Nghiên cứu xây dựng hệ thống đảm bảo an toàn truyền tin trên mạng Vinaphone

Mặt khác, để có thể chắc chắn một điều rằng chỉ những người có quyền mới được truy cập vào cơ sở dữ liệu thông tin thuê bao, Vinaphone đã chọn công nghệ xác thực dựa trên hai yếu tố RSA

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Đỗ Thị Hương Quỳnh

NGHIÊN CỨU XÂY DỰNG HỆ THỐNG ĐẢM BẢO AN TOÀN TRUYỀN TIN TRÊN MẠNG VINAPHONE

Ngành: Công nghệ thông tin

Chuyên nghành: Hệ thống thông tin

Mã số: 60 48 05

LUẬN VĂN THẠC SĨ

NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Trịnh Nhật Tiến

Hà Nội – 2009

MỤC LỤC

LỜI MỞ ĐẦU 1

Chương 1 TỔNG QUAN VỀ CISCO VPN CLIENT 8

1.1 GIỚI THIỆU CISCO VPN CLIENT 8

1.2 CÁC THÀNH PHẦN CHÍNH CỦA CISCO VPN CLIENT 11

1.3 CÁC THÀNH PHẦN CẦN THIẾT ĐỂ TẠO KẾT NỐI VPN 13

1.4 THỦ TỤC THIẾT LẬP MỘT KẾT NỐI VPN 13

1.5 CÁC ỨNG DỤNG CỦA CISCO VPN CLIENT 14

1.6 NGUYÊN TẮC HOẠT ĐỘNG CỦA CISCO VPN CLIENT 15

1.6.1 Giao thức IPSec 15

1.6.2 Giao thức IKE 15

1.7 MỘT SỐ HOẠT ĐỘNG CƠ BẢN CỦA CISCO VPN CLIENT 16

1.8 CÁC CÔNG NGHỆ KẾT NỐI TRONG CISCO VPN CLIENT 17

1.8.1 Dịch vụ điện thoại analog (POTS) 17

1.8.2 Mạng số các dịch vụ tích hợp (ISDN) 17

1.8.3 Cáp (Cable) 17

1.8.4 Đường thuê bao số (DSL) 17

1.9 CÁC TÍNH NĂNG CỦA CISCO VPN CLIENT 18

1.9.1 Các tính năng chương trình 18

1.9.2 Các tính năng Windows NT, Windows 2000 và Windows XP 19

1.9.3 Các tính năng của bộ giao thức IPSec 19

1.9.4 Các tính năng xác thực 23

1.9.5 Các tính năng tường lửa 24

1.9.6 Các thuộc tính của IPSec do Cisco VPN Client hỗ trợ 25

Chương 2 CÔNG NGHỆ XÁC THỰC RSA SECURID 31

2.1 TỔNG QUAN CÔNG NGHỆ XÁC THỰC RSA SECURID 31

2.1.1 ĐỊNH NGHĨA CÔNG NGHỆ RSA SECURID 31

2.1.2 ĐẶC ĐIỂM CÔNG NGHỆ XÁC THỰC RSA SECURID 31

2.2 ƯU ĐIỂM CỦA CÔNG NGHỆ RSA SECURID 33

2.3 CÁC THÀNH PHẦN CỦA CÔNG NGHỆ RSA SECURID 34

2.3.1 Thẻ xác thực RSA SecurID 35

2.3.2 Phân loại thẻ xác thực RSA SecurID 37

2.3.3 Phần mềm xác thực (RSA Authentication Agent) 44

2.3.4 Máy chủ xác thực (RSA Authentication Manager) 47

2.4 CƠ CHẾ XÁC THỰC CỦA CÔNG NGHỆ RSA SECURID 49

2.4.1 Mô hình xác thực 49

2.4.2 Thủ tục xác thực 50

2.4.3 Nguyên tắc đồng bộ thời gian trên RSA Authentication Manager 51

2.5 GIỚI THIỆU THUẬT TOÁN MÃ HÓA CỦA RSA SECURID 54

2.5.1 Giới thiệu 54

2.5.2 Các vấn đề liên quan đến thuật toán 55

2.6 CÁC ĐIỂM YẾU TRONG RSA SECURID 59

2.6.1 Giới thiệu 59

2.6.2 Giao thức Ace 61

2.6.3 Tấn công giao thức 66

2.6.4 Phòng thủ phía người dùng 68

2.6.5 Cố định giao thức 69

2.7 CÁC TẤN CÔNG DỰA TRÊN ĐIỂM YẾU CỦA THẺ RSA SECURID 70

2.7.1 Tấn công dựa vào mã Token của thẻ Token có độ dài cố định 70

2.7.2 Tấn công từ chối dịch vụ 71

2.7.3 Tấn công replay khi máy chủ và máy slave tách biệt 72

2.7.4 Hiểm họa trong giao tiếp giữa máy chủ ACE và máy khách 74

Chương 3 CÀI ĐẶT HỆ THỐNG ĐẢM BẢO AN TOÀN TRUYỀN TIN CHO VINAPHONE 76

3.1 LỜI MỞ ĐẦU 76

3.2 GIỚI THIỆU CISCO VPN CLIENT 5.0.00.0340 79

3.2.1 Giới thiệu 79

3.3.2 Tính năng của Cisco VPN Client 79

3.3 GIỚI THIỆU THẺ BẢO MẬT RSA SECURID SID700 80

3.3.1 Giới thiệu 80

3.3.2 Tính năng của RSA SecurID SID700 80

3.3.3 Đặc tả kỹ thuật RSA SecurID700 81

3.4 CẤU HÌNH CÀI ĐẶT CISCO VPN CLIENT 5.0.00.0340 CHO CÁC TRUY CẬP VÀO MẠNG VINAPHONE 82

3.4.1 Các yêu cầu hệ thống 82

3.4.2 Thực hiện cài đặt Cisco VPN Client 5.0.00.0340 84

3.4.3 Cấu hình Cisco VPN Client 5.0.00.0340 để truy nhập vào mạng Vinaphone 85

3.4.4 Yêu cầu xác thực người dùng 88

KẾT LUẬN 89

TÀI LIỆU THAM KHẢO 90

DANH MỤC CÁC HÌNH VẼ

Hình 1.1 Sơ đồ kết nối Cisco VPN Client 10

Hình 1.2 Các ứng dụng của Cisco VPN Client 14

Hình 1.3 Trao đổi thông điệp ở chế độ chính của IKE 25

Hình 1.4 Trao đổi thông điệp ở chế độ linh hoạt của IKE 26

Hình 2.1 Các thành phần của RSA SecurID 34

Hình 2.2 RSA SecurID SD200 37

Hình 2.3 RSA SecurID SD520 PINpad 38

Hình 2.4 RSA SecurID 600 38

Hình 2.5 RSA SecurID SID700 39

Hình 2.6 RSA SecurID SID800 39

Hình 2.7 RSA SecurID 900 40

Hình 2.8 Mô hình xác thực của RSA SecurID 49

Hình 2.9 Thủ tục xác thực của RSA SecurID 50

Hình 2.10 Sơ đồ đồng bộ thời gian trên RSA Authentication Manager 51

Hình 2.11 Thủ tục tạo tokencode 55

Hình 2.12 Giao thức Ace Client/Server 62

Hình 2.13 Thông điệp (Hello) 63

Hình 2.13 Thông điệp (Time) 64

Hình 2.14 Yêu cầu xác thực passcode 65

Hình 2.15 Giao thức Ace Client/Server bị tấn công 67

Hình 3.1 Các file có trong Cisco VPN Client 5.0.00.0340 84

Hình 3.2 Chế độ nâng cao của Cisco VPN Client 5.0.00.0340 85

Hình 3.3 Tạo một connection entry mới 85

Hình 3.4 Nhập thông tin kết nối tới mạng công ty Vinaphone 86

Hình 3.5 Connection entry kết nối tới mạng công ty Vinaphone 87

Hình 3.6 Nhập thông tin người dùng truy nhập vào mạng công ty Vinaphone 88

Hình 3.7 Thành phần của passcode 88

LỜI MỞ ĐẦU

Công ty Vinaphone là một công ty trực thuộc Tập đoàn Bưu chính Viễn thông Việt nam (VNPT) hoạt động trong lĩnh vực thông tin di động Là một trong các mạng di động lớn nhất Việt Nam, Vinaphone luôn luôn cố gắng để thực hiện cam kết trong thương hiệu là nhà cung cấp sản phẩm và dịch vụ thông tin di động với chất lượng tốt nhất, đồng thời không ngừng chú trọng nâng cao chất lượng chăm sóc khách hàng

Ngoài trụ sở chính tại Hà Nội, Vinaphone thành lập thêm 3 trung tâm khu vực lớn và 64 điểm chăm sóc khách hàng trên khắp các tỉnh thành của cả nước Tuy nhiên, một vấn đề đặt ra là tất cả thông tin liên quan đến thuê bao của các tỉnh thành chỉ được tập hợp và lưu trữ trên cơ sở dữ liệu thuê bao tại trụ sở chính Do

