Nghiên cứu xây dựng giải pháp Bảo mật mạng riêng ảo VPN dựa công nghệ mở Research construction security solutions of VPN based on open technology NXB H : ĐHCN, 2012 Số trang 112 tr + Nguyễn Anh Đoàn Trƣờng Đại học Công nghệ Luận văn ThS ngành: Truyền liệu Mạng máy tính; Mã số: 60 48 15 Cán hƣớng dẫn khoa học: Tiến sĩ Hồ Văn Hƣơng Năm bảo vệ: 2012 Abstract Tổng quan an ninh bảo mật thông tin; số khái niệm, mô hình, giao thức VPN; Tìm hiểu công nghệ mã nguồn mở Nghiên cứu, đánh giá số vấn đề bảo mật giao thức VPN nay; Tìm hiểu số công nghệ bảo mật VPN Đề xuất giải pháp VPN mã nguồn mở tảng Openvpn Giải pháp triển khai thực tế cho mô hình kết nối Bộ Ngoại giao Keywords: Truyền liệu; Bảo mật mạng; Mạng riêng ảo; Công nghệ mở; An toàn liệu; Mạng máy tính Content I CHƢƠNG TỔNG QUAN 1.1 Tổng quan an toàn bảo mật thông tin 1.1.1 Giới thiệu bảo mật thông tin Khi nhu cầu trao đổi thông tin liệu ngày lớn đa dạng, tiến công nghệ thông tin không ngừng đƣợc phát triển ứng dụng để nâng cao chất lƣợng lƣu lƣợng truyền tin quan niệm ý tƣởng biện pháp bảo vệ thông tin liệu đƣợc đổi Bảo vệ an toàn thông tin liệu chủ đề rộng, có liên quan đến nhiều lĩnh vực thực tế có nhiều phƣơng pháp đƣợc thực để bảo vệ an toàn thông tin liệu An toàn thông tin bao gồm nội dung sau: - Tính bí mật: tính kín đáo riêng tƣ thông tin - Tính xác thực thông tin, bao gồm xác thực đối tác, xác thực thông tin trao đổi - Tính trách nhiệm: đảm bảo ngƣời gửi thông tin thoái thác trách nhiệm thông tin mà gửi 1.1.2 Một số giải pháp an toàn thông tin Các mức bảo vệ mạng: Thực số giải pháp: Quyền truy nhập; Đăng ký tên /mật khẩu; Mã hoá liệu; Tƣờng lửa; Quản trị mạng An toàn thông tin mật mã: Để bảo vệ thông tin đƣờng truyền ngƣời thực giải pháp mật mã nhằm mục đích để ngƣời không đƣợc phép đọc đƣợ thông tin Đây lớp bảo vệ thông tin quan trọng đƣợc sử dụng rộng rãi môi trƣờng mạng Để bảo vệ thông tin mật mã ngƣời ta thƣờng tiếp cận theo hai hƣớng: - Theo đƣờng truyền (Link_Oriented_Security) - Từ nút đến nút (End_to_End) Theo cách thứ thông tin đƣợc mã hoá để bảo vệ đƣờng truyền hai nút mà không quan tâm đến nguồn đích thông tin Ở ta lƣu ý thông tin đƣợc bảo vệ đƣờng truyền, tức nút có trình giải mã sau mã hoá để truyền tiếp, nút cần phải đƣợc bảo vệ tốt 1.2 1.2.1 Tổng quan mạng riêng ảo VPN Định nghĩa mạng riêng ảo Theo VPN Consortium, VPN mạng sử dụng mạng công cộng làm sở hạ tầng để truyền thông tin nhƣng đảm bảo mạng riêng kiểm soát đƣợc truy nhập Nói cách khác, VPN đƣợc định nghĩa liên kết khách hàng đƣợc triển khai hạ tầng công cộng với sách nhƣ mạng riêng Hạ tầng công cộng mạng IP, Frame Relay, ATM hay Internet 1.2.2 Lợi ích mạng riêng ảo VPN mang lại nhiều lợi ích, lợi ích bao gồm: - Giảm chi phí thực thi - Bảo mật giao dịch - Sử dụng hiệu băng thông - Nâng cao khả mở rộng Trên số lợi ích mà giải pháp VPN mang lại Tuy nhiên bên cạnh đó, không tránh khỏi số bất lợi nhƣ: Phụ thuộc nhiều vào Internet Sự thực thi mạng dựa VPN phụ thuộc nhiều vào thực thi Internet 1.2.3 Mô hình mạng riêng ảo thông dụng VPN đƣợc phát triển phân thành loại nhƣ sau: VPN truy cập từ xa (Remote Access VPN): VPN truy cập từ xa cho phép ngƣời dùng từ xa, ngƣời dùng di động tổ chức truy cập tới tài nguyên mạng tổng công ty VPN Cục (Intranet VPN): Intranet VPN thƣờng đƣợc dùng để kết nối nhánh Văn phòng từ xa tổ chức với Intranet trung tâm tổ chức Mạng riêng ảo mở rộng (Extranet VPN): Khi công ty có mối quan hệ mật thiết với công ty khác (ví dụ nhƣ đối tác cung cấp, khách hàng ), họ xây dựng VPN extranet kết nối LAN với LAN để nhiều tổ chức khác làm việc môi trƣờng chung 1.2.4 Một số giao thức mạng riêng ảo Có bốn giao thức đƣờng hầm (tunneling protocols) phổ biến thƣờng đƣợc sử dụng VPN, chúng có ƣu điểm nhƣợc điểm riêng Chúng ta xem xét so sánh chúng dựa mục đích sử dụng 1.3 1.3.1 - Point-to-Point Tunneling Protocol (PPTP) - Layer2 Tunneling Protocol (L2TP) - Secure Socket Layer (SSL) - Internet Protocol Security (IPSec) Công nghệ mã nguồn mở Phần mềm mã nguồn mở gì? Phần mềm nguồn mở (PMNM) phần mềm với mã nguồn đƣợc công bố sử dụng giấy phép nguồn mở Giấy phép cho phép nghiên cứu, thay đổi cải tiến phần mềm, phân phối phần mềm dạng chƣa thay đổi thay đổi 1.3.2 Phƣơng pháp xây dựng phần mềm mã nguồn mở Mô hình xây dựng phần mềm nguồn mở mô hình độc đáo đƣợc thực hoá với đời Internet bùng nổ thông tin Internet mang lại việc xây dựng phần mềm nguồn mở khởi đầu cách phi cấu trúc Những ngƣời lập trình đƣa với công chúng số mã chức tối thiểu, chỉnh sửa dần sở ý kiến phản hồi Cứ theo thời gian, hệ điều hành hay ứng dụng định hình không ngừng phát triển Phƣơng thức xây dựng phần mềm mã nguồn mở chứng tỏ tính ƣu việt số khía cạnh sau: Giảm trùng lặp nguồn lực; Tiếp thu kế thừa; Quản lý chất lƣợng tốt hơn; Giảm chi phí trì CHƢƠNG BẢO MẬT MẠNG RIÊNG ẢO 2.1 Những vấn đề bảo mật mạng riêng ảo Nền tảng VPN bị công nhiều cách Dƣới số loại công phổ biến vào hệ thống VPN - Các mối đe dọa an ninh cho thành phần VPN - Các công giao thức VPN - Các công mật mã - Các công từ chối dịch vụ 2.1.1 Tấn công thành phần mạng riêng ảo Nhƣ thể hình 2.1, yếu tố quan trọng thiết lập VPN bao gồm: - Ngƣời dùng truy cập từ xa - Kêt nối phân đoạn ISP - Internet công cộng - Gateway mạng Hình 1: Các yếu tố thiết lập dựa VPN 2.1.2 Tấn công giao thức mạng riêng ảo Các giao thức VPN chính, PPTP, L2TP, IPSec, dễ bị tổn thƣơng mối đe dọa an ninh Những phần sau mô tả công giao thức VPN Tấn công PPTP PPTP dễ bị tổn thƣơng hai khía cạnh Chúng bao gồm: - Generic Routing Encapsulation (GRE) - Mật trao đổi trình xác thực Tấn công IPSec Nhƣ biết IPSec thuật toán mã hóa túy chế xác thực Trong thực tế, IPSec kết hợp hai giúp thuật toán khác bảo vệ liệu Tuy nhiên, IPSec dễ bị công: - Các công chống lại thực IPSec - Tấn công chống lại quản lý khóa - Các công quản trị ký tự đại diện 2.1.3 Tấn công mật mã Mật mã nhƣ thành phần bảo mật VPN Tùy thuộc vào kỹ thuật mật mã thuật toán khác nhau, công giải mã đƣợc biết tồn Những phần sau tìm hiểu số cách thức công giải mã tiếng: - Chỉ có mã (ciphertext-Only) - Tấn công biết rõ (know plaintext attacks) - Tấn công lựa chọn rõ - Man-in-the-Middle (tấn công trung gian) - Tấn công Brute Force (duyệt toàn bộ) - Tấn công thời gian (Timing attacks): 2.1.4 Tấn công từ chối dịch vụ Các công DoS trở nên phổ biến ngày không yêu cầu phần mềm đặc biệt truy cập vào mạng mục tiêu Chúng đƣợc dựa khái niệm tắc nghẽn mạng Bất kỳ kẻ xâm nhập gây tắc nghẽn mạng cách gửi tải liệu rác vào mạng Điều làm cho máy tính mục tiêu đƣợc truy cập khoảng thời gian đƣờng truyền bị tải máy tính mục tiêu phục vụ tải Tình trạng tải thông tin chí dẫn đến việc sụp đổ máy tính mục tiêu Hình 2.4 minh họa làm tin tặc gây tắc nghẽn mạng cách gửi liệu giả vào mạng Hình 2: Tin tặc gây nghẽn mạng Một số phƣơng pháp thƣờng đƣợc sử dụng để bắt đầu công DoS nhƣ sau: 2.2 2.2.1 - SYN Floods (lụt gói SYN) - Broadcast Storm (bão gói tin quảng bá) - Smurf DoS - Ping of Death Công nghệ bảo mật mạng riêng ảo Tính xác thực Để thiết lập kết nối VPN trƣớc hết hai phía phải xác thực lẫn để khẳng định trao đổi thông tin với ngƣời mong muốn ngƣời khác Một số phƣơng pháp xác thực: 2.2.2 - Xác thực mật - Hệ thống điều khiển truy cập TASCAS - Hệ thống xác thực ngƣời dụng quay số RADIUS - Sử dụng phần cứng - Xác thực sinh trắc Tính toàn vẹn Xác thực tính toàn vẹn liên quan đến khía cạnh sau truyền tin mạng: Bảo vệ tính toàn vẹn mẩu tin: bảo vệ mẩu tin không bị thay đổi có biện pháp phát mẩu tin bị thay đổi đƣờng truyền Kiểm chứng danh tính nguồn gốc: xem xét mẩu tin có ngƣời xƣng tên gửi không hay kẻ mạo danh khác gửi Không chối từ gốc: trƣờng hợp cần thiết, thân mẩu