Vũ văn nam Bộ giáo dục đào tạo Trường Đại học Bách khoa Hà Nội =====*****===== LUN VN KHOA HC điện tử viễn thông AN NINH TRUY CP HỖ TRỢ TỪ XA VŨ VĂN NAM NGƯỜI HƯỚNG DẪN KHOA HỌC : TS NGUYỄN VŨ SƠN 2003 - 2005 Hà Nội 2005 Hà nội 2005 Luận văn tốt nghiệp cao học cập hỗ trợ từ xa An ninh truy Danh mục hình vẽ, đồ thị 0B Hỡnh 2.1: Cấu trúc lớp giao thức TCP/IP Hình 2.2: Kết nối VPN: Gateway-Gateway Hình 2.3: Kết nối VPN: Host -to – Gateway Hình 2.4: Kết nối VPN: Host -to – Host Hình 2.5: Mơ hình kết nối PPP Dial Hình 2.6: Mơ hình Dial với L2TP Hình 2.7: Các dạng kết hợp chế lặp lại Tunnel Hình 2.8: Mơ hình IPSec End-to-End Hình 2.9: Mơ hình IPSec Office-Branch Hình 2.10: Mơ hình IPSec Extarnet Hình 2.11: Mơ hình IPSec Remote Access Hình 2.12: Kiến trúc Firewall đối xứng Hình 2.13: Kiến trúc Screen Host Hình 2.14: Kiến trúc mạng Screen Hình 2.15: Kiến trúc SSH Hình 3.1: Hệ thống quản lý mạng Hình 3.2: Mơ hình giải pháp dịch vụ cơng cộng Hình 3.3: Giải pháp truy cập từ xa thực tế Hình 3.4: Các thành phần tham gia chức chúng giải pháp hỗ trợ từ xa Hình 3.5: Quá trình thực hỗ trợ từ xa Hình 4.1: Kiến trúc Logic mơ hình truy cập từ xa Hình 4.2: Cấu trúc gói IP Hình 5.1: Cấu hình mạng Hình 5.2: Cấu hình Host dịch vụ độc lập Hình 5.3: An ninh truy cập từ xa vào hệ thống quản lý mạng Hình 5.4: An ninh truy cập từ xa tới Host dịch vụ Hình 5.5: Mơ hình an ninh thơng tin truyền dẫn Vị Văn Nam Cao Học - Đtvt - 2003 Luận văn tốt nghiệp cao học cập hỗ trợ từ xa An ninh truy Hình 5.6: Cấu trúc gói IP dùng SSH Hình 5.7: Cấu trúc IP sử dụng phương thức IPSec ESP Hình 5.8: Cấu trúc gói IP sử dụng IPSec AH Hình 5.9: Cấu hình IPSec ESP đường hầm Host Gateway Hình 5.10: Cấu hình an ninh truyền nhận Máy trạm dịch vụ Host xa Hình 5.11: Cấu hình giải pháp kết nối từ xa Hình 5.12: Cấu hình phiên SSH trực tiếp tới Host truy cập từ xa Hình 5.13: Cấu hình an ninh hai lớp SSH Hình 5.14: Thiết lập an ninh Máy trạm dịch vụ Gateway khách hàng Hình 5.15: Cấu hình an ninh Máy trạm dịch vụ Gateway nhà cung cấp Hình 5.16: Cấu hình tích hợp Dial-in Hình 5.17: Cấu hình an ninh Dial-in sử dụng SSH Hình 5.18: Cấu hình bảo vệ mạng hỗ trợ dạng truy cập truy nhập Vò Văn Nam Cao Học - Đtvt - 2003 AN NINH TRUY CẬP HỖ TRỢ TỪ XA VŨ VĂN NAM-CH ĐTVT 2003 LỜI NÓI ĐẦU Sự phát triển Internet làm thay đổi mục tiêu cách thức hoạt động công ty, tổ chức cá nhân tổ chức độc lập khác Đặc biệt công ty cần phải nghiên cứu xây dựng sách hướng theo thay đổi kinh tế: kinh tế phi thuế quan toàn cầu hoá Sự thay đổi tất yếu dẫn tới yêu cầu cần phải xây dựng hệ thống liên kết nhiều đơn vị riêng lẻ nhằm quản lý phát huy nguồn lực đơn vị riêng biệt Khi hình thành nên hệ thống kết nối đơn vị riêng lẻ với kết nối đơn vị với trung tâm quản lý Tuy nhiên có liên kết cơng ty , tổ chức lại vấn đề cấn phải đề cập tới an ninh cho hệ thống Sự an ninh xuất phát từ nhiều nguyên nhân phong phú, đa dạng Tuỳ theo nguyên nhân, cách thức mục đích mà phân chia chúng thành đối tượng bên đối tượng bên ,tất công không nguy hiểm công nguy hiểm Do nghiên cứu xây dựng hệ thống liên kết, kết nối tổ chức, cơng ty ngồi việc lựa chọn, phân tích kỹ thuật phải xem xét đến yêu cầu an ninh cho hệ thống