BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI LUẬN VĂN THẠC SĨ CHUYÊN NGÀNH: CÔNG NGHỆ THƠNG TIN NGHIÊN CỨU BIỆN PHÁP ĐẢM BẢO AN TỒN THÔNG TIN MẠNG RIÊNG ẢO VÀ ỨNG DỤNG VŨ VIỆT ANH HÀ NỘI - NĂM 2015 BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI LUẬN VĂN THẠC SĨ NGHIÊN CỨU BIỆN PHÁP ĐẢM BẢO AN TỒN THƠNG TIN MẠNG RIÊNG ẢO VÀ ỨNG DỤNG VŨ VIỆT ANH CHUYÊN NGÀNH: CÔNG NGHỆ THÔNG TIN MÃ SỐ: 60480201 NGƯỜI HƯỚNG DẪN KHOA HỌC PGS.TS VŨ CHẤN HƯNG HÀ NỘI - NĂM 2015 MỞ ĐẦU Lâu việc kết nối máy tính chi nhánh quan, tổ chức thực đường truyền thuê riêng (lease line) Rào cản lớn hình thức kết nối chi phí Chi phí từ nhà cung cấp dịch vụ, chi phí từ việc trì, vận hành hạ tầng mạng thiết bị riêng tổ chức Sự đời công nghệ mạng riêng ảo cho phép tổ chức có thêm lựa chọn việc mở rộng hệ thống mạng Nhiều chuyên gia nhận định: Mạng riêng ảo cơng nghệ mạng WAN hệ Ngày nhu cầu kết nối mạng chi nhánh với trụ sở (site to site) kết nối máy tính người dùng riêng lẻ với mạng cục (client to site) quan, tổ chức ngày gia tăng Hạ tầng truyền dẫn mạng Internet ngày phát triển Đây yếu tố thuận lợi cho phát triển mạng riêng ảo Tuy nhiên, việc kết nối mạng riêng ảo dựa hạ tầng mạng công cộng Internet chứa đựng nhiều rủi ro, nguy gây an tồn thơng tin Điều trở nên nghiêm trọng mà tội phạm mạng ngày gia tăng, quan an ninh nhiều quốc gia tăng cường hoạt động thu thập thông tin mạng internet Hacker thực việc cài mã độc vào máy tính người sử dụng, lợi dụng lỗ hổng bảo mật sơ hở thiếu sót người sử dụng để tiến hành hoạt động thâm nhập hệ thống, thu thập thông tin, phá hoại sở liệu,… Ứng dụng kỹ thuật mạng riêng ảo ngày trở nên phổ biến, việc nắm bắt chế hoạt động giao thức mạng riêng ảo, đặc biệt nguy dẫn đến việc an tồn thơng tin, từ đề xuất biện pháp khắc phục vấn đề cần thiết Xuất phát từ lý tơi lựa chọn đề tài nghiên cứu “Nghiên cứu biện pháp đảm bảo an tồn thơng tin mạng riêng ảo ứng dụng” Luận văn trình bày chương, đó: Chương 1: Trình bày số vấn đề mạng riêng ảo mô hình mạng riêng ảo, số giao thức tạo đường hầm, bảo mật Chương 2: Khái quát an tồn thơng tin mạng, số nguy gây an tồn thơng tin mạng Chương 3: Giới thiệu số biện pháp đảm bảo an tồn thơng tin mạng ứng dụng triển khai đảm bảo an tồn thơng tin cho mạng riêng ảo quan, phục vụ trao đổi liệu trung tâm chi nhánh địa phương Việc đảm bảo an tồn thơng tin mạng nói chung mạng riêng ảo nói riêng vấn đề phức tạp, với thời gian khả có hạn nội dung nghiên cứu cịn nhiều hạn chế, tơi mong nhận đóng góp Thầy giáo bạn đồng nghiệp để hồn thiện nội dung nghiên cứu CHƯƠNG MỘT SỐ VẤN ĐỀ VỀ MẠNG RIÊNG ẢO 1.1 Tổng quan mạng riêng ảo 1.1.1 Khái niệm mạng riêng ảo Phương án truyền thơng nhanh, an tồn tin cậy trở thành mối quan tâm nhiều tổ chức đặc biệt họ có địa điểm phân tán mặt địa lý Giải pháp thông thường áp dụng đa số tổ chức thuê đường truyền riêng (leased lines) để trì mạng