đó, để khâu chăm sóc khách hàng đạt hiệu quả cao nhất thì đòi hỏi nhân viên tại mỗi điểm đều có sẵn mọi thông tin liên quan đến thuê bao tại khu vực mình phục

vụ các hoạt động như cắt mở dịch vụ, giải quyết khiếu nại, nợ đọng,…Tất cả các thông tin về thuê bao đều là những thông tin nội bộ của công ty, do đó yêu cầu quá trình truyền các thông tin thuê bao từ trụ sở chính đến các điểm phải an toàn, bí mật, thông tin truyền đến phải nguyên vẹn Trên cơ sở tính phân tán các đơn vị của công ty cũng như các tiêu chí về việc đảm bảo an toàn cho dữ liệu truyền, mạng riêng ảo là lựa chọn hàng đầu của Vinaphone Mặt khác, để có thể chắc chắn một điều rằng chỉ những người có quyền mới được truy cập vào cơ sở dữ liệu thông tin thuê bao, Vinaphone đã chọn công nghệ xác thực dựa trên hai yếu tố RSA SecurID của RSA Security để xác thực người dùng

Xây dựng được hệ thống đảm an toàn truyền dữ liệu và quản lý nhân viên thao tác dữ liệu được xây dựng bằng phần mềm mạng riêng ảo của Cisco kết hợp với thẻ bảo mật RSA SecurID sẽ giúp cho công ty Vinaphone hoàn toàn có thể đáp ứng được các mục tiêu của mình

Luận văn này được thực hiện nhằm mu ̣c đích ―Nghiên cứu xây dựng hệ thống đảm bảo an toàn truyền tin trên mạng Vinaphone‖ để đưa lý thuyết vào xây dựng một hệ thống thực sự

Nội dung của luận văn gồm ba chương được bố cục như sau:

- Chương 1: Giới thiệu các kiến thức cơ bản về mạng riêng ảo của Cisco

- Chương 2: Giới thiệu các kiến thức cơ bản về thẻ bảo mật RSA SecureID

- Chương 3: Cấu hình, cài đặt một mạng riêng ảo và sử dụng SecureID để truy cập vào cơ sở dữ liệu thuê bao Vinaphone

Chương 1 TỔNG QUAN VỀ CISCO VPN CLIENT

1.1 GIỚI THIỆU CISCO VPN CLIENT

Ngày nay, các doanh nghiệp thường có xu hướng mở rộng địa bàn hoạt động trên toàn quốc hoặc toàn cầu Thông tin ở các chi nhánh được tập hợp và quản lý

về trung tâm và ngược lại, thông tin nội bộ của công ty có thể gửi đến các chi nhánh để cập nhật phục vụ mọi hoạt động của doanh nghiệp Do đó, đối với mỗi doanh nghiệp, giải pháp để truyền tin an toàn trong nội bộ mỗi doanh nghiệp đó đều là bài toán cần phải giải quyết tốt góp phần thực hiện tốt các chiến lược kinh doanh

Do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thỏa mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện

có của Internet, đó chính là mô hình mạng riêng ảo (Virtual Private Network - VPN)

Với mô hình mới này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng

mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được hoạt động của mạng này VPN cho phép người sử dụng làm việc tại nhà, trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng Nó

có thể đảm bảo an toàn thông tin giữa các đại lý, người cung cấp Trong nhiều trường hợp VPN cũng giống như một mạng diện rộng, tuy nhiên đặc tính quyết định của VPN là chúng có thể dùng mạng công cộng như Internet mà đảm bảo tính riêng tư và tiết kiệm hơn nhiều

Một mạng riêng ảo truy cập từ xa gọi tắt là VPN là một công nghệ kết nối cung cấp kết nối an toàn và bí mật cho những người dùng truy cập từ xa đến các tài nguyên của công ty qua mạng Internet Người của công ty truy cập từ xa cần phải

có phần mềm VPN client cài đặt trên máy tính của mình và một kết nối Internet (thông qua Dial-up, broadband ADSL, wifi,…)

Cisco VPN Client là một phần mềm mạng riêng ảo phổ biến được sử dụng để cung cấp kết nối truy cập từ xa cho các mạng doanh nghiệp Cisco VPN Client cho Windows là chương trình phần mềm chạy trên máy tính trên cơ sở Microsoft Windows Cisco VPN Client trên một máy điều khiển từ xa giao tiếp với một Cisco VPN server trên một mạng doanh nghiệp hoặc với các nhà cung cấp dịch

vụ, tạo một kết nối an toànqua Internet Thông qua kết nối này để truy cập đến một mạng riêng giống như một người dùng tại chỗ Máy chủ xác minh rằng các kết nối đến phải có chính sách cập nhật trước khi thiết lập các kết nối đó.[1]

Khi một người dùng điều khiển từ xa, đầu tiên phải kết nối đến mạng Internet, sau đó sử dụng VPN Client để truy cập an toàn tới các mạng riêng của doanh nghiệp qua một Cisco VPN server có hỗ trợ Cisco VPN Client

Cấu hình sau đây chỉ ra một cách cài đặt cơ bản cho một ứng dụng điều khiển

từ xa sử dụng Cisco VPN Client để kết nối an toàn qua mạng Internet đến mạng công ty

Hình 1.1 Sơ đồ kết nối Cisco VPN Client Đầu tiên người điều khiển từ xa kết nối đến một nhà cung cấp dịch vụ mạng (ISP) Tiếp theo, khởi động Cisco VPN Client đã được cài đặt trên máy và thiết lập kết nối đến máy chủ VPN đặt tại công ty Máy chủ VPN có thể là một tường lửa Cisco (PIX hay ASA), một bộ tập trung Cisco VPN hoặc một bộ định tuyến Cisco với phần mềm IPSec Mỗi khi kết nối VPN được thiết lập, người dùng truy cập từ xa có thể giao tiếp với máy chủ trong công ty và các tài nguyên giống như đang ở một máy trong nội bộ công ty

1.2 CÁC THÀNH PHẦN CHÍNH CỦA CISCO VPN CLIENT

1/ Bộ định tuyến (Cisco VPN Router)

Những router này tạo ra một hạ tầng mạng, cho phép truy cập nhanh và an toàn vào những ứng dụng kinh doanh với độ bảo mật cao

2/ Tường lửa an toàn Cisco PIX (Cisco Private Internet Exchange Firewall)

Tường lửa PIX là thành phần chính trong giải pháp bảo mật của Cisco, bảo mật về phần cứng và phần mềm, đáp ứng bảo mật mạng mức độ cao mà không ảnh hưởng đến hoạt động của mạng PIX là một thiết bị lai vì nó kết hợp các đặc điểm của công nghệ lọc gói tin và máy chủ uỷ quyền (proxy server)

3/ Nhóm thiết bị tập trung Cisco VPN (Cisco VPN Concentrator series)

Thiết bị tập trung Cisco VPN 3000 sử dụng RSA SecurID Authentication để cung cấp quá trình xác thực hai yếu tố thông qua cơ chế xác thực RSA SecurID hoặc xác thực RADIUS cho cả các kết nối IPSec VPN lẫn SSL VPN

Để giao tiếp một cách dễ dàng giữa thiết bị tập trung Cisco VPN và thiết bị quản lý xác thực RSA (RSA Authentication Manager) hay thiết bị RSA SecurID (RSA SecurID Appliance), phải thêm một bản ghi Agent Host vào cơ

sở dữ liệu RSA Authentication Manager và cơ sở dữ liệu RADIUS Server (nếu

sử dụng RADIUS) Bản ghi Agent Host nhận dạng thiết bị tập trung Cisco VPN trong cơ sở dữ liệu của nó và chứa thông tin về cách thức giao tiếp cũng như thông tin mã hóa

4/ Phần mềm đảm bảo an toàn Cisco VPN (Cisco Secure VPN Client)

Cisco Secure VPN Client là một chương trình chạy trên hệ điều hành Window, cho phép bảo mật việc truy cập từ xa tới bộ định tuyến Cisco và tường lửa PIX Cisco Secur VPN Client cho phép thiết lập các hành lang an toàn trên mạng riêng ảo nối từ xa

5/ Hệ thống phát hiện xâm nhập an toàn và máy quét an toàn

Thường được sử dụng để giám sát và kiểm tra các vấn đề an toàn trên mạng riêng ảo

o Hệ thống phát hiện xâm nhập (Cisco Secure Intrusion Detection System) Cung cấp cơ chế phát hiện xâm nhập một cách hoàn chỉnh Cisco đưa ra một giải pháp an toàn một cách toàn diện và rộng khắp cho việc chống lại các xâm nhập bất hợp pháp, các sâu mạng có hại, cùng với băng thông rộng và các tấn công vào các ứng dụng thương mại điện tử

o Máy quét (Cisco Secure Scanner)

