KHOA CÔNG NGHỆ THÔNG TIN BỘ MÔN KỸ THUẬT MẠNG  BÁO CÁO ĐỒ ÁN NHÓM AN NINH INTERNET Tên đề tài: Triển Khai SSL VPN dùng nguồn mở OpenConnect VPN Chuyên Ngành: KỸ THUẬT MẠNG Đà Nẵng, tháng năm 2018 Mục Lục Chương Lý Thuyết Tổng Quan Về Đề Tài 1 Tổng Quan 1.1 Mạng riêng ảo gì? 1.2 Các giao thức thường dùng VPN 1.2.1 PPTP VPN 1.2.2 Site-to-Site VPN 1.2.3.L2TP VPN 1.2.4 IPsec 1.2.5 SSL and TLS 1.2.6 MPLS VPN 1.2.7 Hybrid VPN 1.3 OpenConnect VPN gì? 1.4 SSL VPN ? Phân loại SSL VPN SSL Portal VPN: SSL Tunnel VPN: Mơ hình cấu trúc 3.1 VPN-SSL gateway on a DMZ (service network) 3.2 VPN-SSL gateway with interfaces 3.3 Wireless environment Ưu điểm Nhược điểm 4.1 Ưu điểm 4.2 Nhược điểm Các rủi ro cách khắc phục rủi ro 10 5.1 Rủi ro an ninh chung: 10 5.2 Rủi ro SSL VPN 11 5.3 Giảm thiểu rủi ro 12 Chương Triển Khai 16 Giới Thiệu Kịch Bản 16 Mơ Hình Triển Khai 16 Kiểm Thử 16 - Cài đặt ocserv 16 - Kiểm tra trạng thái sau cài đặt thành công status ocsevr: 16 - Tạo mẫu CA 17 - Tạo mẫu máy chủ 17 - Tạo khóa CA, chứng CA: 18 - Tạo khóa chứng máy chủ 19 - Định cấu hình ocserv 20 - Tắt Tường Lửa 21 - Cài đặt kích hoạt IP Tables 21 Kết Luận 24 TÀI LIỆU THAM KHẢO 25 Chương Lý Thuyết Tổng Quan Về Đề Tài Tổng Quan Trước xuất mạng riêng ảo (Virtual Private Network – VPN), nhân viên làm việc xa muốn truy cập vào mạng cơng ty văn phòng xa dùng đường dây thuê bao, người làm việc xa phải sử dụng việc kết nối quay số Cả hai cách tốn chi phí khơng bảo mật thông tin Sự xuất mạng riêng ảo giúp cho người làm việc xa truy cập tài ngun cơng ty thể họ ngồi trước hình máy tính bàn làm việc cơng ty họ, mà tiết kiệm chi phí 1.1 Mạng riêng ảo gì? Mạng riêng ảo - Virtual private Network, gọi tắt VPN - VPN hiểu đơn giản mở rộng mạng riêng (private network) thông qua mạng công cộng Về bản, VPN mạng riêng lẻ sử dụng mạng chung (thường internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa - Thay cho việc sử dụng kết nối thực, chuyên dụng đường leasedline, VPN sử dụng kết nối ảo dẫn đường qua Internet từ mạng riêng công ty tới site hay nhân viên từ xa Để gửi nhận liệu thông qua mạng công cộng mà đảm bảo tính an tồn bảo mật 1.2 Các giao thức thường dùng VPN 1.2.1 PPTP VPN PPTP từ viết tắt Point-to-Point Tunneling Protocol (giao thức tạo đường hầm điểm nối điểm) Giống tên gọi mình, mạng riêng ảo PPTP tạo đường hầm cho liệu qua Quả tên dài cho mạng VPN sử dụng nhiều Người dùng kết nối đến mạng PPTP VPN đường truyền Internet sẵn có họ Loại mạng riêng ảo phù hợp cho doanh nghiệp người dùng cá nhân Để truy cập vào mạng PPTP, người dùng phải đăng nhập mật Sở dĩ nói PPTP phù hợp với đối tượng hồn tồn miễn phí, bạn khơng cần cài đặt chương trình sử dụng, tính dịch vụ thường bán dạng phần mềm add on với giá rẻ PPTP ưa chuộng khả tương thích với hệ điều hành Windows, Mac