WAN (Wide Area Network) Mỗi mạng WAN có ưu điểm độ tin cậy, hiệu tính an tồn, bảo mật Nhưng để trì mạng WAN, đặc biệt sử dụng đường truyền riêng, làm tăng chi phí vận hành, bảo trì Ngày với phát mạng cơng cơng (ví dụ Internet), giải pháp hữu hiệu lựa chọn tạo mạng riêng ảo (VPN) Có nhiều định nghĩa khác mạng riêng ảo (Virtual Private Network, viết tắt VPN) Theo VPN Consortium, VPN mạng sử dụng mạng công cộng làm sở hạ tầng để truyền thông tin đảm bảo mạng riêng kiểm soát truy nhập Hạ tầng cơng cộng mạng IP, Frame Relay, ATM hay Internet Theo IBM, VPN mở rộng mạng Intranet riêng tổ chức qua mạng công cộng Internet, tạo kết nối an toàn, thực chất qua đường hầm riêng VPN truyền thông tin cách an tồn qua mạng cơng cộng để kết nối người dùng từ xa chi nhánh thành mạng Intranet mở rộng VPN hiểu đơn giản mở rộng mạng riêng (private network) thơng qua mạng cơng cộng Để gửi nhận liệu thông qua mạng công cộng mà bảo đảm tính an tồn bảo mật Đường hầm (Tunnel) khái niệm quan trọng VPN, cho phép tạo mạng ảo dựa hệ thống mạng công cộng Đường hầm cung cấp kết nối logic điểm đến điểm hệ thống mạng công cộng Để đảm bảo an toàn cho liệu truyền mạng, VPN thực việc mã hoá liệu Dữ liệu truyền đường hầm đọc người nhận người gửi Đường hầm đảm bảo cho VPN có tính chất riêng tư VPN sử dụng hai kỹ thuật: (1) Dùng kênh thuê bao riêng nhà cung cấp dịch vụ (gọi Trusted VPN) (2)gửi liệu mã hóa lên mạng công cộng (gọi Secure VPN) Dùng Secure VPN qua Trusted VPN gọi Hybrid VPN Cơng nghệ chủ yếu Trusted VPN với mạng IP kênh ATM MPLS (MultiProtocol Label Switching); Secure VPN dùng IPsec, SSL (Secure Sockets Layer) 1.1.2 Ưu, nhược điểm mạng riêng ảo 1.1.2.1 Ưu điểm VPN mang lại lợi ích thực tức thời cho tổ chức Có thể dùng VPN để đơn giản hóa việc truy nhập đến mạng tổ chức nhân viên xa, mở rộng Intranet đến văn phịng, chi nhánh, trí triển khai Extranet đến tận khách hàng đối tác điều quan trọng chi phí để triển khai thấp nhiều so với việc triển khai mạng WAN Có thể kể đến số ưu điểm cụ thể sau: - Giảm chi phí: Việc thiết lập kết nối chi nhánh người dùng xa với trung tâm cách sử dụng VPN giảm chi phí so với việc sử dụng kỹ thuật mạng WAN truyền thống Chi phí cho VPN nhiều so với giải pháp truyền thống dựa đường Lease-Line Frame Relay, ATM hay ISDN Mặt khác việc quản lý vận hành VPN đơn giản tổ chức không cần nhiều nhân viên thực việc quản trị mạng - Nâng cao khả kết nối: Cung cấp hội kết nối toàn cầu với chi phí thấp Với việc triển khai tảng mạng Internet, VPN giúp cho chi nhánh người dùng di động dễ dàng kết nối tới mạng Intranet tổ chức - Bảo mật liệu: Với việc sử dụng kỹ thuật đường hầm để tạo kênh ảo, thêm vào việc mã hóa liệu, xác thực làm cho VPN có tính bảo mật cao truyền tin qua mạng cộng cộng - Hiệu suất sử dụng băng thông: Trong kỹ thuật VPN đường hầm hình thành có u cầu trao đổi thơng tin, hạn chế lãng phí băng thơng Ngồi