Cho phép các doanh nghiệp chuẩn đoán và sửa chữa các vấn đề an toàn thông tin trong các môi trường mạng Sử dụng máy quét cùng với bức tường lửa, hệ thống phát hiện xâm nhập và các độ đo an toàn khác để đảm bảo tính bảo mật theo chiều sâu

6/ Chương trình quản lý chính sách an toàn và công cụ quản lý mạng

Cung cấp việc quản lý hệ thống mạng riêng ảo rộng khắp:

o Chương trình quản lý chính sách an ninh (Cisco Secure Policy Manager) Hoạt động trong một vị trí trung tâm trên mạng và phân phối các chính sách

an ninh cho các thiết bị khác trong mạng, bao gồm bộ định tuyến Cisco, tường lửa, các thiết bị của mạng riêng ảo và hệ thống phát hiện xâm nhập

o Công cụ quản lý mạng Cisco (CiscoWorks 2000)

Là tập hợp các sản phẩm quản lý mạng của Cisco, quản lý các bộ chuyển mạch, bộ định tuyến và tường lửa của Cisco Công cụ quản lý mạng Cisco đơn giản hoá quá trình cấu hình, quản lý và điều khiển trong các mạng của Cisco, đồng thời tối đa tính tính an toàn thông qua việc tích hợp với các dịch vụ điều khiển truy cập và theo các thay đổi trên mạng

1.3 CÁC THÀNH PHẦN CẦN THIẾT ĐỂ TẠO KẾT NỐI VPN

Để tạo được kết nối VPN, cần có các thành phần sau đây:

1/ Hệ thống xác thực người dùng (User Authentication)

Cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng hợp lệ kết nối và truy cập hệ thống VPN

Cơ chế xác nhận người dùng thường được triển khai tại các điểm truy cập và được dùng để xác nhận cho người dùng truy cập vào tài nguyên bên trong mạng Kết quả là chỉ có người dùng hợp lệ thì mới có thể truy cập vào bên trong mạng, điều này làm giảm đáng kể sự truy cập bất hợp pháp vào những dữ liệu được lưu trữ trên mạng

2/ Hệ thống quản lý địa chỉ (Address Management)

Cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN

để có thể truy cập tài nguyên trên mạng nội bộ

3/ Hệ thống mã hóa dữ liệu (Data Encryption)

Cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu

4/ Hệ thống quản lý khoá (Key Management)

Cung cấp giải pháp quản lý các khoá dùng cho quá trình mã hoá và giải mã

dữ liệu

1.4 THỦ TỤC THIẾT LẬP MỘT KẾT NỐI VPN

Quá trình thiết lập một kết nối VPN gồm các bước sau:

1/ Máy khách (VPN Client) có nhu cầu kết nối tạo kết nối (VPN Connection)

tới máy chủ cung cấp dịch vụ (VPN Server) thông qua kết nối Internet

2/ Máy chủ cung cấp dịch vụ chứng thực cho kết nối và cấp phép cho kết nối 3/ Bắt đầu trao đổi dữ liệu giữa máy khách Cisco VPN và mạng công ty

1.5 CÁC ỨNG DỤNG CỦA CISCO VPN CLIENT

Cisco VPN Client có các ứng dụng sau, cho phép lựa chọn từ trình đơn Programs[1]:

Hình 1.2 Các ứng dụng của Cisco VPN Client

Theo thứ tự sử dụng các ứng dụng như sau:

 Help: Hiển thị một hướng dẫn trực tuyến với các chỉ dẫn sử dụng các ứng dụng

 VPN Dialer: Cho phép cấu hình các kết nối tới một VPN server và cho phép bắt đầu các kết nối

 Certificate Manager: Cho phép kết nạp các chứng chỉ để xác thực các kết nối đến các VPN server

 Log Viewer: Cho phép hiển thị các sự kiện từ các bản ghi sự kiện

 Uninstall VPN Client: Cho phép loại bỏ một cách an toàn các phần mềm VPN Client từ hệ thống và tiếp tục kết nối cùng với các cấu hình xác thực

 SetMTU: Cho phép thay đổi bằng tay kích thước tối đa của các khối truyền

1.6 NGUYÊN TẮC HOẠT ĐỘNG CỦA CISCO VPN CLIENT

Cisco VPN Client làm việc với một Cisco VPN server để tạo ra một kết nối

an toàn, đƣợc xem nhƣ ―hành lang an toàn‖ cho kết nối và gọi là một tunnel, giữa máy tính và mạng riêng Nó sử dụng các giao thức IKE (Internet Key Exchange)

và IPSec (Internet Protocol Security) để tạo và quản lý kết nối an toàn

1.6.1 Giao thức IPSec

Giao thức IPSec (Internet Protocol Security) có quan hệ tới một số bộ giao thức (AH, ESP, FIP-140-1, và một số chuẩn khác), đƣợc phát triển bởi Tổ chức quản lý kỹ thuật Internet (IETF)

Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu an toàn ở tầng 3 (Network layer) của mô hình OSI Mọi giao tiếp trong một mạng trên cơ sở

IP đều dựa trên các giao thức IP Do đó, khi một cơ chế an toàn cao đƣợc tích hợp với giao thức IP, toàn bộ mạng đƣợc bảo vệ bởi vì các giao tiếp đều đi qua tầng 3

1.6.2 Giao thức IKE

Giao thức IKE là một trong những giao thức nằm trong bộ giao thức của IPSec IPSec dùng giao thức này để thỏa thuận các giao thức bảo mật và các thuật toán mã hóa Một phần quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã

và cập nhật những khóa đó khi đƣợc yêu cầu

IKE giúp cho các thiết bị tham gia mạng riêng ảo trao đổi với nhau các thông tin nhƣ mã hóa thế nào? Mã hóa bằng thuật toán gì? Bao lâu mã hóa 1 lần? IKE có tác dụng tự động thỏa thuận các chính sách an ninh giữa các thiết bị tham gia mạng riêng ảo Do đó IKE giúp cho IPSec có thể áp dụng cho các hệ thống mạng mô hình lớn Trong quá trình trao đổi khoá, IKE dùng thuật toán mã hóa bất đối xứng gồm bộ khóa công khai và khoá riêng để bảo vệ việc trao đổi key giữa các thiết bị tham gia mạng riêng ảo

1.7 MỘT SỐ HOẠT ĐỘNG CƠ BẢN CỦA CISCO VPN CLIENT

 Điều chỉnh các tham số tunnel: địa chỉ, thuật toán, lifetime,…

 Thiết lập các tunnel theo các tham số

 Xác thực người dùng: đảm bảo người dùng phải cho biết họ là ai thông qua các tên đăng nhập, tên nhóm và mật khẩu và chứng chỉ X.509

 Thiết lập các quyền truy cập người dùng: thời gian truy cập, thời gian kết nối, các đích cho phép, các giao thức cho phép,…

 Quản lý các khoá bí mật cho việc mã hóa và giải mã

 Xác thực, mã hóa và giải mã dữ liệu thông qua tunnel

Ví dụ, để sử dụng một máy điều khiển từ xa để đọc thư điện tử tại cơ quan, người sử dụng kết nối qua mạng Internet, sau đó bắt đầu Cisco VPN Client và thiết lập kết nối bảo mật đến mạng riêng của công ty thông qua mạng Internet Khi

mở thư điện tử, Cisco VPN server sử dụng IPSec để mã hoá thông điệp của thư điện tử Sau đó truyền thông điệp đó qua tunnel đến Cisco VPN Client, tại đây thông điệp được giải mã để có thể đọc được trên máy tính điều khiển từ xa Nếu trả lời thông điệp, Cisco VPN Client sử dụng IPSec để xử lý và trả về một thông điệp đến mạng riêng thông qua Cisco VPN server

1.8 CÁC CÔNG NGHỆ KẾT NỐI TRONG CISCO VPN CLIENT

Cisco VPN Client cho phép sử dụng các loại công nghệ sau đây để kết nối tới mạng Internet [1]:

1.8.1 Dịch vụ điện thoại analog (POTS)

Là dịch vụ điện thoại analog (kỹ thuật ―tương tự‖ ) hoạt động trên hệ thống dây dẫn đồng xoắn đôi và dựa trên hê ̣ thống điê ̣n thoa ̣i B ell nguyên thủy Các dây dẫn xoắn đôi nối các nhà ở và cửa hàng kinh doanh với các văn phòng trung tâm quanh vùng Kiểu này được go ̣i là vành đai cu ̣c bô ̣ Văn phòng trung tâm được nối với các văn phòng trung tâm khác và các phư ơng tiê ̣n đường dài Sử dụng một dial-up modem để kết nối