tin chứa thông tin chứng tỏ có ngƣời xƣng danh gửi, không khác làm điều Nhƣ ngƣời gửi từ chối hành động gửi, thời gian gửi nội dung mẩu tin Với mong muốn đáp ứng yêu cầu trên, có hàm lựa chọn sau đƣợc sử dụng: + Mã mẩu tin mã đối xứng mã công khai + Mã xác thực mẩu tin (MAC): dùng khoá hàm nén mẩu tin cần gửi để nhận đƣợc đặc trƣng đính kèm với mẩu tin ngƣời gửi + Hàm hash (hàm băm) hàm nén mẩu tin tạo thành “dấu vân tay” cho mẩu tin 2.2.2.1 Mã xác thực mẫu tin MAC + Sinh thuật toán mà tạo khối thông tin nhỏ có kích thƣớc cố định Phụ thuộc vào mẩu tin khoá Giống nhƣ mã nhƣng không cần phải giải mã + Bổ sung vào mẩu tin nhƣ chữ ký để gửi kèm theo làm chứng xác thực + Ngƣời nhận thực tính toán mẩu tin kiểm tra xem có phù hợp với MAC đính kèm không Tạo niềm tin mẩu tin không bị thay đổi đến từ ngƣời gửi Hình 3: Xác thực mẫu tin MAC Các mã xác thực mẩu tin MAC cung cấp tin cậy cho ngƣời nhận mẩu tin không bị thay đổi từ đích danh ngƣời gửi Cũng sử dụng mã xác thực MAC kèm theo với việc mã hoá để bảo mật Nói chung ngƣời ta sử dụng khoá riêng biệt cho MAC tính MAC trƣớc sau mã hoá, tốt thực MAC trƣớc mã hoá sau 2.2.2.2 Hàm Hash Nén mẩu tin kích thƣớc cố định Và giả thiết hàm hash công khai không dùng khoá Hash phụ thuộc mẩu tin, MAC phụ thuộc thêm vào khoá Hash đƣợc sử dụng để phát thay đổi mẩu tin Hash sử dụng nhiều cách khác với mẩu tin, Hash thƣờng đƣợc kết hợp dùng để tạo chữ ký mẩu tin Hình 4: Mô hình hàm Hash Các tính chất hàm Hash Hàm Hash tạo nên dấu vân tay (tức thông tin đặc trƣng) tệp, mẩu tin hay liệu h = H(M) Nén mẩu tin có kích thƣớc tùy ý dấu vân tay có kích thƣớc cố định Hàm Hash đƣợc giả thiết công khai, ngƣời biết cách sử dụng Các yêu cầu hàm Hash: Có thể áp dụng cho mẩu tin có kích thƣớc tuỳ ý Tuy nhiên phải tạo đầu h có kích thƣớc cố định, thƣờng 128 bit đến 1024 bit Dễ tính h = H(M)cho mẫu tin M, hàm H tính toán nhanh, hiệu phụ thuộc chặt vào mẩu tin M không tính toán ngƣợc lại Cho trƣớc h tìm đƣợc (rất khó) x cho H(x) = h Tính chất gọi tính chất chiều, chiều tìm nghịch ảnh khó khăn, chiều tìm ảnh lại dễ dàng Cho x tìm đƣợc y cho H(y) = H(x) Đây tính chất chống đỡ va chạm yếu, không tìm đƣợc mẩu tin có Hash với mẩu tin cho Và tìm đƣợc x, y cho H(y) = H(x) Đây gọi tính chất chống đỡ va chạm mạnh, yêu cầu cao tính chống đỡ va chạm yếu 2.2.3 Tính bảo mật 2.2.3.1 Mã hóa đối xứng Shared Secret Key Clear Message Shared Secret Key Encrypt Ecryption Message Decrypt Clear Message Hình 5: Mã hoá khoá bí mật hay đối xứng Thuật toán đối xứng đƣợc định nghĩa thuật toán khoá chia sẻ sử dụng để mã hoá giải mã tin Các thuật toán mã hoá đối xứng sử dụng chung khoá để mã hoá giải mã tin, điều có nghĩa bên gửi bên nhận thoả thuận, đồng ý sử dụng khoá bí mật để mã hoá giải mã Ƣu điểm mã hoá khoá đối xứng: - Thuật toán mã hoá giải mã nhanh, phù hợp với khối lƣợng lớn thông tin - Chiều dài khoá từ 40÷168 bit - Các tính toán toán học dễ triển khai phần cứng - Ngƣời gửi ngƣời nhận chia sẻ chung mật Cơ chế mã hoá đối xứng nảy sinh vấn đề là: việc nhận thực đặc điểm nhận dạng nhận dạng tin chúng minh đƣợc Do hai bên chiếm giữ khoá giống nên tạo mã hoá cho ngƣời khác gửi tin Điều gây nên cảm giác không tin cậy nguồn gốc tin Một số thuật toán đối xứng nhƣ DES (Data Encryption Standard), 3DES… 2.2.3.2 Mã hóa bất đối xứng Thuật toán mã hoá khoá công cộng đƣợc định nghĩa thuật toán sử dụng cặp khoá để mã hoá giải mã bảo mật tin Theo thuật toán sử dụng khoá để mã hoá khoá khác để giải mã nhƣng hai khoá có liên quan với tạo thành cặp khoá tin, có hai khoá mã hoá giải mã cho Private Key Public Key clear Message Encrypt Encrypted Message Decrypt clear Message Hình 6: Thuật toán mã hoá khoá công cộng Ƣu điểm thuật toán mã hoá khoá công cộng: - Khoá công cộng khoá đôi đƣợc phân phát sẵn sang mà không sợ điều làm ảnh hƣởng đến việc