lợi ích người sử dụng, VPN đem lại lợi ích cho nhà cung cấp dịch vụ như: Tăng doanh thu từ lưu lượng sử dụng VPN; tăng hiệu sử dụng mạng internet tại; mở lĩnh vực kinh doanh nhà cung cấp dịch vụ Internet 1.1.2.2 Nhược điểm Với ưu điểm trên, VPN lựa chọn số tổ chức Tuy nhiên bên cạnh ưu điểm, VPN tồn nhược điểm Mặc dù không ngừng cải tiến, nâng cấp hỗ trợ nhiều cơng cụ nhằm tăng tính bảo mật, dường bảo mật vấn đề đáng quan tâm VPN truyền thông tin riêng tư quan trọng qua mơi trường mạng cơng cộng có độ bảo mật thấp (thường mạng Internet) vấn đề đáng lo ngại mà tội phạm mạng ngày gia tăng Kỹ thuật công để thu thập thông tin ngày đa dạng, nhiều lỗ hổng bảo mật phát khai thác sử dụng Ngoài với phát triển công nghệ đặc biệt phần cứng, kỹ thuật công mật mã ngày trở nên hiệu Mặt khác, ta biết VPN sử dụng mạng công cộng (thường Internet) chất lượng, độ tin cậy VPN phụ thuộc nhiều vào Internet Trong đặc thù Internet mạng có lưu lượng lớn, khó dự đốn tình trạng, mà việc quản lý chất lượng dịch vụ (QoS - Quality of Service) gặp nhiều khó khăn; việc quản lý kết nối “end to end” từ phía nhà cung cấp dịch vụ mạng (ISP) khó thực hiện, thơng thường tốt 1.1.3 Mơ hình mạng riêng ảo Có hai mơ hình chủ yếu kết nối mạng VPN là: VPN truy nhập từ xa (Remote Access VPN) VPN cục (Intranet VPN) 1.1.3.1 Mơ hình Remote Access VPN Remote Access VPN hay gọi Client To Site áp dụng cho tổ chức mà nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ địa điểm từ xa Giống tên gọi nó, VPN truy cập từ xa cho phép người dùng từ xa, người dùng di động truy cập tới tài nguyên mạng tổ chức Hình 1.1:Mơ hình Client to Site VPN 1.1.3.2 Mơ hình Intranet VPN Intranet VPN hay cịn gọi Site-To-Site VPN thường dùng để kết nối chi nhánh Văn phòng từ xa tổ chức với Intranet trung tâm tổ chức Intranet VPN mở rộng dịch vụ mạng nội tới trụ sở xa, mơ hình liên mạng hướng phi kết nối qua mạng WAN dùng chung Yêu cầu phải thực tất dịch vụ mạng thực mạng trung tâm, bao gồm dịch vụ an ninh, Web, Email, dịch vụ đa phương tiện (Multimedia) Mục đích Intranet VPN giảm thời gian chi phí lắp đặt, hỗ trợ cho giải pháp sử dụng đường thuê riêng theo cách kết nối WAN truyền thống Hình 1.2: Mơ hình Sito-To-Site VPN 1.1.4 Yêu cầu mạng riêng ảo Các yêu cầu đặt triển khai mạng VPN giống mạng máy tính nói chung Tuy nhiên, triển khai hạ tầng mạng công cộng, nên yêu cầu đặt VPN tập trung vào nội dung sau: Bảo mật, chất lượng dịch vụ, tính sẵn sàng, tính tin cậy, khả tương thích - Yêu cầu Bảo mật: Tính an toàn bảo mật cho khách hàng yếu tố quan trọng giải pháp VPN Khách hàng cần đảm bảo liệu thông qua mạng VPN đạt mức độ an toàn giống hệ thống mạng dùng riêng họ tự xây dựng quản lý Vì vậy, mức độ bảo mật cao toàn diện cần phải trì cách chặt chẽ - u cầu tính sẵn sàng tin cậy: Đối với mạng riêng mạng Intranet tồn sở hạ tầng mạng thuộc quyền sở hữu riêng kiểm soát đầy đủ tổ chức Tuy nhiên, VPN sử dụng hạ tầng mạng cơng cộng Internet nhân tố sẵn sàng tin cậy phụ thuộc vào nhà cung cấp dịch vụ mạng công cộng Muốn đảm bảo tính sẵn sàng tin cậy, tổ chức phải lựa chọn nhà cung cấp có sở hạ tầng mạng tốt, khả phục hồi cao - Yêu cầu chất lượng dịch vụ (QoS): Một giải pháp VPN tốt cần phải đảm bảo yêu cầu chất lượng dịch vụ băng thông, độ trễ, Mạng Internet khơng đảm bảo tính này, nhà cung cấp dịch vụ Internet chưa có cam kết cụ thể chất lượng dịch vụ mà họ cung cấp Chính việc xây dựng VPN dựa tảng mạng dùng chung Internet việc đảm bảo QoS khó thực - Yêu cầu khả tương thích: Mạng Intranet tổ chức xây dựng theo tiêu chuẩn khác nhiều trường hợp không chuẩn với mạng công cộng nhà cung cấp dịch vụ Trong trường hợp mạng Intranet phải chuyển đổi cho phù hợp với hạ tầng mạng công cộng 1.2 Các giao thức mạng riêng ảo Hiện có nhiều giải pháp để giải vấn đề đóng gói an tồn liệu VPN, dựa tảng giao thức tạo đường hầm Một giao thức tạo đường hầm thực việc đóng gói liệu với cấu trúc tương ứng để truyền qua mạng dùng chung Giao thức tạo đường hầm yếu tố cốt lõi tạo nên VPN, kể đến giao thức sau: PPTP, L2F, L2TP,… 1.2.1 PPTP (Point-To-Point Tunneling Protocol) PPTP (Point-to-Point Tunneling Protocol - giao thức tạo đường hầm điểm nối điểm) mở rộng PPP, đóng gói khung PPP vào gói tin IP (IP datagram) để truyền mạng công cộng Internet PPTP sử dụng giao thức đóng gói định tuyến chung GRE (Generic Routing Encapsulation) Việc sử dụng GRE giúp cho PPTP mềm dẻo việc xử lý giao thức khác tầng Network như: IP, IPX, NETBEUI Một VPN sử dụng PPTP gồm tối thiểu thành phần Client PPTP Server PPTP Kết nối PPTP Client Server sử dụng cổng TCP 1723 1.2.1.1 Thiết lập kiểm soát kết nối PPTP - Sau thiết lập kết nối, PPTP sử dụng qui luật đóng gói PPP để đóng gói liệu truyền chúng đường hầm Để tận dụng ưu điểm kết nối tạo PPP, PPTP định nghĩa hai loại gói gói điều khiển gói liệu, sau gán chúng vào hai kênh riêng kênh điều khiển kênh liệu Kết nối TCP tạo máy trạm PPTP máy chủ PPTP sử dụng để truyền tải thông tin điều khiển 10 Hình 3.16: Cấu hình VPN trung tâm 61 - Thiết bị BM-IP phía trung tâm + Được cấu hình làm việc chế độ Master + Địa IP 192.168.1.254 + Thiết lập địa Default Gateway 192.168.1.1 (địa LAN modem ADSL trung tâm) * Cấu hình cho thiết bị chi nhánh - Cấu hình cho modem chi nhánh kết nối với Internet + Mạng LAN chi nhánh sử dụng địa với Subnet là: 192.168.2.0/24 + Thiết lập thông số đăng ký với nhà mạng (ISP) cho máy tính mạng trung tâm kết nối với Internet (User name, Password, VPI, VCI,…) + Local IP Address: 192.168.2.1; Subnet Mask: 255.255.255.0 + Vơ hiệu hóa tính NAT (Network Address Translation) Modem + Vơ hiệu hóa tính cho phép cấu hình thơng qua WAN + Đặt mật mạnh cho tài khoản quản trị modem - Gán tên miền cho Modem chi nhánh + Tên miền là: chinhanh1.dyndns.org + Sử dụng dịch vụ phân giải tên