Mạng Internet ngày càng phát triển, không chỉ vậy việc tận dụng nguồn tài nguyên “vô tận” trên đây đem lại những hiệu quả vô cùng to lớn. Vấn đề trao đổi thông tin là cực kì quan trọng, đặc biệt với những tổ chứccông ty có trụ sở hoặc chi nhánh đặt khắp tại nhiều nơi, hoặc các công ty muốn tạo môi trường làm việc chung với đối tác của mình.
LỜI MỞ ĐẦU I.LÝ DO CHỌN ĐỀ TÀI Mạng Internet ngày phát triển, không việc tận dụng nguồn tài nguyên “vô tận” đem lại hiệu vô to lớn Vấn đề trao đổi thông tin quan trọng, đặc biệt với tổ chức-công ty có trụ sở chi nhánh đặt khắp nhiều nơi, công ty muốn tạo môi trường làm việc chung với đối tác Đã có nhiều giải pháp đưa mà phải đáp ứng nhu cầu bảo mật thông tin truyền qua Internet – môi trường không bảo mật Những giải pháp tính đến để khắc phục vấn đề thuê đường Leased line, vừa có tính bảo mật vừa có băng thông nhiều mà giải pháp không khả thi kết nối nơi cách xa Một số giải pháp sử dụng Frame Relay ATM từ nhà cung cấp dịch vụ, nhiên giải pháp không nên sử dụng chi phí cao VPN giải pháp khả thi vừa đảm bảo yếu tố bảo mật mà chi phí tương đối phải Ngày nay, VPN sử dụng rộng rãi phát triển lên Tuy vậy, VPN thông thường có nhược điểm nó, vấn đề bảo mật, dễ dàng làm thất thoát tài sản thông tin công ty tổ chức, cá nhân II MỤC TIÊU CỦA ĐỀ TÀI Nghiên cứu triển khai VPN để phục vụ cho hệ thống mạng doanh nghiệp, từ khắc phục điểm yếu cố hữu tồn hệ thống VPN thường III ĐỐI TƯỢNG NGHIÊN CỨU -Các công nghệ sử dụng mô hình VPN -Cách thức triển khai mô hình VPN IV PHẠM VI NGHIÊN CỨU -Tìm hiểu cách thức hoạt động mô hình VPN -Cách thức bảo mật mô hình VPN V CÔNG CỤ Trang VMWARE WORKSTATION 10 Packet tracer IV Ý NGHĨA Ý nghĩa khoa học: -Cung cấp lý thuyết mô hình VPN -Các công nghệ sử dụng số vấn đề bảo mật dạng mô hình VPN -Tìm điểm ưu việt mô hình VPN thông thường so với mô hình VPN sau kết hợp dich vụ bảo mật Ý nghĩa thực tiễn: -Triển khai mô hình VPN Trang CHƯƠNG I : KIẾN THỨC CƠ SỞ I.Tổng quan bảo mật mạng 1.Thông tin sơ lược Hiệp hội an toàn thông tin Việt Nam cho biết: “Việt Nam nước có nguy an toàn thông tin cao nhất” Hiện số thuê bao Internet chiếm gần 32% dân số Việt Nam Đa số doanh nghiệp tổ chức có hệ thống mạng website giới thiệu, quảng bá thương hiệu, với gần 200.000 tên miền vn, hàng triệu tên miền thương mại Có nhiều doanh nghiệp ứng dụng toán trưc tuyến vào công việc kinh doanh giao dịch Thế nhưng, mạng Internet Việt Nam nhiều tiềm ẩn, nguy an ninh an toàn thông tin Năm 2010 đánh giá năm thực nóng bỏng an ninh an toàn thông tin giới chung an ninh mạng Việt Nam nói riêng Hàng loạt website lớn bị công với mức độ phức tạp ngày gia tăng Ở nước ta, theo đánh giá số chuyên gia an ninh mạng, tên miền đứng hàng thứ bảng xếp hạng tên miền có nguy bị công Cách chưa lâu, công quy mô lớn, liên tục kéo dài phá hủy gần hết sở liệu lưu trữ 10 năm báo Vietnamnet Các công mạng chủ yếu có mục tiêu vụ lợi, có tổ chức mang tính quốc tế nở rộ với quy mô lớn Thủ phạm công nhằm vào website có trình độ cao, hình thức công tinh vi, chuyên nghiệp khó chống đỡ Mục tiêu hacker không tổ chức, doanh nghiệp tài chính, ngân hàng mà tất hệ thống Các công lời cảnh báo an toàn thông tin báo điện tử website quan trọng Việt Nam Năm 2011, có 38.961 dòng virus xuất mới, lây lan nhiều virus W32.Sality.PE Virus lây nhiễm 4.2 triệu lượt máy