OS, Linux Bên cạnh nhiều ưu điểm, PPTP có nhược điểm khơng sử dụng mã hóa Trong người sử dụng mạng VPN tính Một điểm trừ khác PPTP sử dụng giao thức PPP để bảo mật đường truyền 1.2.2 Site-to-Site VPN Site to Site VPN có tên gọi khác Router to Router VPN Nó thường dùng công ty tổ chức đồn thể Ngày nay, nhiều cơng ty có văn phòng đặt ngồi nước; đó, họ dùng mạng Site to Site VPN để kết nối mạng lưới văn phòng với văn phòng lại Hình thức kết nối gọi “Intranet” (mạng cục bộ) Ngồi ra, mạng Site to Site hữu ích việc thiết lập đường truyền công ty với nhau, gọi “Extranet” (mạng mở rộng) Nói cách dễ hiểu, Site to Site VPN xây dựng cầu ảo kết nối mạng lưới cách xa lại với thông qua đường truyền Internet, đảm bảo việc truyền tải thông tin an toàn bảo mật Tương tự PPTP VPN, Site to Site VPN dùng để đảm bảo an tồn cho mạng lưới Tuy nhiên, khơng sử dụng đường line tĩnh nên vị trí mạng lưới cơng ty hợp thành mạng riêng ảo Khác với PPTP, trình định tuyến, mã hóa, giải mã thực định tuyến sử dụng phần cứng phần mềm đặt đầu đường truyền 1.2.3.L2TP VPN L2TP, Layer Tunneling Protocol (giao thức đường hầm lớp 2), mạng riêng ảo phát triển Microsoft Cisco L2TP mạng VPN thường kết hợp với giao thức VPN khác để thiết lập kết nối an tồn Mạng L2TP hình thành đường hầm điểm kết nối L2TP, đồng thời mạng VPN khác (chẳng hạn giao thức IPSec) đảm nhận vai trò mã hóa liệu trọng vào việc đảm bảo an tồn cho thơng tin truyền qua đường hầm Điểm giống L2TP PPTP chúng khơng sử dụng mã hóa mà dựa vào giao thức PPP để bảo mật liệu Tuy nhiên, L2TP đảm bảo tính quát an toàn liệu, PPTP khơng 1.2.4 IPsec IPSec từ viết tắt thuật ngữ Internet Protocol Security (Giao thức bảo mật Internet) IPSec giao thức VPN dùng để đảm bảo an toàn cho việc truyền liệu qua mạng IP Một đường hầm thiết lập từ xa cho phép người dùng truy caập đến vị trí trung tâm Giao thức IPSec bảo vệ đường truyền cách xác minh phiên mã hóa riêng rẽ gói liệu suốt đường truyền IPSec hoạt động theo chế độ chế độ vận chuyển chế độ đường hầm Cả chế độ có tác dụng bảo vệ liệu trình chuyển giao mạng lưới Ở chế độ vận chuyển, thơng tin gói liệu mã hóa Còn chế độ đường hầm, tồn gói liệu mã hóa Lợi ích việc sử dụng giao thức IPSec hỗ trợ giao thức khác việc tăng cường độ an toàn bảo mật Mặc dù IPSec giao thức hữu dụng, nhược điểm lớn người dùng phải nhiều thời gian chờ đợi cho q trình cài đặt chương trình hồn tất bắt đầu sử dụng 1.2.5 SSL and TLS SSL từ viết tắt Secure Socket Layer (Tẩng ổ bảo mật), TLS từ viết tắt Transport Layer Security (Bảo mật lớp vận chuyển) Cả kết hợp lại thành giao thức dùng để xây dựng kết nối VPN Đây mạng VPN trình duyệt web đóng vai trò máy khách người dùng truy cập số ứng dụng định, thay tồn mạng lưới Giao thức SSL TLS chủ yếu dùng trang web bán hàng online nhà cung cấp dịch vụ Mạng VPN SSL TLS đảm bảo phiên truy cập an tồn từ trình duyệt người dùng đến máy chủ ứng dụng Nguyên nhân trình duyệt web dễ dàng chuyển sang SSL người sử dụng khơng cần phải làm Trình duyệt web ln tương thích với SSL TLS Các kết nối SSL có đường link bắt đầu https thay http 1.2.6 MPLS VPN Chuyển mạch nhãn đa giao thức (MPLS) công nghệ dùng nhiều cho kết nối Site to Site Ngun nhân MPLS lựa chọn có tính linh hoạt khả thích nghi cao MPLS nguồn dựa tiêu chuẩn dùng để tăng tốc độ phân chia gói mạng lưới thông qua nhiều giao thức khác Mạng MPLS VPN hệ thống mạng VPN điều chỉnh nhà cung cấp dịch vụ Internet Mạng VPN điều chỉnh nhà cung cấp dịch vụ Internet mạng lưới hình thành có từ máy trở lên kết nối với sử dụng nhà cung cấp dịch vụ Intenet Nhược điểm lớn MPLS khơng dễ để thiết lập cho mạng VPN tương thích với Q trình chỉnh sửa khó khăn Chính mà sử dụng MPLS thường đắt tiền giải pháp khác 1.2.7 Hybrid VPN Mạng VPN lai kết hợp MPLS VPN IPSec VPN Dù loại mạng riêng ảo thường sử dụng cho mục đích khác nhau, kết hợp chúng lại với Mục đích dùng IPSec VPN làm phương án dự phòng cho MPLS Người dùng IPSec cần số thiết bị để sử dụng dịch vụ Đó thường định tuyến ứng dụng bảo mật đa nhiệm Thông qua thiết bị này, liệu mã hóa hình thành đường hầm VPN tơi giải thích MPLS VPN dùng carrier (vật mang), với trợ giúp từ thiết bị mạng lưới carrier Để kết hợp IPSec MPLS, cổng thiết lập để loại bỏ đường hầm IPSec từ phía đưa vào MPLS cuối đầu bên kia, phải đảm bảo an toàn cho liệu người dùng Mạng VPN lai chủ yếu dùng cơng ty, MPLS có lẽ khơng phải lựa chọn phù hợp MPLS có nhiều ưu điểm so với mạng Internet thông thường, nhiên giá thành cao Vì vậy, sử dụng mạng VPN lai cho phép họ truy cập đến máy chủ trung tâm từ vị trí khác Mạng VPN lai khơng phải rẻ, bù lại linh hoạt 1.3 OpenConnect VPN gì? - OpenConnect sử dụng giao thức tương thích với giao thức SSL AnyConnect, triển khai dự án nguồn mở không liên kết với Cisco Các VPN AnyConnect sử dụng TLS để xác thực định cấu hình định tuyến, sau DTLS để mã hóa vận chuyển hiệu lưu lượng VPN đường hầm quay trở lại giao thông dựa TLS nơi tường lửa chặn lưu lượng dựa UDP 1.4 SSL VPN ? - Lớp cổng bảo mật (SSL) giao thức bảo mật sử dụng phổ biến để thiết lập liên kết mã hóa máy chủ web trình duyệt Liên kết mã hóa đảm bảo tất liệu truyền đạt máy chủ web trình duyệt an tồn riêng tư Ngồi ra, chứng SSL giúp ngăn chặn công (MitM) cách đảm bảo người dùng kết nối với máy chủ xác Khi nói đến Mạng riêng ảo, mật mã SSL sử dụng để cung cấp đường hầm mã hóa an toàn máy khách VPN máy chủ VPN Điều này, đáng ngạc nhiên, lý chúng thường gọi SSL VPN Phân loại SSL VPN - Có hai lọai SSL VPN chính: SSL Portal VPN: Cho phép kết nối SSL tới trang web, cho phép người dùng cuối truy cập cách an toàn vào nhiều dịch vụ mạng Người dùng