miền động Dynamic DNS 62 Hình 3.17: Gán tên miền cho modem chi nhánh - Thiết lập cấu hình VPN cho chi nhánh + Trong mục VPN Passthrough chọn giá trị Enable cho mục: “IPsec Passthrough, PPPoE Passthrough, L2TP Passthrough” + Trong mục IPsec VPN Tunnel chọn Enable cho mục “IPSec VPN Tunnel” + Trong mục Tunnel Name, nhập dãy ký tự để đặt tên cho đường ống, trường hợp là: blu (VPN chi nhánh phải sử dụng tên này) + Trong mục Remote Security Gateway nhập tên miền trung tâm, trường hợp là: trungtam.dyndns.org + Trong mục Encryption chọn 3DES Mục Authentication chọn MD5 +Trong mục Key Management chọn Auto (IKE) +Trong mục Pre-shared Key nhập dãy ký tự khóa, trường hợp là: testbluvpn + Trong mục Key Lifetime nhập 300 (cứ 300 giây khóa thay đổi) 63 Hình 3.18: Cấu hình VPN chi nhánh - Thiết bị BM-IP phía chi nhánh + Được cấu hình làm việc chế độ Slave + Địa IP 192.168.2.254 + Thiết lập địa Default Gateway 192.168.2.1 (địa LAN modem ADSL chi nhánh) 64 3.2.4 Mô tả hoạt động Với thiết mơ hình tổ chức trên, hoạt động hệ thống mô tả sau: - Modem ADSL trung tâm chi nhánh kết nối vào mạng Internet - Kênh VPN thiết lập với giao thức tạo đường hầm L2TP mã hóa IPsec (IPSec VPN) - Giả sử gói tin từ máy tính chi nhánh đến máy chủ trung tâm + Khi qua thiết bị mật mã BM-IP gói tin mã hóa (lần 1) + Khi qua Modem (với tính VPN thiết lập) gói tin mã hóa IPsec (lần 2) + Gói tin gửi qua mạng Internet đến trung tâm (thông qua đường hầm VPN thiết lập) + Tại trung tâm trình giải mã IPsec thực Modem, tiếp thiết bị BM-IP vào mạng LAN trung tâm (đến máy chủ) Ngoài ra, người sử dụng trung tâm chi nhánh truy nhập vào mạng phải đăng nhập với tài khoản khai báo, tài khoản phân quyền phù hợp với chức nhiệm vụ họ 3.2.5 Đánh giá Với giải pháp trình bày đáp ứng yêu cầu đề ra, góp phần hạn chế rủi ro đảm bảo an tồn thơng tin cho việc trao đổi liệu trung tâm chi nhánh - Về ưu điểm giải pháp + Giải pháp đảm bảo hoàn toàn “trong suốt” với người dùng + Việc sử dụng 02 lớp mã hóa, có lớp sử dụng thiết bị chuyên dụng BM-IP góp phần làm tăng mức độ an toàn hệ thống, góp phần giảm rủi ro cơng mật mã, phòng ngừa việc rò rỉ lưu lượng VPN 65 + Vơ hiệu hóa tính NAT Modem, khơng cho phép mạng Trung tâm Chi nhánh kết nối với Internet, ngăn chặn việc mã độc (nếu có) trao đổi thông tin với máy chủ điều khiển - Ngoài ưu điểm trên, giải pháp hạn chế như: + Mới dừng việc bảo mật liệu giảm nguy lộ, lọt thơng tin Chưa có biện pháp phịng chống công, đặc biệt DoS, DDoS + Kết nối VPN chi nhánh trung tâm luôn trì, “kẻ xấu” tiếp cận máy tính chi nhánh thực mối đe dọa cho hệ thống + Với thiết lập người dùng chi nhánh trung tâm truy nhập dịch vụ mạng Internet (kết nối internet phục vụ cho việc thiết lập VPN để trao đổi liệu trung tâm chi nhánh) Kết luận Chương Trong Chương tìm hiểu số biện pháp để nâng cao mức độ an tồn thơng tin cho mạng máy tính nói chung mạng VPN nói