tính Cũng 2011, có 2,245 website quan, doanh nghiệp Việt Nam bị công, tính trung bình tháng có 187 website bị công Năm 2011 có công DDOS làm tê liệt hệ thống thời gian dài Tấn công cướp tên miền doanh nghiệp diễn liên tiếp Nguy hiểm Trang hơn, xuất nhiều công âm thầm, cài đặt virus gián điệp đánh cắp tài liệu quan quan trọng 2.Nhu cầu an ninh mạng Tại TP.HCM, số lượng trường đào tạo ngành An ninh mạng chưa nhiều, nên số lượng nhân lực nhìn chung không đáp ứng đủ nhu cầu Nhân lực ngành An Ninh Mạng lại vừa thiếu số lượng vừa không mạnh mẽ chuyên môn Căn số liệu Trung tâm Dự báo nhu cầu nhân lực Thông tin thị trường lao động TP.HCM giai đoạn 2011-2015, năm thành phố cần từ 8.000 -10.000 nhân lực ngành CNTT Trong đó, ngành Hệ thống thông tin – An ninh mạng cần khoảng 1.000 người, 50% số cần có trình độ chuyên môn giỏi Nhu cầu tuyển dụng ngành CNTT năm 2011 vừa qua tăng 21,21% so với năm 2010 tiếp tục có xu hướng tăng năm tới Đa số Doanh nghiệp Việt Nam ý thức tầm quan trọng việc bảo đảm an toàn thông tin hệ thống mạng tài sản Doanh nghiệp Đặc biệt thời buổi mà hoạt động kinh doanh phát triển theo hướng số hóa Thất thoát thông tin đồng nghĩa với việc túi tiền Doanh nghiệp bị hao hụt Các giao dịch VN giới tương lai đa số diễn mạng Việc bảo mật thông tin thật vô quan trọng Chỉ tính riêng thống kê Hiệp hội Ngân hàng chứng khoán VN, số lượng chi nhánh ngân hàng công ty chứng khoán VN mức hàng ngàn Hoạt động công ty chứng khoán ngân hàng dựa hệ thống CNTT Giao dịch ngân hàng với nhau, ngân hàng với khách hàng… thông qua mạng Internet Không thiếu số lượng, trình độ chuyên môn chung đội ngũ chuyên gia an ninh mạng thấp Theo ông Nguyễn Thanh Tú, giám đốc điều hành công ty chuyên cung cấp giải pháp an ninh mạng, có nhiều nguyên nhân: chất lượng đào tạo chuyên sâu công nghệ bảo mật chưa đạt yêu cầu; môi trường ứng dụng giải pháp bảo mật doanh nghiệp hạn chế Cũng theo ông, vấn đề an ninh mạng doanh nghiệp thiếu nhân lực chuyên môn không giải pháp Giám Trang đốc doanh nghiệp thương mại điện tử chia sẻ: “Nhân lực cho vấn đề khó, mặt lực đội ngũ thấp” Nếu tính phép tính đơn giản, VN có hàng ngàn chi nhánh ngân hàng, hàng ngàn quan phủ trải khắp 64 tỉnh thành nước, 200.000 doanh nghiệp tư nhân có ứng dụng CNTT hoạt động kinh doanh, quản lý sản xuất; đơn vị cần bình quân nhân viên phục vụ việc quản trị an ninh mạng số lượng nhân an ninh mạng cần đáp ứng cho thị trường lao động VN phải tính chục ngàn Số lượng thách thức lớn cho ngành đào tạo CNTT VN thời gian tới 3.Thực trạng Theo công ty nghiên cứu an ninh quốc gia Symantec, công hacker gây thiệt hại cho doanh nghiệp lớn khoảng 2,2 triệu $ năm Hành vi trộm cắp thông tin cá nhân khách hàng làm giảm danh tiếng doanh nghiệp dẫn tới vụ kiện Hack làm công ty bị phá sản Botnet sử dụng để khởi động loại Dos công dựa web khác dẫn đến doanh nghiệp bị giảm doanh thu Kẻ công ăn cắp bí mật công ty, thông tin tài chính, hợp đồng quan trọng bán chúng cho đối thủ cạnh tranh 4.Các loại công mạng 4.1Tấn công hệ điều hành Những kẻ công tìm kiếm lỗ hổng hệ thống khai thác chúng để truy cập vào hệ thống mạng Một số lỗi hệ điều hành - Tràn đệm Lỗi hệ điều hành Hệ thống chưa vá hệ điều hành 4.2Tấn công cấu hình sai Các thông tin cấu hình hệ thống bị chỉnh sửa, cấu hình sai người quản trị bị nhiễm virus, giúp hacker tận dụng lỗ hổng