từ xa truy cập cổng SSL VPN trình duyệt Web sau xác thực thông qua phương thức cổng hỗ trợ Truy cập thực thông qua trang Web hoạt động cổng thông tin cho dịch vụ khác SSL Tunnel VPN: Cho phép trình duyệt web truy cập an tồn vào nhiều dịch vụ mạng, giao thức ứng dụng không dựa Web, thông qua đường hầm chạy SSL SSL tunnel VPN yêu cầu trình duyệt Web xử lý nội dung hoạt động cung cấp chức truy cập thông qua VPN cổng thơng tin SSL Mơ hình cấu trúc 3.1 VPN-SSL gateway on a DMZ (service network) - Tất mạng phải bảo vệ thiết bị an ninh vành đai mạnh Điều kiến trúc có cổng VPN-SLL cơng ty truy cập công cộng dịch vụ bảo vệ cổng an ninh chu vi Một thiết kế bảo mật tốt thường tách biệt lưu lượng truy cập không an toàn khỏi lưu lượng truy cập an toàn để ngăn chặn cơng Lợi ích việc đặt cổng VPN-SSL DMZ bị lập từ máy chủ có sẵn cơng khai khác thường có nguy cao bị xâm phạm Việc tách mạng bảo vệ gateway khỏi công máy chủ truy cập công khai bị xâm phạm Tiềm vấn đề với thiết kế hai khơng an tồn (lưu lượng SSL đến) vàlưu lượng truy cập an tồn (được xác thực khơng mã hóa) thực network 3.2 VPN-SSL gateway with interfaces rong cấu hình này, cổng VPN-SSL kết nối trực tiếp với Internet Cổng thứ hai kết nối với mạng dịch vụ bảo mật cổng an ninh chu vi Lợi ích việc triển khai lưu lượng truy cập giảm (và sử dụng tài nguyên) cổng chu vi người dùng từ xa sử dụng VPN Gateway việc thiết lập đường hầm an toàn cho nội mạng Các quy tắc kiểm sốt truy cập sử dụng Cổng SSL-VPN tới tiếp tục lọc lưu lượng truy cập phép truy cập cổng bảo mật ngoại vi cung cấp xác thực bảo mật bổ sung - Một vấn đề tiềm cấu hình VPN gateway lại khơng bảo vệ cổng an ninh chu vi Ví dụ: VPN Gateway dễ bị công bất thường giao thức mạng công 3.3 Wireless environment Công nghệ SSL-VPN sử dụng để bảo mật khơng dây môi trường Khi ngành công nghiệp chờ đợi tiêu chuẩn đảm bảo an tồn Thơng tin liên lạc Wi-Fi, cổng VPN-SSL đặt điểm truy cập không dây mạng tới mạng nội tổ chức Phần mềm chống vi-rút cập nhật máy tính từ xa bắt buộc để giảm thiểu loại rủi ro trojan từ máy tính từ xa đến mạng nội 5.2 Rủi ro SSL VPN - Thiếu phần mềm bảo mật máy chủ yêu cầu máy công cộng:SSL VPN giúp việc kết nối từ nơi Internet với mạng nội công ty trở nên dễ dàng thuận tiện Tuy nhiên, máy công cộng sử dụng cho SSL VPN khơng có phần mềm diệt vi-rút bắt buộc cài đặt bảo trì cách; ngồi ra, chúng thường khơng cài đặt kích hoạt tường lửa dựa máy chủ Những máy công cộng gây mối đe dọa lớn sử dụng cho SSL VPN Chúng lây lan virus, worms trojan — chí trở thành cánh cửa sau cho kẻ công nguy hiểm Ngay việc xác thực người dùng mạnh không bảo vệ mạng máy tính từ xa bị xâm nhập, kẻ cơng “piggyback” vào phiên trực tiếp thông qua Trojan nhắm vào tài nguyên nội - Physical access to shared machines: Nếu máy tính từ xa có