riêng Những biện pháp đặc biệt có ý nghĩa VPN triển khai tảng mạng công cộng Internet, môi trường chứa đựng nhiều nguy dẫn đến an tồn thơng tin Mỗi biện pháp có ý nghĩa tác dụng riêng, tùy theo tình yêu cầu cụ thể mà người ta kết hợp chúng lại với Với mục đích giảm nguy lộ lọt thông tin, chương nêu tình cụ thể từ phân tích đề xuất phương án triển khai, đồng thời phân tích, đánh giá ưu điểm tồn giải pháp 66 KẾT LUẬN Đề tài “Nghiên cứu biện pháp đảm bảo an tồn thơng tin mạng riêng ảo ứng dụng” trình bày số vấn đề mạng riêng ảo, nguy dẫn đến an tồn thơng tin mạng riêng ảo nói riêng mạng máy tính nói chung, sở đưa biện pháp để tăng cường mức độ an toàn mạng riêng ảo ứng dụng biện pháp vào trường hợp cụ thể Hiện an tồn thơng tin vấn quan xã hội quan tâm Trong bối cảnh hoạt động tội phạm mạng ngày gia tăng lĩnh vực khó phức tạp Để đảm bảo an tồn thơng tin phải cần kết hợp đồng nhiều biện pháp kỹ thuật, khơng thể thiếu yếu tố người Tuy nhiên khó có biện pháp mang tính tuyệt đối, biện pháp nâng cao mức độ an tồn cho hệ thống mạng, hạn chế tối đa rủi ro Trong q trình thực đề tài tơi đạt số kết sau: - Nghiên cứu tổng quan công nghệ mạng riêng ảo - Nghiên cứu số nguy gây an toàn thơng tin mạng máy tính nói chung mạng riêng ảo nói riêng - Nghiên cứu số biện pháp nâng cao tính bảo mật mạng riêng ảo - Khảo sát đề xuất ứng dụng biện pháp bảo mật cho mạng VPN quan + Đề xuất mơ hình biện pháp nâng cao mức độ an tồn + Thiết lập cấu hình + Đánh giá, nhận xét ưu nhược điểm giải pháp Hướng phát triển - Xây dựng giải pháp hồn thiện hơn, mở rộng mơ hình cho phép kết nối tới nhiều chi nhánh; - Tích hợp biện pháp mật dùng lần (OTP) để kiểm soát chặt chẽ 67 người sử dụng truy nhập vào tài nguyên mạng; - Tiếp tục nghiên cứu, tìm hiểu tình gây an tồn thơng tin mạng riêng ảo từ đề xuất triển khai biện pháp để phòng ngừa, ngăn chặn góp phần nâng cao mức độ an tồn thơng tin cho mạng riêng ảo Trên kết nghiên cứu thời gian làm luận văn, với đề tài “Nghiên cứu biện pháp đảm bảo an toàn thông tin mạng riêng ảo ứng dụng” Tôi mong nhận góp ý Thầy bạn đồng nghiệp để tơi hồn thiện nội dung nghiên cứu, góp phần nâng cao hiệu cơng tác đảm bảo an tồn thơng tin mạng 68 TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt Nguyễn Tuấn Anh (2013), Ban yếu Chính phủ - Tạp chí an tồn thơng tin, “VPN có an tồn”, số 1(025), tr.50-52 GS.TS Nguyễn Bình (2013), Giáo trình sở mật mã học, Học viện Cơng nghệ bưu Viễn thơng PGS.TS Nguyễn Thúc Hải (1999), Mạng máy tính hệ thống mở (1999), NXB Giáo dục ThS Trần Công Hùng (2002), Kỹ thuật mạng riêng ảo, NXB Bưu Điện Tài tiệu tiếng Anh John R Vacca (2013), Network and System Security, Syngress Meeta Gupta (2003), Building a Virtual Private Network, Premier Press Tài liệu Internet Trần Thanh Tùng, “IPv6 làm tăng nguy rị rỉ thơng tin cá nhân”, http://antoanthongtin.vn, 10/07/2015 Michael Kassner, IPv6 security