để khai thác xâm nhập vào hệ thống chỉnh sửa sai DNS, thông tin cấu hình ip… Trang 4.3Tấn công cấp độ ứng dụng Phần mềm ứng dụng kèm với nhiều chức tính năng, chưa kiểm tra lỗi kỹ dẫn đến lỗ hổng để hacker khai thác, bao gồm công như: - Tràn đệm XSS Tấn công từ chối dịch vụ Lừa đảo Chiếm quyền điều khiển Man-in-Middle attack II Mạng riêng ảo VPN 1.Giới thiệu VPN VPN mô hình mạng tận dụng lại sơ hạ tầng có Internet Với mô hình mạng này, doanh nghiệp đầu tư thêm nhiều sở hạ tầng mà tính bảo mật, độ tin cậy đảm bảo, đồng thời quản lý riêng hoạt động mạng VPN cho phép người sử dụng làm việc nhà, đường hay văn phòng chi nhánh có kết nối an toàn đến máy chủ Trong nhiều trường hợp VPN giống WAN (Wire Area Network), nhiên đặt tính định VPN chúng dùng mạng công cộng Internet mà đảm bảo tính riêng tư tiết kiệm nhiều Khi tính phổ biến Internet gia tăng, doanh nghiệp đầu tư vào phương tiện quảng bá mở rộng mạng mà họ sở hữu Ban đầu mạng nội (Intranet) mà site bảo mật mật thiết kế cho việc sử dụng thành viên công ty VPN gọi mạng riêng ảo cách thiết lập mạng riêng qua mạng công cộng sử dụng kết nối tạm thời Những kết nối bảo mật thiết lập hai host, host mạng hai mạng với Một VPN xây dựng cách sử dụng “Đường hầm” “Mã hóa” VPN xuất lớp mô hình OSI VPN cải tiến sở hạ tầng mạng WAN mà làm thay đổi hay làm tăng thêm tính chất mạng cục 2.Định nghĩa VPN Trang VPN hiểu đơn giản mở rộng mạng riêng (private network) thông qua mạng công cộng Về bản, VPN mạng riêng lẻ sử dụng mạng chung (thường internet) để kết nối site (các mạng riêng lẻ) hay nhiều người dùng từ xa Thay cho việc sử dụng kết nối thực, chuyên dụng đường lease line, VPN sử dụng kết nối ảo dẫn đường qua Internet từ mạng riêng công ty tới site hay nhân viên từ xa Để gửi nhận liệu thông qua mạng công cộng mà đảm bảo tính an toàn bảo mật, VPN cung cấp chế mã hóa liệu đường truyền tạo đường ống bảo mật nơi nhận nơi gửi (Tunnel) giống kết nối point-to-point mạng riêng Để tạo đường ống bảo mật đó, liệu phải mã hóa hay che dấu đi, cung cấp phần đầu gói liệu (header) thông tin đường cho phép đến đích thông qua mạng công cộng cách nhanh chóng Dữ liệu mã hóa cách cẩn thận packet bị bắt lại đường truyền công cộng đọc nội dung khóa để giải mã Liên kết với liệu mã hóa đóng gói gọi kết nối VPN Các đường kết nối VPN thường gọi đường ống VPN (VPN Tunnel) Lợi ích chức VPN Lợi ích: -Chi phí thấp mạng riêng: VPN giảm chi phí từ 20% đến 40% so với mạng sử dụng leased-time giảm chi phí việc truy cập từ xa từ 40% đến 60%.Tính linh hoạt kết nối -Tăng tính bảo mật: Các liệu quan trọng che giấu người quyền truy cập -Hỗ trợ giao thức mạng thông dụng TCP/IP -Bảo mật địa IP: Bởi thông tin VPN mã hóa, địa bên mạng riêng che giấu sử dụng địa bên Internet Chức năng: VPN cung cấp chức là: Trang -Sự tin cậy (Confidentiality): Người gửi mã hóa gói liệu trước truyền chúng ngang qua mạng Bằng cách này, không truy cập thông tin mà không phép, mà gói liệu bị bắt giữ lại đọc thông tin mã hóa -Tính toàn vẹn liệu (Data Integrity): Người nhận kiểm tra liệu truyền qua mạng Internet mà thay đổi -Xác thực nguồn gốc (Origin Authentication): Người nhận xác thực nguồn gốc gói liệu, đảm bảo công nhận nguồn thông tin -Điều khiển truy cập (Access Control): VPN phân biệt người dùng hợp lệ trái phép nhiều cách dựa vào sách bảo mật, chứng thực… Ưu điểm