Báo cáo thực tập cơ sở chuyên ngành

Đây là tài liệu gốc được thực hiện bởi học viên học viện Kỹ thuật mật mã về xây dựng hệ thống bảo mật mạng VPN bằng openVPN. Mọi quá trình cấu hình cài đặt và nguyên lý đều chi tiết đầy đủ. Đây là tài liệu tổng hợp giúp ích cho các bạn sinh viên khoa học về An toàn thông tin hay Công nghệ thông tin.

NHẬN XÉT CỦA GIẢNG VIÊN

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

……… Điểm

Hà Nội, ngày 02 tháng 11 năm 2019

MỤC LỤC

NHẬN XÉT CỦA GIẢNG VIÊN 1

LỜI CẢM ƠN 2

DANH MỤC CÁC HÌNH ẢNH 5

DANH MỤC TỪ VIẾT TẮT 6

LỜI NÓI ĐẦU 7

CHƯƠNG I: TỔNG QUAN VỀ VPN 8

1.1 MỞ ĐẦU: 9

1.1.1 Định nghĩa VPN: 9

1.1.2 Lợi ích của VPN: 10

1.1.3 Các chức năng cơ bản của VPN: 10

1.2 VPN VÀ CÁC VẤN ĐỀ AN TOÀN BẢO MẬT TRÊN INTERNET: 11

1.2.1 An toàn và tin cậy: 11

1.2.2 Các hình thức an toàn: 12

1.3 ĐỊNH NGHĨA “ĐƯỜNG HẦM” VÀ “MÃ HOÁ”: 12

1.3.1 Đường hầm và cấu trúc gói tin: 12

1.3.2 Mã hoá và giải mã (Encryption/Decryption): 13

1.3.3 Một số thuật ngữ sử dụng trong VPN: 13

1.4 CÁC DẠNG KẾT NỐI MẠNG RIÊNG ẢO: 14

1.4.1 Truy cập VPN từ xa (Remote Access VPN): 14

1.4.1.1 Một số thành phần chính của Remote Access VPN: 14

1.4.1.2 Ưu và nhược điểm của Remote Access VPN: 15

1.4.2 Site-to-Site VPN (LAN-to-LAN): 16

1.4.2.1 Intranet VPN: 16

CHƯƠNG 2: BẢO MẬT TRONG VPN 19

2.1 NHỮNG VẤN ĐỀ BẢO MẬT TRONG MẠNG RIÊNG ẢO: 20

2.1.1 Tấn công các thành phần mạng riêng ảo: 20

2.1.2 Tấn công giao thức mạng riêng ảo: 20

2.1.3 Tấn công mật mã: 21

2.1.4 Tấn công từ chối dịch vụ(Dos): 21

2.2 MỘT SỐ PHƯƠNG PHÁP BẢO MẬT TRONG MẠNG VPN: 21

2.2.1 Một số phương pháp yếu: 21

2.2.1.1 Xác thực truy cập (User Authentication): 21

2.2.1.2 Quản lý phân cấp địa chỉ (Address Management): 21

2.2.1.3 Mã hóa dữ liệu (Data Encryption) : 22

2.2.1.4 Mật mã truy cập: 22

2.2.1.5 Máy chủ AAA (Authentication Authorization Accounting): 22

2.2.2 Những phương pháp mạnh hơn: 22

2.2.2.1 Tường lửa (firewall): 22

2.2.2.2 Bảo mật trong giao thức PPTP (Point to point Tunneling Protocol): 22

2.2.2.3 Bảo mật trong giao thức L2TP (Layer 2 tunneling protocol): 23

2.3 GIẢI PHÁP BẢO MẬT MẠNG VPN BẰNG OPENVPN: 25

2.3.1 Kiến trúc Openvpn: 25

2.3.2 Các kênh dữ liệu OpenVPN: 26

2.3.3 Ping và giao thức OCC: 26

2.3.4 Kênh điều khiển: 26

2.3.5 Kết nối VPN bằng Remote Access VPNs (Point-to-Site): 27

2.3.6 Kết nối VPN Site-to-Site (LAN-to-LAN): 29

2.3.6.1 Mạng VPN cục bộ (Intranet-based VPN): 29

2.3.6.2 Mạng VPN mở rộng (Extranet-based): 30

CHƯƠNG 3: TRIỂN KHAI PHƯƠNG PHÁP REMOTE ACCESS VÀ OPENVPN 32

3.1 MÔ HÌNH MẠNG VPN: 33

3.2 CẤU HÌNH MẠNG VPN REMOTE ACCESS SỬ DỤNG IPSEC: 34

3.2.1 Công cụ, phần mềm: 34

3.2.2 Dòng lệnh cấu hình thiết bị: 34

3.2.3 Kiểm tra kết quả: 38

3.3 CÀI ĐẶT TRIỂN KHAI PHƯƠNG PHÁP OPENVPN 38

3.3.1 Thiết bị, phần mềm cần chuẩn bị: 38

3.3.2 Cấu hình: 38

3.3.3 Các kết quả: 42

KẾT LUẬN 46

TÀI LIỆU THAM KHẢO 47

DANH MỤC CÁC HÌNH ẢNH

Hình 1.1: Một mô hình mạng VPN 8

Hình 1.2: Mô hình non-VPN Remote Access 12

Hình 1.3: Mô hình Remote Access VPN 13

Hình 1.4: Mô hình Site–to–Site VPN 14

Hình 1.5: Mô hình Intranet VPN 14

Hình 1.6: Mô hình Extranet VPN 15

Hình 2.1: Cấu trúc gói L2TP 22

Hình 2.2: IPSec client to IPSec Server 23