1.8.2 Mạng số các dịch vụ tích hợp (ISDN)

Có thể sử dụng một bộ điều giải dạng quay số (dial-up modem) để kết nối ISDN là mô ̣t hê ̣ thống điê ̣n thoa ̣i chuyển ma ̣ch số hoàn toàn được thiế t kế đầu tiên bởi các công ty điê ̣n thoa ̣i và các nhà cung cấp di ̣ch vu ̣ toàn cầu như m ột sự thay thế cho hê ̣ thống điê ̣n thoa ̣i tương tự Nó được đề xuất vào năm 1984, với mu ̣c tiêu xây dựng hê ̣ chuyển ma ̣ch hoàn toàn vào cuối thế kỷ Mô ̣t hê ̣ thống số hoàn toàn

có nhiều thuận lợi , bao gồm sự tin câ ̣y , tính khả mở và thích hợp cho việc truyền dữ liê ̣u

1.8.3 Cáp (Cable)

Sử dụng một bộ điều giải dạng cáp (cable modem), luôn luôn kết nối Một khi đã được nối, người sử du ̣ng có mô ̣t liên kết thường trực vào Internet thông qua mạng băng tần rộng của các công ty cáp

1.8.4 Đường thuê bao số (DSL)

Sử dụng một bộ điều giải dưới dạng đường thuê bao số (DSL modem), luôn luôn kết nối Công nghệ đường thuê bao số cải tiến đáng kể băng thông Nó có thể cung cấp tốc độ truyền dữ liệu (throughput) lên đến 52 Mbit/s qua những khoảng cách giới hạn

Ngoài ra cũng có thể sử dụng Cisco VPN Client trên một máy với một kết nối mạng LAN trực tiếp

1.9 CÁC TÍNH NĂNG CỦA CISCO VPN CLIENT

Cisco VPN Client bao gồm các tính năng sau[1]:

1.9.1 Các tính năng chương trình

 Trợ giúp hoàn chỉnh trên cơ sở HTML theo ngữ cảnh dựa trên trình duyệt

 Hỗ trợ các các nền bộ tập trung (VPN 3000 Series Concentrator) chạy phiên bản 3.0 hoặc cao hơn (VPN Client Release 3.0 và cao hơn sẽ không làm việc với phiên bản 2.x của VPN 3000 Series Concentrator)

 Giao diện Command-line đến VPN Dialer

 Truy cập LAN cục bộ: khả năng cho phép truy cập các tài nguyên trên một mạng LAN cục bộ trong khi kết nối qua một cổng bảo mật đến một central-site VPN server (nếu central site gán quyền)

 Chức năng cấu hình Cisco VPN Client tự động: khả năng nạp một tệp tin cấu hình

 Log Viewer: một ứng dụng tập hợp các sự kiện cho việc xem xét và phân tích

 Thiết lập kích thước MTU: Cisco VPN Client thiết lập kích thước tối ưu một cách tự động cho môi trường Tuy nhiên, có thể thiết lập kích thước bình thường

 Application Launcher: khả năng để bắt đầu chạy một ứng dụng hoặc trình quay

 Thông báo cập nhật phần mềm từ Cisco VPN server dựa vào kết nối

 Khả năng chạy một phần mềm nâng cấp từ một thông báo Cisco VPN server

 Khả năng thiết lập tự động các kết nối mạng riêng ảo không dây bảo mật một cách liền mạch

 NAT-T (NAT Transparency), cho phép Cisco VPN Client và bộ tập trung Cisco VPN tự động phát hiện khi sử dụng IPSec qua UDP để hoạt động một cách chính xác trong các môi trường chuyển đổi địa chỉ cổng

 Cập nhật danh sách máy chủ sao lưu được điều khiển tập trung: Cisco VPN Client học danh sách bộ tập trung VPN sao lưu thông qua việc thiết lập kết nối Tính năng này được cấu hình trên VPN 3000 Concentrator và đẩy vào Cisco VPN Client

 Hỗ trợ cho Dynamic DNS (DDNS hostname population): Cisco VPN Client gửi tên máy chủ (hostname) của nó đến VPN Concentrator trong suốt quá trình thiết lập kết nối VPN Concentrator có thể gửi hostname trong một DHCP request

mà có thể dẫn đến một máy chủ DNS để cập nhật cơ sở dữ liệu của nó bao gồm tên máy chủ mới và địa chỉ máy khách

1.9.2 Các tính năng Windows NT, Windows 2000 và Windows XP

 Thông tin mật khẩu hết hạn khi quá trình xác thực thông qua một RADIUS server tham chiếu đến một cơ sở dữ liệu người dùng NT Khi người dùng đăng nhập, VPN Concentrator gửi một message thông báo mật khẩu hết hạn và yêu cầu nhập mật khẩu mới, sau đó xác thực mật khẩu mới này.Với các VPN Client phiên bản trước 3.5 sẽ nhắc người dùng đưa ra một PIN và xác thực nó Với VPN Client phiên bản từ 3.5 trở nên, yêu cầu nhập và xác thực một mật khẩu

 Start Before Logon: là khả năng thiết lập kết nối VPN trước khi đăng nhập vào một giao diện Windows NT, bao gồm cả Windows NT 4.0, Window 2000 và cả Windows XP

 Khả năng vô hiệu hóa ngắt kết nối một cách tự động khi thoát khỏi Windows NT.[1]

1.9.3 Các tính năng của bộ giao thức IPSec

1/ Giao thức IPSec tunneling

Là một chuẩn bảo mật quốc tế về mạng riêng ảo do Tổ chức quản lý kỹ thuật Internet phát triển nhằm đảm bảo sự an toàn cho việc truyền những thông tin nhạy cảm tới một mạng riêng thông qua thiết bị VPN, qua các mạng không

có bảo vệ như Internet

IPsec áp dụng bảo mật ở lớp xử lý các gói dữ liệu trong khi những giải pháp trước đó áp dụng bảo mật ở lớp ứng dụng

và có thể cho phép cả giao thức IKE (sử dụng UDP cổng 500) và giao thức có trường protocol trong IP là 50 được đóng gói trong các gói TCP trước khi chúng được gửi thông qua các thiết bị NAT/PAT hay các fireware Các ứng dụng phổ biến cho transparent tunneling là dưới dạng bộ định tuyến thực thi kỹ thuật PAT Cisco VPN Client cũng gửi các tín hiệu duy trì kết nối (keepalive) một cách tuần tự, đảm bảo rằng những gì được sắp đặt trên các thiết bị luôn duy trì hoạt động

Không phải tất cả các thiết bị hỗ trợ nhiều kết nối đồng thời Một vài thiết bị không thể sắp đặt các phiên bổ sung cho các cổng nguồn duy nhất Đảm bảo kiểm tra các hãng cung cấp thiết bị để xác minh liệu giới hạn này có tồn tại hay không Một vài hãng hỗ trợ giao thức chuyển đổi địa chỉ cổng với giao thức đóng gói ESP, được đóng gói bởi giao thức IP và trường protocol trong IP là 50 cho phép hoạt động, mà không cần kích hoạt chế độ transparent tunneling

Để sử dụng transparent tunneling, phía trung tâm trong thiết bị Cisco VPN phải được cấu hình để hỗ trợ nó Tham số này được kích hoạt là mặc định

Sau đó chọn chế độ transparent tunneling, qua UDP hoặc qua TCP Chế độ được chọn sử dụng phải phù hợp với chế độ được sử dụng bởi cổng bảo mật mà người dùng kết nối

Cả hai chế độ đều hoạt động một cách đúng đắn thông qua thiết bị PAT Nhiều kết nối đồng thời có thể hoạt động tốt hơn với TCP, và nếu người dùng trong một môi trường extranet, thì nói chung chế độ TCP là phù hợp hơn cả

UDP không hoạt động với các bức tường lửa có trạng thái (stateful firewall), do

đó trong trường hợp này phải sử dụng TCP

 Sử dụng IPSec qua UDP (NAT/PAT)

- Kích hoạt IPSec qua UDP (NAT/PAT): số hiệu cổng được thoả thuận UDP là chế độ mặc định

 Sử dụng IPSec qua TCP (NAT/PAT/Firewall)

- Kích hoạt IPSec qua TCP: khi sử dụng TCP, người dùng cũng phải nhập số hiệu cổng cho TCP trong trường TCP port Số hiệu cổng này phải phù hợp với

số hiệu cổng được cấu hình trên cổng bảo mật Cổng mặc định là 10000

3/ Giao thức quản lý khóa IKE

Ngoài chức năng trao đổi khoá giữa các thiết bị tham gia VPN, IKE còn có chức năng trao đổi chính sách an ninh giữa các thiết bị Nếu không có giao thức này thì người quản trị phải cấu hình thủ công

Những chính sách an ninh trên những thiết bị này được gọi là SA (Security Associate) Do đó các thiết bị trong quá trình IKE sẽ trao đổi với nhau tất cả những SA mà nó có Và giữa các thiết bị này sẽ tự tìm ra cho mình những SA phù hợp với đối tác nhất Những khóa được trao đổi trong quá trình IKE cũng được mã hóa và sẽ thay đổi theo thời gian