sử dụng khoá riêng Không cần phải gửi chép khoá công cộng cho tất đáp ứng mà lấy từ máy chủ đƣợc trì công ty nhà cung cấp dịch vụ - Cho phép xác thực nguồn phát tin Nhƣơc điểm mã hoá khoá công cộng trình mã hoá giải mã châm, chậm nhiều so với mã hoá khoá bí mật Do thƣờng đƣợc sử dụng để mã hoá khoá phiên, lƣợng liệu nhỏ Một số thuật toán sử dụng mã hoá khoá công cộng nhƣ RSA, Diffie-Hellman Một số thuật toán khóa công khai: Thuật toán RSA, Thuật toán Diffie-Hellman 2.2.4 Hạ tầng PKI 2.2.4.1 Tổng quan PKI Public Key Infrastructure (PKI) chế bên thứ ba (thƣờng nhà cung cấp chứng thực số ) cung cấp xác thực định danh bên tham gia vào trình trao đổi thông tin Cơ chế cho phép gán cho ngƣời sử dụng hệ thống cặp public/private Các trình thƣờng đƣợc thực phần mềm đặt trung tâm phần mềm khác địa điểm ngƣời dùng Khoá công khai thƣờng đƣợc phân phối chứng thực khóa công khai – hay Public Key Infrastructure 2.2.4.2 Các thành phần PKI Một hệ thống PKI gồm thành phần sau : - Certification Authorities (CA) : Cấp thu hồi chứng - Registration Authorities (RA) : Gằn kết kháo công khai định danh ngƣời giữ chứng - Clients : Ngƣời sử dụng chứng PKI hay theo cách khác đƣợc xác định nhƣ thực thể cuối - Repository : Hệ thống ( phân tán ) lƣu trữ chứng danh sách chứng bị thu hồi Hình 7: Các thành phần PKI 2.2.4.3 Chức PKI Những hệ thống cho phép PKI có chức khác Nhƣng nhìn chung có hai chức chình là: chứng thực kiểm tra Chứng thực ( Certification) : chức quan hệ thống PKI Đây trình ràng buộc khóa công khai với định danh thực thể CA thực thể PKI thực chứng năng, chứng thực Thẩm tra ( validation) : trình định liệu chứng đƣa đƣợc sử dụng mục đích thích hợp hay không đƣợc xem nhƣ trình kiểm tra tính hiệu lực chứng Một số công nghệ bảo mật bổ xung 2.2.5 2.2.5.1 Công nghệ SSL/TLS a Giao thức SSL Giao thức Secure Socket Layer (SSL), ban đầu định hƣớng nhằm mục đích bảo vệ thông tin trao đổi Client Server mạng máy tính, giao thức tầng phiên, sử dụng phƣơng pháp mật mã cho việc bảo vệ thông tin Dữ liệu đƣợc truyền đƣợc giữ bí mật việc mã hoá, việc tạo kiểm tra chữ ký số đảm bảo tính xác thực toàn vẹn thông tin Trong giao thức SSL có kết hợp mật mã đối xứng bất đối xứng Các thuật toán mật mã bất đối xứng nhƣ: RSA thuật toán Diffie – Hellman Các hàm băm nhƣ: MD5, SHA1 Các thuật toán mật mã đối xứng đƣợc hỗ trợ RC2, RC4 3DES SSL hỗ trợ chứng số thoã mãn chuẩn X.509 Thủ tục thăm dò trƣớc (bắt tay) đƣợc thực trƣớc bảo vệ trực tiếp trao đổi thông tin Khi thực thủ tục này, công việc sau đƣợc hoàn tất: - Xác thực Client Server - Các điều kiện thuật toán mật mã nén đƣợc sử dụng - Tạo khoá chủ bí mật - Tạo khoá phiên bí mật sở khoá chủ b Giao thức TLS TLS đƣợc phát triển nhờ sử dụng SSL, giống nhƣ SSL, TLS cho phép Server Client cuối liên lạc cách an toàn qua mạng công cộng không an toàn Thêm vào khả bảo mật đƣợc cung cấp SSL, TLS ngăn chặn kẻ nghe trộm, giả mạo, chặn bắt gói tin Trong kịch mạng riêng ảo, SSL TLS đƣợc thực thi tạo Server VPN nhƣ Client đầu cuối Tầng phiên tầng cao mô hình OSI có khả tạo kết nối mạng riêng ảo Lúc tạo mạng riêng ảo tầng phiên, có khả đạt hiệu suất cao tham số mặt chức cho việc trao đổi thông tin, kiểm soát truy cập đáng tin cậy dễ dàng quản trị Nhƣ vậy, lúc tạo mạng riêng ảo tầng phiên, việc bổ sung thêm bảo vệ mật mã (bao gồm xác thực), có khả thực thi công nghệ Proxy SSL/TSL hai giao thức thông dụng 2.2.5.2 Tƣờng lửa VPN thực chất mạng ảo, môi trƣờng thực Internet mà Internet vô phức tạp nguy hiểm cần phải có can thiệp tƣờng lửa để bảo vệ cho hệ thống đảm bảo tính bảo mật cách an toàn Tƣờng lửa ( Firewall ) dùng để bảo mật mạng nội chống lại công vào lƣu lƣợng mạng kẻ phá hoại Tƣờng lửa phân biệt lƣu lƣợng dựa cở ngƣời dùng, trình ứng dụng nguồn gốc Tƣờng lửa (firewall) rào chắn vững mạng riêng Internet Có thể thiết lập