1. Trang chủ
  2. » Giáo Dục - Đào Tạo

đồ án VPN ( virtual private network )

102 492 2
đồ án VPN ( virtual private network )

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Đồ án tốt nghiệp GVHD:Phan Thành Nhất CHƯƠNG I: TỔNG QUAN VỀ VPN 1.1 Định nghĩa, chức năng, ưu điểm VPN 1.1.1 Khái niệm VPN Phương án truyền thơng nhanh, an tồn tin cậy trở thành mối quan tâm nhiều doanh nghiệp, đặc biệt doanh nghiệp có địa điểm phân tán mặt địa lý Nếu trước giải pháp thông thường thuê đường truyền riêng (leased lines) để trì mạng WAN (Wide Are Network) Các đường truyền giới hạn từ ISDN (128 Kbps) đến đường cáp quang OC3 (optical carrier-3, 155Mbps) Mỗi mạng WAN có điểm thuận lợi mạng công cộng Internet độ tin cậy, hiệu tính an tồn, bảo mật Nhưng để bảo trì mạng WAN, đặc biệt sử dụng đường truyền riêng, trở nên đắt doanh nghiệp muốn mở rộng chi nhánh Khi tính phổ biến Internet gia tăng, doanh nghiệp đầu tư vào phương tiện quảng bá mở rộng mạng mà họ sở hữu Ban đầu, mạng nội (Intranet) mà site bảo mật mật thiết kế cho việc sử dụng thành viên cơng ty Hình 1.1 Mơ hình VPN Về bản, VPN(virtual private network) mạng riêng rẽ sử dụng mạng chung (thường Internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dụng đường Leased Line, VPN sử dụng kết nối ảo dẫn qua đường Internet từ mạng riêng công ty tới site nhân viên từ xa SVTH: Nguyễn Công Tho Đồ án tốt nghiệp GVHD:Phan Thành Nhất Hình 1.2 Mơ hình mạng VPN Những thiết bị đầu mạng hỗ trợ cho mạng riêng ảo switch, router firewall Những thiết bị quản trị công ty nhà cung cấp dịch vụ ISP VPN gọi mạng ảo cách thiết lập mạng riêng qua mạng công cộng sử dụng kết nối tạm thời Những kết nối bảo mật thiết lập host , host mạng hai mạng với Một VPN xây dựng cách sử dụng “Đường hầm” “Mã hoá” VPN xuất lớp mơ hình OSI VPN cải tiến sở hạ tầng mạng WAN mà làm thay đổi hay làm tăng thêm tính chất mạng cục 1.1.2 Chức VPN VPN cung cấp ba chức chính:  Sự tin cậy (Confidentiality): Người gửi mã hố gói liệu trước truyền chúng ngang qua mạng Bằng cách làm vậy, không truy cập thơng tin mà khơng cho phép Và có lấy khơng đọc  Tính tồn vẹn liệu ( Data Integrity): người nhận kiểm tra liệu truyền qua mạng Internet mà khơng có thay đổi  Xác thực nguồn gốc (Origin Authentication): Người nhận xác thực nguồn gốc gói liệu, đảm bảo cơng nhận nguồn thơng tin 1.1.3 Ưu điểm VPN có nhiều ưu điểm so với mạng leased-line truyền thống Nó bao gồm:  VPN làm giảm chi phí so với mạng cục Tổng giá thành việc sở hữu mạng VPN thu nhỏ, phải trả cho việc thuê băng thông đường SVTH: Nguyễn Công Tho Đồ án tốt nghiệp GVHD:Phan Thành Nhất truyền, thiết bị mạng đường trục, hoạt động hệ thống Giá thành cho việc kết nối LAN-to-LAN giảm từ 20-30% so với việc sử dụng đường Leased-line truyền thống Còn việc truy cập từ xa giảm tới từ 60-80%  VPN tạo tính mềm dẻo cho khả quản lý Internet Các VPN kết thừa phát huy tính mềm dẻo khả mở rộng kiến trúc mạng mạng WAN truyền thống Điều giúp doanh nghiệp nhanh chóng hiệu kinh tế cho việc mở rộng hay huỷ bỏ kết nối trụ sở xa, người sử dụng di động…, mở rộng đối tác kinh doanh có nhu cầu  VPN làm đơn giản hố cho việc quản lý công việc so với việc sở hữu vận hành mạng cục Các doanh nghiệp cho phép sử dụng vài hay tất dịch vụ mạng WAN, giúp doanh nghiệp tập chung vào đối tượng kinh doanh chính, thay quản lý mạng WAN hay mạng quay số từ xa  VPN cung cấp kiểu mạng đường hầm làm giả thiểu công việc quản lý Một Backbone IP loại bỏ PVC (Permanent Virtual Circuit) cố định tương ứng với giao thức kết nối Frame Relay ATM Điều tạo kiểu mạng lưới hoàn chỉnh giảm độ phức tạp giá thành Hình 1.3 Ưu điểm VPN so với mạng truyền thống Một mạng VPN có ưu điểm mạng cục sở hạ tầng mạng IP công cộng Các ưu điểm bao gồm tính bảo mật sử dụng đa giao thức SVTH: Nguyễn Công Tho Đồ án tốt nghiệp GVHD:Phan Thành Nhất Hình 1.4 Các ưu điểm VPN Một mạng ảo tạo nhờ giao thức đường hầm kết nối IP chuẩn GRE (Generic Routing Protocol), L2TP (Layer Tunneling Protocol) IPSec ba phương thức đường hầm Một mạng cục mạng mà đảm bảo độ tin cậy, tính tồn vẹn xác thực, gọi tắt CIA Mã hoá liệu sử dụng giao thức IPSec giúp giữ liệu chung chuyển Web với tính chất CIA tương tự mạng cục 1.1.4 Các yêu cầu giải pháp VPN Có yêu cầu cần đạt xây dựng mạng riêng ảo • Tính tương thích (compatibility) Mỗi cơng ty, doanh nghiệp xây dựng hệ thống mạng nội diện rộng dựa thủ tục khác không tuân