4/ IKE Keepalives

Là chức năng bộ đếm thời gian Nghĩa là sau khi 2 thiết bị đã tạo được VPN IPsec với nhau, nó sẽ thường xuyên gửi cho nhau gói keepalives để kiểm tra tình trạng của đối tác Mục đích chính để phát hiện hỏng hóc của các thiết bị Thông thường các gói keepalives sẽ gửi mỗi 10 giây Quản lý và báo cáo sự có mặt liên tục của một tệp tin trên VPN Client Chức năng này cho người sử dụng biết khi tệp tin không còn nữa Các kiểu keepalive khác giữ cho các cổng NAT hoạt động

5/ Split tunneling

Khả năng chuyển cùng một lúc các gói tin qua mạng Internet dưới dạng bản rõ (clear text) và mã hóa thông qua một IPSect tunnel Người dùng có khả năng kích hoạt split tunneling trên Cisco VPN Client và cấu hình danh sách mạng trên Cisco VPN server giống như VPN Concentrator Cisco VPN server cung cấp một danh sách các mạng cho phần mềm khách VPN cho lưu lượng được qua tunnel

6/ Hỗ trợ Split DNS

Là khả năng chuyển các gói tin DNS dưới dạng bản rõ qua Internet tới các miền được cung cấp thông qua một DNS bên ngoài hoặc qua một IPSect tunnel tới các miền được chỉ ra bởi DNS của công ty

Cisco VPN server cung cấp một danh sách các tên miền tới phần mềm khách VPN cho các gói tunneling tới các địa chỉ đích trong mạng riêng Ví dụ, yêu cầu

cho một gói đã dành riêng cho corporate.com sẽ đi qua tunnel đến DNS mà đáp ứng mạng riêng, trong khi yêu cầu cho gói dành cho myfavoritesearch.com sẽ được

điều khiển bởi DNS của ISP Tính năng này được cấu hình trên máy chủ VPN (VPN Concentrator) và kích hoạt trên phần mềm khách VPN một cách mặc định

Để sử dụng Split DNS, người dùng cũng phải có split tunneling đã được cấu hình

7/ LZS data compression

Cung cấp cơ chế nén và giải nén nhanh dữ liệu, có thể có lợi cho những người dùng sử dụng modem

1.9.4 Các tính năng xác thực

o Xác thực bằng RADIUS (Dịch vụ truy cập bằng điện thoại xác nhận từ xa)

Là một giao thức an toàn trên Internet khá mạnh dựa trên mô hình Client/Server, phía client truy xuất vào mạng và RADIUS server là khúc mạng cuối sẽ xác nhận client Thông thường, RADIUS server xác nhận người dùng bằng tên đăng nhập và mật khẩu mà nó lưu trữ trong danh sách Ngườ i dùng từ xa gọi vào server truy cập , server sẽ yêu cầu di ̣ch vu ̣ xác nhâ ̣n từ server di ̣ch vu ̣

RADIUS Server dịch vu ̣ RADIUS xác nhâ ̣n người dùng và cho phép ho ̣ truy câ ̣p tài nguyên Server truy câ ̣p là client quan tro ̣ng đối với server dịch vụ RADIUS

o Xác thực bằng NT Domain (Windows NT)

Domain trong Windows NT server là mô ̣t nhóm máy tính và người dùng được quản lý bởi một người có thẩm quyền trung tâm Miền có thể trải rô ̣ng đến trên nhiều phòng ban và nhóm làm việc, cũng như các nhóm máy tính khác Tên miền được dùng để dễ quản lý các nhóm máy tính và dễ đưa ra các chính sách an toàn cho mô ̣t vùng trên ma ̣ng

o Xác thực bằng RSA SecurID

Là kỹ thuật xác thực người dùng truy cập tài nguyên dựa trên hai yếu tố: cái

mà người dùng biết (mật khẩu), với cái mà người dùng có (mã xác thực trên thẻ

mà người dùng có) Việc kết hợp tiện ích của mã xác thực và mật khẩu sẽ cung cấp cơ chế xác thực an toàn và bảo mật hơn là dùng mật khẩu đơn

1.9.5 Các tính năng tường lửa

 Hỗ trợ tường lửa dạng PIX, chạy phiên bản 6.0 hoặc cao hơn

Tường lửa PIX (PIX Firewall) là một thiết bị an ninh mạng hàng đầu của tập đoàn Cisco System Mặc định thì tường lửa PIX đóng vai trò như một thiết bị lớp 3 trong hệ thống mạng Nghĩa là nó phải định tuyến cho các lưu lượng đi qua nó Khi gói tin đến tường lửa PIX, nó cần xác định xem phải đẩy gói tin ra thiết bị ghép tương thích nào (nếu được phép)

Tương tự như bộ định tuyến, tường lửa PIX định tuyến cho các lưu lượng dựa vào địa chỉ IP đích PIX tách phần địa chỉ IP đích trong IP Header của gói tin và tra trong bảng định tuyến (routing Table) của nó để ra quyết định Nếu nó biết được địa chỉ đích tương ứng với thiết bị ghép nào thì sẽ đẩy gói tin ra thiết bị ghép đó đó; nếu không tìm thấy thông tin thích hợp trong bảng định tuyến, nó sẽ hủy gói tin Vì vậy, để tường lửa có thể định tuyến cho các lưu lượng qua nó, người quản trị cần phải cấu hình định tuyến cho các mạng ở các vùng mà tường lửa cần biết

Thiết kế của tường lửa PIX có nhiều ưu điểm so với các loại tường lửa nền tảng

là ứng dụng (Proxy Server) hay dựa trên công nghệ lọc gói tin (Packet Filter) Việc có một hệ điều hành đơn cho phép thiết bị hoạt động hiệu quả hơn, và vì nó được thiết kế với mục đích bảo mật nên sẽ hầu như không có điểm yếu để khai thác Tường lửa PIX cung cấp khả năng lọc trạng thái (Stateful Filter), lọc giao thức và ứng dụng; khả năng

dự phòng, hỗ trợ công nghệ mạng riêng; hệ thống dò tìm xâm, hỗ trợ bảo mật đa phương tiện (Multimedia Security)

1.9.6 Các thuộc tính của IPSec do Cisco VPN Client hỗ trợ

Cisco VPN Client hỗ trợ các thuộc tính sau của giao thức IPSec:

1/ Chế độ chính (Main mode)

Chế độ chính cho việc thoả thuận pha 1 của quá trình thiết lập ISAKMP SA ISAKMP là giao thức cung cấp khả năng liên kết các giao thức bảo mật khác, qua Internet ISAKMP cũng là một phần quan trọng của IPsec, đƣợc sử dụng để mã hoá các gói dữ liệu và tạo một kênh truyền dữ liệu bảo mật tới mạng công ty thông qua Internet công cộng Các công ty lớn có nhiều chi nhánh nhỏ sử dụng IPsec để tạo kết nối an toàn từ các chi nhánh nhỏ tới trụ sở chính, lập thành một mạng riêng ảo trên Internet Qua kết nối đó, các nhân viên có thể sử dụng công nghệ này để truy cập vào mạng nội bộ của công ty từ xa [3]

Chế độ chính xác nhận và bảo vệ tính đồng nhất của các bên có liên quan trong quá trình giao dịch Trong chế độ này, 6 thông điệp đƣợc trao đổi giữa các điểm:

- Hai thông điệp đầu tiên dùng để thỏa thuận chính sách bảo mật cho sự thay đổi

- Hai thông điệp kế tiếp để thay đổi các khóa Diffie-Hellman và số ngẫu nhiên gửi cho bên kia Các khóa này thực hiện vai trò quan trọng trong mã hóa

- Hai thông điệp cuối dùng để xác nhận các bên giao dịch với sự giúp đỡ của chữ

ký, hàm băm, và tuỳ chọn với chứng nhận

Hình 1.3 Trao đổi thông điệp ở chế độ chính của IKE

2/ Chế độ linh hoạt (Aggressive mode)

Cho việc thoả thuận pha 1 của quá trình thiết lập ISAKMP SAs.[3]

Chế độ linh hoạt về bản chất giống chế độ chính, chỉ khác là chế độ này chỉ có 3 thông điệp được trao đổi Do đó, chế độ linh hoạt nhanh hơn chế độ chính Các thông điệp đó bao gồm:

- Thông điệp đầu tiên đưa ra chính sách bảo mật, cấp dữ liệu liên quan đến khóa chính, trao đổi các số ngẫu nhiên cho việc ký và xác minh tiếp theo

- Thông điệp kế tiếp hồi đáp lại cho thông tin đầu tiên Nó xác thực người nhận

và hoàn thành chính sách bảo mật bằng các khóa

- Thông điệp cuối cùng dùng để xác nhận người gửi (hoặc bộ khởi tạo của phiên làm việc)

Hình 1.4 Trao đổi thông điệp ở chế độ linh hoạt của IKE

3/ Các thuật toán xác thực

Mã xác thực thông điệp dựa vào hàm băm HMAC là một dạng của mã xác thực thông điệp MAC Tính toán dựa vào hàm băm kết hợp với khóa bí mật Cũng như với bất kỳ MAC nào, nó được dùng để xác minh đồng thời cả tính toàn vẹn

dữ liệu và tính xác thực của thông điệp Tính an toàn của HMAC tùy thuộc vào tính an toàn của hàm băm mà nó dựa vào, tuỳ thuộc vào kích thước và chất lượng của khoá, kích thước đầu ra (tính theo bit) của hàm băm

- HMAC với hàm băm lặp MD5: kết quả được gọi là HMAC-MD5

- HMAC kết hợp với hàm băm SHA-1: kết quả là HMAC-SHA-1

4/ Các chế độ xác thực

 Khóa chia sẻ (Preshared Keys): hỗ trợ cơ chế IKE giữa hai VPN để thỏa thuận khoá bí mật Khóa chia sẻ phải được đặt giống nhau giữa hai VPN

 Sử dụng chứng chỉ số X.509 để mã hoá và kiểm tra

5/ Thuật toán Diffie-Hellman các nhóm 1, 2, và 5

Diffie-Hellman là một giao thức cho phép thiết lập một bí mật được chia sẻ giữa hai người qua một kênh giao tiếp không an toàn Diffie-Hellman được sử dụng trong IKE để thiết lập các khóa phiên

 Diffie-Hellman nhóm 1 xác định rằng IPSec sẽ sử dụng khóa 768 bít

 Diffie-Hellman nhóm 2 xác định rằng IPSec sẽ sử dụng khóa 1024 bít

 Diffie-Hellman nhóm 5 xác định rằng IPSec sẽ sử dụng khóa 1536 bít

6/ Các thuật toán mã hóa

 Chuẩn mã hóa dữ liệu (Data Encryption Standard: DES 56 bít)

Là kỹ thuật mã hóa khóa riêng mã hóa theo từng khối 64 bít với khóa 56 bít Khóa 56 bít cho phép khoảng 256 tổ hợp khác nhau Ngoài ra, mỗi khối trong dòng

dữ liệu được mã hóa bằng các biến dạng khóa khác nhau, làm khó phát hiện sơ đồ

mã hóa trong các thông điệp dài

 Chuẩn mã hóa dữ liệu Triple-DES (3DES 168 bít)

Cũng giống như DES, 3DES cũng sử dụng khóa 56 bit Tuy nhiên, nó an toàn hơn nhiều do dùng 3 khóa khác nhau để mã hóa dữ liệu Bộ xử lý thực hiện các bước sau: khóa đầu tiên dùng để mã hóa dữ liệu; sau đó, khóa thứ hai sẽ dùng để giải mã dữ liệu vừa được mã hóa; cuối cùng, khóa thứ ba sẽ mã hóa lần thứ hai Toàn bộ quá trình xử lý của 3DES tạo thành một thuật giải có độ an toàn cao

 Chuẩn mã hóa tiên tiến AES (128 bít và 256 bít)

Là một thuật toán mã hóa khối đối xứng rất hiệu quả và tương đối an toàn, được chính phủ Hoa kỳ áp dụng làm tiêu chuẩn mã hóa AES làm việc với khối dữ liệu 128 bít và khóa có độ dài 128 hoặc 256 bít

7/ Giao thức xác thực mở rộng (Extended Authentication: XAUTH)

Kiểm tra xác thực người dùng với IKE Giao thức này gồm hai phần: xác thực người dùng VPN từ xa (XAUTH sẽ yêu cầu người dùng nhập username/password)

và việc gán địa chỉ TCP/IP (địa chỉ IP, netmask, DNS Server và WINS server) Thông tin này sau đó sẽ được kiểm tra thông qua việc sử dụng TACACS+/ RADIUS

8/ Chế độ cấu hình IKE

Về cơ bản được biết như ISAKMP/Oakley (Internet Security Association and Key Management Protocol) IKE giúp các bên giao tiếp hòa hợp các tham số bảo mật và khóa xác nhận trước khi một phiên bảo mật IPSec được triển khai Ngoài việc hòa hợp và thiết lập các tham số bảo mật và khóa mã hóa, IKE sửa đổi những tham số khi cần thiết trong suốt phiên làm việc IKE đảm nhiệm việc xoá bỏ những SA và các khóa sau khi một phiên giao dịch hoàn thành

9/ Chế độ đóng gói dữ liệu

Sử dụng giao thức đóng gói dữ liệu ESP (Encapsulating Security Payload) là giao thức truyền dữ liệu, bao gồm mã hóa dữ liệu và xác thực dữ liệu, đảm bảo an toàn đóng gói các gói tin IP nhằm bảo vệ gói dữ liệu Gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec header được chèn vào giữa phần đầu nguyên bản và phần đầu mới của IP

ESP sử dụng mã hóa khóa đối xứng để mã hoá dữ liệu cho các gói tin IPSec Khi một đầu cuối mã hoá dữ liệu, nó sẽ chia dữ liệu thành các khối nhỏ, và sau đó

mã hoá nhiều lần sử dụng các khối dữ liệu và khoá Thuật toán mã hoá hoạt động trong chiều này được xem như thuật toán mã hóa khối Khi một đầu cuối khác nhận được dữ liệu mã hoá, nó thực hiện giải mã sử dụng khóa giống nhau và quá trình thực hiện tương tự, nhưng trong bước này ngược với thao tác mã hoá Có thể xem ESP như một kênh an toàn

10/ Phương pháp nén IP (IPCOMP) sử dụng thuật toán LZS

o IPCOMP

Là giao thức nén giảm kích thước của các gói IP Giao thức này sẽ tăng quá trình giao tiếp giữa hai cặp host/gateway (gọi là hai node) đang giao tiếp với nhau bằng cách nén các gói tin và cho hiệu quả tốt trên đường truyền tốc độ chậm

Cơ chế nén này chỉ được áp dụng cho dữ liệu của các giao thức lớp 3 (IPCP và IPXCP), không ảnh hưởng đến lưu lượng của các giao thức LCP và NCP lớp 2.6

o Thuật toán Lempel-Ziv (LZS)

Cung cấp cơ chế nén và giải nén nhanh dữ liệu không mất mát thông tin cho các gói IP Thuật toán này sử dụng kỹ thuật điều khiển luồng trong cửa sổ trượt 2,048 byte Trong quá trình nén, các chuỗi dư thừa của dữ liệu được thay thế bằng các tokencode biểu diễn các chuỗi này Các chuỗi gốc ban đầu được thay thế cho các tokencode theo cách mà dữ liệu ban đầu đã được thu lại một cách chính xác LZS không giống các thuật toán nén mất mát dữ liệu, những thuật toán này thường dùng cho việc nén video sẽ không lấy lại được chính xác dữ liệu ban đầu Độ hiệu quả của thuật toán LZS phụ thuộc vào độ dư thừa của dữ liệu gốc 2

* Quy trình nén:

Người gửi phải điều quá trình nén để xử lý từng gói dữ liệu Điều này đảm bảo mỗi gói dữ liệu có thể được giải nén độc lập với nhau nhất là các gói dữ liệu được nhận về không theo thứ tự Người gửi phải kiểm tra thiết bị nén mỗi lần nó truyền một gói tin đã nén Quá trình kiểm tra cần thiết để ngăn chặn gói dữ liệu khỏi lọt vào trong một gói dữ liệu tiếp theo

Định dạng nén: input cho thuật toán nén là một gói tin IP Output là một gói tin mới có chứa dữ liệu gói tin đầu vào dưới cả hai định dạng nén và giải nén

Nếu dạng không nén được sử dụng, gói tin output được xác định là giống y gói tin input và IPComp header được bỏ qua Nếu định dạng nén được sử dụng, gói tin output được trộn với IPCOMP header và mã hóa theo chuẩn ANSI94 chỉ cho mục đích truyền tin

* Quy trình giải nén:

Nếu gói dữ liệu nhận về được nén, người nhận phải đặt lại quy trình giải nén gói dữ liệu Điều này đảm bảo rằng mỗi gói dữ liệu được giải nén độc lập với nhau, nhất là khi các gói tin nhận về không theo thứ tự Sau khi đặt lại quy trình giải nén, người nhận giải nén trường Payload Data theo đặc tả trong ANSI94 Nếu gói dữ liệu nhận về không được nén, người nhận không cần thực hiện quá trình giải nén và trường Payload Data của gói dữ liệu đã sẵn sàng cho việc xử lý bằng giao thức tầng tiếp theo