tƣờng lửa để hạn chế số lƣợng cổng mở, loại gói tin giao thức đƣợc chuyển qua II CHƢƠNG ĐỀ XUẤT GIẢI PHÁP VÀ TRIỂN KHAI ỨNG DỤNG 3.1 Nghiên cứu đề xuất giải pháp 3.1.1 Hiện trạng Hiện việc ứng dụng CNTT thực sâu rộng ngành Các ứng dụng đƣợc xây dựng phát triển sở quản lý điều hành công việc, quản lý thông tin Những ứng dụng đƣợc triển khai theo hai hình thức: Hình thức công khai bao gồm cổng thông tin, website phục vụ cho nhu cầu truy cập từ internet Hình thức ứng dụng nội phục vụ nhu cầu riêng đơn vị Tuy nhiên, mô hình Bộ Ngoại giao đƣợc phân cấp theo đơn vị đƣợc phân bố khu vực địa lý khác nhau: Vụ khu vực, Sở Ngoại vụ nằm nƣớc Cơ quan đại diện Việt nam nƣớc Hệ thống thông tin phân tán khu vực khác gây khó khăn việc quản lý tập trung Từ thực trạng nảy sinh yêu cầu kết nối liên thông điểm từ xa đó: 3.1.2 - Các CQĐD nƣớc truy cập vào ứng dụng nội - Các Sở Ngoại vụ kết nối vào hệ thống với mục đích đồng liệu lãnh - Các cán công tác ngắn hạn truy cập vào hệ thống quản lý điều hành đơn vị Yêu cầu Yêu cầu kết nối: Yêu cầu thiết kế đặt xây dựng hệ thống kết nối bảo mật chi nhánh, đơn vị xa Trung tâm sở tận dụng tối đa đƣợc thiết bị cở sở hạ tầng mạng sẵn có Bộ Ngoại Giao Hệ thống tƣơng thích với ứng dụng tại, có tính mềm dẻo, tƣơng thích với hạ tầng kết nối dƣới nhiều hình thức nhƣ ADSL, LeaseLine, … Yêu cầu bảo mật: Để đảm bảo xây dựng kết nối an toàn tới Trung tâm yêu cầu giải pháp: - Sử dụng công nghệ bảo mật đại - Có thể thay đổi linh hoạt phƣơng pháp bảo mật - Bổ xung phƣơng pháp bảo mật nhằm đảm bảo an toàn, an ninh Yêu cầu quản trị: Đảm bảo hoạt động liên tục mạng, gải pháp đặt phải thiết kế phần mềm giám sát, quản trị hệ thống VPN Server Trung tâm Phần mềm có khả theo dõi kết nối Ngƣời quản trị mạng phải nắm bắt đƣợc đầy đủ thƣờng xuyên thông tin cấu hình, cố tất số liệu liên quan đến việc sử dụng mạng Yêu cầu chi phí đầu tƣ hợp lý: Để giải pháp có tính khả thi, yêu cầu mặt kỹ thuật, bảo mật … chi phí đầu tƣ yêu cầu quan trọng Khi triển khai với mô hình rộng số lƣợng chi nhánh kết nối đến lớn chi phí khởi đầu lớn Với việc đƣa giải pháp chi phí đầu tƣ hợp lý tạo điều kiện thuận lợi để áp dụng vào thực tế 3.2 3.2.1 Đề xuất giải pháp Giải pháp phần mềm VPN mã nguồn mở Ngày nay, công nghệ phần mềm ngày phát triển mạnh mẽ Đặc biệt công nghệ mã nguồn mở Nếu tận dụng đƣợc ƣu này, tức phần mềm mã nguồn mở vào ứng dụng VPN giảm đƣợc nhiều chi phí cho việc triển khai Điều đem lại lợi lớn so với sản phẩm thƣơng mại 3.2.1.1 Giải pháp kernel space Các giải pháp không gian nhân giải pháp sửa đổi nhân qua vá lỗi Chúng phức tạp linh hoạt so với giải pháp không gian ngƣời dùng Hầu hết giải pháp triển khai giao thức bảo mật IPsec Hoặc có nguồn gốc đƣợc hỗ trợ nhân thông qua vá nhân Một số dự án: Một số dự án kernel space: FreeS/WAN, Kame… 3.2.1.2 Giải pháp user space Giải pháp user space hoạt động không gian ngƣời sử dụng phụ thuộc hoàn toàn vào mô đun nhân vá Giải pháp dễ cài đặt, linh hoạt mềm dẻo số hệ điều hành User space VPNs sử dụng “giao diện đƣờng hầm ảo", tạo nên chức kết nối mạng mức độ thấp, để đạt đƣợc đƣờng hầm IP Ví dụ nhƣ Tinc, CIPE, vTun OpenVPN Giải pháp user space đƣợc nhóm lại dựa giao thức bảo mật đƣợc sử dụng - Các giao thức sử dụng chức mã hóa tiêu chuẩn đƣợc cung cấp OpenSSL (OpenVPN, vTun, Tinc) - Các giao thức, phƣơng thức mã hóa riêng (CIPE, PPTP, L2tpd) 3.2.1.3 Đánh giá lựa chọn Bảng so sánh phần mềm VPN mã nguồn mở: Một lựa chọn tốt OpenVPN Đây giải pháp mạnh mẽ dễ dàng để cấu hình VPN cung cấp gần nhƣ phƣơng thức bảo mật nhƣ IPSec SSL/TLS đƣợc sử dụng nhƣ hệ thống bảo mật, đƣợc biết đến nhƣ nhƣ giao thức bảo mật đƣợc ứng dụng rộng rãi Sau số nghiên cứu, cho thấy lựa chọn phần mềm an toàn đáng tin cậy 3.2.2 Kiến trúc Openvpn Về kiến trúc, Openvpn chƣơng trình sử dụng chế độ giao tiếp với ngăn xếp