao gồm chống tấn công DDOS, tấn công phát lại và tấn công trung gian Luận văn đề xuất triển khai một giải pháp VPN ứng dụng thử nghiệm vào mô hình kết nối mạng trong thực tế.
Xây dựng giải pháp hoàn thiện dựa trên phần mềm OpenVPN mã nguồn mở với hai mô hình site to site và remote access Tích hợp các giải pháp bảo mật nâng cao dựa trên PKI, bao gồm lưu khóa trên thiết bị phần cứng và giải pháp tường lửa mã nguồn mở Phát triển phần mềm quản trị với giao diện quản trị trên nền web.
Công cụ quản trị giúp giám sát kết nối và lựa chọn thuật toán mã hóa cho kết nối VPN, từ đó cung cấp cơ sở cho việc triển khai các giải pháp bảo mật mạng riêng ảo trong thực tế.
- Nghiên cứu giải pháp bảo mật Cơ sở dữ liệu
- Nghiên cứu giải pháp bảo mật thƣ điện tử
- Nghiên cứu giải pháp bảo mật xác thựcWeb