theo chuẩn định nhà cung cấp dịch vụ Rất nhiều hệ thống mạng không sử dụng chuẩn TCP/IP vậykhơng thể kết nối trực tiếp với Internet Để sử dụng IP VPN tất hệ thống mạng riêng phải chuyển sang hệ thống địa theo chuẩn sử dụng internet bổ sung tính tạo kênh kết nối ảo, cài đặt cổng kết nối internet có chức việc chuyển đổi thủ tục khác sang chuẩn IP 77% số lượng khách hàng hỏi yêu cầu chọn nhà cung cấp dịch vụ IP VPN phải tương thích với thiết bị có họ • Tính bảo mật (security) SVTH: Nguyễn Công Tho Đồ án tốt nghiệp GVHD:Phan Thành Nhất Tính bảo mật cho khách hàng yếu tố quan trọng giải pháp VPN Người sử dụng cần đảm bảo liệu thông qua mạng VPN đạt mức độ an toàn giống hệ thống mạng dùng riêng họ tự xây dựng quản lý Việc cung cấp tính bảo đảm an tồn cần đảm bảo hai mục tiêu sau: - Cung cấp tính an tồn thích hợp bao gồm: cung cấp mật cho người sử dụng mạng mã hoá liệu truyền - Đơn giản việc trì quản lý, sử dụng Đòi hỏi thuận tiện đơn giản cho người sử dụng nhà quản trị mạng việc cài đặt quản trị hệ thống • Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp tính bảo đảm chất lượng, hiệu suất sử dụng dịch vụ dung lượng truyền • Tiêu chuẩn chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá mạng lưới có khả đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối QoS liên quan đến khả đảm bảo độ trễ dịch vụ phạm vi định liên quan đến hai vấn đề 1.2 Đường hầm mã hóa Chức VPN cung cấp bảo mật cách mã hố qua đường hầm Hình 1.5 Đường hầm VPN  Đường hầm (Tunnel) cung cấp kết nối logic, điểm tới điểm qua mạng IP không hướng kết nối Điều giúp cho việc sử dụng ưu điểm tính bảo mật Các giải pháp đường hầm cho VPN sử dụng mã hố để bảo vệ liệu khơng bị xem trộm SVTH: Nguyễn Công Tho Đồ án tốt nghiệp GVHD:Phan Thành Nhất không phép để thực đóng gói đa giao thức cần thiết Mã hoá sử dụng để tạo kết nối đường hầm để liệu đọc người nhận người gửi  Mã hố(Encryption) chắn tin khơng bị đọc đọc người nhận Khi mà có nhiều thơng tin lưu thơng mạng cần thiết việc mã hố thơng tin trở nên quan trọng Mã hố biến đổi nội dung thông tin thành văn mật mã mà vô nghĩa dạng mật mã Chức giải mã để khơi phục văn mật mã thành nội dung thông tin dùng cho người nhận CHƯƠNG II: CÁC KIỂU VPN VPNs nhằm hướng vào yêu cầu sau : • • • Có thể truy cập lúc điều khiển từ xa, điện thoại cầm tay, việc liên lạc nhân viên tổ chức tới tài nguyên mạng Nối kết thông tin liên lạc chi nhánh văn phòng từ xa Ðược điều khiển truy nhập tài nguyên mạng cần thiết khách hàng, nhà cung cấp đối tượng quan trọng công ty nhằm hợp tác kinh doanh Dựa nhu cầu trên, ngày VPNs phát triển phân chia làm phân loại sau :  Remote Access VPNs  Intranet VPNs  Extranet VPNs 2.1 Các VPN truy cập (Remote Access VPNs) Giống gợi ý tên gọi, Remote Access VPNs cho phép truy cập lúc Remote, mobile, thiết bị truyền thông nhân viên chi nhánh kết nối đến tài nguyên mạng tổ chức Ðặc biệt người dùng thường xuyên di chuyển chi nhánh văn phòng nhỏ mà khơng có kết nối thường xun đến mạng Intranet hợp tác Các truy cập VPN thường yêu cầu vài kiểu phần mềm client chạy máy tính người sử dụng Kiểu VPN thường gọi VPN truy cập từ xa SVTH: Nguyễn Công Tho Đồ án tốt nghiệp GVHD:Phan Thành Nhất Hình 2.1 Mơ hình mạng VPN truy cập Một số thành phần : Remote Access Server (RAS) : đặt trung tâm có nhiệm vụ xác nhận chứng nhận yêu cầu gửi tới Quay số kết nối đến trung tâm, điều làm giảm chi phí cho số yêu cầu xa so với trung tâm Hỗ trợ cho người có nhiệm vụ cấu hình, bảo trì quản lý RAS hỗ trợ truy cập từ xa người dùng Bằng việc triển khai Remote Access VPNs, người dùng từ xa chi nhánh văn phòng cần cài đặt kết nối cục đến nhà cung cấp dịch vụ ISP ISP’s POP kết nối đến tài nguyên thông qua Internet Internet Người dùng từ xa Đường hầm Trung tâm liệu Tường lửa Sử dụng di động Server Đường hầm Server SVTH: Nguyễn Cơng Tho Văn phòng từ xa Đồ án tốt nghiệp GVHD:Phan Thành Nhất Hình 2.2: Cài đặt Remote Access VPN Thuận lợi Remote Access VPNs :  Sự cần thiết RAS việc kết hợp với modem loại trừ  Sự cần thiết hỗ trợ cho người dung cá nhân loại trừ kết nối từ xa tạo điều kiện thuận lợi bời ISP  Việc quay số từ khoảng cách xa loại trừ , thay vào đó, kết nối với khoảng cách xa thay kết nối cục  Giảm giá thành chi phí cho kết nối với khoảng cách xa  Do kết nối mang tính cục bộ, tốc độ nối kết cao so với kết nối trực tiếp đến khoảng cách xa  VPNs cung cấp khả truy cập đến trung tâm tốt hỗ trợ dịch vụ truy cập mức độ tối thiểu cho dù có tăng nhanh chóng kết nối đồng thời đến mạng Ngoài thuận lợi trên, VPNs tồn số bất lợi khác :  Remote Access VPNs không bảo đảm chất lượng phục vụ  Khả liệu cao, thêm phân đoạn gói liệu ngồi bị thất thoát  Do độ phức tạp thuật toán mã hoá, protocol overhead tăng đáng kể, điều gây khó khăn cho q trình xác nhận Thêm vào đó, việc nén liệu IP PPP-based diễn vô chậm chạp tồi tệ  Do phải truyền liệu thông qua Internet, nên trao đổi liệu lớn gói liệu truyền thông, phim ảnh, âm chậm 2.2 Các VPN nội (Intranet VPNs): Intranet VPNs sử dụng để kết nối đến chi nhánh văn phòng tổ chức đến Corporate Intranet (backbone router) sử dụng campus router Theo mơ hình tốn chi phí phải sử dụng router để thiết lập mạng, thêm vào đó, việc triển khai, bảo trì quản lý mạng Intranet Backbone tốn tùy thuộc vào lượng lưu thơng mạng phạm vi địa lý tồn mạng Intranet Ðể giải vấn đề trên, tốn WAN backbone thay kết nối Internet với chi phí thấp, điều giảm lượng chi phí đáng kể việc triển khai mạng Intranet SVTH: Nguyễn Công Tho Đồ án tốt nghiệp GVHD:Phan Thành Nhất Intranet VPNs VPN nội đươc sử dụng để bảo mật kết nối địa điểm khác công ty Điều cho phép tất địa điểm truy cập nguồn liệu phép tồn mạng cơng ty Các VPN nội liên kết trụ sở chính, văn phòng, văn phòng chi nhánh sở hạ tầng chung sử dụng kết nối mà luôn mã hố Kiểu VPN thường cấu VPN Site-to-Site Hình 2.3 Mơ hình mạng VPN nội Những thuận lợi Intranet setup dựa VPN:  Hiệu chi phí giảm số lượng router sử dụng theo mơ hình WAN backbone  Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, trạm số remote site khác  Bởi Internet hoạt động kết nối trung gian, dễ dàng cung cấp kết nối ngang hàng  Kết nối nhanh tốt chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề khoảng cách xa thêm giúp tổ chức giảm thiểu chi phí cho việc thực Intranet Những bất lợi kết hợp với cách giải :    Bởi liệu tunnel suốt q trình chia mạng công cộngInternet-và nguy công, công từ chối dịch vụ (denial-of-service), mối đe doạ an tồn thơng tin Khả liệu lúc di chuyễn thông tin cao Trong số trường hợp, liệu loại high-end, tập tin mulltimedia, việc trao đổi liệu chậm chạp truyền thông qua Internet SVTH: Nguyễn Công Tho Đồ án tốt nghiệp  GVHD:Phan Thành Nhất Do kết nối dựa Internet, nên tính hiệu khơng liên tục, thường xun, QoS không đảm bảo 2.3 Các VPN mở rộng (Extranet VPNs): Không giống Intranet Remote Access-based, Extranet khơng hồn tồn cách li từ bên ngồi (outer-world), Extranet cho phép truy cập tài nguyên mạng cần thiết đối tác kinh doanh, chẳng hạn khách hàng, nhà cung cấp, đối tác người giữ vai trò quan trọng tổ chức Mạng Extranet tốn có nhiều đoạn mạng riêng biệt Intranet kết hợp lại với để tạo Extranet Ðiều làm cho khó triển khai quản lý có nhiều mạng, đồng thời khó khăn cho cá nhân làm cơng việc bảo trì quản trị Thêm mạng Extranet khó mở rộng điều làm rối tung toàn mạng Intranet ảnh hưởng đến kết nối bên ngồi mạng Sẽ có vấn đề bạn gặp phải kết nối Intranet vào mạng Extranet Triển khai thiết kế mạng Extranet ác mộng nhà thiết kế quản trị mạng Hạ tầng Mạng nhà Cung cấp Mạng chung Mạng nhà Cung cấp Mạng nhà Cung cấp Nhà cung cấp Dịch vụ 1Nhà cung cấp Dịch vụ Nhà cung cấp Dịch vụ Hình 2.4: Thiết lập Extranet truyền thống Các VPN mở rộng cung cấp đường hầm bảo mật khách hàng, nhà cung cấp, đối tác qua sở hạ tầng công cộng sử dụng kết nối mà luôn bảo mật Kiểu VPN thường cấu VPN Site-to-Site Sự khác SVTH: Nguyễn Công Tho 10 Đồ án tốt nghiệp GVHD:Phan Thành Nhất CHƯƠNG V: BẢO MẬT TRONG VPN 5.1 Tổng quan an toàn mạng 5.1.1 An tồn mạng gì? Mục tiêu việc kết nối mạng để nhiều người sử dụng, từ vị trí địa lý khác sử dụng chung tài nguyên, trao đổi thông tin với Do đặc điểm nhiều người sử dụng lại phân tán mặt vật lý nên việc bảo vệ tài nguyên thông tin mạng, tránh mát, xâm phạm cần thiết cấp bách An toàn mạng hiểu cách bảo vệ, đảm bảo an toàn cho tất thành phần mạng bao gồm liệu, thiết bị, sở hạ tầng mạng đảm bảo tài nguyên mạng sử dụng tương ứng với sách hoạt động ấn định với người có thẩm quyền tương ứng An tồn mạng bao gồm:  Xác định xác khả năng, nguy xâm phạm mạng, cố rủi ro thiết bị, liệu mạng để có giải pháp phù hợp đảm bảo an tồn mạng  Đánh giá nguy cơng Hacker đến mạng, phát tán virus Phải nhận thấy an toàn mạng vấn đề quan trọng hoạt động, giao dịch điện tử việc khai thác sử dụng tài nguyên mạng Một thách thức an tồn mạng xác định xác cấp độ an toàn cần thiết cho việc điều khiển hệ thống thành phần mạng Đánh giá nguy cơ, lỗ hổng khiến mạng bị xâm phạm thơng qua cách tiếp cận có cấu trúc Xác định nguy ăn cắp, phá hoại máy tính, thiết bị, nguy virus, bọ gián điệp , nguy xoá, phá hoại CSDL, ăn cắp mật khẩu, nguy hoạt động hệ thống nghẽn mạng, nhiễu điện tử Khi đánh giá hết nguy ảnh hưởng tới an ninh mạng có biện pháp tốt để đảm bảo an ninh mạng Sử dụng hiệu cơng cụ bảo mật (ví dụ Firewall ) biện pháp, sách cụ thể chặt chẽ Về chất phân loại vi phạm thành hai loại vi phạm thụ động vi phạm chủ động Thụ động chủ động hiểu theo nghĩa có can thiệp vào nội dung luồng thơng tin có bị tráo đổi hay khơng Vi phạm thụ động nhằm mục đích nắm bắt thơng tin Vi phạm chủ động thực biến đổi, xoá bỏ thêm thông tin ngoại lai để làm sai lệch thơng tin gốc nhằm mục đích phá hoại Các hành động vi phạm thụ động thường khó phát ngăn chặn hiệu Trái lại vi phạm chủ động dễ phát lại khó ngăn chặn 5.1.2 Các đặc trưng kỹ thuật an tồn mạng SVTH: Nguyễn Cơng Tho 88 Đồ án tốt nghiệp GVHD:Phan Thành Nhất Xác thực (Authentification): Kiểm tra tính xác thực thực thể giao tiếp mạng Một thực thể người sử dụng, chương trình máy tính, thiết bị phần cứng Các hoạt động kiểm tra tính xác thực đánh giá quan trọng hoạt động phương thức bảo mật Một hệ thống thơng thường phải thực kiểm tra tính xác thực thực thể trước thực thể thực kết nối với hệ thống Cơ chế kiểm tra tính xác thực phương thức bảo mật dựa vào mơ hình sau:  Đối tượng cần kiểm tra cần phải cung cấp thông tin trước, ví dụ Password, mã số thơng số cá nhân PIN (Personal Information Number)  Kiểm tra dựa vào mơ hình thơng tin có, đối tượng kiểm tra cần phải thể thông tin mà chúng sở hữu, ví dụ Private Key, số thẻ tín dụng  Kiểm tra dựa vào mơ hình thơng tin xác định tính nhất, đối tượng kiểm tra cần phải có thơng tin để định danh tính ví dụ thơng qua giọng nói, dấu vân tay, chữ ký Có thể phân loại bảo mật VPN theo cách sau: mật truyền thống hay mật lần; xác thực thông qua giao thức (PAP, CHAP, RADIUS…) hay phần cứng (các loại thẻ card: smart card, token card, PC card), nhận diện sinh trắc học (dấu vân tay, giọng nói, qt võng mạc ) Tính khả dụng (Availability): Tính khả dụng đặc tính mà thông tin mạng thực thể hợp pháp tiếp cận sử dụng theo yêu cầu, cần thiết nào, hồn cảnh Tính khả dụng nói chung dùng tỷ lệ thời gian hệ thống sử dụng bình thường với thời gian q trình hoạt động để đánh giá Tính khả dụng cần đáp ứng yêu cầu sau: Nhận biết phân biệt thực thể, khống chế tiếp cận (bao gồm việc khống chế tự tiếp cận khống chế tiếp cận cưỡng bức), khống chế lưu lượng (chống tắc nghẽn ), khống chế chọn đường (cho phép chọn đường nhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất kiện phát sinh hệ thống lưu giữ để phân tích nguyên nhân, kịp thời dùng biện pháp tương ứng) Tính bảo mật (Confidentialy): Tính bảo mật đặc tính tin tức không bị tiết lộ cho thực thể hay trình khơng uỷ quyền biết khơng đối tượng lợi dụng Thơng tin cho phép thực thể uỷ quyền sử dụng Kỹ thuật bảo mật thường phòng ngừa la thu thập (làm cho đối thủ khơng thể la thu thập thơng tin), phòng ngừa xạ (phòng ngừa tin tức bị xạ nhiều đường khác nhau), tăng cường bảo mật thông tin (dưới khống chế khoá mật mã), bảo mật vật lý (sử dụng phương pháp vật lý để đảm bảo tin tức khơng bị tiết lộ) Tính tồn vẹn (Integrity): Là đặc tính thơng tin mạng chưa uỷ quyền khơng thể tiến hành biến đổi được, tức thông tin mạng lưu giữ SVTH: Nguyễn Công Tho 89 Đồ án tốt nghiệp GVHD:Phan Thành Nhất trình truyền dẫn đảm bảo khơng bị xố bỏ, sửa đổi, giả mạo, làm rối loạn trật tự, phát lại, xen vào cách ngẫu nhiên cố ý phá hoại khác Những nhân tố chủ yếu ảnh hưởng tới tồn vẹn thơng tin mạng gồm: cố thiết bị, sai mã, bị tác động người, virus máy tính… Một số phương pháp bảo đảm tính tồn vẹn thơng tin mạng:  Giao thức an tồn kiểm tra thơng tin bị chép, sửa đổi Nếu phát thơng tin bị vơ hiệu hố  Phương pháp phát sai sửa sai Phương pháp sửa sai mã hoá đơn giản thường dùng phép kiểm tra chẵn - lẻ  Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc cản trở truyền tin  Chữ ký điện tử: bảo đảm tính xác thực thông tin  Yêu cầu quan quản lý trung gian chứng minh tính chân thực thơng tin Tính khống chế (Accountlability): Là đặc tính lực khống chế truyền bá nội dung vốn có tin tức mạng Tính khơng thể chối cãi (Nonreputation): Trong trình giao lưu tin tức mạng, xác nhận tính chân thực đồng thực thể tham gia, tức tất thực thể tham gia chối bỏ phủ nhận thao tác cam kết thực 5.1.3 Các lỗ hổng điểm yếu mạng Các lỗ hổng bảo mật hệ thống điểm yếu tạo ngưng trệ dịch vụ, thêm quyền người sử dụng cho phép truy nhập không hợp pháp vào hệ thống Các lỗ hổng tồn dịch vụ Sendmail, Web, Ftp hệ điều hành mạng Windows NT, Windows 95, UNIX; ứng dụng Các loại lỗ hổng bảo mật hệ thống chia sau: Lỗ hổng loại C: cho phép thực phương thức công theo kiểu từ chối dịch vụ DoS (Dinal of Services) Mức nguy hiểm thấp, ảnh hưởng chất lượng dịch vụ, làm ngưng trệ, gián đoạn hệ thống, khơng phá hỏng liệu chiếm quyền truy nhập Lổ hổng loại B: cho phép người sử dụng có thêm quyền hệ thống mà không cần thực kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình, lỗ hổng thường có ứng dụng hệ thống, dẫn đến lộ thơng tin yêu cầu bảo mật Lỗ hổng loại A: Các lỗ hổng cho phép người sử dụng cho thể truy nhập vào hệ thống bất hợp pháp Lỗ hổng nguy hiểm, làm phá hủy tồn hệ thống Các phương thức cơng mạng: SVTH: Nguyễn Công Tho 90 Đồ án tốt nghiệp GVHD:Phan Thành Nhất Kẻ phá hoại lợi dụng lỗ hổng để tạo lỗ hổng khác tạo thành chuỗi lỗ hổng Để xâm nhập vào hệ thống, kẻ phá hoại tìm lỗ hổng hệ thống, từ sách bảo mật, sử dụng cơng cụ xét (như SATAN, ISS) để đạt quyền truy nhập Sau xâm nhập, kẻ phá hoại tiếp tục tìm hiểu dịch vụ hệ thống, nắm bắt điểm yếu thực hành động phá hoại tinh vi 5.2 MỘT SỐ PHƯƠNG THỨC TẤN CÔNG MẠNG PHỔ BIẾN 5.2.1 Scanner: Kẻ phá hoại sử dụng chương trình Scanner tự động rà sốt phát điểm yếu lỗ hổng bảo mật server xa Scanner chương trình trạm làm việc cục trạm xa Các chương trình Scanner rà sốt phát số hiệu cổng (Port) sử dụng giao thức TCP/UDP tầng vận chuyển phát dịch vụ sử dụng hệ thống đó, ghi lại đáp ứng (Response) hệ thống xa tương ứng với dịch vụ mà phát Dựa vào thông tin này, kẻ công tìm điểm yếu hệ thống Các chương trình Scanner cung cấp thơng tin khả bảo mật yếu hệ thống mạng Những thơng tin hữu ích cần thiết người quản trị mạng, nguy hiểm kẻ phá hoại có thơng tin 5.2.2 Bẻ khóa (Password Cracker) Chương trình bẻ khố Password chương trình có khả giải mã mật mã hoá vơ hiệu hố chức bảo vệ mật hệ thống Hầu hết việc mã hoá mật tạo từ phương thức mã hố Các chương trình mã hố sử dụng thuật tốn mã hố để mã hố mật Có thể thay phá khoá hệ thống phân tán, đơn giản so với việc phá khoá Server cục Một danh sách từ tạo thực mã hoá từ Sau lần mã hoá, so sánh với mật (Password) mã hố cần phá Nếu khơng trùng hợp, q trình lại quay lại Phương thức bẻ khố gọi Bruce-Force Phương pháp không chuẩn tắc thực nhanh dựa vào nguyên tắc đặt mật người sử dụng thường tuân theo số qui tắc để thuận tiện sử dụng Thơng thường chương trình phá khố thường kết hợp số thơng tin khác q trình mật như: thông tin tập tin /etc/passwd, từ điển sử dụng từ lặp từ liệt kê tuần tự, chuyển đổi cách phát âm từ SVTH: Nguyễn Công Tho 91 Đồ án tốt nghiệp GVHD:Phan Thành Nhất Biện pháp khắc phục cần xây dựng sách bảo vệ mật đắn 5.2.3 Trojans Một chương trình Trojans chạy khơng hợp lệ hệ thống với vai trò chương trình hợp pháp Nó thực chức khơng hợp pháp Thơng thường, Trojans chạy chương trình hợp pháp bị thay đổi mã mã bất hợp pháp Virus loại điển hình chương trình Trojans, chương trình virus che dấu đoạn mã chương trình sử dụng hợp pháp Khi chương trình hoạt động đoạn mã ẩn thực số chức mà người sử dụng Trojan có nhiều loại khác Có thể chương trình thực chức ẩn dấu, tiện ích tạo mục cho file thư mục, đoạn mã phá khố, chương trình xử lý văn tiện ích mạng Trojan lây lan nhiều môi trường hệ điều hành khác Đặc biệt thường lây lan qua số dịch vụ phổ biến Mail, FTP qua tiện ích, chương trình miễn phí mạng Internet Hầu hết chương trình FTP Server sử dụng phiên cũ, có nguy tiềm tàng lây lan Trojans Đánh giá mức độ phá hoại Trojans khó khăn Trong số trường hợp, làm ảnh hưởng đến truy nhập người sử dụng Nghiêm trọng hơn, kẻ cơng lỗ hổng bảo mật mạng Khi kẻ công chiếm quyền Root hệ thống, phá huỷ tồn phần hệ thống Chúng sử dụng quyền Root để thay đổi logfile, cài đặt chương trình Trojans khác mà người quản trị khơng thể phát người quản trị hệ thống cách cài đặt lại tồn hệ thống 5.2.4 Sniffer: Sniffer theo nghĩa đen “đánh hơi” “ngửi” Là cơng cụ (có thể phần cứng phần mềm) “tóm tắt” thơng tin lưu chuyển mạng để “đánh hơi” thơng tin có giá trị trao đổi mạng Hoạt động Sniffer giống chương trình "tóm bắt" thơng tin gõ từ bàn phím (Key Capture) Tuy nhiên tiện ích Key Capture thực trạm làm việc cụ thể, Sniffer bắt thông tin trao đổi nhiều trạm làm việc với Các chương trình Sniffer thiết bị Sniffer ”ngửi” giao thức TCP, UDP, IPX tầng mạng Vì tóm bắt gói tin IP Datagram Ethernet Packet Mặt khác, giao thức tầng IP định nghĩa tường minh cấu trúc trường Header rõ ràng, nên việc giải mã gói tin khơng khó khăn Mục đích chương trình Sniffer thiết lập chế độ dùng chung (Promiscuous) Card mạng Ethernet, nơi gói tin trao đổi "tóm bắt" gói tin 5.3 Các mức bảo vệ an toàn mạng SVTH: Nguyễn Công Tho 92 Đồ án tốt nghiệp GVHD:Phan Thành Nhất Hình 5.1 Các lớp bảo vệ Vì khơng có giải pháp an tồn tuyệt đối nên người ta thường phải sử dụng đồng thời nhiều mức bảo vệ khác tạo thành nhiều lớp "rào chắn" hoạt động xâm phạm Việc bảo vệ thông tin mạng chủ yếu bảo vệ thông tin cất giữ máy tính, đặc biệt server mạng  Lớp bảo vệ quyền truy nhập nhằm kiểm soát tài nguyên (ở thông tin) mạng quyền hạn (có thể thực thao tác gì) tài ngun Hiện việc kiểm sốt mức áp dụng sâu tệp  Lớp bảo vệ hạn chế theo tài khoản truy nhập gồm đăng ký tên mật tương ứng Đây phương pháp bảo vệ phổ biến đơn giản, tốn có hiệu Mỗi người sử dụng muốn truy nhập vào mạng sử dụng tài nguyên phải có đăng ký tên mật Người quản trị hệ thống có trách nhiệm quản lý, kiểm sốt hoạt động mạng xác định quyền truy nhập người sử dụng khác tuỳ theo thời gian không gian  Lớp thứ ba sử dụng phương pháp mã hoá (encryption) Dữ liệu biến đổi từ dạng "đọc được" sang dạng “không đọc được" theo thuật tốn Chúng ta xem xét phương thức thuật toán mã hoá sử dụng phổ biến phần  Lớp thứ tư bảo vệ vật lý (physical protection) nhằm ngăn cản truy nhập vật lý bất hợp pháp vào hệ thống Thường dùng biện pháp truyền thống ngăn cấm người SVTH: Nguyễn Công Tho 93 Đồ án tốt nghiệp GVHD:Phan Thành Nhất khơng có nhiệm vụ vào phòng đặt máy, dùng hệ thống khố máy tính, cài đặt hệ thống báo động có truy nhập vào hệ thống  Lớp thứ năm: Cài đặt hệ thống tường lửa (firewall), nhằm ngăn chặn thâm nhập trái phép cho phép lọc gói tin mà ta khơng muốn gửi nhận vào lý 5.4 Các kỹ thuật bảo mật VPN VPNs sử dụng vài kỹ thuật để bảo vệ liệu truyền qua mạng Internet Những khái niệm quan trọng firewalls (tường lửa) , nhận thực, mã hố tunneling 5.4.1 Firewalls Thuật ngữ Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thơng tin, Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Cũng hiểu Firewall chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi mạng không tin tưởng (Untrusted network) Thông thường Firewall đặt mạng bên (Intranet) công ty, tổ chức, ngành hay quốc gia, Internet Vai trò bảo mật thơng tin, ngăn chặn truy nhập không mong muốn từ bên (Internet) cấm truy nhập từ bên (Intranet) tới số địa định Internet Một tường lửa Internet sử dụng kỹ thuật ví dụ kiểm tra địa Internet gói liệu cổng truy nhập mà kết nối yêu cầu để định truy nhập có phép hay không SVTH: Nguyễn Công Tho 94 Đồ án tốt nghiệp GVHD:Phan Thành Nhất Hình 5.2 Firewall Firewalls cung cấp hai chức cho nhà quản trị mạng Thứ chức kiểm sốt mà người dùng từ mạng ngồi nhìn thấy dịch vụ cho phép sử dụng mạng nội Thứ hai kiểm soát nơi nào, dịch vụ Internet mà user mạng nội truy cập, sử dụng Hầu hết kỹ thuật tường lửa thiết kết tương tự có điểm điều khiển tập trung, cần khảo sát số biến đổi mức cao đủ 5.4.1.1 Router lọc gói liệu ( Packets Filtering Router) Các router mà có nhiệm vụ lọc gói liệu lựa chọn để gửi liệu tới mạng dựa vào bảng gồm luật xác định trước Router không định dựa thơng tin liệu gói liệu mà quan tâm gói đến từ đâu đích đến gì, tức quan tâm đến phần thơng tin tiêu đề TCP/IP Nếu gói phù hợp với một tập hợp luật router thực tương ứng cho phép qua hay không Bảng luật danh sách điều khiển truy cập - ACL ( Access Control List) Những danh sách cho Router biết kiểu gói liệu chấp nhận “permit” loại bỏ “deny” Việc chấp nhận hay loại bỏ dựa điều kiện Các ACL giúp quản lý lưu lượng bảo mật truy cập tới từ mạng Các ACL tạo cho tất giao thức mạng có khả định tuyến, IP, IPX Các ACL cấu hình Router để điều khiển truy cập tới mạng hay mạng SVTH: Nguyễn Công Tho 95 Đồ án tốt nghiệp GVHD:Phan Thành Nhất Các ACL lọc lưu lượng mạng cách điều khiển cho phép hay không cho phép gói liệu chuyển hay chặn lại cổng Router Router kiểm tra gói liệu để xác định có hay khơng chuyển hay huỷ nó, sở điều kiện ACL Cơ sở phép hay huỷ bỏ địa IP nguồn, đích, giao thức, số hiệu cổng lớp Hình 5.3 Các thơng số ACL Để điều khiển luồng lưu lượng cổng, ACL cần định nghĩa cho giao thức sử dụng cổng Một ACL riêng biệt cần tạo cho hướng, cho lối vào, cho lối Cuối cổng có nhiều giao thức nhiều hướng định nghĩa Nếu Router có hai cổng cấu hình cho IP, IPX, Apple Talk phải cần định nghĩa 12 ACL riêng biệt Hình 5.4 Vị trí ACL Chức ACL   Giới hạn lưu lượng mạng tăng hiệu suất mạng Điều khiển luồng lưu lượng Các ACL loại bỏ việc trao đổi tin cập nhật định tuyến tin không yêu cầu SVTH: Nguyễn Công Tho 96 Đồ án tốt nghiệp   GVHD:Phan Thành Nhất Cung cấp mức bảo mật cho truy cập mạng Các ACL cho phép máy truy cập đến phần mạng ngăn cản máy khác truy cập đến phần mạng Quyết định kiểu lưu lượng chuyển hay bị huỷ cổng Router Một ví dụ hình Nếu router yêu cầu cho phép tất traffic từ mạng 1.34.21.0/24, kiểm tra tất gói liệu xem gói có địa nguồn phù hợp với địa cho phép qua, gói thuộc mạng khác bị huỷ bỏ Hình 5.5 Packet filtering Router 5.4.1.2 Bastion host Đây host vừa có chức bảo mật lại vừa có chức lọc gói liệu router, hệ điều hành dịch vụ quan trọng cài đặt chương trình SVTH: Nguyễn Công Tho 97 Đồ án tốt nghiệp GVHD:Phan Thành Nhất bảo mật chuyên dụng Nhiệm vụ bảo mật thực chủ yếu router host bảo mật sử dụng để thực thi luồng liệu theo hai chiều Bastion host thường với router lọc hệ thống lọc gói liệu đơn giản lọc loại giao thức hay lớp ứng dụng Việc cấu hình bảo trì dễ dàng nhóm traffic gửi tới hệ thống (mail server hay ftp server….) Bastion host ln chạy version an tồn (secure version) phần mềm hệ thống (Operating system) Các version an toàn thiết kế chuyên cho mục đích chống lại công vào Operating System, đảm bảo tích hợp firewall Chỉ dịch vụ mà người quản trị mạng cho cần thiết cài đặt bastion host, đơn giản dịch vụ khơng cài đặt, khơng thể bị công Thông thường, số giới hạn ứng dụng cho dịch vụ Telnet, DNS, FTP, SMTP xác thực user cài đặt bastion host Bastion host yêu cầu nhiều mức độ xác thực khác nhau, ví dụ nh user password hay smart card Tuy nhiên phương pháp điều khiển tập trung trở nên bất tiện sử dụng mạng lớn cần nhiều bastion host, chí cần phải có hẳn mạng bastion host ngoại vi để tránh xung đột Hình 5.6 Bastion host SVTH: Nguyễn Công Tho 98 Đồ án tốt nghiệp GVHD:Phan Thành Nhất 5.4.1.3 Proxy server Đây loại Firewall thiết kế để tăng cường chức kiểm soát loại dịch vụ, giao thức cho phép truy cập vào hệ thống mạng Cơ chế hoạt động dựa cách thức gọi Proxy service Proxy service code đặc biệt cài đặt gateway cho ứng dụng Nếu người quản trị mạng không cài đặt proxy code cho ứng dụng đó, dịch vụ tương ứng khơng cung cấp khơng thể chuyển thơng tin qua firewall Ngồi ra, proxy code định cấu hình để hỗ trợ số đặc điểm ứng dụng mà người quản trị mạng cho chấp nhận từ chối đặc điểm khác Mỗi proxy đặt cấu hình phép truy nhập số máy chủ định Điều có nghĩa lệnh đặc điểm thiết lập cho proxy với số máy chủ tồn hệ thống Mỗi proxy trì nhật ký ghi chép lại toàn chi tiết giao thơng qua nó, kết nối, khoảng thời gian kết nối Nhật ký có ích việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại Mỗi proxy độc lập với proxies khác bastion host Điều cho phép dễ dàng trình cài đặt proxy mới, hay tháo gỡ mơt proxy có vấn đề Ưu điểm Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ mạng, ứng dụng proxy hạn chế lệnh định máy chủ truy nhập dịch vụ Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ cho phép, vắng mặt proxy cho dịch vụ tương ứng có nghĩa dịch vụ bị khố Luật lệ lọc filltering cho cổng ứng dụng dễ dàng cấu hình kiểm tra so với lọc packet Hạn chế Yêu cầu users thay đổi thao tác, thay đổi phần mềm cài đặt máy client cho truy nhập vào dịch vụ proxy Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ Tuy nhiên, có số phần mềm client cho phép ứng dụng cổng ứng dụng suốt, cách cho phép user máy đích khơng phải cổng ứng dụng lệnh Telnet khác SVTH: Nguyễn Công Tho 99 Đồ án tốt nghiệp GVHD:Phan Thành Nhất Hình 5.7 Proxy server 5.4.2 Authentication (nhận thực) Authentication đóng vai trò quan trọng VPNs, phương pháp đảm bảo bên tham gia truyền tin trao đổi liệu với người, host Authentication tương tự "logging in" vào hệ thống với username password, nhiên VPNs yêu cầu phương pháp nhận thực chặt chẽ, nghiêm ngặt nhiều để xác nhận tính hợp lệ Hầu hết hệ thống nhận thực VPN dựa hệ thống khoá bảo mật chung, khoá đưa vào thuật toán băm để tạo giá trị băm Để có quyền truy nhập giá trị băm bên yêu cầu phải trùng với giá trị băm phép đích Các giá trị băm khơng nhìn thấy truyền qua Internet việc ăn cắp password khơng thể Một số phương pháp nhận thực thông dụng CHAP, RSA Authentication thường thực bắt đầu phiên truy cập, sau lại thực ngẫu nhiên thời điểm suốt thời gian phiên để đảm bảo chắn khơng có kẻ mạo danh thâm nhập trái phép Ngoài authentication sử dụng để đảm bảo nguyên vẹn liệu Bản thân liệu đưa vào hàm băm để thu giá trị băm gửi liệu, tương tự checksum tin Bất kỳ sai khác giá trị gửi với giá trị nhận SVTH: Nguyễn Công Tho 100 Đồ án tốt nghiệp GVHD:Phan Thành Nhất trạm điều có nghĩa liệu bị phá huỷ ,bị chặn trình truyền tin liệu bị thay đổi đường truyền 5.4.3 Encryption ( mã hoá) Encryption sử dụng để chắn tin không bị đọc đọc người nhận Khi mà có nhiều thơng tin lưu thơng mạng cần thiết việc mã hố thơng tin trở nên quan trọng Mã hố biến đổi nội dung thông tin thành văn mật mã mà vô nghĩa dạng mật mã Chức giải mã để khơi phục văn mật mã thành nội dung thông tin dùng cho người nhận Q trình mật mã liệu truyền khỏi máy tính theo quy tắc định máy phép từ xa giải mã Hầu hết hệ thống mã hố máy tính thuộc hai loại sau: o Mã hoá sử dụng khoá riêng ( Symmetric-key encryption) o Mã hoá sử dụng khoá công khai (Public-key encryption) Trong hệ symmetric-key encryption, máy tính có mã bí mật sử dụng để mã hố gói tin trước truyền Khố riêng cần cài máy tính có trao đổi thơng tin sử dụng mã hố riêng máy tính phải biết trình tự giả mã quy ước trước Ví dụ: Bạn tạo thư mã hoá mà nội dung thư ký tự thay ký tự sau vị trí bảng ký tự Như A thay C, B thay D Bạn nói với người bạn khố riêng Dịch vị trí (Shift by 2) Bạn bạn nhận thư giải mã sử dụng chìa khố riêng Còn người khác khơng đọc nội dung thư (symetric key), sau sử dụng khố bí mật để giải mã liệu Hệ Public-key encryption sử dụng tổ hợp khoá riêng khố cơng cộng để thực mã hố, giải mã Khố riêng sử dụng máy tính đó, khố cơng cộng truyền đến máy tính khác mà muốn trao đổi thơng tin bảo mật Để giải mã liệu mã hoá, máy tính phải sử dụng khố cơng cộng nhận được, khố riêng 5.4.4 Đường hầm (Tunnel) Cung cấp kết nối logic, điểm tới điểm qua mạng IP không hướng kết nối Điều giúp cho việc sử dụng ưu điểm tính bảo mật Các giải pháp đường hầm cho VPN sử dụng mã hố để bảo vệ liệu khơng bị xem trộm không SVTH: Nguyễn Công Tho 101 Đồ án tốt nghiệp GVHD:Phan Thành Nhất phép để thực đóng gói đa giao thức cần thiết Mã hoá sử dụng để tạo kết nối đường hầm để liệu đọc người nhận người gửi CHƯƠNG VI: KẾT LUẬN Công nghệ mạng riêng ảo VPN (Virtual Private Network) công nghệ tương đối mới, việc nghiên cứu triển khai loại mạng VPN đòi hỏi nhiều thời gian cơng sức Trong đồ án này, chúng tơi trình bày khái niệm VPN, vấn đề bảo mật hệ thống, nghiên cứu cách kỹ lưỡng sở lý thuyết Trong phần thực nghiệm đồ án, chúng tơi xây dựng cấu hình thành cơng mạng VPN Client to site Trong khoảng thời gian ngắn, chúng tơi khơng thể tránh khỏi sai sót, xin chân thành cảm ơn thầy cô đặc biệt thầy Nguyễn Trung Phú, bạn bè, đồng nghiệp giúp đỡ, góp ý chúng tơi hồn thành đồ án SVTH: Nguyễn Công Tho 102 ... Tho 23 Đồ án tốt nghiệp GVHD:Phan Thành Nhất Quá trình giao dịch L2TP đảm nhiệm thành phần bản, Network Access Server (NAS), L2TP Access Concentrator (LAC), L2TP Network Server (LNS) Network. .. trên, ngày VPNs phát triển phân chia làm phân loại sau :  Remote Access VPNs  Intranet VPNs  Extranet VPNs 2.1 Các VPN truy cập (Remote Access VPNs) Giống gợi ý tên gọi, Remote Access VPNs cho... tiếp lớp (L2F) • Giao thức đường hầm điểm tới điểm (PPTP) • Giao thức tầng hầm lớp (L2TP) • GRE • IPSEC Hai giao thức L2F PPTP kế thừa phát triển dựa giao thức PPP (Point to Point Protocol) Có thể

Ngày đăng: 17/11/2017, 15:30

Xem thêm: đồ án VPN ( virtual private network )

Mục lục

    CHƯƠNG I: TỔNG QUAN VỀ VPN

    1.1. Định nghĩa, chức năng, và ưu điểm của VPN

    1.1.1 Khái niệm cơ bản về VPN

    1.1.2. Chức năng của VPN

    1.1.4. Các yêu cầu cơ bản đối với một giải pháp VPN

    1.2. Đường hầm và mã hóa

    CHƯƠNG II: CÁC KIỂU VPN

    2.1 Các VPN truy cập (Remote Access VPNs)

    2.2. Các VPN nội bộ (Intranet VPNs):

    2.3. Các VPN mở rộng (Extranet VPNs):

Tài liệu cùng người dùng

Tài liệu liên quan