TCP/IP thông qua giao diện TUN/TAP Chạy nhƣ chƣơng trình ngƣời dùng có ƣu điểm tính di động bảo trì dễ dàng OpenVPN gồm kênh thành phần: kênh mang liệu gói IP ngƣời dùng kênh điều khiển để xử lý giao thức cho việc truyền thông cấu hình 3.2.2.3 Các mô hình bảo mật OpenVPN OpenVPN sử dụng giao thức SSL để xác thực điểm cuối VPN đến máy chủ, trao đổi khóa thông tin điều khiển khác Trong phƣơng pháp này, OpenVPN Thiết lập phiên SSL/TLS với máy để kiểm soát kênh Trong giai đoạn xác thực, máy trao đổi giấy chứng nhận đƣợc ký CA tin cậy lẫn Điều đảm bảo hai bên họ nói chuyện với xác bạn bè họ, ngăn chặn công man-in-the-middle Hình 1: Mô hình lưu khóa sử dụng Openvpn 3.2.2.4 Các kênh liệu OpenVPN OpenVPN tùy chọn sử dụng kết nối TCP thay UDP datagrams Mặc dù thuận tiện số trƣờng hợp, có vấn đề xung đột nên tránh lớp độ tin cậy Hình 2: Các OpenVPN kênh liệu Đóng gói OpenVPN chia tách tải tiêu đề thành hai phần: phần tiêu đề gói(packet header), nhận dạng loại gói dạng khóa tiêu đề tải liệu (data payload header), bao gồm chứng thực, IV, trƣờng số thứ tự (sequence number fields) cho gói liệu 3.2.2.5 Ping giao thức OCC Ngoài băng thông sử dụng, kênh liệu mang số lƣợng hạn chế thông tin điều khiển OpenVPN đƣợc cấu hình để có nút gửi, giữ thông điệp sống (keep-alive ) xóa bỏ khởi động lại VPN không nhận đƣợc lƣu lƣợng truy cập thời gian quy định Mặc dù OpenVPN đề cập đến thông điệp sống nhƣ gói tin ping (ping packets), theo nghĩa ping ICMP, nút thông lƣợng đƣợc gửi thời gian quy định, gửi tới máy lệnh ping Khi nhận đƣợc ping, máy muốn thiết lập lại đếm thời gian nhận đƣợc gói tin loại bỏ gói Hình 3: Định dạng thông điệp OpenVPN OCC 3.2.2.6 Kênh điều khiển Nhƣ thấy với SSL, SSH mạng riêng ảo khác, hai phần khó việc cung cấp kênh liệu an toàn quản lý khóa xác thực Lỗi trong hai dịch vụ làm cho kênh liệu không an toàn Trong mục này, tìm hiểu làm OpenVPN xử lý khía cạnh quan trọng VPN Hình 4: Gói điều khiển kênh OpenVPN Các trƣờng session ID số ngẫu nhiên 64-bit đƣợc sử dụng để xác định phiên VPN Trƣờng tùy chọn HMAC đƣợc sử dụng để giúp ngăn ngừa công từ chối dịch vụ Trƣờng xác thực toàn gói tin cho phép nút xóa gói tin giả không đƣợc chứng nhận Trƣờng Pecket ID đƣợc sử dụng để ngăn chặn công phát lại (replay attack) Nó đóng vai trò tƣơng tự gói tin kênh liệu Khi phƣơng thức TLS đƣợc sử dụng, trƣờng 32 bit, không 64 bit Các đệm ACK đƣợc sử dụng lớp tin cậy để xác nhận gói tin máy 3.2.3 Giải pháp bảo mật 3.2.3.3 Tích hợp PKI Hiện nhiều mạng riêng ảo (VPN) thể hạn chế hệ thống bảo mật đơn giản Vấn đề đặt để đáp ứng yêu cầu phát triển mạng riêng ảo lớn có tính bảo mật cao Đa số mạng riêng ảo ngày đƣợc khai thác không sử dụng hỗ trợ sở hạ tầng mã khoá công khai (PKI) Một cách đơn giản nhất, điều thực đƣợc thông qua việc thiết đặt cầu hình hai đầu đƣờng ngầm VPN chia sẻ bí mật chung - cặp mật Hai đầu cuối VPN nhận thực thông qua giấy chứng nhận điện tử - Một loại "thẻ hội viên điện tử" thiếu mạng VPN lớn Đối với giấy chứng nhận điện tử, tổ chức đƣợc gọi hệ thống cung cấp chứng nhận (CA-Certification Authority) Các mạng VPN sử dụng chứng nhận điện tử đƣờng ngầm IP khởi tạo, điểm kết cuối nhận thực lẫn thông qua chứng nhận điện tử Cơ sở hạ tầng mã khoá công khai đóng vai trò quan trọng việc xây dựng thành công mạng VPN lớn 3.2.3.4 Sử dụng xác thực thành tố eToken thiết bị nhận dạng số, đƣợc tích hợp giải pháp phần mềm bảo mật chuyên dụng, theo chuẩn quốc tế kết nối với máy tính thông qua cổng giao tiếp USB eToken cho phép ngƣời dùng lẫn ngƣời quản trị / bảo mật quản lý hiệu trình chứng thực ngƣời dùng hệ thống cách lƣu trữ phát sinh mật khẩu, chứng số mã hóa tất thông tin đăng nhập (cả khóa chung khóa riêng) eToken cung cấp tảng bảo mật an toàn, hiệu quả, dễ sử dụng triển khai diện rộng Giải pháp sử dụng thiết bị epass3003, epass2000, thiết