kết nối mạng thiết lập với mạng nội bạn người dùng rời khỏi phiên mở, mạng nội bạn hiển thị với người có quyền truy cập vật lý vào máy Nhân viên khơng phép sử dụng máy tính để khám phá công nguồn lực nội bạn SSL VPN làm tăng đáng kể loại rủi ro - kết nối máy dựa Internet Tính chất truy cập vật lý máy chia sẻ thêm nhiều rủi ro bên cạnh việc cung cấp kết nối mạng trái phép vào mạng nội công ty - Keystroke logger: SSL VPN máy khách dễ bị tổn thương keystroke logger máy tính truy cập cơng khai (tại ki-ốt, ví dụ) tham gia Các máy tính khơng đáp ứng tiêu chuẩn sách bảo mật tổ chức bạn Khi máy bị xâm phạm, ghi logstroke cho phép chặn thơng tin người dùng thơng tin bí mật khác Có thể cài đặt phần mềm độc hại chí ghi bàn phím dựa phần cứng để thu thập thông tin nhạy cảm - Thiết bị đầu cuối-mất thông tin nhạy cảm sở hữu trí tuệ: thơng tin nhạy cảm bao gồm loạt mặt hàng, bao gồm thông tin người dùng (tài khoản 11 tên / mật khẩu), dự báo bán hàng, thông tin nhân nội bộ, thơng tin khách hàng Sở hữu trí tuệ bao gồm mã nguồn, cơng ty chí thơng tin công nghệ thiết kế bên thứ ba (theo NDA) Thơng tin quan trọng để lại máy tính từ xa máy tính khơng bảo vệ cách - điều đặc biệt quan trọng máy tính từ xa chia sẻ với cơng chúng Bảo vệ điểm cuối chìa khóa để giải loại rủi ro Nhận thức giáo dục người dùng đóng vai trò quan trọng - Các công trung gian: Trong công trung gian, kẻ công chặn lưu lượng người dùng để nắm bắt thông tin đăng nhập thông tin liên quan khác Kẻ công sau sử dụng thơng tin để truy cập vào mạng đích thực tế Trong q trình này, kẻ công thường phục vụ proxy / gateway trình bày trang web SSL VPN giả cho người dùng; proxy / cổng chuyển xác thực mà người dùng nhập vào trang đích đích thực Tùy thuộc vào tinh tế proxy / cổng độc hại, nhiều hành động thực truy cập vào mạng nội lấy Một số thơng tin gửi lại cho người dùng người dùng bị chấm dứt thông báo tin nhắn "dịch vụ không khả dụng" Cuộc công thường hoạt động người dùng không xác minh xác họ liên lạc với trang web đầu trang SSL VPN thực Người dùng chung cơng ty thường khơng có đủ kiến thức để đọc xác minh chứng SSL thuộc bên thích hợp trước kết nối; thơng thường, người dùng nhấp vào "có" chấp nhận chứng vĩnh viễn Và số quán, máy công cộng có cài đặt bảo mật trình duyệt web họ q thấp nên khơng có cảnh báo phát hành chứng SSL xuất đáng ngờ 5.3 Giảm thiểu rủi ro - Trong nhiều nhà cung cấp sản phẩm có sẵn thị trường nay, họ khơng cung cấp đầy đủ chế khả giảm thiểu rủi ro Quy trình lập kế hoạch so sánh tồn diện giúp bạn xác định phù hợp hiệu để bảo vệ tổ chức bạn Dưới phân tích chi tiết biện pháp bảo mật cần áp dụng triển khai SSL VPN - Chính sách bảo mật truy cập an tồn thơng qua xác thực người dùng mạnh:triển khai SSL VPN xác thực người dùng mạnh người dùng SSL VPN phải tuân thủ sách