Chương 2. CÔNG NGHỆ XÁC THỰC RSA SECURID

2.1 TỔNG QUAN CÔNG NGHỆ XÁC THỰC RSA SECURID

2.1.1 ĐỊNH NGHĨA CÔNG NGHỆ RSA SECURID

RSA SecureID là một phương thức xác thực được phát triển bởi RSA Security cho việc thực thi quá trình kiểm tra tính hợp lệ hai-thành-phần (two-factor Authentication) cho một người dùng đến tài nguyên của mạng, trong đó người dùng cung cấp những gì mình biết (mâ ̣t khẩu), và cái mà họ có (do token tạo ra) Hai thành phần này giúp đi ̣nh danh người dùng và sau đó kiểm tra tính hợp

lê ̣ của người dùng

Tiền đề của cách tiếp cận này là khắc phục điểm yếu của cách xác thực bằng mật khẩu đơn, dễ nhớ, bằng một giải pháp đáng tin cậy hơn, tính xác thực cao hơn mà lại tiện dụng Các cơ quan thường gán token cho người dù ng ở xa hoă ̣c di đô ̣ng, có nhu cầu truy cập hệ thống từ ngoài

RSA SercurID dùng kỹ thuâ ̣t dựa theo thời gian , trong đó thiết bi ̣ hiển thi ̣

mô ̣t số thay đổi từng phút đồng bô ̣ với máy chủ an toàn Khi người dùng nhâ ̣p vào

hê ̣ thống, họ được yêu cầu nhập giá trị trên card SecurID Vì giá tr ị này thay đổi liên tu ̣c (chỉ dùng một lần), nó không thể dùng lại bởi người khác

2.1.2 ĐẶC ĐIỂM CÔNG NGHỆ XÁC THỰC RSA SECURID

Cơ chế xác thực RSA SecureID bao gồm một ―thẻ‖ - phần cứng (thẻ (token) hoặc USB) hay phần mềm (cho một PDA hoặc một cellphone), dùng kỹ thuâ ̣t dựa theo thời gian , trong đó thiết bi ̣ hiển thi ̣ mô ̣t số thay đổi từng phút đồng

bô ̣ với máy chủ an toàn Khi người dùng nhâ ̣p vào hê ̣ thống, họ được yêu cầu nhập giá trị trên thẻ RSA SecurID Giá trị này thay đổi liên tục (chỉ dùng một lần)c

Khoảng thời gian tạo ra một mã xác thực được cố định, thường là 30 hoặc

60 giây, sử dụng một khóa được cài đặt sẵn (built-in clock) và các khóa ngẫu nhiên chứa các nhân tố đã được mã hóa của thẻ (được gọi là bản ghi ―seed‖ và thường cung cấp dưới dạng file *.asc)

Seed là khác nhau đối với mỗi thẻ, và được nạp vào máy chủ RSA SecureID tương ứng (RSA Authentication Manager, viết dưới dạng thông thường

là ACE/Server) giống như những thẻ được mua sẵn Đặc biệt seed có độ dài là 128 bit Phần cứng thẻ được thiết kế không thể giả mạo để ngăn chặn kỹ thuật đảo ngược của thẻ

Cũng có các ―thẻ‖ dưới dạng phần mềm, có khả năng cung cấ p chức năng giống như các thẻ phần cứng Chúng gồm chương trình chạy trên máy xách tay Tuy nhiên, ―thẻ‖ phần mềm được xem là ít an toàn hơn là thẻ cứ ng vì nó dễ dàng thỏa hiệp

Quá trình xác thực người dùng tới một tài nguyên mạng cần nhập cả số định danh cá nhân và cả số được hiển thị tại cùng thời điểm trên thẻ RSA SecureID của họ Phía máy chủ cũng có đồng hồ thời gian thực và cơ sở dữ liệu các thẻ hợp lệ với một bản ghi seed tương ứng, tính toán số nào của thẻ được cung cấp đang chỉ ra tại thời điểm đúng lúc, kiểm tra lại những gì người dùng nhập và đưa ra quyết định là cho phép người dùng đó truy cập hay không

Chỉ những hệ thống thực hiện các PIN có thể sử dụng một duress PIN (PIN

―bắt buộc‖) – là một mã đã sửa đổi tạo ra bản ghi các sự kiện (event log) an toàn chỉ ra rằng người dùng đã cố gắng nhập PIN của họ, trong khi đó vẫn tiến hành xác thực một cách trong suốt

Trong khi hệ thống RSA SecureID thêm một tầng bảo mật mạnh vào một mạng thì rất khó có thể xảy ra trường hợp đồng hồ của máy chủ thẩm định quyền

đã ra khỏi vòng đồng bộ với đồng hồ được tạo ra bên trong các thẻ thẩm định Tuy nhiên, một điều đặc biệt là hệ thống quản lý thẩm định quyền RSA có thể chỉnh sửa một cách tự động cho vấn đề này, mà không ảnh hưởng gì đến người dùng và thông thường là bằng cách đồng bộ lại một thẻ bên trong hệ thống quản lý đó Việc cung cấp các thẻ thẩm định quyền cho những người cần truy nhập vào tài nguyên của hệ thống có thể rất tốn kém, đặc biệt là do các thẻ được lập trình để hết hiệu lực vào một thời điểm cố định, thông thường là ba năm, sau đó yêu cầu phải mua một thẻ mới

Hiện tại, RSA SecureID đã chiếm hơn 70% thị trường của ―xác thực thành-phần‖ và cho đến nay đã có 25 tỉ thiết bị được sản xuất RSA Security đã đưa ra một sáng kiến được gọi là ―Ubiquitous Authentication‖ – Xác thực khắp mọi nơi - hội nhập với các nhà sản xuất thiết bị như SanDisk, Motorola, Freescale Semiconductor, Redcannon, Broadcom và BlackBerry để nhúng phần mềm SecureID vào trong các thiết bị hàng ngày như: memory stick hoặc cell-phone, để giảm thiểu giá thành và số lượng các vật dụng mà người dùng cần mang đi 8

hai-2.2 ƯU ĐIỂM CỦA CÔNG NGHỆ RSA SECURID

Công nghệ RSA SecurID có các ưu điểm nổi bật sau đây:

1/ Độ an toàn cao: được xác thực dựa trên hai yếu tố (PIN + Token code) và

luôn thay đổi, khi một ai đó chặn bắt được passcode của người dùng thì cũng không thể sử dụng nó để đăng nhập vào hệ thống Do vậy, nó khắc phục được một nhược điểm rất lớn của xác thực bằng password là chỉ cần chặn bắt được password là có thể sử dụng để đăng nhập

2/ Quản lý password: đây là nhược điểm cố hữu của hình thức xác thực bằng

password Nhưng đối với SercurID, do được xác thực tập trung trên RSA Authentication Manager và ACE/Agent có thể được cài đặt tại nhiều điểm, chỉ cần sử dụng một token là người dùng có thể xác thực được tại bất cứ đâu trong mạng, tránh phải sử dụng nhiều password

3/ Thuận tiện: với nhiều lựa chọn cho thành phần RSA SecurID

Authenticator, người dùng có thể lựa chọn được thành phần thích hợp nhất cho mình

4/ Khả năng mở rộng: với việc được cài đặt RSA Authentication Manager

lên nhiều máy chủ, một tổ chức có nhiều chi nhánh có thể cung cấp khả năng xác thực thông qua một máy chủ bản sao được đặt ngay tại chi nhánh, thay vì phải sử dụng những kết nối đắt tiền về trung tâm để xác thực Người dùng SecurID của tổ chức này cũng có thể đăng nhập thông qua một tổ chức khác miễn là RSA Authentication Manager của hai tổ chức này tin cậy lẫn nhau

5/ Tích hợp với hệ điều hành MS Windows: không chỉ bảo vệ người dùng

khi truy cập vào trong mạng, khi truy cập vào ngay trong máy tính cá nhân, RSA SecurID cũng được kích hoạt để bảo vệ máy tính người dùng Giờ đây, password

để truy cập vào máy tính cá nhân sẽ được thay bằng passcode Đây là một trong những tính năng mới nhất của giải pháp này và điều này đảm bảo mọi tài nguyên thông tin trong doanh nghiệp đều được bảo vệ

6/ Hoạt động liên tục: khi một máy chủ chính không thể hoạt động được, một

máy chủ bản sao sẽ được nâng cấp lên thành máy chủ chính Điều này đảm bảo

hệ thống hoạt động được liên tục và ổn định

7/ Chi phí thấp: với việc không phải sử dụng và quản lý quá nhiều password,

người sử dụng sẽ không phải yêu cầu hỗ trợ từ bộ phận kỹ thuật, do vậy, chi phí cho hỗ trợ kỹ thuật giảm và năng suất lao động tăng lên [11]

2.3 CÁC THÀNH PHẦN CỦA CÔNG NGHỆ RSA SECURID

Giải pháp xác thực RSA SecurID có ba thành phần chính:

1/ Thẻ xác thực RSA SecurID (RSA SecurID Authenticator)