tổ chức , cơng ty Như biết hệ thống kết nối hồn chỉnh có nhiều nội dung phải xem xét tới riêng kỹ thuật kết nối hay nói cách khác kỹ thuật truy cập bao gồm truy cập qua mạng Internet, kết nối qua đường Leased_line, kết nối quay số từ xa qua mạng điện thoại công cộng …Ứng với kỹ thuật ta phải đưa giải pháp an ninh cho Đồng thời phải xem xét tích hợp với kỹ thuật khác Do vấn đề lớn khó khăn ta xem xét , xây dựng cách triệt để Căn vào yêu cầu cho hệ thống độ phức tạp luận văn đưa giải pháp thực an ninh cho kết nối mạng nhà cung cấp dịch vụ (service provider network) mạng khách hàng (Customer network) mà cụ thể yêu cầu kết nối từ phía nhà cung cấp dịch vụ tới mạng khách hàng với mục đích hỗ trợ đảm bảo chất lượng cung cấp dịch vụ Để thực điều u cầu phía AN NINH TRUY CẬP HỖ TRỢ TỪ XA VŨ VĂN NAM-CH ĐTVT 2003 cung cấp dịch vụ cần phải có kết nối từ xa đến mạng khách hàng, kết nối xây dựng chuẩn kết nối mạng máy tính để quay số vào mơi trường khách hàng Khi vấn đề đặt thực kết từ xa có rủi ro cho tính bảo mật tính tồn vẹn thơng tin khách hàng Đồng thời kết nối từ xa gây nguy hiểm cho sở hạ tầng nhà cung cấp dịch vụ Trong luận văn mối đe doạ biện pháp an ninh cho hệ thống mạng Dựa vào đặt vấn đề nội dung chủ yếu luận văn đưa giải pháp xây dựng mơ hình mạng kết nối gữa nhà cung cấp dịch vụ khách hàng dựa kỹ thuật truy cập từ xa với mục đích hỗ trợ dịch vụ Đồng thời đưa giải pháp an ninh toàn diện cho hệ thống chức nhà quản trị Nội dung luận văn gồm chương: Chương 1: An ninh thông tin hệ thống: Trong chương giới thiệu vai trò an ninh hệ thống thông tin, cụ thể nội dung chủ yếu xem xét đến yêu cầu truy cập an ninh.Trong truy cập vấn đề nảy sinh mối quan hệ thương mại cịn an ninh u cầu từ phía người dùng người sở hữu thông tin việc đảm bảo an tồn cho thơng tin tạo tách biệt sử dụng để tránh thiệt hại kinh tế Chương 2: Mạng kỹ thuật truy cập từ xa Trong chương mô tả kỹ thuật để xây dựng kiến trúc an ninh mạng nêu giải pháp truy cập mạng từ xa Cụ thể phần 2.1 giới thiệu mạng, thuật ngữ thường dùng giới thiệu tổng quan giao thức TCP/IP Phần 2.2 giới thiệu giao thức đường hầm PPP, L2TP IPsec Phần 2.3 mô tả tổng quan Firewall phần 2.4 tập trung vào ứng dụng , thiết bị cần thiết hệ thống truy cập từ xa Chương 3: Tổng quan hỗ trợ từ xa: Trong chương giới thiệu tổng quan cách thức hoạt động nhà cung cấp dịch vụ họ cung cấp giải pháp hỗ trợ cho việc phát triển sản phẩm Việc hỗ trợ thực khách hàng có quyền xác thực truy cập tới nhà cung cấp dịch vụ đồng thời nhà cung cấp dịch vụ truy cập vào hệ thống khách hàng để thực việc phân tích vấn đề tập hợp giải pháp xử lý vấn đề Trong phần trình bày cơng việc AN NINH TRUY CẬP HỖ TRỢ TỪ XA VŨ VĂN NAM-CH ĐTVT 2003 nhà quản lý điều hành để thực cơng việc có liên quan đến công việc hỗ trợ cung cấp, điều chỉnh thực dịch vụ Chương 4: Hệ thống truy cập từ xa: Trong chương tập trung vào kiến trúc hệ thống truy cập từ xa, thành phần có liên quan giao diện chúng với thành phần khác chúng với mơi trường Ngồi xác định tách biệt thành phần lỗ hổng an ninh chúng Đồng thời xem xét an ninh kết nối thành phần với với hệ thống Giá trị thành phần xác định cách phân chia theo cách tác động vào thông tin