bảo mật VPN truy cập từ xa tổ chức bạn Xác 12 thực người dùng mạnh ưu tiên hàng đầu; số lựa chọn có sẵn để đạt mục đích Thơng thường, bắt đầu cách thực kỹ thuật xác thực hai yếu tố Ví dụ bao gồm mã thông báo phần cứng, chứng kỹ thuật số (dưới dạng hình thức xác thực người dùng) thẻ thơng minh Ngoài ra, tổ chức bạn phải nêu rõ loại yêu cầu bảo mật máy chủ phải đáp ứng (chẳng hạn tường lửa cá nhân, chống vi-rút, sửa lỗi nóng vá bảo mật) - Xác minh danh tính máy chủ: ó khác biệt việc tin tưởng người dùng (sau vượt qua xác thực người dùng mạnh) tin tưởng vào máy tính người dùng Trong trước nhấn mạnh theo truyền thống, gần có ý đầy đủ (xem Trusted Platform Module TPM) Như thảo luận trước đó, máy tính Trojan-laden đánh bại xác thực người dùng mạnh mẽ Nhưng "máy tính cơng ty", thường hỗ trợ quản lý theo sách bảo mật công ty, thường đáng tin cậy "máy tính khơng phải cơng ty" Cơ sở hạ tầng SSL VPN an toàn cho phép bạn xác minh danh tính máy chủ từ xa cách kiểm tra thông số thiết bị đầu cuối xác định trước Ví dụ bao gồm mục đăng ký, tệp đặc biệt vị trí định chứng kỹ thuật số (dưới dạng xác thực thiết bị) - Lưu trữ xác thực bảo mật máy chủ: Khi máy tính từ xa phép truy cập vào VPN, trở thành phần mở rộng mạng tổ chức bạn Bảo mật máy chủ để bảo vệ thiết bị đầu cuối quan trọng để bảo vệ liệu nằm máy chủ kết nối với mạng nội bạn Cơ sở hạ tầng SSL VPN bạn xác thực tư bảo mật máy chủ cách kiểm tra phiên phần mềm chống virút, tường lửa cá nhân, cập nhật dịch vụ, mức vá bảo mật tập lệnh tệp tùy chỉnh bổ sung Việc xác thực quan trọng để đảm bảo tuân thủ sách tiêu chuẩn bảo mật cơng ty bạn - Máy tính để bàn an tồn: Bạn làm máy tính từ xa khơng đáp ứng tiêu chuẩn sách bảo mật nghiêm ngặt cơng ty bạn? Lợi ích kinh doanh SSL VPN cho phép người dùng “VPN in” từ máy tính dựa Internet Nhiều người số họ tài sản phi công ty thường khơng đáp ứng tiêu chuẩn sách bảo mật bạn Để giải tình trạng khó xử này, số sản phẩm SSL VPN gần cung cấp khả tạo “hộp cát” an toàn “máy tính để bàn an tồn” máy tính từ xa Máy tính để bàn an tồn thường 13 bảo vệ khỏi quy trình khác máy tính có hệ thống tệp mã hóa “on-the-fly” Mã độc hại, chúng xuất máy tính, khơng thể truy cập nội dung lưu trữ hình an tồn Loại triển khai giúp đảm bảo liệu bị xóa cách an toàn vào cuối phiên - Làm nhớ cache: Để bảo vệ thêm thơng tin bí mật thuộc tính trí tuệ, việc triển khai SSL VPN nâng cao cho phép xóa tất dấu vết liệu phiên từ vị trí lịch sử trình duyệt, tệp Internet tạm thời cookie Tính dọn dẹp nhớ cache giảm nhẹ rủi ro để lại thông tin nhạy cảm - Phát logger: keystroke Lý tưởng nhất, mã độc hại logstroke loggers phát trước người dùng bắt đầu phiên VPN Các sản phẩm SSL VPN gần cung cấp tính bảo mật Chúng cho phép phát logger keystroke trước phiên đăng nhập người dùng thực Tuy nhiên, lưu ý nhà cung cấp khác cung cấp mức độ thành công hiệu khác — hầu hết bất lực xử lý logger keystroke dựa phần cứng.Xem xét cấu hình Kiểm tra sản phẩm SSL VPN dự định bạn để xem liệu chúng có cho phép bạn định cấu hình điều sau: - Thời gian chờ phiên - Thời gian chờ ngắn (thường đặt 10 phút hơn) giảm hội cho nhân viên không phép truy cập vào mạng nội bạn qua máy tính cơng cộng - Xác minh phiên SSL — Chức máy chủ SSL tập trung VPN phải cấu hình để từ chối kết nối SSL 2.0 SSL phiên 2.0 chứa nhiều lỗ hổng bảo mật, khắc phục phiên SSL - Hỗ trợ chứng máy chủ — Để tạo đường hầm SSL / TLS để ngăn chặn giả mạo máy chủ (các công trung gian), tập trung VPN cài đặt chứng máy chủ bị xích vào quan cấp chứng gốc cơng ty bạn Ngồi ra, bạn nên sử dụng chứng máy chủ tổ chức phát hành chứng tin cậy cấp.Để giảm thêm rủi ro máy tính từ xa gây ra, bạn cân nhắc áp đặt hạn chế bảo mật bổ sung Một tùy chọn (dựa thông số bảo mật máy chủ máy tính từ xa) yêu cầu phiên SSL VPN để số địa IP nguồn chấp thuận trước hạn chế quyền truy cập vào danh sách tài nguyên hạn chế, máy tính từ xa khơng đáp ứng máy chủ bạn Yêu cầu bảo mật Một tùy 14 chọn khác (dựa nhận dạng thiết bị máy tính từ xa) hạn chế quyền truy cập vào số lượng tối thiểu ứng dụng / tài ngun, máy tính từ xa khơng thể xác minh "tài sản công ty" Việc lựa chọn ứng dụng / tài nguyên bị hạn chế phải mà chúng cung cấp nhu cầu người dùng mà không hiển thị thông tin nhạy cảm Giáo dục người dùng nhận thức bảo mậtGiáo dục người dùng nhận thức bảo mật thành phần thiếu nỗ lực bảo mật tổng thể tổ chức Các chiến dịch nâng cao nhận thức bảo mật người dùng SSL VPN tập trung vào điều sau: - Nhận thức thông tin lý VPN nói chung SSL VPN nói riêng rủi ro an ninh cho tổ chức bạn - Khuyến khích sử dụng trạm cơng cộng khơng đáp ứng tiêu chuẩn sách bảo mật công ty để thực biện pháp phòng ngừa an ninh, chẳng hạn chấm dứt phiên VPN xóa tài liệu / thơng tin trước rời khỏi máy tính cơng cộng - Mẹo nhắc người dùng ý đến chi tiết URL kiểm tra chứng máy chủ (qua ổ khóa vàng nhỏ góc trình duyệt web) , ví dụ) để bảo vệ chống lại công man-in-the-middle 15 Chương Triển Khai Giới Thiệu Kịch Bản Kịch bản: Sử dụng Openconnet cho phép nhân viên thường cơng tác xa ngồi nơi đâu có kết nối internet truy cập vào ứng dụng, dịch vụ hệ thống mạng nội cơng ty cách an tồn đảm bảo tính tồn vẹn liệu thơng tin người dùng Mơ Hình Triển Khai Hình 2.1: Sơ đồ triển khai Kiểm Thử - Cài đặt ocserv #apt-get install ocserv - Kiểm tra trạng thái sau cài đặt thành công status ocsevr: #systemctl status ocserv 16 - Tạo mẫu CA cn = "your organization’s certificate authority" organization = "your organization" serial = expiration_days = 3650 ca signing_key cert_signing_key crl_signing_key - Tạo mẫu máy chủ cn = "a sever's name, usually matches hostname" organization = "your organization" serial = expiration_days = 3650 signing_key encryption_key tls_www_server dns_name = "your organization's host name" 17 #ip_address = "if no hostname uncomment and set the IP address here" - Tạo khóa CA, chứng CA: certtool generate-privkey outfile ca-key.pem certtool generate-self-signed load-privkey ca-key.pem -template ca.tmpl outfile ca-cert.pem 18 - Tạo khóa chứng máy chủ certtool generate-privkey outfile server-key.pem certtool generate-certificate load-privkey server-key.pem -load-ca-certificate ca-cert.pem load-ca-privkey ca-key.pem -template server.tmpl outfile server-cert.pem 19 - Định cấu hình ocserv Mở tệp /etc/ocserv/ocserv.conf nano /etc/ocserv/ocserv.conf Trong phần Xác thực, nhận xét tất dòng thêm dòng sau: auth = "pam" Trong số cổng TCP UDP, để mặc định đảm bảo hai dòng khơng ý tcp-port = 443 udp-port = 443 Trong phần seccomp, định xem bạn có muốn sử dụng seccomp hay không Nếu bạn gỡ bỏ seccomp biên dịch khơng cài đặt gói seccomp, tắt seccomp ocserv không khởi động isolate-workers = true Trong phần Cài đặt mạng, thay đổi dòng sau: #ipv4-network = 192.168.5.254 #ipv4-netmask = 255.255.255.0 dns = 8.8.8.8 Trong phần "Tuyến đường chuyển tiếp tới khách hàng", khen tất dòng thêm dòng sau: route = 192.168.5.0/255.255.255.0 Lưu tệp (CTRL + o để lưu, CTRL + x để thoát) 20 - Tắt Tường Lửa systemctl stop firewalld systemctl mask firewalld - Cài đặt kích hoạt IP Tables apt-get install iptables-persistent service iptables start 21 - Cấu Hình IP Tables - Cài đặt kết nối tới máy chủ Openconnect 22 - Sau hi kết nối thành công, yêu cầu đăng nhập username password - Kết nối tới máy chủ thành công - Thực bắt gói tin wirsshark gói tin ICMP từ địa 10.10.10.204 qua địa 10.10.10.122 bị mã hóa 23 - Kiểm tra gói tin thơng tin bị mã hóa Kết Luận - SSL VPN hứa hẹn cung cấp cải tiến suất, cải thiện tính khả dụng tiết kiệm chi phí CNTT - Bảo mật SSL VPN cung cấp thách thức bảo mật thông tin bổ sung - Triển khai SSL VPN thành công hoạt động liên quan đến việc quản lý rủi ro bảo mật hỗ trợ nhu cầu kinh doanh 24 TÀI LIỆU THAM KHẢO  https://searchsecurity.techtarget.com/definition/SSL-VPN  https://www.cisco.com/c/en/us/about/security-center/ssl-vpnsecurity.htm  http://ocserv.gitlab.io/www/index.html 25 ... dụng triển khai SSL VPN - Chính sách bảo mật truy cập an tồn thơng qua xác thực người dùng mạnh:triển khai SSL VPN xác thực người dùng mạnh người dùng SSL VPN phải tuân thủ sách bảo mật VPN truy... gọi SSL VPN Phân loại SSL VPN - Có hai lọai SSL VPN chính: SSL Portal VPN: Cho phép kết nối SSL tới trang web, cho phép người dùng cuối truy cập cách an toàn vào nhiều dịch vụ mạng Người dùng. .. 1.2.7 Hybrid VPN 1.3 OpenConnect VPN gì? 1.4 SSL VPN ? Phân loại SSL VPN SSL Portal VPN: SSL Tunnel VPN: Mơ