bị tƣơng thích với môi trƣờng linux, windows 3.2.3.5 Tích hợp tƣờng lửa Tƣờng lửa (firewall) rào chắn vững mạng riêng Internet Chúng ta thể thiết lập tƣờng lửa để hạn chế số lƣợng cổng mở, loại gói tin giao thức đƣợc chuyển qua Giải pháp đƣa tích hợp phần mềm tƣờng lửa mã nguồn mở shorewall gateway Tƣờng lửa phân hoạch vùng sách thiết lập sách truy cập việc truy cập từ xa vào hệ thống Shorewall giải pháp tƣơng thích với giao diện tun ảo Openvpn Gải pháp đảm bảo kiểm soát, thiết lập sách cho vùng địa VPN 3.2.4 Giải pháp quản trị Giải pháp quản trị thiếu cho việc quản trị mạng VPN với số lƣợng kết nối lớn Giải pháp Openvpn không hỗ trợ giao diện cho việc quản trị Công việc quản trị, cấu hình thông qua dòng lệnh Việc gây khó khăn trình giám sát kết nối vào hệ thống, thực cấu hình ngƣời tiếp cận hệ thống 3.3 Triển khai ứng dụng 3.3.1 Mô hình Hình 5: Mô hình triển khai VPN Phân chia mô hình vật lý Center Network Remote Office Network Site Wan IP Ethernet IP Site Wan IP Ethernet IP VPN server eth0: eth1: Remote eth0: eth1: (B) 202.6.2.106 10.0.0.1 site (A) 255.255.255.0 255.255.255.0 10.0.1.0 255.255.255.0 Tunnel: Tunnel:tun0 tun0 172.16.100.0 172.16.100.0 255.255.255.0 255.255.255.0 Tun1: Tun1: 172.16.50.0 172.16.50.0 255.255.255.0 255.255.255.0 Web server 172.20.1.11 APP server 192.168.2.105 PC X 10.0.1.10 Chính sách truy cập: Thiết lập lớp sách truy cập cho lớp khác ngƣời sử dụng Lớp Dải IP ảo Chính sách Đặt tên Nhân viên 172.16.100.0/24 Truy cập email, website Tên ngƣời dùng Quản trị 172.16.50.0/24 Toàn quyền truy cập sysadmin1 Cách tiếp cận bản, tách lớp ngƣời sử dụng theo dải IP ảo Kiểm soát truy cập cách thiết lập sách firewall áp dụng cho dải IP ảo Phân hoạch IP: Hệ thống server VPN đƣợc cấu hình IP public (để đảm bảo VPN client nhận diện kết nối thành công môi trƣờng internet) Hệ thống IP VPN đƣợc sử dụng lớp IP private, đề xuất sử dụng 172.16.100.0/24; 172.16.50.0/24 Giải pháp sử dụng dạng kết nối point to point kết nối đƣợc khởi tạo lớp subnet /30 3.3.2 Cài đặt cấu hình openvpn tích hợp PKI Tiến hành cài đặt openvpn : tar –xvzf openvpn-2.1.4.tar.gz cd openvpn-2.1.4 /configure make make install Sinh khóa: Thiết lập CA tạo chứng số khóa cho máy chủ Openvpn nhiều máy khách Bƣớc thiết lập PKI (cơ sở hạ tầng khóa công khai) PKI bao gồm: - Khóa công khai khóa riêng máy chủ máy khách - Giấy chứng nhận CA, chứng khóa đƣợc sử dụng để đăng ký chứng số máy chủ máy khách Việc tạo quản lý PKI (small PKI) đƣợc thực dƣới dạng scrip đƣợc cài đặt /etc/openvpn/easy-rsa: - Cài đặt PKI - Tạo tham số DH /vars /build-dh /clean-all ai:easy-rsa # /build-dh Generating DH parameters, 1024 bit /build-ca ai:easy-rsa # /build-ca long safe prime, generator Generating a 1024 bit RSA private key This is going to take a long time ++++++ + .++++++ /build-key-server server - Tạo chứng khóa cho máy khách / build-key client Cấu hình hệ thống Openvpn: VPN server VPN client port 1554 remote 192.168.98.44 proto udp port 1554 dev tun client server 172.16.100.0 255.255.255.0 dev tun ca /etc/openvpn/scfg/ca.crt proto udp cert /etc/openvpn/scfg/server.crt key /etc/openvpn/scfg/server.key ca ca.crt dh /etc/openvpn/scfg/dh1024.pem pkcs11-providers client-to-client /home/anhdoan/epass3003/redist/libshuttle_ client-config-dir /etc/openvpn/ccfg p11v220.so.1.0.0 management 127.0.0.1 6300 pkcs11-id tun-mtu 1300 'Feitian\x20Technologies\x20Co\x2E\x2C\x2 tun-mtu-extra 32 0Ltd\x2E/ePass3003Auto/012151160904051 mssfix 1300 0/ePass/66393932353833302D376166312D keepalive 10 60 313165312D383534642D303030633239353 tls-auth ta.key 937336161' cipher BF-CBC resolv-retry infinite max-clients 100 tun-mtu-extra 32 verb mssfix 1300 status /var/log/openvpn-status-new.log nobind log /var/log/openvpn-new.log ping 15 verb 3.3.3 Tích hợp xác thực thành tố Giải pháp sử dụng