sử dụng, lưu trữ hay vận chuyển, nhiên vào chức thành phần Chương 5: Thực giải pháp an ninh cho truy cập hỗ trợ từ xa Trong chương đưa nguyên tắc để xây dựng hệ thống an ninh truy cập hỗ trợ từ xa dựa tiêu chí phân tích chương chương trình bày trước Trong tồn luận văn tơi cố gắng trình bày vấn đề cần thiết phục vụ cho việc an ninh truy cập hỗ trợ từ xa, khuôn khổ luận văn cao học khơng thể trách khỏi khiếm khuyết, mong đóng góp thầy bạn đồng nghiệp Tôi xin chân thành cảm ơn thầy giáo TS Nguyễn Vũ Sơn, thầy giáo khoa ĐTVT, Trung tâm sau đại học trường đại học Bách Khoa Hà Nội đồng nghiệp giúp đỡ q trình học tập hồn thành luận văn 10 Chương 1: An ninh thông tin hệ thống VŨ VĂN NAM-CH ĐTVT 2003 CHƯƠNG AN NINH THÔNG TIN HỆ THỐNG 1.1 Mở đầu Hệ thống thông tin việc tổ chức hóa nguồn thơng tin thủ tục ghi, xử lý, lưu trữ, chuyển đổi, khôi phục hiển thị thông để thực chức yêu cầu Ngoài hệ thống thơng tin cũng đảm bảo tính tiện lợi độc lập Hệ thống thông tin ngày dạng kết hợp hệ thống mở hệ thống đóng Hệ thống mở đươc hiểu hệ thống phân tán có mối liên qua lại với hệ thống mở khác Trong điều kiện kiến trúc hệ thống mở phù hợp với việc xây dựng hệ thống truy cập thơng tin Cịn hệ thống đóng phù hợp cho mục đích có tính bảo mật cao mà khơng có khả phát triển Khi xem xét hệ thống thông tin có số thuật ngữ cần phải biết: - Thơng tin hữu ích ( Information assets) : thơng tin thực có giá trị mặt pháp lý Thông tin lưu giữ truyền hệ thống thông tin - Thực thể hệ thống( System entity) : thành phần chủ động hệ thống tác động đến thơng tin hữu ích nhằm thực nhiệm vụ riêng biệt khác Thực thể hệ thống bao gồm đơn vị xử lý, phân hệ nhóm người sử dựng - Thông tin truy cập ( Information access) : hiểu thơng tin cần thiết để có tác động qua lại thực thể thông tin thơng tin hữu ích Hiện nay, thơng tin tập trung vào liệu mạng,tuy nhiên truy cập điện thoại, Fax điểm dịch vụ công cộng - Xác thực( Authorization) : hiểu hợp pháp hóa việc truy cập thơng tin thực thể hệ thống Khi có điều thực thể hệ thống đắn cho phép truy cập vào nguồn hệ thống 11 Chương 1: An ninh thông tin hệ thống VŨ VĂN NAM-CH ĐTVT 2003 1.2 Yêu cầu an ninh An ninh yêu cầu tất yếu cho nguồn liệu hệ thống, độc lập thông tin hữu dụng, truy cập bất hợp pháp.Khi đảm bảo tách biệt hệ thống Các yêu cầu an ninh hiểu yêu cầu tính bảo mật, độ xác tính chất hữu dụng thơng tin Ngồi xét an ninh hệ thống phải xem xét đến nguồn liệu hay nói cách khác Thơng tin hữu ích Cụ thể phân chia theo tầm quan trọng chúng Việc phân chia phụ thuộc vào cấp độ bảo vệ, mức độ hệ thống cung cấp mức độ truy cập Một số yêu cầu cụ thể sau: 1.2.1 Tính Bảo mật (Confidentiality) Yêu cầu đảm bảo thông tin hữu ích không bị lộ thực thể hệ thống bất hợp pháp Trong luận văn yêu cầu bảo mật cho thông tin chia thành hai loại: thông tin nhạy cảm thông tin khơng nhạy cảm(sensitive and nonsensitive) thơng tin nhạy cảm yêu cầu bị lộ cịn thơng tin khơng nhạy cảm để theo chế độ cơng cộng 1.2.2 Tính xác(Accuracy) u cầu xuất phát từ hai yêu cầu khác u cầu tồn vẹn hợp pháp hố thơng tin u cầu tồn vẹn thơng tin đảm bảo lúc thơng tin hữu ích bị sửa đổi bi công Yêu hợp pháp hố thơng tin đảm bảo nguồn xuất phát thơng tin