Hình 2.3: Cách OpenVPN kênh dữ liệu đóng gói 25

Hình 2.4: Định dạng thông điệp OpenVPN OCC 25

Hình 2.5: Gói điều khiển kênh OpenVPN 26

Hình 2.6: Remote Access VPN 27

Hình 2.7:Site-to-Site VPN 28

Hình 2.8: Mô hình VPN Site-to-Site (Extranet-based) 29

Hình 3.1: VPN remote access 32

Hình 3.2: Mô hình gửi và chia sẻ file trong openVPN 32

Hình 3.3: Khi connect vào VPN 37

Hình 3.4: Khi connect thành công 38

Hình 3.5: Kết quả sau khi cài đặt gói OpenVPN 38

Hình 3.6 Kết quả khi cấp quyền 39

Hình 3.7 Chọn tải profile của user về máy trạm để kết nối OpenVPN server 40

Hình 3.8 Chọn app phù hợp với OS để tải 40

Hình 3.9 Khi cài đặt xong OpenVPN GUI 41

Hình 3.10 Cách import profiles user 41

Hình 3.11: Giao diện OpenVPN server 42

Hình 3.12: Máy giám đốc connect OpenVPN server 42

Hình 3.13: Kết quả khi connect tới OpenVPN server 43

Hình 3.14: Máy kế toán connect OpenVPN server 43

Hình 3.15: Kết quả máy kế toán connect OpenVPN server 44

Hình 3.16: Giám đốc được kế toán cung cấp ip máy của mình để truy cập xem thông tin 44

Hình 3.17: Khi giám đốc vào thành công và có thể xem bảng lương T10 44

DANH MỤC TỪ VIẾT TẮT

VPN : Virtual private network

ISP : Internet service provider

SSL : Secure Sockets Layer

SSH : Secure Shell

IPsec : Internet Protocol Security

TCP : Transmission Control Protocol

UDP : User Datagram Protocol

OSI : Open Systems Interconnection Reference ModelIETF : Internet Engineering Task Force

IV : Initial Vector

LỜI NÓI ĐẦU

Hiện nay, Internet đã phát triển mạnh mẽ cả về mặt mô hình lẫn tổ chức, đáp ứngkhá đầy đủ các nhu cầu của người sử dụng Internet kết nối nhiều mạng với nhau và chophép thông tin chuyển đến người sử dụng một cách tự do và nhanh chóng Để làm đượcđiều này người ta sử dụng một hệ thống các thiết bị định tuyến kết nối các LAN và WANvới nhau Các máy tính được kết nối vào Internet thông qua các nhà cung cấp dịch vụISP Với Internet, những dịch vụ như đào tạo từ xa, mua hàng trực tuyến, tư vấn các lĩnhvực và rất nhiều điều khác đã trở thành hiện thực Tuy nhiên do Internet có phạm vi toàncầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảomật và an toàn dữ liệu, cũng như quản lý dịch vụ

Và càng dần về sau hệ thống quản lý online, giám sát nội bộ kiểm tra, thống kê,làm việc, báo cáo,… cho nhân viên, cán bộ đi công tác xa hay không có mặt trực tiếp tạicông ty đã được triển khai nhằm đảm bảo tiến độ, công việc, hiệu suất Tuy nhiên, việctruy xuất cơ sở dữ liệu từ xa luôn đòi hỏi cao về vấn đề an toàn, bảo mật Vậy nên môhình mạng riêng ảo đã ra đời (hay VPN) Với mô hình mới này, người ta không phải đầu

tư thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật và độ tin cậy vẫn được bảođảm, đồng thời có thể quản lý sự hoạt động của mạng

Nhưng thông thường, triển khai phần mềm VPN và phần cứng tốn nhiều thời gian

và chi phí, do đó OpenVPN là một giải pháp mã nguồn mở VPN hoàn toàn miễn phí vàcực kỳ hiệu quả cho các doanh nghiệp

Bởi vậy, môn thực tập cơ sở chuyên ngành nhóm chúng em xin tìm hiểu và trìnhbày về đề tài Xây dựng và bảo mật VPN bằng OpenVPN với những nội dung chính sauđây:

Chương 1: Tổng quan về mạng VPN.

Chương 2: Bảo mật trong mạng VPN.

Chương 3: Triển khai phương pháp remote access và OpenVPN.

CHƯƠNG I: TỔNG QUAN VỀ VPN

1.1 Mở đầu:

Hiện tại, Internet đã phát triển mạnh mẽ cả về mặt mô hình lẫn tổ chức, đáp ứngkhá đầy đủ các nhu cầu của người sử dụng Internet đã được thiết kế để kết nối nhiềumạng với nhau và cho phép thông tin chuyển đến người sử dụng một cách tự do và nhanhchóng Để làm được điều này người ta sử dụng một hệ thống các thiết bị định tuyến(router) kết nối các LAN và WAN với nhau Các máy tính được kết nối vào Internetthông qua các nhà cung cấp dịch vụ (ISP – Internet Service Provider) Vấn đề mà kỹthuật còn tiếp tục phải giải quyết là năng lực truyền thông của các mạng viễn thông côngcộng Với Internet, những dịch vụ như đào tạo từ xa, mua hàng trực tuyến, tư vấn các lĩnhvực và rất nhiều điều khác đã trở thành hiện thực Tuy nhiên, do Internet có phạm vi toàncầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảomật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ Từ đó người ta đã đưa ramột mô hình mạng mới nhằm thoã mãn những yêu cầu trên mà vẫn có thể tận dụng lạinhững cơ sở hạ tầng hiện có của Internet, đó chính là mô hình mạng riêng ảo (VirtualPrivate Network – VPN) Với mô hình mới này, người ta không phải đầu tư thêm nhiều

về cơ sở hạ tầng mà các tính năng như bảo mật và độ tin cậy vẫn được đảm bảo, đồngthời có thể quản lý riêng được sự hoạt động của mạng này VPN cho phép người sử dụnglàm việc tại nhà riêng, trên đường đi hoặc các văn phòng chi nhánh có thể kết nối an toànđến máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng

Nó cũng có thể đảm bảo an toàn thông tin giữa các đại lý, nhà cung cấp và các đối táckinh doanh với nhau trong môi trường truyền thông rộng lớn Trong nhiều trường hợp,VPN cũng giống như WAN (Wire Area Network), tuy nhiên đặc tính quyết định củaVPN là chúng có thể dùng mạng công cộng như Internet mà vẫn đảm bảo tính riêng tư vàtiết kiệm chi phí

1.1.1 Định nghĩa VPN:

VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng (PrivateNetwork) thông qua các mạng công cộng Về căn bản, mỗi VPN là một mạng riêng rẽ sửdụng một hạ tầng mạng chung (thường là Internet) để kết nối cùng với các site (các mạngriêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyêndụng, mỗi VPN sử dụng các kết nối ảo được thiết lập qua Internet từ mạng riêng của cáccông ty tới các chi nhánh hay các nhân viên từ xa Để có thể gửi và nhận dữ liệu thôngqua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật VPN cung cấp các cơ chế

mã hoá dữ liệu trên đường truyền, tạo ra một đường ống (tunnel) bảo mật giữa nơi gửi vànơi nhận Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hoá, chỉcung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đếnđích thông qua mạng công cộng một cách nhanh chóng

Dữ liệu được mã hoá một cách cẩn thận do đó nếu các packet bị xem lén trênđường truyền công cộng thì cũng không thể đọc được nội dung vì không có khoá để giải

Hình 1.1: Một mô hình mạng VPN 1.1.2 Lợi ích của VPN:

VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thông và nhữngmạng leased-line Những lợi ích đầu tiên bao gồm:

 Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí từ 20 đến 40% sovới những mạng sử dụng leased-line và giảm chi phí trong việc truy cập từ xa từ

40 đến 60%

 Tính linh hoạt trong kết nối

 Tăng tính bảo mật: Các dữ liệu quan trọng sẽ được che giấu đối với những ngườikhông có quyền truy cập

 Hỗ trợ các giao thức mạng thông dụng nhất hiện nay là TCP/IP

 Bảo mật địa chỉ IP: Bởi vì thông tin được gửi đi trên VPN đã được mã hoá, do đócác địa chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bênngoài Internet

1.1.3 Các chức năng cơ bản của VPN:

VPN cung cấp 4 chức năng chính:

 Sự tin cậy và bảo mật (confidentiality): Người gửi có thể mã hoá các gói dữ liệutrước khi truyền chúng ngang qua mạng Bằng cách này, không một ai có thể truynhập thông tin mà không được phép, mà nếu như có lấy được thông tin thì cũngkhông thể đọc được vì thông tin đã được mã hoá

 Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra rằng dữ liệuđược truyền qua mạng Internet mà không có sự thay đổi nào

 Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực nguồngốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin

 Điều khiển truy nhập (Access Control): VPN có thể phân biệt giữa những ngườidùng hợp lệ và trái phép bằng nhiều cách như dựa vào chính sách bảo mật, sựchứng thực

1.2 VPN và các vấn đề an toàn bảo mật trên Internet:

Như chúng ta đã biết, sự phát triển bùng nổ và mở rộng mạng toàn cầu Internetngày càng tăng, hàng tháng có khoảng 10.000 mạng mới kết nối vào Internet kèm theo đó

là vấn đề làm sao để có thể trao đổi thông tin dữ liệu một cách an toàn qua mạng côngcộng như Internet Hàng năm sự rò rỉ và mất cắp thông tin, dữ liệu đã gây thiệt hại rất lớn

về kinh tế trên toàn thế giới Các tin tặc luôn tìm mọi cách để nghe trộm, đánh cắp thôngtin và dữ liệu nhạy cảm như: mã thẻ tín dụng, tài khoản người dùng, các thông tin kinh tếnhạy cảm của các tổ chức hay cá nhân

Vậy giải pháp sử dụng mạng riêng ảo VPN sẽ giải quyết vấn đề an toàn và bảomật thông tin trên Internet như thế nào?

Câu trả lời là để các tổ chức, doanh nghiệp, cá nhân cảm thấy yên tâm khi trao đổithông tin dữ liệu qua mạng Internet là sử dụng công nghệ mạng riêng ảo VPN

Thực chất, công nghệ chính được sử dụng trong mạng riêng ảo VPN là tạo ra mộtđường hầm (tunnel), mã hoá và chứng thực dữ liệu giữa hai đầu kết nối Các thông tin dữliệu sẽ được mã hoá và chứng thực trước khi được lưu chuyển trong một đường hầmriêng biệt, qua đó sẽ tránh được những cặp mắt tò mò muốn đánh cắp thông tin

1.2.1 An toàn và tin cậy:

Sự an toàn của một hệ thống mạng là một phần trong các tiêu chí đánh giá một hệthống đáng tin cậy Có 4 yếu tố ảnh hưởng đến một hệ thống đáng tin cậy:

 Tính sẵn sàng: Khả năng sẵn sàng phục vụ, đáp ứng yêu cầu trong khoảng thờigian ngắn Tính sẵn sàng thường được thực hiện thông qua những hệ thống phầncứng dự phòng

 Sự tin cậy: Định nghĩa năng lực của hệ thống khi thực hiện các chức năng của nótrong một chu kỳ thời gian Sự tin cậy khác với tính sẵn sàng, sự tin cậy tương ứngtới tính liên tục của một dịch vụ nào đó

 Sự an toàn: Khái niệm an toàn chỉ ra tính vững chắc của một hệ thống trước cácnguy cơ tiềm ẩn, ví dụ các cuộc tấn công từ chối dịch vụ, sự xâm nhập trái phépvào hệ thống thông qua các lỗ hổng bảo mật

 Sự an ninh: Trong trường hợp này sự an ninh có nghĩa như một sự bảo vệ tất cảcác tài nguyên hệ thống

Một hệ thống mạng đáng tin cậy ở mức cao nhất nghĩa là hệ thống luôn đảm bảođược sự an toàn tại bất kỳ thời điểm nào

1.2.2 Các hình thức an toàn:

Sự an toàn của hệ thống mạng phụ thuộc vào tất cả những thành phần của nó Có

ba kiểu khác nhau của sự an toàn: An toàn phần cứng, An toàn thông tin và An toàn quảntrị

 An toàn phần cứng: Sự an toàn về mặt vật lý, bảo vệ phần cứng của hệ thống

khỏi những mối đe doạ vật lý bên ngoài như sự phá họa làm mất mát thông tin, các

sự cố liên quan đến nguồn cung cấp, các yếu tố môi trường có thể làm hỏng phầncứng Tất cả những yếu tố trên cần phải được tính đến và thực hiện các biện phápphòng ngừa

 An toàn thông tin: An toàn thông tin nghĩa là thông tin được bảo vệ, các hệ thống

và những dịch vụ có khả năng chống lại những tai hoạ, các lỗi và sự tác độngkhông mong đợi, các thay đổi tác động đến độ an toàn của hệ thống là nhỏ nhất

Hệ thống có một trong các đặc điểm sau là không an toàn:

- Các thông tin dữ liệu trong hệ thống bị người không được quyền truy nhập tìmcách lấy và sử dụng (thông tin bị rò rỉ)

- Các thông tin trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung(thông tin bị xáo trộn hoặc mất mát)

 An toàn quản trị: An toàn quản trị liên quan đến tất cả các mối đe doạ mà con

người làm tổn hại đến một hệ thống mạng Những mối đe doạ này có thể xuất phát

cả từ bên ngoài lẫn bên trong của một tổ chức, doanh nghiệp

1.3 Định nghĩa “đường hầm” và “mã hoá”:

Chức năng chính của một mạng riêng ảo (VPN) là cung cấp sự bảo mật thông tinbằng cách mã hoá và chứng thực qua một đường hầm (tunnel)

1.3.1 Đường hầm và cấu trúc gói tin:

Cung cấp các kết nối logic, vận chuyển các gói dữ liệu đã được mã hoá bằng mộtđường hầm riêng biệt qua mạng IP, điều đó làm tăng tính bảo mật thông tin vì dữ liệu saukhi mã hoá sẽ lưu chuyển trong một đường hầm được thiết lập giữa người gửi và ngườinhận, do đó sẽ tránh được sự nhòm ngó, xem trộm thông tin Các giao thức định đườnghầm được sử dụng trong VPN như sau:

 L2F (Layer 2 Forwarding): Được Cisco phát triển

 PPTP (Point-to-Point Tunneling Protocol): Được PPTP Forum phát triển, giaothức này hỗ trợ mã hóa 40 bit và 128 bit

 L2TP (Layer 2 Tunneling Protocol): Là sản phẩm của sự hợp tác giữa các thànhviên PPTP Forum, Cisco và IETF L2TP kết hợp các tính năng của cả PPTP vàL2F

 IPSec (IP Security): Được phát triển bởi IETF Mục đích chính của việc phát triểnIPSec là cung cấp một cơ cấu bảo mật ở lớp 3 (network layer) trong mô hình OSI

 GRE (Generic Routing Encapsulation): Đây là giao thức truyền thông đóng gói IP

và các dạng gói dữ liệu khác bên trong đường ống Giống như IPSec, GRE hoạtđộng ở tầng 3 của mô hình tham chiếu OSI, tuy nhiên GRE không mã hóa thôngtin

1.3.2 Mã hoá và giải mã (Encryption/Decryption):

Mã hóa là quá trình biến đổi nội dung thông tin nguyên bản ở dạng đọc được(clear text hay plain text) thành một dạng văn bản mật mã vô nghĩa không đọc được(cyphertex), vì vậy nó không có khả năng đọc được hay khả năng sử dụng bởi nhữngngười dùng không được phép Giải mã là quá trình ngược lại của mã hoá, tức là biến đổivăn bản đã mã hoá thành dạng đọc được bởi những người dùng được phép

1.3.3 Một số thuật ngữ sử dụng trong VPN:

- Hệ thống mã hoá (CryptoSystem): Là một hệ thống để thực hiện mã hoá hay giải

mã, xác thực người dùng, băm (hashing) và các quá trình trao đổi khoá, một hệ thống

mã hoá có thể sử dụng một hay nhiều phương thức khác nhau tuỳ thuộc vào yêu cầucho một vài loại traffic cụ thể

- Hàm băm (hashing): Là một kỹ thuật đảm bảo tính toàn vẹn dữ liệu, nó sử dụng một

công thức hoặc một thuật toán để biến đổi một bản tin có chiều dài thay đổi và mộtkhoá mật mã công cộng vào trong một chuỗi đơn các số liệu có chiều dài cố định Bảntin hay khoá và hash di chuyển trên mạng từ nguồn tới đích Ở nơi nhận, việc tínhtoán lại hash được sử dụng để kiểm tra rằng bản tin và khoá không bị thay đổi trongkhi truyền trên mạng

- Xác thực (Authentication): Là quá trình của việc nhận biết một người sử dụng hay

quá trình truy cập hệ thống máy tính hoặc kết nối mạng Xác thực đảm bảo chắc chắnrằng cá nhân hay một tiến trình là hợp lệ

- Cho phép (Authorization): Là hoạt động kiểm tra thực thể nào đó có được phép thực

hiện những quyền hạn cụ thể nào

- Quản lý khoá (Key management): Một khoá thông tin, thường là một dãy ngẫu

nhiên hoặc trông giống như các số nhị phân ngẫu nhiên, được sử dụng ban đầu đểthiết lập và thay đổi một cách định kỳ sự hoạt động trong một hệ thống mật mã Quản

lý khoá là sự giám sát và điều khiển tiến trình nhờ các khoá được tạo ra Các côngviệc chính có thể là cất giữ, bảo vệ, biến đổi, tải lên, sử dụng hay loại bỏ

- Dịch vụ chứng thực CA (Certificate of Authority): Một dịch vụ được tin tưởng để

bảo mật quá trình truyền tin giữa các thực thể mạng hoặc người dùng bằng cách tạo ra

và gán các chứng nhận số như các chứng nhận khoá công cộng cho mục đích mã hoá.Một CA đảm bảo cho sự liên kết giữa các thành phần bảo mật trong chứng nhận

- IKE (Internet Key Exchange): Là giao thức chịu trách nhiệm trao đổi khóa giữa hai

điểm kết nối VPN IKE hỗ trợ ba kiểu xác thực là dùng khóa biết trước (pre-sharekey), RSA và RSA signature IKE lại dùng hai giao thức là Oakley Key Exchange(mô tả kiểu trao đổi chìa khoá) và Skeme Key Exchange (định nghĩa kỹ thuật trao đổichìa khoá), mỗi giao thức định nghĩa một cách thức để thiết lập sự trao đổi khoá xácthực, bao gồm cấu trúc tải tin, thông tin mà các tải tin mang, thứ tự các khoá được xử

lý và các khoá được sử dụng như thế nào

- AH (Authentication Header): Là giao thức bảo mật giúp xác thực dữ liệu, bảo đảm

tính toàn vẹn dữ liệu và các dịch vụ “anti-replay” (dịch vụ bảo đảm tính duy nhất củagói tin) AH được nhúng vào trong dữ liệu để bảo vệ

- ESP (Encapsulation Security Payload): Là một giao thức bảo mật cung cấp sự tin

cậy của dữ liệu, đảm bảo tính toàn vẹn dữ liệu và xác thực nguồn gốc dữ liệu ESPđóng gói dữ liệu để bảo vệ

1.4 Các dạng kết nối mạng riêng ảo:

1.4.1 Truy cập VPN từ xa (Remote Access VPN):

Remote Access VPN cho phép các người dùng ở xa sử dụng VPN client truy cậpvào mạng Internet của Công ty thông qua Gateway hoặc VPN concentrator (bản chất làmột server) Vì vậy, giải pháp này thường được gọi là client/server Trong giải pháp này,người dùng thường sử dụng các công nghệ WAN truyền thống để tạo ra các tunnel vềmạng trung tâm của họ

1.4.1.1 Một số thành phần chính của Remote Access VPN:

 Remote Access Server (RAS): Thiết bị này được đặt tại trung tâm và có nhiệm vụ

xác thực và chứng nhận các yêu cầu gửi tới sau đó thiết lập kết nối

Hình 1.2: Mô hình non-VPN Remote Access

 Remote Access Client: Bằng việc triển khai Remote Access VPN qua Internet,

những người dùng từ xa hoặc các văn phòng chi nhánh chỉ cần thiết lập một kếtnối cục bộ đến nhà cung cấp dịch vụ Internet, sau đó có thể kết nối đến tài nguyêncủa doanh nghiệp thông qua Remote Access VPN Mô hình Remote Access VPNđược mô tả như hình dưới đây:

Hình 1.3: Mô hình Remote Access VPN 1.4.1.2 Ưu và nhược điểm của Remote Access VPN:

 Ưu điểm Remote Access VPN:

- VPN truy nhập từ xa không cần đến sự hỗ trợ của quản trị mạng bởicác kết nối từ xa do các nhà cung cấp dịch vụ Internet đảm nhiệm

- Giảm giá thành chi phí kết nối với khoảng cách xa vì các kết nối củaVPN truy nhập từ xa chính là các kết nối Internet

- VPN cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợdịch vụ truy cập ở mức độ tối thiểu

 Nhược điểm của Remote Access VPN:

- Remote Access VPN cũng không đảm bảo được chất lượng dịch vụ(QoS)

- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữliệu có thể bị thất thoát

- Do độ phức tạp của thuật toán mã hoá nên gây khó khăn cho quá trìnhxác nhận

1.4.2 Site-to-Site VPN (LAN-to-LAN):

Site-to-Site VPN là giải pháp kết nối các hệ thống mạng ở những địa điểm khácnhau với mạng trung tâm thông qua VPN Trong trường hợp này, quá trình xác thực banđầu cho người sử dụng là quá trình xác thực giữa các thiết bị Các thiết bị này hoạt động

như cổng an ninh (security gateway), truyền dẫn lưu lượng một cách an toàn từ site này

tới site kia Các bộ định tuyến hay tường lửa hỗ trợ VPN đều có khả năng thực hiện kếtnối này Sự khác nhau giữa Site-to-Site VPN và Remote Access VPN chỉ mang tínhtượng trưng Nhiều thiết bị VPN mới có thể hoạt động theo cả hai cách này

Hình 1.5: Mô hình Intranet VPN

Intranet VPN hay còn gọi là VPN cục bộ là một mô hình tiêu biểu của Site-to-SiteVPN, dạng kết nối này được sử dụng để bảo mật các kết nối giữa địa điểm khác nhau củamột công ty hay doanh nghiệp Nó liên kết trụ sở chính và các văn phòng chi nhánh trênmột cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hóa bảo mật

Điều này cho phép tất cả các điểm có thể truy nhập an toàn các nguồn dữ liệuđược phép trong toàn công ty

Intranet VPN cung cấp những đặc tính của mạng WAN như khả năng mở rộng,tính tin cậy và hỗ trợ nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn đảm bảotính mềm dẻo

 Những ưu điểm chính của giải pháp này bao gồm:

- Các mạng cục bộ hoặc diện rộng có thể được thiết lập thông qua một hay nhiềunhà cung cấp dịch vụ Internet

- Giảm được nhân lực hỗ trợ kỹ thuật mạng đối với các chi nhánh ở xa

- Do kết nối trung gian được thực hiện thông qua Internet nên nó có thể dễ dàngthiết lập thêm một liên kết ngang hàng mới

- Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợpvới các công nghệ chuyển mạch tốc độ cao

 Tuy nhiên, giải pháp Intranet VPN cũng có những nhược điểm nhất định như:

- Do dữ liệu được truyền qua mạng công cộng (mặc dù đã được mã hóa) nên vẫncòn những mối đe dọa về mức độ bảo mật dữ liệu và chất lượng dịch vụ (QoS)

- Khả năng các gói dữ liệu bị thất thoát trong khi truyền là khá cao

- Trong trường hợp cần truyền khối lượng lớn dữ liệu như đa phương tiện vớiyêu cầu tốc độ cao và đảm bảo thời gian thực là một thách thức lớn trong môitrường Internet

1.4.2.2 Extranet VPN (VPN mở rộng)

Hình 1.6: Mô hình Extranet VPN

Giải pháp VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồntài nguyên mạng cần thiết để mở rộng tới những đối tượng kinh doanh Sự khác nhaugiữa VPN nội bộ và VPN mở rộng là sự truy nhập mạng được công nhận ở một trong haiđầu cuối của VPN.

 Những ưu điểm chính của VPN mở rộng bao gồm:

- Chi phí cho VPN mở rộng thấp hơn nhiều so với các giải pháp kết nối khác đểcùng đạt được một mục đích như vậy

- Dễ dàng thiết lập, bảo trì và thay đổi với mạng đang hoạt động

- Do VPN mở rộng được xây dựng dựa trên Internet nên có nhiều cơ hội trongviệc cung cấp dịch vụ và lựa chọn giải pháp phù hợp với nhu cầu cụ thể củatừng công ty

- Các kết nối Internet được các ISP bảo trì nên có thể giảm số lượng nhân viên kỹthuật hỗ trợ mạng, do đó sẽ giảm được chi phí vận hành của toàn mạng

 Bên cạnh những ưu điểm trên, giải pháp VPN mở rộng cũng có những nhược điểmnhất định như:

- Vấn đề bảo mật thông tin gặp khó khăn hơn trong môi trường mở rộng như vậy,điều này làm tăng nguy cơ rủi ro đối với mạng cục bộ của công ty

- Khả năng thất thoát dữ liệu trong khi truyền qua mạng công cộng vẫn tồn tại

- Việc truyền khối lượng lớn dữ liệu với yêu cầu tốc độ cao và thời gian thực vẫncòn là một thách thức lớn cần giải quyết

CHƯƠNG 2: BẢO MẬT TRONG VPN

2.1 Những vấn đề bảo mật trong mạng riêng ảo:

Điều quan trọng nhất trong ứng dụng công nghệ mạng riêng ảo là máy tính bảo mật hay tính riêng tư Trong hầu hết các ứng dụng cơ bản của nó, tính riêng tư mang ý nghĩa

là một đường hầm giữa 2 người dùng trên một mạng VPN như một liên kết riêng chạy trên môi trường chung như Internet Đặc biệt đối với doanh nghiệp trong kết nối phải mang tính bảo mật, nghĩa là VPN cần cung cấp các dịch vụ giới hạn để đảm bảo an toàn cho dữ liệu:

- Xác thực (Authentication): Đảm bảo dữ liệu đến từ một nguồn xác định

- Điều khiển truy cập(Access Control): Hạn chế.không cho phép những người dùng bất hợp pháp truy cập vào mạng

- Tin cậy (confidentiality): không cho một ai đó đọc hay sao chép dữ liệu khi dữ liệu được truyền đi qua mạng Internet

- Tính toàn vẹn dữ liệu (Data intergrity): Đảm bảo dữ liệu không bị thay đổi khi truyền trên mạng Internet

- Các dịch vụ trên được cung cấp tại lớp 2 - Liên kết dữ liệu và lớp 3 - Lớp mạng của OSI Việc phát triển các dịch vụ bảo mật tại các lớp thấp của OSI làm cho các dịch vụ này trở nên trong suốt đối với người dùng

Nền tảng VPN có thể bị tấn công bằng rất nhiều cách Một số loại tấn công phổ biến vào hệ thống VPN:

- Các mối đe dọa an ninh cho các thành phần VPN

- Các cuộc tấn công vào các giao thức VPN

- Các cuộc tấn công mật mã

- Các cuộc tấn công từ chối dịch vụ

2.1.1 Tấn công các thành phần mạng riêng ảo:

Các yếu tố quan trọng nhất của một thiết lập VPN bao gồm:

- Người dùng truy cập từ xa

- Kết nối trong phân đoạn ISP

- Internet công cộng

- Gateway của mạng

2.1.2 Tấn công giao thức mạng riêng ảo:

Các giao thức VPN chính: PPTP, L2TP, và IPSec, cũng dễ bị tổn thương các mối đe dọa an ninh Những phần sau mô tả về các cuộc tấn công trên các giao thức VPN

Các tấn công trên giao thức mạng riên ảo:

Tấn công trên PPTP:

PPTP là dễ bị tổn thương trên hai khía cạnh Chúng bao gồm:

- Generic Routing Encapsulation (GRE)

- Mật khẩu trao đổi trong quá trình xác thực

Tấn công trên IPSec:

Như chúng ta biết IPSec không phải là thuật toán mã hóa thuần túy cũng không phải một cơ chế xác thực Trong thực tế, IPSec là một sự kết hợp của cả hai và giúp các thuật toán khác bảo vệ dữ liệu Tuy nhiên, IPSec là dễ bị các cuộc tấn công:

- Các cuộc tấn công chống lại thực hiện IPSec

- Tấn công chống lại quản lý khóa

- Các cuộc tấn công quản trị và ký tự đại diện

2.1.3 Tấn công mật mã:

Mật mã như là một trong các thành phần bảo mật của một VPN Tùy thuộc vào các kỹ thuật mật mã và các thuật toán khác nhau, các cuộc tấn công giải mã được biết là tồn tại Những phần sau tìm hiểu về một số cách thức tấn công giải

mã nổi tiếng:

- Chỉ có bản mã (ciphertext-Only)

- Tấn công biết bản rõ (know plaintext attacks)

- Tấn công lựa chọn bản rõ

- Tấn công trung gian (man-in-the-middle)

- Tấn công Brute Force (duyệt toàn bộ)

- Tấn công thời gian (Timing attacks)

2.1.4 Tấn công từ chối dịch vụ(Dos):

Các cuộc tấn công DoS đang trở nên khá phổ biến ngày này vì nó không yêu cầu bất kỳ phần mềm đặc biệt hoặc truy cập vào mạng mục tiêu Chúng được dựa trên khái niệm của sự tắc nghẽn mạng Bất kỳ kẻ xâm nhập có thể gây ra tắc nghẽn mạng bằng cách gửi các tải các dữ liệu rác vào mạng Điều này làm cho cácmáy tính mục tiêu không thể được truy cập trong một khoảng thời gian bởi đường truyền bị quá tải hoặc máy tính mục tiêu không thể phục vụ do quá tải Tình trạng quá tải thông tin thậm chí có thể dẫn đến việc sụp đổ của máy tính mục tiêu

2.2 Một số phương pháp bảo mật trong mạng VPN:

2.2.1 Một số phương pháp yếu:

2.2.1.1 Xác thực truy cập (User Authentication):

Cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng hợp lệ và được phép kết nối và truy cập hệ thống truy cập từ xa (VPN Server)

2.2.1.2 Quản lý phân cấp địa chỉ (Address Management):

2.2.1.3 Mã hóa dữ liệu (Data Encryption) :

Cung cấp giải pháp mã hóa dữ liệu trong quá trình truyền nhằm đảm bảo tính riêng

tư và toàn vẹn dữ liệu

2.2.1.4 Mật mã truy cập:

Là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy đó mới giải mã được, có hai loại là mật mã riêng và mật mã chung:

- Mật mã riêng (Symmetric- Key Encryption): Mỗi máy tính đều có một mã bí mật

để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng, mã riêng yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó,

để máy tính của người nhận có thể giải mã được

- Mật mã chung (Public-Key Encryption): Kết hợp mã riêng và một mã chung Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy cỉa bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến

mã riêng của nó nữa, có một ứng dụng loại này dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép mã hóa hầu hết bất cứ thứ gì

2.2.1.5 Máy chủ AAA (Authentication Authorization Accounting):

Kiểm soát việc cho phép thẩm định truy cập Các server này được dùng để đảm bảo truy cập an toàn hơn Khi yêu cầu thiết lập một kết nối được gửi tới từ máy khác, nó

sẽ phải qua máy chủ AAA để kiểm tra, Các thông tin về những hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn

2.2.2 Những phương pháp mạnh hơn:

2.2.2.1 Tường lửa (firewall):

Là rào chắn vững chắc giữa mạng riêng và mạng Internet Có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua Một

số sản phẩm dùng cho VPN như router 1700 của cisco có thể nâng cấp để gộp những tínhnăng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thích hợp Hãy cài tường lửa thật tốt trước khi thiết lập VPN

2.2.2.2 Bảo mật trong giao thức PPTP (Point to point Tunneling Protocol):

Là giao thức kết nối điểm-điểm, là phương pháp cấu hình đơn giản nhất của VPN PPTP sử dụng 2 kênh, một kênh điều khiển để thiết lập kết nối và một kênh để truyền dữ liệu PPTP mã hóa, xác thực và PPP thương lượng, mọi dữ liệu đi qua và đóng gói dữ liệutrong một phong bì IP Khi dữ liệu được bắt lại, nó di chuyển qua một “đường hầm” Mỗi

bộ định tuyến hay máy mà dữ liệu đi qua sẽ được xem là một gói IP Những đường hầm này cung cấp giao tiếp bảo mật cho sử dụng LAN hoặc WAN.Ngay cả khi trên một kết nối mạng công khai, thông tin vẫn sẽ được gửi một cách an toàn

Xác thực: Để xác thực người sử dụng, PPTP cũng được dử dụng các phương pháp xác thực giống như PPP: PAP, CHAP Tuy nhiên, PPTP cũng có bổ sung EAP

(Extensible authentication protocol) EAP hỗ trợ nhiều cơ chế xác thực sử dụng mật khẩutức thời…Riêng đối với hệ điều hành Window còn hỗ trợ thêm giao thức xác thực người

sử dụng là MS-CHAP sử dụng thuật toán băm MD4

Mã hóa: PPTP sử dụng mã hóa gói tin của PPP Đối với PPTP do Microsoft đưa ra

sử dụng giao thức mã hóa MPPE (Microsoft Point to Point Encryption) dựa trên chuẩn RC4 RSA MPPE chỉ đáp ứng trong trường hợp các giao thức xác thực EAPTLS hoặc MS-CHAP được dử dụng, MPPE có thể dùng các khóa mã 40-bit, 56-bit hoặc 128-bit Ngầm định khóa có độ tin cậy cao nhất được hỗ trợ bở VPN client và VPN server được xác định trong quá trình thiết lập kết nối Nếu VPN server yêu cầu một khóa có độ tin cậycao hơn khóa được hỗ trợ bởi VPN Client thì Client sẽ bị từ chối khi cố gắng truy cập

2.2.2.3 Bảo mật trong giao thức L2TP (Layer 2 tunneling protocol):

Giao thức đường hầm 2 lớp L2TP là sự kết hợp giữa hai giao thức PPTP và L2F- chuyển tiếp 2 lớp được sử dụng để tạo kết nối độc lập, đa giao thức cho mạng riêng ảo quay số.L2TP cho phép người dùng có thể thông qua các chính sách bảo mật của công ty

để tạo VPN như là sử dụng mở rộng của nội bộ công ty.Cơ chế bảo mật giống như cơ chếxác thực của PPP: PAP,CHAP,MS-CHAP,EAP

Về mặt mã hóa, bản thân L2TP không cung cấp dịch vụ mã hóa dữ liệu Nó chỉ kế thừa việc sử dụng mã hóa của PPP Tuy nhiên để nâng cao bảo mật, có thể kết hợp L2TP với IPSec Lúc này gói tin L2TP sẽ được đóng gói một gói tin IP

Hình 2.1: Cấu trúc gói L2TP

Do gói tin L2TP được đóng gói trong một gói tin IP, cho nên có thể áp dụng giao thức IPSec cho gói tin này để tăng cường tính bảo mật khi nó được truyền qua mạng

2.2.2.4 Bảo mật trong IPSec:

IPSec là một tập giao thức được phát triển bởi IETF để thực thi dịch vụ bảo mật trên các mạng IP chuyển mạch gói Internet là mạng chuyển mạch gói công cộng lớn nhất Công nghệ IPSec VPN được triển khai có một ý nghĩa quan trọng là tiết kiệm chi phí rất lớn so với mạng VPN sử dụng Leased-Line VPN

Dịch vụ IPSec cho phép chứng thực, kiểm tra tính toàn vẹn dữ liệu, điều khiển truy cập và đảm bảo bí mật dữ liệu Với IPSec, thông tin được trao đổi giữa các site sẽ