VPN VPN có nhiều ưu điểm so với kênh leased line truyền thống Các ưu điểm là: -VPN làm giảm chi phí so với mạng cục bộ: Tổng giá thành việc sở hữu mạng VPN thu nhỏ, phải trả cho việc thuê băng thông đường truyền, thiết bị mạng đường trục hoạt động hệ thống Giá thành cho việc kết nối LAN to LAN giảm từ 20-30% so với việc sử dụng đường truyền leased line truyền thống Việc truy cập từ xa giảm từ 60-80% -VPN tạo tính mềm dẻo cho khả quản lý Internet: Các VPN kế thừa phát huy tính mềm dẻo khả mở rộng kiến trúc mạng mạng WAN truyền thống Điều giúp doanh nghiệp nhanh chóng hiệu kinh tế cho việc mở rộng hay hủy bỏ kết nối trụ sở xa, người sử dụng di động…,và mở rộng đối tác kinh doanh có nhu cầu -VPN làm đơn giản hóa cho việc quản lý công việc so với việc sở hữu vận hành mạng cục bộ: Các doanh nghiệp cho phếp sử dụng vài hay tất dịch vụ mạng WAN, giúp doanh nghiệp tập trung vaofcacs đối tượng kinh doanh thay quản lý mạng WAN hay mạng quay số từ xa -VPN cung cấp kiểu mạng đường hầm làm giảm thiểu công việc quản lý: Một Backbone IP loại bỏ PVC (Permanent Virtual Circuit) cố định tương ứng với Trang giao thức kết nối Frame Relay ATM Điều tạo kiểu mạng lưới hoàn chỉnh giảm độ phức tạp giá thành 5.Đường hầm mã hóa Chức VPN cung cấp bảo mật cách mã hóa qua đường hầm Đường hầm (Tunnel): Các đường hầm đặc tính ảo VPN, làm cho kết nối dường dòng lưu lượng đường dây Đồng thời tạo cho VPN khả trì yêu cầu bảo mật quyền ưu tiên áp dụng mạng nội bộ, bảo đảm cho vai trò kiểm soát dòng lưu chuyển liệu Đường hầm làm cho VPN có tính riêng tư Mã hóa sử dụng để tạo kết nối đường hầm để liệu đọc người nhận người gửi Mã hóa (Encryption): Chắc chắn tin không bị đọc đọc người nhận Khi mà có nhiều thông tin lưu thông mạng cần thiết việc mã hóa thông tin trở nên quan trọng Mã hóa biến đổi nội dung thông tin thành văn mật mã mà trở nên vô nghĩa dạng mật mã Chức giải mã để khôi phục văn mật mã thành nội dung thông tin dùng cho người nhận Mã hóa tính tùy chọn đóng góp vào đặc điểm “riêng tư” VPN Chỉ nên sử dụng mã hóa cho dòng liệu quan trọng đặc biệt, bình thường không cần việc mã hóa ảnh hưởng xấu đến tốc độ, tăng gánh nặng cho xử lý 6.Các giao thức sử dụng VPN: Các giao thức để tạo nên chế đường ống bảo mật cho VPN L2TP, Cisco GRE IPSec 6.1 L2TP • Trước xuất chuẩn L2TP (tháng năm 1999), Cisco sử dụng Layer Forwarding (L2F) giao thức chuẩn để tạo kết nối VPN L2TP đời sau với tính tích hợp từ L2F • L2TP dạng kết hợp Cisco L2F Mircosoft Point-to-Point Tunneling Protocol (PPTP) Microsoft hỗ trợ chuẩn PPTP L2TP phiên WindowNT 2000 Trang • L2TP sử dụng để tạo kết nối độc lập, đa giao thức cho mạng riêng ảo quay số (Virtual Private Dail-up Network) L2TP cho phép người dùng kết nối thông qua sách bảo mật công ty (security policies) để tạo VPN hay VPDN mở rộng mạng nội công ty • L2TP không cung cấp mã hóa • L2TP kết hợp PPP(giao thức Point-to-Point) với giao thức L2F(Layer Forwarding) Cisco hiệu kết nối mạng dial, ADSL, mạng truy cập từ xa khác Giao thức mở rộng sử dụng PPP phép truy cập VPN ngườI sử dụng từ xa 6.2 GRE • Đây đa giao thức truyền thông đóng gói IP, CLNP tất cá gói liệu bên đường ống IP (IP tunnel) • Với GRE Tunnel, Cisco router đóng gói cho vị trí giao thức đặc trưng định gói IP header, tạo đường kết nối ảo (virtual point-to-point) tới Cisco router cần đến Và gói liệu