TÌM HIỂU CÁC GIẢI PHÁP REMOTE ACCESS VPN VÀ TRIỂN KHAI HỆ THỐNG HỖ TRỢ REMOTE ACCESS

Tổng quan: Giới thiệu chung, Remote Access Community, Các thành phần chính, Chế độ kết nối, Access Control for Remote Access Community, Các chương trình xác thực, Digital Certificates., Bí mật được chia sẻ trước., Phương pháp xác thực thong qua chế độ Hybrid, Cấu hình xác thực., How the Gateway Searches for Users, Các tính năng tiên tiến khác

KHOA AN TOÀN THÔNG TIN

BÁO CÁO BÀI TẬP LỚN GIAO THỨC AN TOÀN MẠNG

ĐỀ TÀI: TÌM HIỂU CÁC GIẢI PHÁP REMOTE ACCESS VPN VÀ TRIỂN KHAI HỆ THỐNG HỖ TRỢ REMOTE

Hà Nội, ngày 17 tháng 5 năm 2017

KHOA AN TOÀN THÔNG TIN

BÁO CÁO BÀI TẬP LỚN GIAO THỨC AN TOÀN MẠNG

ĐỀ TÀI: TÌM HIỂU CÁC GIẢI PHÁP REMOTE ACCESS VPN VÀ TRIỂN KHAI HỆ THỐNG HỖ TRỢ REMOTE

Hà Nội, ngày 17 tháng 5 năm 2017

MỤC LỤC i

BẢNG PHÂN CÔNG CÔNG VIỆC iii

DANH MỤC TỪ VIẾT TẮT iv

DANH MỤC HÌNH VẼ v

LỜI MỞ ĐẦU vi

CHƯƠNG 1 Tổng quan 1

1.1. Giới thiệu chung 1

1.2. Remote Access Community 3

1.3. Các thành phần chính 4

1.4. Chế độ kết nối 4

1.5. Access Control for Remote Access Community 5

1.6. Các chương trình xác thực 5

1.7. Digital Certificates 6

1.8. Bí mật được chia sẻ trước 6

1.9. Phương pháp xác thực thong qua chế độ Hybrid 7

1.10. Cấu hình xác thực 7

1.11. How the Gateway Searches for Users 8

1.12. Các tính năng tiên tiến khác… 9

CHƯƠNG 2: Giải pháp Remote Access VPN 10

2.1 Giải pháp: 11

2.1.1 IPSec VPN 11

2.1.2 SSL VPN .13

2.1.3 So sánh IPSec VPN với SSL VPN 14

2.2 Tìm hiểu chi tiết SSL VPN 15

2.2.2 Xác thực trong giao thức SSL………27

2.2.2.1 Xác thực máy chủ 27

2.2.2.2 Xác thực máy khách 28

2.2.3 Giao thức bản ghi SSL 29

2.2.4 Giao thức cảnh báo 32

2.2.5 Giao thức ChangeCipherSpec 33

2.2.6 Thiết lập đường hầm trong SSL VPN 33

CHƯƠNG 3: Triển khai hệ thống hỗ trợ Remote Access VPN 36

3.1 Sơ đồ hệ thống thử nghiệm: 36

3.2 Hoạt động của hệ thống 37

3.3 Cấu hình hệ thống 39

KẾT LUẬN 43

TÀI LIỆU THAM KHẢO 44

BẢNG PHÂN CÔNG CÔNG VIỆC

DANH MỤC TỪ VIẾT TẮT

HTTP Hypertext Transfer Protocol

ICMP Internet Control Message Protocol

IMAP Internet Message Access Protocol

TCP Transmission Control Protocol

DANH MỤC HÌNH V

Hình 1 1 Mô hình VPN 3

Hình 2.1 Xu hướng 10

Hình 2.2.Giải pháp IPSec VPN 12

Hình 2.3.Giải pháp SSL VPN 13

Hình 2.4.So sánh giữa 2 giải pháp 15

Hình 2.5.Sơ đồ quan hệ giữa SSL và mô hình OSI 17

Hình 2.6.Sơ đồ quan hệ giữa SSL và các giao thức khác 18

Hình 2.7.Sơ đồ quá trình bắt tay trong SSL không xác thực máy khách 19

Hình 2.8.Sơ đồ quá trình bắt tay trong SSL xác thực máy khác 19

Hình 2.9.Sơ đồ quá trình cập nhật trạng thái tại máy khách 25

Hình 2.10.Sơ đồ quá trình cập nhật trạng thái tại máy chủ 26

Hình 2.11.Các bước xử lí dữ liệu trong bản ghi 30

Hình 2.12.Khuôn dạng thông điệp bản ghi SSL 30

Hình 2.13.Sơ đồ tính toán MAC trong SSL 31

Hình 2.14.Mã hóa thông điệp với thuật toán mã hóa dòng và mã hóa khối 32

Hình 2.15.Khuôn dạng thông điệp Alert 33

Hình 3.1.Sơ đồ hệ thống thử nghiệm 36

Hình 3.2.Cấu hình mạng cho Client1 37

Hình 3.3.Cấu hình mạng cho DC1 38

Hình 3.4.Các dịch vụ cài đặt khi cần thiết 39

Hình 3.5.Cấu hình mạng Private VPN1 39

Hình 3.6.Cấu hình mạng Public VPN1 40

Hình 3.7.Các cài đặt dịch vụ khi cần thiết 40

Hình 3.8.Certificates của VPN1 41

Hình 3.9.Kếta qả Client Trust CA 42

Hình 3.10 Kết quả ping của client giao tiếp với DC1 42

LỜI MỞ ĐẦU

Trong những năm gần đây công nghệ thông tin đã phát triển một cáchnhanh chóng với nhiều loại hình dịch vụ phong phú đáp ứng yêu cầu ngày càngcao của con người Thông tin là nhu cầu không thể thiếu đối với con người vànói đến thông tin thì đồng thời cũng là nói đến sự giao lưu trao đổi và bảo mật

an toàn thông tin, đặc biệt là trong các hệ thống truyền tin, các mạng dữ liệu vàmạng máy tính

Có nhiều cách thức và giải pháp để đảm bảo an toàn cho thông tin Trong

số đó, mạng riêng ảo là một giải pháp tốt cho vấn đề trao đổi thông tin quamạng Mạng riêng ảo thực chất là việc kết nối mạng của các cơ quan, tổ chức sửdụng hạ tầng cơ sở mạng công cộng Các công nghệ mạng riêng ảo hiện nay rấtphong phú và đa dạng, mỗi loại có có một thuận lợi riêng

Trong bài tập lớn này chúng em lựa chọn tìm hiểu đề tài: “Tìm hiểu cácgiải pháp remote access VPN và triển khai hệ thống hỗ trợ remote accessVPN”.Nội dung đề tài bao gồm:

Chương 1 Công nghệ SSL VPN

Chương 2 Cài đặt thử nghiệm và phân tích quá trình kết nối trao đổithông tin

Chương 3: Triển khai hệ thống hỗ trợ Remote Access VPN

Do thời gian có hạn nên đề tài của chúng em còn nhiều thiếu sót Chúng emrất mong nhận được sự góp ý, chỉ bảo của thầy để đề tài của chúng em đượchoàn thiện hơn Chúng em xin chân thành cảm ơn!

CHƯƠNG 1 Tổng quan1.1 Giới thiệu chung

- Mạng riêng ảo (Virtual Private Network- VPN) là mạng sử dụng mạng công cộng (như Internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy nhập

- Bất cứ khi nào người dùng truy cập vào tổ chức từ các địa điểm từ xa, điều cần thiết là phải đáp ứng các yêu cầu thông thường về kết nối an toàn

mà còn là các yêu cầu đặc biệt của khách hàng ở xa, ví dụ:

 Địa chỉ IP của một khách hàng truy cập từ xa có thể không được biết

 Khách hàng truy cập từ xa có thể được kết nối với mạng LAN của công ty trong ngày làm việc và được kết nối với mạng LAN của khách sạn vào buổi tối, có thể ẩn sau một số thiết bị NATing

 Máy khách từ xa có thể cần kết nối với mạng LAN của công ty thông qua một điểm truy cập không dây

 Thông thường, khi một người dùng máy khách từ xa ngoài văn phòng,

họ không được bảo vệ bởi chính sách bảo mật hiện tại; Khách hàng truy cập từ xa vừa bị phơi nhiễm với các mối đe dọa từ Internet và có thể cung cấp một cách để vào mạng công ty nếu một cuộc tấn công xảy ra với khách hàng

- Để giải quyết những vấn đề này, một khuôn khổ an ninh là cần thiết để đảm bảo truy cập từ xa vào mạng được đảm bảo đúng cách

- Các giải pháp VPN của Check Point Remote Access cho phép bạn tạo mộtđường hầm VPN giữa người dùng từ xa và mạng nội bộ của bạn Đường hầm VPN đảm bảo:

 Tính xác thực, bằng cách sử dụng phương pháp chứng thực chuẩn

 Riêng tư, bằng cách mã hóa dữ liệu

 Tính toàn vẹn, bằng cách sử dụng các phương pháp đảm bảo tính toànvẹn theo ngành công nghiệp

- Khách hàng Truy cập từ xa của Check Point mở rộng chức năng VPN chongười dùng từ xa, cho phép người dùng truyền thông tin nhạy cảm đến các mạng và máy chủ qua đường hầm VPN, sử dụng LAN, LAN không dây và các kết nối dial-up (bao gồm cả băng rộng) Người dùng được quản lý trong cơ sở dữ liệu nội bộ của Security Gateway hoặc thông qua một máy chủ LDAP bên ngoài

- Sau khi một người dùng được xác thực, một kết nối an toàn trong suốt được thiết lập.

Thiết lập kết nối giữa người dùng từ xa và cổng bảo mật

- Để cho phép người dùng truy cập tài nguyên mạng được bảo vệ bởi một

Cổng bảo mật, một quá trình thiết lập đường hầm VPN được bắt đầu Cuộc đàm phán IKE (Internet Key Exchange) xảy ra giữa các đồng nghiệp

- Trong quá trình thương lượng IKE, danh tính của bạn bè được xác

thực Cổng bảo mật xác minh danh tính của người dùng và khách hàng xác minh nó của Cổng bảo mật Chứng thực có thể được thực hiện bằng cách sử dụng một số phương pháp, bao gồm các chứng chỉ số do Cơ quan phát hành nội bộ (ICA) cấp Cũng có thể xác thực bằng cách sử dụng các giải pháp PKI của bên thứ ba, bí mật trước khi chia sẻ hoặc phương pháp xác thực của

bên thứ ba (ví dụ SecurID, RADIUS , v.v ).

- Sau khi cuộc đàm phán IKE kết thúc thành công, một kết nối bảo mật (một

đường hầm VPN) được thiết lập giữa khách hàng và Cổng bảo mật Tất cả các kết nối giữa máy khách và miền VPN của An ninh Mạng (LAN bên dướiCổng An ninh) được mã hóa bên trong đường hầm VPN này, sử dụng tiêu chuẩn IPsec Trừ khi người dùng được yêu cầu xác thực theo cách nào đó, quy trình thiết lập VPN là minh bạch

Hình 1.1 Mô hình VPN

- Trong hình này, người dùng từ xa bắt đầu kết nối với Security Gateway 1

Quản lý người dùng không được thực hiện thông qua cơ sở dữ liệu VPN,

nhưng một máy chủ LDAP thuộc VPN Site 2 Việc xác thực xảy ra trong quá trình đàm phán IKE Gateway an ninh 1 xác minh rằng người sử dụng tồn tại bằng cách truy vấn máy chủ LDAP phía sau Gateway bảo mật 2 Khi người dùng đã được xác minh, Security Gateway xác thực người dùng, ví dụbằng cách xác nhận chứng chỉ của người dùng Một khi IKE được hoàn thành thành công, một đường hầm được tạo ra; Khách hàng từ xa kết nối đếnHost 1.

- Nếu khách hàng ở đằng sau Cổng bảo mật (ví dụ, nếu người dùng truy cập

mạng LAN của công ty từ văn phòng công ty), các kết nối từ khách hàng đến các điểm đến cũng nằm phía sau cổng LAN bảo mật LAN không được

mã hóa

1.2 Remote Access Community

o Một cộng đồng Check Point Remote Access cho phép bạn nhanh

chóng cấu hình VPN giữa một nhóm người dùng từ xa và một hoặcnhiều Cổng bảo mật Cộng đồng Truy cập từ xa là một thực thể ảo xácđịnh thông tin liên lạc an toàn giữa Cổng bảo mật và người dùng từ

xa Mọi thông tin liên lạc giữa người dùng từ xa và các miền VPN củacổng bảo mật được bảo mật (xác thực và mã hoá) theo các thông sốđược định nghĩa cho truyền thông truy cập từ xa trongSmartDashboard Global Properties

1.3 Các thành phần chính.

- Client cần biết các yếu tố của mạng nội bộ của tổ chức trước khi nó có thể

xử lý các kết nối được mã hóa đến và từ các tài nguyên mạng Các yếu tố này, được gọi là topo , được tải về từ bất kỳ cổng an ninh nào được Security Management Server quản lý

- Thông tin cấu trúc mạng của trang bao gồm các địa chỉ IP trên mạng và địa

chỉ host trong các miền VPN của các Cổng an ninh khác được điều khiển bởi cùng một Security Management Server Nếu một IP đích nằm bên trong topo của trang web, kết nối được truyền qua đường hầm VPN

- Khi người dùng tạo ra một trang web, khách hàng tự động liên lạc với trang

web và tải thông tin cấu trúc liên kết và các thuộc tính cấu hình khác nhau được xác định bởi quản trị viên cho khách hàng Kết nối này được bảo mật

và xác thực bằng IKE qua SSL Topo của trang web có một thời gian chờ hợp lệ sau đó khách hàng sẽ tải về một topo cập nhật Quản trị viên mạng

cũng có thể định cấu hình bản cập nhật topo tự động cho các máy khách từ

xa Điều này không đòi hỏi sự can thiệp của người dùng

1.4 Chế độ kết nối.

- Các máy khách truy cập từ xa kết nối với Security Gateways sử dụng chế độ

Connect

- Trong chế độ kết nối, người dùng từ xa cố tình bắt đầu một liên kết VPN tới

một Cổng bảo mật cụ thể Các kết nối tiếp theo tới bất kỳ máy chủ lưu trữ bên ngoài Cổng bảo mật khác sẽ minh bạch khởi tạo các liên kết VPN bổ sung theo yêu cầu

- Chế độ kết nối cung cấp:

 Office , để giải quyết các vấn đề định tuyến giữa khách hàng và Cổng

bảo mật Xem, Chế độ văn phòng

 Chế độ khách truy cập , khi khách hàng cần để đường hầm cho tất

cả khách hàng đến giao thông của Security Gateway thông qua kết nốiTCP thông thường trên cổng 443

 Định tuyến tất cả lưu lượng truy cập thông qua Cổng bảo mật (Chế độ Hub) , để đạt được mức độ bảo mật và kết nối cao hơn.

 Kết nối tự động , khi một ứng dụng cố gắng mở một kết nối đến một

máy chủ đằng sau một cổng an ninh, người sử dụng sẽ được nhắc nhở

để bắt đầu một liên kết VPN tới cổng an ninh đó Ví dụ, khi ứng dụng e-mail cố gắng truy cập vào máy chủ IMAP phía sau Security

Gateway X, SecureClient nhắc nhở người dùng khởi tạo một đường hầm đến Cổng bảo mật đó

 Hồ sơ người dùng (Hồ sơ Vị trí)

1.5 Access Control for Remote Access Community.

- Thông thường quản trị viên cần xác định một tập hợp các quy tắc xác định

kiểm soát truy cập đến và đi từ mạng Điều này cũng đúng cho các khách hàng truy cập từ xa thuộc cộng đồng truy cập từ xa Các quy tắc chính sách phải được tạo ra để kiểm soát cách các khách hàng từ xa truy cập mạng nội

bộ thông qua Cổng bảo mật (Thành viên của cộng đồng không cho phép truy cập tự động vào mạng.)

- Cơ chế Chính sách An ninh của Cổng An ninh xác định kiểm soát truy

cập; Nói cách khác, cho dù một kết nối được cho phép Cho dù một kết nối được mã hóa được xác định bởi cộng đồng Nếu cả nguồn và đích đến thuộc

về cộng đồng, kết nối được mã hóa; Nếu không, nó không được mã hóa Ví

dụ, hãy xem xét một quy tắc cho phép các kết nối FTP Nếu kết nối phù hợp với quy tắc là giữa các thành viên cộng đồng, kết nối được mã hóa Nếu kết nối không phải là giữa các thành viên cộng đồng, kết nối không được mã hóa.

- Chính sách an ninh của Security Gateway kiểm soát việc truy cập các tài

nguyên đằng sau Cổng bảo mật, bảo vệ Cổng bảo mật và các mạng đằng sau

nó Kể từ khi máy khách từ xa không phải là phía sau Gateway An ninh, nó không được bảo vệ bởi Security Gateway Security Policy Truy cập từ xa bằng SecureClient có thể được bảo vệ bởi Chính sách Bảo mật Máy tính để bàn

1.6 Các chương trình xác thực.

- Xác thực là một yếu tố quan trọng trong việc thiết lập kênh truyền thông an

toàn giữa Security Gateways và khách hàng từ xa Có nhiều phương pháp xác thực, ví dụ:

 Giấy chứng nhận kỹ thuật số

 Bí mật trước khi chia sẻ

 Các phương pháp chứng thực khác (có sẵn thông qua chế độ Hybrid)

1.7 Digital Certificates.

- Chứng chỉ số là phương pháp được đề nghị và quản lý nhất để xác thực Cả

hai bên đều có giấy chứng nhận như một phương tiện để chứng minh bản sắc của họ Cả hai bên xác minh rằng chứng chỉ của peer là hợp lệ (tức là nó

đã được ký bởi một CA đã biết và đáng tin cậy, và chứng chỉ chưa hết hạn hoặc bị thu hồi)

- Chứng chỉ số được cấp bởi Cơ quan Chứng nhận Nội bộ của Check Point

hoặc các giải pháp PKI của bên thứ ba Check Point's ICA được tích hợp chặt chẽ với VPN và là cách đơn giản nhất để cấu hình VPN truy cập từ

xa ICA có thể cấp chứng chỉ cho cả Cổng An ninh (tự động) và cho người dùng từ xa (được tạo ra hoặc khởi tạo)

- Sử dụng ICA, tạo ra một chứng chỉ và chuyển nó cho người dùng

"out-of-band" Ngoài ra, bắt đầu quá trình tạo chứng chỉ trên Security Management Server Quá trình này hoàn thành độc lập bởi người sử dụng Quản trị viên cũng có thể bắt đầu tạo chứng chỉ cho công cụ quản lý ICA (tùy chọn duy nhất có sẵn nếu người dùng được xác định trên một máy chủ LDAP)

- Cũng có thể sử dụng Tổ chức phát hành Chứng chỉ bên thứ ba để tạo các

chứng chỉ để xác thực giữa Cổng Bảo mật và người dùng từ xa Các định

dạng chứng chỉ được hỗ trợ là PKCS # 12, CAPI, và Entrust

- Người dùng cũng có thể được cung cấp một token phần cứng để lưu trữ

chứng chỉ Tùy chọn này mang lại lợi thế về mức độ bảo mật cao hơn, vì khoá cá nhân chỉ trú trên mã thông báo phần cứng

- Là một phần của quá trình xác nhận chứng chỉ trong quá trình thương lượng

IKE, cả khách hàng và Cổng bảo mật kiểm tra chứng chỉ của peer đối

với danh sách thu hồi chứng chỉ (CRL) do CA phát hành Nếu khách hàng

không thể truy xuất CRL, Cổng bảo mật sẽ lấy CRL thay mặt cho khách hàng và chuyển CRL tới khách hàng trong quá trình thương lượng IKE (CRL được ký bởi cơ quan CA về bảo mật)

1.8 Bí mật được chia sẻ trước.

- Phương pháp xác thực này có lợi thế là đơn giản, nhưng nó kém an toàn hơn

các chứng chỉ Cả hai bên thỏa thuận một mật khẩu trước khi thiết lậpVPN Mật khẩu được trao đổi "out-of-band", và sử dụng lại nhiều lần Trongquá trình xác thực, cả khách hàng và Cổng bảo mật xác minh rằng bên kiabiết mật khẩu đã đồng ý

1.9 Phương pháp xác thực thong qua chế độ Hybrid.

- Các tổ chức khác nhau sử dụng các phương tiện xác thực người dùng khác

nhau có thể muốn sử dụng các phương tiện này để truy cập từ xa Chế độ Hybrid là một chế độ IKE hỗ trợ cách xác thực bất đối xứng để đáp ứng yêu cầu này Sử dụng chế độ Hybrid, người dùng sử dụng một trong các phương pháp được liệt kê dưới đây để xác thực với Security Gateway Đổi lại, Cổng bảo mật tự xác thực cho khách hàng sử dụng chứng thực mạnh mẽ, dựa trên chứng chỉ Các phương pháp xác thực có thể được sử dụng trong chế độ Hybrid là tất cả những hỗ trợ cho việc xác thực người dùng thông thường trong VPN, cụ thể là:

 Một Lần Mật khẩu - Người dùng được yêu cầu nhập số được hiển

thị trên thẻ Security Dynamics SecurID Không có các tham số cụ thể của lược đồ cho lược đồ xác thực SecurID Môđun VPN hoạt động như một ACE / Agent 5.0 Đối với cấu hình agent

 SoftID (phiên bản phần mềm của SecurID của RSA) và nhiều thẻ OneTime Password khác cùng các thẻ USB cũng được hỗ trợ

 Cổng bảo mật - Mật khẩu - Người dùng được yêu cầu nhập mật

khẩu của mình được lưu giữ trên Cổng bảo mật

 Hệ điều hành Mật khẩu - Người dùng được yêu cầu nhập mật khẩu

Hệ điều hành của mình.

 RADIUS - Người sử dụng bị thách thức vì đáp ứng chính xác, như

được định nghĩa bởi máy chủ RADIUS

 TACACS - Người dùng bị thách thức để có được phản hồi chính xác,

như được xác định bởi máy chủ TACACS hoặc TACACS

 SAA SAA là một mở rộng OPSEC API cho các Khách hàng Truy

cập từ xa cho phép các phương pháp xác thực của bên thứ ba, chẳng hạn như Biometrics, được sử dụng với Endpoint Security VPN, CheckPoint Mobile cho Windows và SecuRemote

1.10 Cấu hình xác thực.

- Trên Security Gateway, bạn có thể cấu hình xác thực ở một trong hai nơi:

 Cửa sổ Thuộc tính Gateway của cổng trong Xác

thực Trong trang Xác thực , bạn có thể cho phép truy cập tới người dùng xác thực bằng mật khẩu Check Point , SecurID , Hệ điều hành Mật khẩu , máy chủ RADIUS hoặc máy chủ TACACS Việc

xác thực bằng Client Certificates từ Internal Certificate Authority được kích hoạt mặc định ngoài phương pháp đã chọn

 Một số lưỡi có cài đặt chứng thực riêng của họ Cấu hình nó trong cửa

sổ Gateway Properties của gateway dưới < name of the

blade >> Authentication Ví dụ, cấu hình phương pháp xác thực cho các máy khách IPsec VPN trong Gateway Properties > IPsec

VPN > Authentication Nếu bạn chọn phương pháp xác thực cho

lưỡi dao, đó là phương pháp mà tất cả người dùng phải sử dụng để xác thực với lưỡi dao đó Bạn có thể định cấu hình các phương pháp chứng thực khác mà người dùng phải sử dụng cho các lưỡi dao khác nhau trên các trang khác nhau

 Nếu bạn không thực hiện lựa chọn trên trang Xác thực cho một lưỡi

cụ thể, Cổng bảo mật sẽ cài đặt xác thực cho lưỡi từ trang Xác thực cổng chính

1.11 How the Gateway Searches for Users.

- Nếu bạn cấu hình xác thực cho một lưỡi từ trang Chính Security

Gateway Legacy Authentication , Cổng bảo mật sẽ tìm kiếm người dùng

theo cách chuẩn khi họ cố gắng xác thực Các tìm kiếm cổng:

 Cơ sở dữ liệu người dùng nội bộ

 Nếu người dùng được chỉ định không được định nghĩa trong cơ sở dữ liệu này, cổng truy vấn các máy chủ Thư mục Người dùng

(LDAP) được định nghĩa trong Đơn vị Tài khoản một lần và theo mức

độ ưu tiên của chúng

 Nếu vẫn không thể tìm thấy thông tin, cổng này sử dụng mẫu người dùng bên ngoài để xem liệu có phù hợp với cấu hình chung Tiểu sử

chung này có các thuộc tính mặc định được áp dụng cho người dùng được chỉ định.

- Nếu bạn cấu hình một phương pháp xác thực cho một lưỡi cụ thể, gateway sẽ tìm kiếm người dùng theo các nhóm người dùng được sử dụng để ủy quyền trong lưỡi kiếm đó.

- Ví dụ: trong Truy cập Di động, cổng nhìn chính sách Mobile Access để xem

nhóm người dùng nào là một phần của chính sách Khi gateway cố gắng xác thực người dùng, nó bắt đầu tìm kiếm người dùng trong các cơ sở dữ liệu có liên quan đến các nhóm người dùng đó

- Trong IPsec VPN, cổng truy cập vào Cộng đồng VPN truy cập từ xa để xem

nhóm người dùng nào được bao gồm Nó bắt đầu tìm kiếm người dùng trongcác cơ sở dữ liệu liên quan đến những nhóm người sử dụng

- Một tìm kiếm dựa trên sơ đồ xác thực là nhanh hơn, với kết quả tốt hơn Bạn

có thể có người dùng có cùng tên người dùng trong các nhóm không liên quan Cửa ngõ sẽ biết người dùng nào có liên quan đến lưỡi dựa trên các nhóm người sử dụng

1.12 Các tính năng tiên tiến khác…

- Remote Access VPN hỗ trợ các tính năng tiên tiến khác như:

 Giải quyết sự kết nối và các vấn đề định tuyến

 IP-per-user / group.

 Khách hàng L2TP.

CHƯƠNG 2: Giải pháp Remote Access VPN.

- Nhu cầu ngày càng tăng về việc truyền tải dữ liệu an toàn (data security) trong một tổ chức, công ty dẫn đến nhu cầu về các giải pháp mạng riêng ảoVPN (Virtual Private Network) Thêm vào đó, khuynh hướng làm việc qua mạng từ xa, phân tán của các doanh nghiệp công ty có nhiều chi nhánh và

sự phát triển của lượng nhân viên di động cũng làm gia tăng nhu cầu cho việc truy cập tài nguyên thông tin của công ty

Bài viết muốn trao đổi về việc tìm kiếm, lựa chọn các giải pháp bảo mật mạng máy tính an toàn dữ liệu sử dụng công nghệ VPN và có so sánh hai giải pháp về VPN, đó là giải pháp VPN truyền thống dựa trên IPSec

(Internet Protocol Security) và giải pháp SSL (Secure Socket Layer) giúp cho việc quyết định lựa chọn giải pháp VPN phù hợp

đề cập đến những thách thức trong việc sử dụng Internet như là một môi trường truyền và đưa các dữ liệu đa giao thức và nhạy cảm.

- Việc thiết lập một đường hầm IPSec VPN (IPSec tunnel) giữa hai nơi,

trước tiên, phải thỏa thuận về chính sách an ninh (security policy), giải thuật mã hóa (encryption algorithm), kiểu xác thực (authentication method)

sẽ được dùng để tạo kênh đường hầm IPSec VPN Trong IPSec tất cả dịch

vụ mạng như TCP, UDP, SNMP, HTTP, POP, SMTP…đều được mã hóa một khi kênh IPSec được thiết lập trong mô hình mạng máy tính chuẩn OSI

Hình 2.2 Giải pháp IPSec VPN

2.1.2 SSL VPN.

- Cũng cần nói rõ là bản thân giao thức SSL không mới nhưng tích hợp giao thức SSL với công nghệ VPN lại là một mô hình mới Sử dụng SSL VPN để kết nối giữa người dùng từ xa vào tài nguyên mạng công ty thông

qua kết nối HTTPS ở lớp ứng dụng thay vì tạo “đường hầm” ở lớp mạng

như giải pháp IPSec đã nói ở trên Vậy SSL VPN cũng là một giải pháp VPN dưới dạng là một ứng dụng (application based VPN)

Hình 2.3 Giải pháp SSL VPN

2.1.3 So sánh IPSec VPN với SSL VPN

- SSL VPN và IPSec VPN không phải là hai công nghệ loại trừ lẫn nhau.

Thường thì hai công nghệ này đồng thời được triển khai trong cùng mộtcông ty Việc xem xét các khía cạnh liên quan đến chi phí/lợi nhuận(cost/benefit) cũng như các vấn đề công nghệ mà hai giải pháp SSL và IPsec

đề cập giúp cho việc lựa chọn triển khai VPN sẽ trở nên dễ dàng hơn

từ xa từ các vị trí công cộng íttin cậy như sân bay, nhà ga,

Phù hợp cho các kết nối theokiểu site-to-site Nó là sự lựachọn tốt nhất cho các mạngLAN từ xa kết nối với nhauhay kết nối với mạng trung

khách sạn…

tâm Các kết nối yêu cầu băngthông rộng, hiệu suất cao, dữliệu lớn, kết nối liên tục(always on), cố định là đốitượng cung cấp của giải phápIPsec VPN truyền thống này

hỗ trợ SSL là thực hiện đượcmột kết nối an toàn => dễ triển

Cần phải có phần mềm clientcài đặt tại các máy tính -> hạnchế tính linh động của ngườidùng , chi phí cao hơn, …

Ứng

dụng

Khả năng truy cập các ứng dụng,dịch vụ của giải pháp SSL VPNhạn chế hơn

IPSec VPN hỗ trợ tất cả cácứng dụng trên nền tảng IP

Hình 2.4 Bảng so sánh giữa 2 giải pháp

2.2 Tìm hiểu chi tiết SSL VPN.

- Giao thức SSL (Secure Socket Layer) được hình thành và phát triển bởi Netscape vào năm 1994, ngày nay giao thức này được sử dụng rộng rãi và trởthành một chuẩn bảo mật tin cậy trong lĩnh vực an ninh mạng Cho tới hiện nay SSL đã có 3 phiên bản

- SSL 1.0: Được sử dụng nội bộ Netspace Commications Nó chứa một sốkhiếm khuyết nghiêm trọng và không bao giờ được tung ra bên ngoài

- SSL 2.0: Nó có một số điểm yếu liên quan đến sự hiện thân cụ thể của cuộctấn công của đối tượng trung gian Trong một nỗ lực nhằm dùng sự khôngchắc chắn của công chúng về bảo mật SSL, Microsoft đã giới thiệu giao thứcPCT cạnh tranh trong lần tung ra Internet Explorer đầu tiên của nó vào năm1996

- Netspace đã phản ứng lại bằng việc cho ra mắt phiên bản 3.0 bao gồm việcgiải quyết các vấn đề trong SSL 2.0 và thêm một số tính năng mới Vào thờiđiểm này, Microsoft nhượng bộ và đồng ý hỗ trợ SSL trong tất cả các phiênbản phần mềm dựa vào TCP/IP của nó Thông số kỹ thuật mới nhất của SSL

3.0 được tung ra chính thức vào tháng 3 năm 1996 Nó được thực thi trong tất

cả các trình duyệt chính bao gồm như Microsoft Internet Explorer 3.0 (vàphiên bản cao hơn), Netspace 3.0 (và các phiên bản cao hơn) và Open

- SSL là một giao thức mạng được đặt giữa giao thức TCP và các giao thứctầng ứng dụng Trong mô hình OSI, các giao thức dịch vụ như HTTP, IMAPđiều khiển việc các trang web hoặc chạy các máy chủ thư điện tử Giao thứctầng giao vận như TCP, UDP điều khiển các luồng dữ liệu giữa hai bên giaotiếp Các giao thức tầng mạng như IP, ICMP cung cấp cơ chế chuyển tiếp,điều khiển các gói tin qua mạng

- SSL hoạt động độc lập và trong suốt với các giao thức khác vì vậy nó có thểlàm việc với bất kỳ giao thức nào trên tầng ứng dụng và tầng giao vận trong

mô hình OSI Mối quan hệ giữa SSL và mô hình OSI được mô tả qua hình vẽsau:

Hình 2.5 Sơ đồ mối quan hệ giữa SSL và mô hình OSI

- SSL nhận dữ liệu từ các giao thức tầng trên, mã hóa dữ liệu rồi chuyển xuốngcho các giao thức tầng hầm thấp hơn Tại nơi nhận, giao thức tầng dưới cungcấp dữ liệu cho giao thức SSL giải mã dữ liệu rồi chuyển tiếp cho các giaothức tầng ứng dụng xử lý tiếp.

- Về cấu trúc, SSL là một bộ gồm các giao thức thức thành phần được phântầng:

 Giao thức Handshake điều khiển việc thiết lập liên kết

 Giao thức Alert điều khiển việc thông báo lỗi

 Giao thức ChangCipher thực hiện kịch hoạt các dịch vụ bảo mật

 Giao thức Record thực hiện việc đóng gói các thông điệp do các giao thứctầng trên gửi xuống và chuyển tiếp các thông điệp đến nơi nhận

Hình 2.6 Sơ đồ mối quan hệ giữa SSL và các giao thức khác

2.2.1 Giao thức đường hầm SSL

- Giao thức bắt tay SSL làm nhiệm vụ khởi tạo một phiên SSL và thiết lập kếtnối Có hai kiểu kết nối SSL được sử dụng: một là kiểu kết nối có xác thựcmáy chủ và không xác thực máy khách (đây là kiểu kết nối phổ biến nhất),hai là kiểu kết nối có xác thực cả máy chủ và máy khách

- Mục đích của việc bắt tay trong giao thức SSL nhằm:

 Giúp máy chủ và máy khách thương lượng các thuật toán bảo vệ dữ liệu trong một phiên làmviệc