Tổng quan: Giới thiệu chung, Remote Access Community, Các thành phần chính, Chế độ kết nối, Access Control for Remote Access Community, Các chương trình xác thực, Digital Certificates., Bí mật được chia sẻ trước., Phương pháp xác thực thong qua chế độ Hybrid, Cấu hình xác thực., How the Gateway Searches for Users, Các tính năng tiên tiến khác
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BÁO CÁO BÀI TẬP LỚN GIAO THỨC AN TOÀN MẠNG ĐỀ TÀI: TÌM HIỂU CÁC GIẢI PHÁP REMOTE ACCESS VPN VÀ TRIỂN KHAI HỆ THỐNG HỖ TRỢ REMOTE ACCESS VPN Nhóm sinh viên: Trịnh Thị Mai Vũ Ngọc Tiến Vũ Tiến Tới Lê Thị Hồng Nhung Cán hướng dẫn: Nguyễn Tuấn Anh Hà Nội, ngày 17 tháng năm 2017 HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BÁO CÁO BÀI TẬP LỚN GIAO THỨC AN TỒN MẠNG ĐỀ TÀI: TÌM HIỂU CÁC GIẢI PHÁP REMOTE ACCESS VPN VÀ TRIỂN KHAI HỆ THỐNG HỖ TRỢ REMOTE ACCESS VPN Nhóm sinh viên: Trịnh Thị Mai Vũ Ngọc Tiến Vũ Tiến Tới Lê Thị Hồng Nhung Cán hướng dẫn: Nguyễn Tuấn Anh Hà Nội, ngày 17 tháng năm 2017 Triển khai Remote Access VPN GV:Nguyễn Tuấn Anh Triển khai Remote Access VPN GV:Nguyễn Tuấn Anh MỤC LỤC MỤC LỤC i BẢNG PHÂN CÔNG CÔNG VIỆC iii DANH MỤC TỪ VIẾT TẮT .iv DANH MỤC HÌNH VẼ v LỜI MỞ ĐẦU vi CHƯƠNG Tổng quan 1.1 Giới thiệu chung 1.2 Remote Access Community .3 1.3 Các thành phần .4 1.4 Chế độ kết nối 1.5 Access 1.6 Các Control for Remote Access Community chương trình xác thực 1.7 Digital 1.8 Bí Certificates mật chia sẻ trước .6 1.9 Phương pháp xác thực thong qua chế độ Hybrid 1.10 Cấu hình xác thực 1.11 How the Gateway Searches for Users 1.12 Các tính tiên tiến khác… .9 CHƯƠNG 2: Giải pháp Remote Access VPN .10 2.1 Giải pháp: .11 2.1.1 IPSec VPN 11 2.1.2 SSL VPN 13 2.1.3 So sánh IPSec VPN với SSL VPN 14 2.2 Tìm hiểu chi tiết SSL VPN 15 2.2.1 Giao thức đường hầm SSL 18 Triển khai Remote Access VPN 2.2.2 GV:Nguyễn Tuấn Anh Xác thực giao thức SSL…………………………………27 2.2.2.1 Xác thực máy chủ 27 2.2.2.2 Xác thực máy khách .28 2.2.3 Giao thức ghi SSL .29 2.2.4 Giao thức cảnh báo 32 2.2.5 Giao thức ChangeCipherSpec 33 2.2.6 Thiết lập đường hầm SSL VPN 33 CHƯƠNG 3: Triển khai hệ thống hỗ trợ Remote Access VPN 36 3.1 Sơ đồ hệ thống thử nghiệm: .36 3.2 Hoạt động hệ thống 37 3.3 Cấu hình hệ thống 39 KẾT LUẬN .43 TÀI LIỆU THAM KHẢO 44 Triển khai Remote Access VPN [Type text] GV:Nguyễn Tuấn Anh Page Triển khai Remote Access VPN GV:Nguyễn Tuấn Anh BẢNG PHÂN CÔNG CÔNG VIỆC [Type text] Page Triển khai Remote Access VPN GV:Nguyễn Tuấn Anh DANH MỤC TỪ VIẾT TẮT HTTP Hypertext Transfer Protocol ICMP Internet Control Message Protocol IMAP Internet Message Access Protocol IP Internet Protocol MAC Message Authentication Code OSI Open System Interconnection SSL Secure Socket Layer TCP Transmission Control Protocol UDP User Datagram Protocol VPN Virtual Private Network DANH MỤC HÌNH V [Type text] Page Triển khai Remote Access VPN GV:Nguyễn Tuấn Anh Hình 1 Mơ hình VPN Hình 2.1 Xu hướng 10 Hình 2.2.Giải pháp IPSec VPN 12 Hình 2.3.Giải pháp SSL VPN 13 Hình 2.4.So sánh giải pháp 15 Hình 2.5.Sơ đồ quan hệ SSL mơ hình OSI 17 Hình 2.6.Sơ đồ quan hệ SSL giao thức khác 18 Hình 2.7.Sơ đồ trình bắt tay SSL khơng xác thực máy khách 19 Hình 2.8.Sơ đồ trình bắt tay SSL xác thực máy khác 19 Hình 2.9.Sơ đồ trình cập nhật trạng thái máy khách 25 Hình 2.10.Sơ đồ trình cập nhật trạng thái máy chủ .26 Hình 2.11.Các bước xử lí liệu ghi 30 Hình 2.12.Khn dạng thông điệp ghi SSL 30 Hình 2.13.Sơ đồ tính tốn MAC SSL .31 Hình 2.14.Mã hóa thơng điệp với thuật tốn mã hóa dòng mã hóa khối 32 Hình 2.15.Khn dạng thơng điệp Alert 33 Hình 3.1.Sơ đồ hệ thống thử nghiệm 36 Hình 3.2.Cấu hình mạng cho Client1 .37 Hình 3.3.Cấu hình mạng cho DC1 38 Hình 3.4.Các dịch vụ cài đặt cần thiết 39 Hình 3.5.Cấu hình mạng Private VPN1 39 Hình 3.6.Cấu hình mạng Public VPN1 .40 Hình 3.7.Các cài đặt dịch vụ cần thiết 40 Hình 3.8.Certificates VPN1 41 Hình 3.9.Kếta qả Client Trust CA .42 Hình 3.10 Kết ping client giao tiếp với DC1 42 [Type text] Page Triển khai Remote Access VPN GV:Nguyễn Tuấn Anh LỜI MỞ ĐẦU Trong năm gần công nghệ thông tin phát triển cách nhanh chóng với nhiều loại hình dịch vụ phong phú đáp ứng yêu cầu ngày cao người Thông tin nhu cầu thiếu người nói đến thơng tin đồng thời nói đến giao lưu trao đổi bảo mật an tồn thơng tin, đặc biệt hệ thống truyền tin, mạng liệu mạng máy tính Có nhiều cách thức giải pháp để đảm bảo an tồn cho thơng tin Trong số đó, mạng riêng ảo giải pháp tốt cho vấn đề trao đổi thông tin qua mạng Mạng riêng ảo thực chất việc kết nối mạng quan, tổ chức sử dụng hạ tầng sở mạng công cộng Các công nghệ mạng riêng ảo phong phú đa dạng, loại có có thuận lợi riêng Trong tập lớn chúng em lựa chọn tìm hiểu đề tài: “Tìm hiểu giải pháp remote access VPN triển khai hệ thống hỗ trợ remote access VPN”.Nội dung đề tài bao gồm: Chương Công nghệ SSL VPN Chương Cài đặt thử nghiệm phân tích q trình kết nối trao đổi thông tin Chương 3: Triển khai hệ thống hỗ trợ Remote Access VPN Do thời gian có hạn nên đề tài chúng em nhiều thiếu sót Chúng em mong nhận góp ý, bảo thầy để đề tài chúng em hoàn thiện Chúng em xin chân thành cảm ơn! [Type text] Page Triển khai Remote Access VPN GV:Nguyễn Tuấn Anh Hình 2.11 Các bước xử lý liệu giao thức ghi Khuôn dạng thông điệp ghi SSL Khuôn dạng thông điệp giao thức ghi SSL gồm hai phần: phần tiêu đề phần nội dung Phần tiêu đề gồm trường Content type, Version, Length Phần nội dung tồn thơng điệp giao thức tầng đóng gói Hình 2.12 Khuôn dạng thông điệp ghi SSL Bảo vệ thông điệp ghi SSL Sau phân đoạn tầng ghi liệu bổ sung mã xác thực MAC mã hoá trước gửi lên đường truyền 29 Triển khai Remote Access VPN GV:Nguyễn Tuấn Anh (1) Tính tốn mã xác thực thơng điệp MAC SSL hỗ trợ hai thuật tốn tính tốn mã xác thực thơng điệp MD5 SHA Giá trị băm sau tính tốn bổ sung vào liệu ban đầu, giá trị độ dài ghi SSL bao gồm độ dài liệu lẫn độ dài MAC Q trình tính tốn MAC gồm hai giai đoạn: Giai đoạn bắt đầu với việc tính tốn giá trị băm từ giá trị MAC write secret, padding (dữ liệu phụ), 64 bit sequence number (số tuần tự), 16 bit độ dài nội dung, nội dung thông điệp Giá trị padding 001100110, lặp lại 48 lần với MD5 40 lần vớiSHA Hình 2.13 Sơ đồ tính tốn MAC SSL Giai đoạn 2: hệ thống sử dụng MAC write secret, padding, giá trị băm giai đoạn Padding có giá trị 01011100, lặp lại 48 lần với MD5 40 lần với SHA Kết băm giai đoạn giá trị MAC bổ sung vào thơngđiệp MAC secret giá trị bên máy chủ giá trị máy khách tuỳthuộc vào bên gửi tin Sequence number số thông điệp mà hai bên trao đổi, giá trị khởi đầu với thơng điệp ChangeCipherSpec tăng 30 Triển khai Remote Access VPN GV:Nguyễn Tuấn Anh thêm1 mỗikhithơngđiệpbảnghiSSLđượcgửi (2) Mã hóa liệu - Cả liệu mã xác thực MAC mã hố để đảm bảo tính bí mật truyền SSL hỗ trợ hai kiểu mã hố, mã hố dòng mã hố khối - Với mã hố khối kích thước liệu phải bội số kích thức khối, liệu phụ thêm vào để đảm bảo điều kiện Để nhận liệu, bên nhận phải biết vị trí cuối liệu thật vị trí đầu liệu thêm vào, tham số độ dài phần liệu phụ thêm vào cuối phần liệu để xác định độ dài liệu phụ Căn vào tham số độ dài này, bên nhận đếm ngược trở lại đầu khối để xác định vị trí liệu thật Hình 2.14 Mã hóa thơng điệp với thuật tốn mã hóa dòng mã hóa khối 2.2.4 Giao thức cảnh báo - SSL sử dụng giao thức Alert để chuyển thông báo lỗi bên tham gia giao tiếp Thơng điệp Alert đóng gói giao thức ghi SSL, phần tiều đề tầng ghi, thông điệp Alert gồm hai trường: trường level trường description 31 Triển khai Remote Access VPN GV:Nguyễn Tuấn Anh Hình 2.15 Khn dạng thơng điệp Alert 2.2.5 Giao thức ChangeCipherSpec - Giao thức ChangeCipher Spec giao thức đơn giản nhất, giao thức thông điệp chứa byte mang giá trị Chức thông điệp kích hoạt trạng thái treo trạng thái hành, cập nhật mật mã cần dùng kết nối 2.2.6 Thiết lập đường hầm SSL VPN - Đường hầm mạng SSL VPN kênh giao tiếp an tồn hai máy tính môi trường truyền thông không tin cậy Khi đường hầm thiết lập, hai máy tính trao đổi liệu với thơng qua đường hầm, máy tính thứ truy cập vào kênh giao tiếp Các đường hầm thực việc mã hố tất lưu lượng truyền thông hai máy, kẻ cơng xâm nhập kênh truyền dù có lấy liệu giải mã nội dung thực liệu - Với SSL VPN, đường hầm khơng phải khái niệm Đường hầm tạo giao thức PPTP, L2TP IPSec, giao thức hoạt động lớp mạng trở xuống mơ hình tham chiếu lớp OSI SSL VPN tạo đường hầm bảo mật qua việc thực chức sau: - Yêu cầu xác thực bên tham gia giao tiếp Bằng cách này, có bên giao tiếp xác thực tiết lập đường hầm Giao thức đường hầm SSL sử dụng chế xác thực dựa chứng khố cơng khai cung cấp CA Xác thực máy chủ SSL VPN yêu cầu bắt buộc, 32 Triển khai Remote Access VPN GV:Nguyễn Tuấn Anh cònxácthựcmáykháchSSLVPNlàtuỳchọn - Mã hố tất liệu truyền hai bên tham gia giao tiếp Cũng giống giao thức IPSec giao thức khác, giao thức đường hầm SSL mã hoá tất liệu trao đổi kết nối thiết lập, thuật toán mã hoá sử dụng SSL Version 3.0 an toàn cho phiên giaotiếp - Các đường hầm hoạt động tầng mạng thấp thiết lập với chế phức tạp, cần phần mềm hoạt động điểm cuối đường hầm Do đó, việc quản lý trở nên khó khăn Với SSL VPN, giới thiệu mục đích ban đầu giao thức SSL nhằm vào việc truyền thông dựa web, chức SSL tích hợp sẵn trình duyệt web, mà việc tạo đường hầm SSL dựa web không phức tạp Các hệ điều hành hỗ trợ sẵn trình duyệt web, máy khách xa dùng trình duyệt web để truy cập vào máy chủ, chức giao thức SSL tích hợp sẵn trình duyệt thực việc tạo đường hầm bảo mật trình duyệt máy chủ Mạng SSL VPN kiểu gọi VPN dựa nềnweb - SSL có khả tạo đường hầm cho ứng dụng khơng dựa web, sử dụng phần mềm chuyển tiếp cổng (port forwarding applet) vào trình trao đổi liệu VPN kiểu thực hai chế, mộtlà chuyển tiếp lưu lượng gửi tới cổng cụ thể, hai truyền liệu qua cổng giao thức khácnhư FTP, Telnet, … - Để thiết lập kết nối, SSL VPN gửi đoạn mã (thường điều khiển ActiveX Java applet) tới máy người dùng cách tạo một“virtual network adapter” máy người dùng Tiếp theo SSL VPN gán cho người dùng địa IP mạng nội bộ, sử dụng đường hầm SSL để thiết lập kết nối mạng nội máy truy cập từ xa Trong nhiều trường hợp phương thức giao tiếp giống với công nghệ mạng IPSec VPN, 33 Triển khai Remote Access VPN GV:Nguyễn Tuấn Anh virtual network adapter chuyển tiếp tất lưu lượng TCP, UDP, IP, ICMP, … Tồn gói tin mã hố SSL bọc thành gói sau truyền qua mạng tới điểmcuối 34 Triển khai Remote Access VPN GV:Nguyễn Tuấn Anh CHƯƠNG 3: Triển khai hệ thống hỗ trợ Remote Access VPN 3.1 Sơ đồ hệ thống thử nghiệm: Hình 3.1 Sơ đồ hệ thống thử nghiệm 3.2 Hoạt động hệ thống - Máy CLIENT1 từ mạng gửi yêu cầu muốn kết nối VPN với mạng bên tới máy VPN server VPN1 Sau Client gửi User password đến máy VPN1, máy VPN1 gửi yêu cầu kiểm tra User password đến máy DC1 xem có hợp lệ khơng Nếu hợp lệ tiến hành tạo đường hầm cấp phát địa ip cho máy Client1 Máy Client1 máy DC1 trao đổi thông tin với 3.3 Cấu hình hệ thống 3.3.1 Cấu hình máy CLIENT1 - Cấu hình mạng: 35 Triển khai Remote Access VPN GV:Nguyễn Tuấn Anh Hình 3.2 Cấu hình mạng cho máy Client1 3.3.2 Cấu hình máy DC1 - Máy DC1 đóng vai trò máy Domain Controller nâng cấp lên thành AD Là thành viên thuộc miền: minhbao.com Có nhiệm vụ cấp User Password cho người dung phép truy cập hệ thống mạng bên trong, phân quyền, máy chủ chia File Cấu hình mạng: 36 Triển khai Remote Access VPN GV:Nguyễn Tuấn Anh Hình 3.3 Cấu hình mạng cho máy DC1 - Cài đặt dịch vụ cần thiết: 37 Triển khai Remote Access VPN GV:Nguyễn Tuấn Anh Hình 3.4 Các dịch vụ cài đặt cần thiết 3.3.3 Cấu hình VPN1: - Nhiệm vụ: tạo đường hầm truy cập, cấp phát địa chứng chỉ, cấp phát địa IP cho Client tham gia VPN thành cơng - Cấu hình mạng Private: Hình 3.5 Cấu hình mạng Private VPN1 Cấu hình mạng Public: 38 Triển khai Remote Access VPN GV:Nguyễn Tuấn Anh Hình 3.6 Cấu hình mạng Public VPN1 - Các dịch vụ cần cài đặt: Hình 3.7 Cài đặt dịch vụ cần thiết - VPN1 certificate: 39 Triển khai Remote Access VPN GV:Nguyễn Tuấn Anh Hình 3.8 Certificate VPN1 3.3.4 Kết - Client1 Trust CA: 40 Triển khai Remote Access VPN GV:Nguyễn Tuấn Anh Hình 3.9 Kết Client1 Trust CA - Client1 giao tiếp với DC1: Hình 3.10 Kết ping Client1 giao tiếp với DC1 41 Triển khai Remote Access VPN GV:Nguyễn Tuấn Anh KẾT LUẬN 42 Triển khai Remote Access VPN GV:Nguyễn Tuấn Anh TÀI LIỆU THAM KHẢO [1] GS Nguyễn Bình, ThS Hồng Thu Phương, Giáo trình “Cơ sở lý thuyết mật mã”, Học viện kỹ thuật mật mã, 2013 [2] TS Nguyễn Ngọc Cương, TS Nguyễn Tuấn Anh, ThS Trần Thị Lượng, Giáo trình “Mật mã ứng dụng an tồn thơng tin” [3] TS Trần Đức Lịch, Chọn thuật toán cho chuẩn hàm băm năm 2012, http://antoanthongtin.vn/Detail.aspx?CatID=b30679c6-ff8f-416f-a7b190921f26aea3&NewsID=0d85ae52-70e4-4939-aaad-7394a87669f4 [4] Xoyuz Phan, Báo cáo SHA1, http://vi.scribd.com/doc/91247865/BAOCAO-SHA1#scribd [5] Secure Hash Standard, FIPS PUB 180-1, http://www.nymphomath.ch/crypto/moderne/fip180-1.html [6.] 43 ... giải pháp IPSec nói Vậy SSL VPN giải pháp VPN dạng ứng dụng (application based VPN) Hình 2.3 Giải pháp SSL VPN 2.1.3 So sánh IPSec VPN với SSL VPN - SSL VPN IPSec VPN hai cơng nghệ loại trừ lẫn... Remote Access VPN .10 2.1 Giải pháp: .11 2.1.1 IPSec VPN 11 2.1.2 SSL VPN 13 2.1.3 So sánh IPSec VPN với SSL VPN 14 2.2 Tìm hiểu chi tiết SSL VPN ... cơng nghệ VPN có so sánh hai giải pháp VPN, giải pháp VPN truyền thống dựa IPSec (Internet Protocol Security) giải pháp SSL (Secure Socket Layer) giúp cho việc định lựa chọn giải pháp VPN phù hợp