đến đích IP header mở • Bằng việc kết nối nhiều mạng với giao thức khác môi trường có giao thức GRE tunneling cho phép giao thức khác thuận lợi việc định tuyến cho gói IP 6.3 IPSec • IPSec tập giao thức phát triển IETF để thực thi dịch vụ bảo mật mạng IP chuyển mạch gói Internet mạng chuyển mạch gói công cộng lớn Công nghệ IPSec VPN triển khai có ý nghĩa quan trọng tiết kiệm chi phí lớn so với mạng VPN sử dụng Leased-Line VPN • Dịch vụ IPSec cho phép chứng thực, kiểm tra tính toàn vẹn liệu, điều khiển truy cập đảm bảo bí mật liệu Với IPSec, thông tin trao đổi site mã hoá kiểm tra IPSec triển khai hai loại VPN Remote Access Client Site-to-Site VPN - IPSec cung cấp dịch vụ bảo mật sử dụng KDE cho phép thỏa thuận giao thức thuật tóan sách cục (group policy) sinh khóa bảo mã hóa chứng thực sử dụng IPSec 6.4 Point to Point Tunneling Protocol (PPTP): Trang 10 Chọn User – Name mục Attrbute Trang 36 Chọn Next -> Finish Trang 37 b.Trên máy VPN server (Radius Client) Start Administrative Tools Routing and Remote Access Enable Routing and Remote Access Cửa sổ welcome chọn Next Trang 38 Cửa sổ Configuration chọn Custom Configuration để chọn thuộc tính Routing and Remote Access Next Custom Configuration check vào VPN access Lan routing phép client truy cập VPN qua định tuyến card mạng LAN NET Next Hoàn thành trình Setup Routing and Remote Access chọn Finish Trang 39 Cửa sổ yêu cầu cần phải khởi động lại dịch vụ Start sevice Sau Click phải chuột vào Radiusclt chọn Properties Trang 40 Chuyển sang Tab SecurityAuthentication provider chọn RADIUS Authentication Configure… Trang 41 Trong cửa sổ RADIUS Authentication chọn Add Cung cấp địa IP máy RADIUS Server mục Secret nhấn Change… Trang 42 Change Secret cung cấp key giống bên RADIUS cấu hình là: Pham123465 Trang 43 Check vào Always use message authenticator Sau chọn Ok hộp thoại hệ thống yêu cầu phải khởi động lại dịch vụ Chuyển qua Tab IP Static address Pool (cung cấp dải địa ảo cho client truy cập VPN server) Trang 44 Chọn Ok khởi động lại dịch vụ Trang 45 3.Kiểm thử Máy Client sử dụng truy cập VPN Phải chuột vào My Place network Properties Create a new connection Chọn Connect to the network at my workplace Next Trang 46 Chọn Virtual Private Network connection Next Cung cấp Company name: Networking Next Trang 47 Cung cấp địa IP card NET Radius Client Next Cung cấp username/password để truy cập VPN Connect Trang 48 Quá trình kiểm tra username/password register to network Chứng thực xong thông báo trạng thái kết nối thành công Chúng ta dùng câu lệnh ipconfig để kiểm tra xem kết nối VPN với địa bên Trang 49 Chúng ta ping thành công đến mạng 192.168.1.2 Hoàn tất 100% cấu hình kết nối VPN xác thực dựa RADIUS Server Trang 50 ... khóa để giải mã Liên kết với liệu mã hóa đóng gói gọi kết nối VPN Các đường kết nối VPN thường gọi đường ống VPN (VPN Tunnel) Lợi ích chức VPN Lợi ích: -Chi phí thấp mạng riêng: VPN giảm chi phí... toàn cao CHƯƠNG II: BẢO MẬT KẾT NỐI VPN I Vấn đề bảo mật mạng VPN 1.Những vấn đề bảo mật mạng riêng ảo Nền tảng VPN bị công nhiều cách Dưới số loại - - công phổ biến vào hệ thống VPN Các mối đe dọa... cấp lý thuyết mô hình VPN -Các công nghệ sử dụng số vấn đề bảo mật dạng mô hình VPN -Tìm điểm ưu việt mô hình VPN thông thường so với mô hình VPN sau kết hợp dich vụ bảo mật Ý nghĩa thực tiễn: