ĐẠI HỌC ĐÀ NẴNG TRƯỜNG ĐẠI HỌC BÁCH KHOA KHOA CÔNG NGHỆ THÔNG TIN Tel (84-5113) 736 949, Fax (84-5113) 842771 Website: itf.ud.edu.vn, E-mail: cntt@edu.ud.vn LUẬN VĂN TỐT NGHIỆP KỸ SƯ NGÀNH CÔNG NGHỆ THÔNG TIN MÃ NGÀNH: 05115 ĐỀ TÀI : TÌM HIỂU GIẢI PHÁP BẢO MẬT ỨNG DỤNG TRÊN VPN Mã số: 06T3 - 004 Ngày bảo vệ: 15,16/6/2011 SINH VIÊN : LỚP : CBHD : LÊ QUÝ CÔNG 06T3 NGUYỄN THẾ XUÂN LY ĐÀ NẴNG, 06/2011 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN LỜI CẢM ƠN Trước tiên em xin gửi lời cám ơn chân thành sâu sắc tới thầy cô giáo trường Đại học Bách Khoa Đà Nẵng nói chung thầy cô giáo khoa Công Nghệ Thông Tin nói riêng tận tình giảng dạy, truyền đạt cho em kiến thức, kinh nghiệm quý báu suốt thời gian qua Đặc biệt em xin gửi lời cảm ơn đến thầy Nguyễn Thế Xuân Ly, thầy tận tình giúp đỡ, trực tiếp bảo, hướng dẫn em suốt trình làm đồ án tốt nghiệp Trong thời gian làm việc với thầy, em không ngừng tiếp thu thêm nhiều kiến thức bổ ích mà cịn học tập tinh thần làm việc, thái độ nghiên cứu khoa học nghiêm túc, hiệu quả, điều cần thiết cho em trình học tập công tác sau Sau xin gửi lời cảm ơn chân thành tới gia đình, bạn bè động viên, đóng góp ý kiến giúp đỡ q trình học tập, nghiên cứu hồn thành đồ án tốt nghiệp LỜI CAM ĐOAN Tôi xin cam đoan : Những nội dung luận văn thực hướng dẫn trực tiếp thầy Nguyễn Thế Xuân Ly Mọi tham khảo dùng luận văn trích dẫn rõ ràng tên tác giả, tên cơng trình, thời gian, địa điểm công bố Mọi chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, xin chịu hồn tồn trách nhiệm Sinh viên Lê Q Cơng MỤC LỤC CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 1.1 Giớ thiệu về bảo mật mạng Internet .2 1.1.1 Nguy làm mất an toàn thông tin mạng 1.1.2 Yêu cầu của bảo mật 1.1.3 Các giải pháp về bảo mật .3 1.2 Giới thiệu công nghệ VPN 1.2.1 Lịch sử hình thành và phát triển của mạng VPN 1.2.2 Định ngĩa VPN 1.2.3 Nguyên tắc hoạt động của VPN 1.2.4 Các chức năng, ưu và nhược điểm của VPN .6 1.2.5 Các kiểu VPN Router Cisco, Fix, ASA CHƯƠNG 2: BẢO MẬT TRÊN VPN .12 2.1 Các kiểu xác thực VPN 12 2.1.1 Xác thực nguồn gốc dữ liệu .12 2.1.2 Xác thực tính toàn vẹn dữ liệu 15 2.2 Mã hóa 19 2.2.1 Thuật toán mã hóa bí mật(đối xứng) 20 2.2.2 Thuật toán mã hóa công cộng 27 2.3 Public Key Infrastructure 30 2.3.1 Tổng quan về PKI 30 2.3.2 PKI 31 2.3.3 Cơ sở hạ tầng của PKI .33 2.4 Các giao thức VPN .36 2.4.1 Kỹ thuật Tunneling 36 2.4.2 Các giao thức .39 2.4.3 IPSec 41 CHƯƠNG 3: THIẾT KẾ MẠNG DMVPN CHO DOANH NGHIỆP TRÊN CÔNG NGHỆ CISCO .50 3.1 Tìm hiểu các yêu cầu thực tế .50 3.1.1 Yêu cầu của đối tượng doanh nghiệp 50 3.1.2 Yêu cầu của người quảng trị mạng 50 3.2 Phân tích yêu cầu 50 3.2.1 Phần sơ đồ mạng VPN .50 3.2.2 Phần chức của mạng VPN 50 3.3 Tìm hiểu và phân tích hệ thống 51 3.3.1 Thiết kế sơ đồ vật lý 53 3.3.2 Thiết kế sơ đồ IP 55 3.4 Triển khai 57 3.4.1 Triển khai 57 3.4.2 Cấu hình DMVPN kết nối trụ sở chính với các chi nhánh 58 3.4.3 Kiểm thử bảo mật mô hình .59 3.4.4 Giải pháp phát triển lai .61 DANH MỤC HÌNH Hình 1: Mô hình VPN thông thường Hình 2: Hệ thống đáp ứng thách đố người dùng 13 Hình 3: Hàm băm thông dụng MD5, SHA-1 16 Hình 4: Cấu trúc bản của MD5/SHA .17 Hình 5: Xác thực tính toàn vẹn dữ liệu dựa xác thực bản tin MAC .18 Hình 6: Chữ ký số 19 Hình 7: Thuật toán mã hóa bí mật 21 Hình 8: Sơ đồ thuật toán DES .22 Hình 9: Mạng Fiestel 23 Hình 10: Phân phối khóa hệ thống mật mã khóa đối xứng 24 Hình 11: Quá trình tạo khóa DES .25 Hình 12: Quá trình mã hóa qua key của 3DES 26 Hình 13: Thuật toán mã hoá khóa công cộng 27 Hình 14: Dữ liệu được trao đổi dựa thuật toán Rivest Shamir Adleman 29 Hình 15: Quá trình thiết lập tunnel 36 Hình 16: Thiết lập đường hầm thông tin 38 Hình 17: Truyền dữ liệu qua đường hầm 38 Hình 18: Định dạng gói tin VPN 38 Hình 19: IPSec phases 43 Hình 20: IP Packet được bảo vệ ESP Transport Mode 46 Hình 21: IP Packet được bảo vệ ESP Tunnel Mode 46 Hình 22: IP Packet được bảo vệ AH 47 Hình 23: IP Packet được bảo vệ AH Transport Mode .47 Hình 24: IP Packet được bảo vệ AH Tunnel Mode 47 Hình 25: Transport và Tunnel mode IPSec so với gói tin thông thường 49 Hình 26: Sơ đồ hệ thống mạng DMVPN cho doanh nghiệp 51 Hình 27: Sơ đồ vật lý của hệ thống mạng .53 Hình 28: Sơ đồ IP của hệ thống mạng 55 Hình 29: Sơ đồ mạng DMVPN cho doanh nghiệp 57 Hình 30: Thực hiện ping từ R đến địa IP Đà Nẵng 59 Hình 31: Thực hiện ping user từ Đà Nẵng đến router DTNN 60 Hình 32: Ping từ user Đà nẵng đến Server 60 Hình 33: Lệnh show ip route 60 Hình 34: Bắt được gói tin Hello đã mã hóa của giao thức EIGRP 61 DANH MỤC BẢNG Bảng 1: Bảng kết nối vật lý của Router Hà Nội 54 Bảng 2: Bảng kết nối vật lý của Router TP Hồ Chí Minh .54 Bảng 3: Bảng kết nối vật lý của Router Đà Nẵng 54 Bảng 4: Bảng kết nối vật lý của Router đối tác nước ngoài 55 Bảng 5: Bảng cấu hình địa IP cho router R-HANOI .56 Bảng 6: Bảng cấu hình địa IP cho router R-HCM 56 Bảng 7: Bảng cấu hình địa IP cho router R-DANANG 56 Bảng 8: Bảng cấu hình địa IP cho router R-World 56 Bảng 9: Tham số máy ảo Window XP .58 Bảng 10: Tham số máy ảo Window server 2003 .58 Bảng 11: Bảng cấu hình địa IP của các router 59 .. . 1.2 .4 Các chức năng, ưu và nhược điểm của VPN .6 1.2 .5 Các kiểu VPN Router Cisco, Fix, ASA CHƯƠNG 2: BẢO MẬT TRÊN VPN .1 2 2.1 Các kiểu xác thực VPN 12 2.1 . 1.. . thức .3 9 2.4 .3 IPSec 41 CHƯƠNG 3: THIẾT KẾ MẠNG DMVPN CHO DOANH NGHIỆP TRÊN CÔNG NGHỆ CISCO .5 0 3.1 Tìm hiểu các yêu cầu thực tế .5 0 3.1 .1 Yêu cầu .. . 30 2.3 .1 Tổng quan về PKI 30 2.3 .2 PKI 31 2.3 .3 Cơ sở hạ tầng của PKI .3 3 2.4 Các giao thức VPN .3 6 2.4 .1 Kỹ thuật Tunneling 36 2.4 .2 Các