2/ Phần mềm xác thực (RSA Authentication Agent)

3/ Máy chủ xác thực (RSA Authentication Server)

Hình 2.1 Các thành phần của RSA SecurID

2.3.1.2 Tính năng

Thẻ xác thực RSA SecurID giúp các tổ chức bảo vệ thông tin riêng và quản lý định danh người dùng, các thiết bị và các ứng dụng trao đổi thông tin Chúng được thiết kế để khớp liền với cơ sở hạ tầng thương mại điện tử đang tồn tại của nhiều

tổ chức trên thế giới với các tính năng sau:

1/ Bảo mật mạng vững chắc:

Mỗi thẻ xác thực RSA SecurID có một khóa đối xứng duy nhất được kết hợp với một thuật toán mạnh để tạo ra một mã mới sau mỗi 60 giây Bởi vì số được tạo ra không đoán trước được và là số động nên kẻ tấn công rất khó để đoán

ra được số chính xác tại bất kỳ thời điểm nào đưa ra Công nghệ độc quyền đồng

bộ mỗi authenticator bằng máy chủ bảo mật để đảm bảo tính bảo mật cao

3/ Các giải pháp bảo mật linh hoạt:

Giải pháp RSA SecurID có thể cho phép các tổ chức đưa ra tổng giá thành của việc sở hữu nhiều ứng dụng Thẻ xác thực RSA SecurID có thể được các nhân viên, các đối tác kinh doanh và các khách hàng sử dụng Họ yêu cầu truy cập tới các máy chủ từ xa, mạng riêng ảo, thư điện tử, mạng không dây, hay thông tin hoặc các ứng dụng khác làm chủ trên máy chủ UNIX/Linux hay mạng của Microsoft Window Giải pháp xác thực RSA SecurID giúp đảm bảo rằng chỉ những người đã được cấp quyền được phép vào mạng

4/ Khả năng lưu dấu các phiên giao dịch:

Thiết bị xác thực lưu dấu các phiên giao dịch mới của RSA tương thích với thiết bị xác thực RSA SecurID, một giải pháp phần mềm xác thực đơn giản và dễ thực thi, có thể tích hợp trực tiếp vào các ứng dụng trong nội bộ một tổ chức tự xây dựng Thiết bị xác thực RSA SecurID được thiết kế để phù hợp với cơ sở hạ tầng đang tồn tại của một tổ chức và sẽ xác thực định danh người dùng một cách đơn giản bằng mật khẩu Nó cũng xác thực ―chữ ký‖ người dùng dựa vào dữ liệu giao dịch

5/ Bảo đảm của các chuẩn công nghiệp:

Các thẻ xác thực RSA SecurID được thiết kế để tạo ra các ưu thế của thuật toán AES chuẩn công nghệ

6/ Đa dạng các thành phần và chức năng mẫu:

Hệ thống RSA SecurID là một trong các giải pháp xác thực hai thành phần dẫn đầu trên thế giới Với hàng loạt các thành phần cơ bản dễ dàng sử dụng, các thẻ xác thực RSA SecurID sẵn có để phù hợp với các yêu cầu của mỗi tổ chức Công ty RSA Security đưa ra cả Authenticator phần cứng lẫn phần mềm cung cấp xác thực mạnh các truy cập đến các tài sản của doanh nghiệp bằng việc sử dụng các thiết bị thân thiện mà người dùng sẵn có RSA SecurID cũng hỗ trợ dưới dạng thẻ thông minh hay USB

2.3.2 Phân loại thẻ xác thực RSA SecurID

2.3.2.1 Thẻ xác thực “cứng” (Hardware Authenticator)

1./ Khái niệm

Thẻ RSA SecurID cứng là một thiết bị vật lý hay một thẻ có dạng như thẻ ATM kích thước nhỏ gọn, tiện dụng, chứa bộ vi xử lý để tính toán và hiển thị các

mã xác thực sau mỗi 60 giây

Trên mỗi thẻ có một thiết bị bấm giờ, được biểu diễn bằng năm vạch ngang phía bên trái cửa sổ hiển thị của mỗi thẻ Số lượng vạch tại mỗi thời điểm chỉ ra lượng thời gian có hiệu lực của mã xác thực đang hiển thị trên thẻ

2./ Phân loại

Thẻ RSA SecurID cứng có các loại sau:

a/ RSA SecurID SD200

b/ RSA SecurID SD520 PINpad

Hình 2.3 RSA SecurID SD520 PINpad

 RSA SecurID SD520 PINpad là mô hình tương tự với RSA SecurID SD200, nhưng có tính năng thêm PIN, cho phép người dùng mã hóa mật khẩu của họ với mức bảo mật cao hơn Người dùng nhập PIN thông qua 10 số trên thẻ Mã hiển thị là kết quả hàm băm với đầu vào là tổ hợp của số PIN và mã xác thực hiện thời

 Có các gói với thời gian sống của thẻ là 2, 3, và 4 năm

c/ RSA SecurID SD600

Hình 2.4 RSA SecurID 600

 RSA SecurID 600 là thiết bị phần cứng có kích thước nhỏ gọn, có thể mang theo một cách dễ dàng Nó hiển thị một mã được tạo ra bằng RSA SecurID hoặc thuật toán băm chuẩn công nghiệp AES, kết hợp với khóa đối xứng duy nhất chứa trong thẻ Mã này được thay đổi bằng đồng hồ bên trong, thuật toán tạo ra một mã xác thực mới sau mỗi 60 giây với thời gian sống được lập trình sẵn

 Có các gói với thời gian sống của thẻ là 2, 3, 4 và 5 năm

d/ RSA SecurID SID700

Hình 2.5 RSA SecurID SID700

 RSA SecurID SID700 là thiết bị phần cứng có kích thước nhỏ hơn 35% so với các thẻ ban đầu, rất thuận tiện cho người sử dụng Sau mỗi 60 giây nó hiển thị một mã xác thực mới được tạo bởi thuật toán RSA SecurID AES Đây là loại thẻ được thiết kế chỉ được sử dụng cùng với máy chủ xác thực RSA Authentication Manager phiên bản 5.1 hoặc cao hơn

 Có các gói với thời gian sống của thẻ là 2, 3, 4 và 5 năm

e/ RSA SecurID SID800

Hình 2.6 RSA SecurID SID800

 RSA SecurID SID800 là thiết bị kết hợp các tính năng chuẩn công nghiệp của thẻ xác thực cứng RSA SecurID truyền thống với một chip thông minh dựa trên công nghệ Sun Java, được đóng gói dưới dạng USB tiện dụng hơn

Ngoài việc việc tạo ra các mật khẩu dùng một lần, nó còn có khả năng lưu trữ rất nhiều các chứng chỉ số X.509, chữ ký điện tử và các ứng dụng mã hóa tệp tin Khi được kết nối, RSA SecurID SID 800 cho phép các ứng dụng truy cập các mã xác thực đã được lập trình sẵn, người dùng không cần phải gõ

 Có các gói với thời gian sống của thẻ là 2, 3, 4 và 5 năm

f/ RSA SecurID 900

Hình 2.7 RSA SecurID 900 RSA SecurID 900 authenticator là một thiết bị đa năng, kết hợp tính năng công nghiệp của các thẻ xác thực RSA SecurID với chức năng đánh dấu để đảm bảo an toàn cho các phiên giao dịch thương mại RSA SecurID SID 900 authenticator có một khóa đối xứng duy nhất, khóa này được kết hợp với thuật toán mạnh để tạo ra một mã xác thực sau mỗi 60 giây Mã xác thực này luôn thay đổi, có thể được sử dụng cùng với mật khẩu để tăng tính bảo mật trong quá trình đăng nhập

Khi người dùng cuối đăng nhập vào một vị trí được kiểm soát, nơi đó sẽ tạo ra số xác nhận (được gọi là ―challenge‖) Người dùng nhập số challenge đó vào trong thiết

bị RSA SecurID 900 và nó tạo ra một giá trị gọi là ―response‖, giá trị này được hiển thị trên màn hình LCD của thiết bị Sau đó, người dùng sử dụng số response giống như chữ ký số duy nhất để hỗ trợ phiên giao dịch Ứng dụng xác thực chữ ký dựa vào dữ liệu phiên giao dịch và thực thi phiên giao dịch

 Có các gói với thời gian sống của thẻ là 2, 3, 4 và 5 năm

2.3.2.2 Thẻ xác thực “mềm” (Software Authenticator)

1./ Khái niệm

Thẻ xác thực RSA SecurID mềm sử dụng cùng thuật toán giống như thẻ RSA SecurID cứng Thay vì được lưu trữ trong một thẻ RSA SecurID cứng, bản ghi seed (hay khóa đối xứng) được bảo vệ một cách an toàn trên máy xách tay, máy để bàn, PDA, thiết bị cầm tay hay điện thoại cầm tay của người dùng