vulnerability pokes holes in VPN providers' claims, http://www.techrepublic.com/article/ipv6-security-vulnerability-pokes- holes-in-vpn-providers-claims, 6/7/2015 http://www.selex-es.com/documents/737448/20094120/body_mm07384_ CN1000_CAPS_APPROVED_LQ_.pdf 10 http://www.amper.es/file/03_unidades/seguridad/AAFF_ing_SEG_ficha _EP430DE.pdf 11 https://www.tccsecure.com/products/network-encryption/cipherx7211summary.aspx 69 MỤC LỤC MỞ ĐẦU CHƯƠNG 1: MỘT SỐ VẤN ĐỀ VỀ MẠNG RIÊNG ẢO 1.1 Tổng quan mạng riêng ảo 1.1.1 Khái niệm mạng riêng ảo 1.1.2 Ưu, nhược điểm mạng riêng ảo 1.1.2.1 Ưu điểm 1.1.2.2 Nhược điểm 1.1.3 Mô hình mạng riêng ảo 1.1.3.1 Mơ hình Remote Access VPN 1.1.3.2 Mơ hình Intranet VPN 1.1.4 Yêu cầu mạng riêng ảo 1.2 Các giao thức mạng riêng ảo 10 1.2.1 PPTP (Point-To-Point Tunneling Protocol) 10 1.2.1.1 Thiết lập kiểm soát kết nối PPTP 10 1.2.1.2 Xác thực PPTP 12 1.2.2 L2F (Layer Forwarding Protocol) 13 1.2.3 L2TP (Layer2 Tunneling Protocol) 14 1.2.3.1 Đặc điểm L2TP 14 1.2.3.2 Ưu, nhược điểm L2TP 15 1.2.4 IPSec (Internet Protocol Security) 16 1.2.4.1 Đặc điểm IPsec 16 1.2.4.2 Xác thực bảo mật liệu 17 1.2.4.3 Các chế độ IPSec 18 CHƯƠNG 2: AN TỒN THƠNG THƠNG TIN MẠNG RIÊNG ẢO 21 2.1 Tổng quan an tồn thơng tin mạng 21 2.2 Một số vấn đề an tồn thơng tin mạng riêng ảo 23 70 2.2.1 Rò rỉ lưu lượng VPN 23 2.2.2 Tấn công từ chối dịch vụ 26 2.2.2.1 Phân loại công từ chối dịch vụ 26 2.2.2.2 Phương pháp công từ chối dịch vụ 28 2.2.3 Tấn công Man in the Midle 29 2.2.3.1 Tấn công giả mạo ARP Cache 30 2.2.3.2 Tấn công DNS Spoofing 31 2.2.3.3 Tấn công DNS Hijacking 31 2.2.4 Tấn công mã độc 32 2.2.5 Tấn công mật mã 34 2.2.5.1 Phân loại công mật mã 34 2.2.5.2 Tấn công mã DES 35 2.2.5.3 Tấn công cửa hậu mật mã 36 2.2.5.4 Tấn công phần cứng thiết bị mật mã 37 2.2.6 Các nguy khác 37 CHƯƠNG 3: ĐẢM BẢO AN TỒN THƠNG TIN MẠNG RIÊNG ẢO 39 3.1 Một số biện pháp đảm bảo an tồn thơng tin mạng riêng ảo 39 3.1.1 Tường lửa (Firewall) 39 3.1.1.1 Chức Firewall 40 3.1.1.2 Các thành phần Firewall 40 3.1.1.3 Mơ hình triển khai Firewall mạng riêng ảo 42 3.1.2 Mật dùng lần OTP (One Time Password) 43 3.1.2.1 Nguyên lý hoạt động OTP 43 3.1.2.2 Các mơ hình triển khai OTP 44 3.1.3 Hệ thống phát ngăn chặn xâm nhập mạng IDS/IPS 46 3.1.3.1 Khái quát IDS/IPS 46 3.1.3.2 Mơ hình triển khai IDS/IPS 50 3.1.4 Mã hóa liệu 50 71 3.1.4.1 Giới thiệu 50 3.1.4.2 Sử dụng IPsec VPN SSL VPN 51 3.1.4.3 Sử dụng thiết bị mã hóa 52 3.1.4.4 Một số thiết bị mã hóa 53 3.2 Đề xuất giải pháp triển khai ứng dụng 55 3.2.1 Mục đích, yêu cầu 55 3.2.2 Mơ hình triển khai 57 3.2.3 Cấu hình hệ thống 58 3.2.4 Mô tả hoạt động 65 3.2.5 Đánh giá 65 KẾT LUẬN 67 TÀI LIỆU THAM KHẢO 69 MỤC LỤC 70 DANH MỤC CÁC CHỮ VIẾT TẮT 73 DANH MỤC HÌNH VẼ 74 72 DANH MỤC CÁC CHỮ VIẾT TẮT Viết tắt Tiếng Anh AES Advanced Encryption Standard AH Authentication Header ARP Address Resolution Protocol CHAP Challenge Handshake Authentication Protocol DDoS Distributed Denial of Service DES Data Encryption Standard DNS Domain Name Service DoS Denial of Service ESP Encapsulating Security Payload ICMP Internet Control Message Protocol IDS Intrusion Detection System IKE Internet Key Exchange IP Internet Protocol IPS Intrusion Prevention System IPSec Internet Protocol Security L2F Layer Forwarding Protocol L2TP Layer2 Tunneling Protocol MITM Man in the Middle MS-CHAP Microsoft - Challenge Handshake Authentication Protocol NSA National Security Agency OTP One Time Password PAP Password Authentication Protocol PPTP Point-To-Point Tunneling Protocol QoS Quality of Service TCP Transmission Control Protocol VPN Virtual Private Network SSL Secure Socket Layer 73 DANH SÁCH HÌNH VẼ Hình 1.1: Mơ hình Client to Site VPN Hình 1.2: Mơ hình Sito-To-Site VPN Hình 1.3: Các thơng điệp kiểm sốt trao đổi liệu PPTP qua PPP Hình 1.4: Khn dạng gói điều khiển kết nối PPTP Hình 1.5: Q trình đóng gói PPTP Hình 1.6: Q trình đóng gói liệu L2TP Hình 1.7: IPSec chế độ giao vận, sử dụng AH Hình 1.8: IPSec chế độ giao vận, sử dụng ESP Hình 1.9: IPSec chế độ đường hầm, sử dụng AH Hình 1.10: IPSec chế độ đường hầm, sử dụng ESP Hình 2.1: Tấn cơng từ chối dịch vụ phân tán (DDoS) Hình 2.2: Tấn cơng Man in the Midle (MITM) Hình 2.3: Tấn cơng ARP Cache Hình 2.4: DNS hoạt động chế độ thơng thường Hình 2.5: Tấn cơng DNS Spoofing Hình 2.6: Tấn cơng DNS Hijacking Hình 3.1: Mơ hình Firewall Hình 3.2 : Mơ hình VPN Server đứng Firewall Internet Hình 3.3: Mơ hình VPN Server đứng Firewall Intranet Hình 3.4: Mơ hình sinh mã OTP sử dụng Token Key Hình 3.5: Mơ hình triển khai OTP mạng VPN Hình 3.6: Mơ hình Network Based IDS (NIDS) Hình 3.7: Hostbased IDS (HIDS) Hình 3.8: IPS đặt trước Firewall (Outside IPS) Hình 3.9: IPS đặt sau Firewall (Inside IPS) Hình 3.10: Mơ hình mạng sử dụng thiết bị mã hóa Hình 3.11: Thiết bị mã hóa IP Cipher X7211 Hình 3.12: Kết nối Trung tâm Chi nhánh 74 Hình 3.13: Mơ hình triển khai VPN với IPsec thiết bị mã hóa (BM-IP) Hình 3.14: Cấu hình modem trung tâm để kết nối Internet Hình 3.15: Gán tên miền cho modem Trung tâm Hình 3.16: Cấu hình VPN trung tâm Hình 3.17: Gán tên miền cho modem chi nhánh Hình 3.18: Cấu hình VPN chi nhánh 75 ... hầm, bảo mật Chương 2: Khái qt an tồn thơng tin mạng, số nguy gây an tồn thơng tin mạng Chương 3: Giới thiệu số biện pháp đảm bảo an toàn thông tin mạng ứng dụng triển khai đảm bảo an tồn thơng tin. .. đề tài nghiên cứu ? ?Nghiên cứu biện pháp đảm bảo an tồn thơng tin mạng riêng ảo ứng dụng? ?? Luận văn trình bày chương, đó: Chương 1: Trình bày số vấn đề mạng riêng ảo mơ hình mạng riêng ảo, số giao... lực để đảm bảo an tồn thơng tin mạng ngày quan tâm 2.2 Một số vấn đề an tồn thơng tin mạng riêng ảo Để đảm bảo an tồn thơng tin cho hệ thống mạng máy tính nói chung, mạng riêng ảo nói riêng cần