xác thực thành tố sử dụng thiết bị epass3003 auto sử dụng môi trƣờng linux Các bƣớc thực hiện: Bƣớc 1: Cài đặt thiết bị phần cứng token Cài đặt trình điều khiển để hệ điều hành nhận dạng đƣợc thiết bị phần cứng Thiết bị hỗ trợ sử dụng môi trƣờng windows Linux Bƣớc 2: Lấy ID thiết bị etoken Openvpn đƣợc cấu hình tìm đến ID thiết bị token lƣu khóa Để lấy đƣợc thông số ID cần thực trỏ tới thƣ viện hỗ trợ thiết bị openvpn show-pkcs11-ids /home/anhdoan/epass3003/redist/libshuttle_p11v220.so.1.0.0 Certificate DN: /C=US/ST=CA/L=SanFrancisco/O=Fort- Funston/CN=etoken/emailAddress=me@myhost.mydomain Serial: 03 Serialized id: Feitian\x20Technologies\x20Co\x2E\x2C\x20Ltd\x2E/ePass3003Auto/0121511609040510/ePass/663 93932353833302D376166312D313165312D383534642D303030633239353937336161 Bƣớc 3: Tạo khóa dạng pksc12 lƣu khóa vào thiết bị etoken Tạo khóa vars /build-key-pkcs12 epass3003 Generating a 1024 bit RSA private key ++++++ ++++++ Bƣớc lƣu khóa dạng pkcs12 vào thiết bị epass3003 Hình 6: Lưu khóa vào thiết bị epass3003 Bƣớc 4: Sử dụng thiết bị phần cứng token openvpn config epass3003.conf 3.3.4 Tích hợp tính tƣờng lửa Định ngĩa phân vùng mạng #ZONE TYPE OPTIONS # IN OUT OPTIONS fw firewall loc ipv4 net ipv4 vpn ipv4 OPTIONS Xác định vùng tƣơng ứng với interface /etc/shorewall/interfaces hệ thống A: #ZONE INTERFACE loc eth1 net eth0 vpn tun+ BROADCAST OPTIONS Cấu hình cho phép truyền thông vùng vpn vùng loc /etc/shorewall/policy hệ thống A B #SOURCE DEST POLICY loc vpn ACCEPT vpn loc ACCEPT LOG LEVEL 3.3.5 Triển khai phần mềm quản trị Trên sở yêu cầu đặt ra, thiết kế giao diện quản trị VPN server theo dạng web font end Sử dụng PHP kết nối tới giao diện quản trị Openvpn, thực hiển thị trạng thái kết nối, quản trị kết nối Sử dụng chế shell cho việc thiết lập khóa, cấu hình khóa Sử dụng mysql cho việc lƣu trữ account đăng nhập vào hệ thống quản trị Hình 7: Mô hình phần mềm quản trị CHƯƠNG KẾT LUẬN Bảo mật khía cạnh quan trọng công nghệ triển khai IP, đặc biệt công nghệ VPN Việc lựa chọn giải pháp bảo mật yếu tố quan trọng giúp cho công việc quản lý mạng đƣợc an toàn trƣớc nguy công ngày nguy hiểm đa dạng kẻ phá hoại Luận văn tập trung nghiên cứu đánh giá số giải pháp công nghệ VPN, sở xây dựng giải pháp VPN mã nguồn mở tƣơng đối hoàn thiện có tính ứng dụng thực tiễn cao Trong trình thực đề tài đạt đƣợc số kết sau: - Nghiên cứu tổng quan an ninh bảo mật, công nghệ VPN - Nghiên cứu, khảo sát, đánh giá điểm yếu an toàn thông tin công nghệ VPN - Nghiên cứu công nghệ bảo mật mạng riêng ảo VPN - Nghiên cứu giải pháp VPN mã nguồn mở, phân tích đánh giá triển khai giải pháp Openvpn - Triển khai hệ thống mạng riêng ảo VPN tảng Openvpn áp dụng thực tế yêu cầu mô hình kết nối Bộ Ngoại giao o Xây dựng mô hình triển khai o Nghiên cứu tích hợp hạ tầng PKI, tích hợp giải pháp phần cứng etoken cho việc lƣu trữ khóa o Xây dựng phần mềm quản trị o Tích hợp giải pháp tƣờng lửa Hƣớng phát triển: - Xây dựng giải pháp hoàn thiện - Xây dựng giao diện VPN client - Tích hợp hạ tầng PKI hoàn thiện, sử dụng giải pháp Openca để cấp phát, thu hồi khóa References CARLA SCHRODER (2008),LINUX NETWORKING COOKBOOK, O’REILLY MEDIA, INC., PP.265-286 Dave Kosiur (1998), Building and Managing virtual private networks, Wiley computer publishing, John Wiley & Sons, inc Markus Feilner (2006),Building and Integrating Virtual Private Networks, Packt Publishing Ltd, pp 20-25, 109-125, 155-186 Meeta Gupta (2003), Building a Virtual Private Network, Premier Press © 2003 Jon C Snader (2005), VPNs Illustrated: Tunnels VPNs and Ipsec, Addison Wesley Professional, pp Jan Just Keijser (2011), OpenVPN Cookbook, Packt Publishing Ltd, pp.127-148 William Stallings (1999), Cryptography and Network Security Principles and Practice 2nd Edition, Prentice-Hall, inc, pp 237-259, 271-293