tốt Thêm nữa, yêu cầu tính xác đảm bảo thơng tin sử dụng với tính chất ngữ cảnh (context) Ví dụ thông tin sử dụng sai ngữ cảnh hiểu sai ngày sinh đăng ký trong hồ sơ Một ví dụ khác việc sử dụng thơng tin khơng đảm bảo tính xác thông tin cá nhân mà cần tổng hợp 1.2.3 Tính có giá trị( Availability) u cầu đảm bảo giá trị cho thơng tin hữu ích Có nghĩa đảm bảo đặc tính thời gian phản hồi hệ thống yêu cầu xác thực truy cập thực thể hệ thống đảm bảo an ninh cho việc phân bố thơng tin Sự cần thiết tính giá trị cho thông tin thể điểm sau: 12 Chương 1: An ninh thông tin hệ thống VŨ VĂN NAM-CH ĐTVT 2003  Tính giá trị thơng tin hữu ích giới hạn cơng ty: khơng có yếu tố tạo cố nghiêm trọng cho việc hoạt động kinh doanh cơng ty Ví dụ thơng tin có giá trị ảnh hưởng đến hoạt động kinh doanh thông tin xác thực  Tính giá thị thơng tin hữu ích thực thể cần thiết: khơng có yếu tố hạn chế đến việc phân chia chức hoạt động kinh doanh công ty Trong thực tế giới hạn thực thể cơng ty hoạt động  Tính giá trị thơng tin hữu ích xem yếu tố cần thiết cho việc khôi phục giá trị đảm bảo cho thông tin hệ thống hoạt động tách khơng hoạt động 1.3 Thơng tin người sử dụng (Information User) Ngày nay, thông tin hữu công ty hay tổ chức cần thiết cho việc truy cập thành viên cơng ty, tổ chức mà cịn truy cập sử dụng đối tác có liên quan khách hàng Để quản lý vấn đề người ta đưa loại liệu gọi thơng tin người sử dụng với mục đích thiết lập mối quan hệ người sử dụng công ty, tổ chức Thông tin người sử dụng chia thành loại sau:  Thông tin người sử dụng chuẩn truy cập( Standard Access ): dạng thông tin chuẩn cung cấp cho thành viên cơng ty mà họ có liên quan đến hoạt động dịch vụ cơng ty Các thơng tin phải đăng ký để đảm bảo theo yêu cầu đặc tính an ninh cho hệ thống xác thực nhà quản lý để có hoạt động hợp pháp hóa  Thơng tin người sử dụng giới hạn truy cập(Limited Access): phần thông tin riêng biệt mà sử dụng để hạn chế phần truy cập vào công ty  Thông tin người sử dụng truy nhập công cộng: loại thơng tin thuộc vào nhóm khơng nhạy cảm (non-sensitive) không cần đến quản lý quản trị mạng Đồng thời thông tin không liên quan đến mối quan hệ với công ty 13 Chương 1: An ninh thông tin hệ thống VŨ VĂN NAM-CH ĐTVT 2003 1.4 Các dạng truy cập thông tin Về có dạng truy cập, dạng tạo khả rủi ro khác cho hệ thống  Truy cập vật lý( Physical Access) : dạng truy cập cần phải có quản lý chặt chẽ có thỏa hiệp tất hệ thống Về truy cập vật lý quản lý giới hạn người truy cập q trình xử lý thơng tin Tuy nhiên cho phép thực chức ghi , đọc thông tin; lắng nghe đàm thoại ; giám sát điện tử đánh cắp thông tin đường truyền dẫn  Truy cập trực tiếp ( Direct Access) : Là dạng truy cập hệ thống thông tin thông qua đường kết nối trực tiếp Đây dạng truy cập cho hệ thống Mainframe hệ thống máy tính Với dạng truy cập cung cấp khả linh hoạt cho kết nối đường dây kết nối có sẵn hệ thống thơng tin thiết bị đầu cuối  Truy cập mạng( Network Access) : Đây dạng truy cập hệ thống thơng tin thơng qua kiến trúc mạng có quản lý truy cập Như thực truy cập dạng phải có mạng, người sử dụng sách quản lý Tuy có số cố sẩy thực dạng truy cập : Dữ liệu mạng truyền dạng đầy đủ số giao thức mạng khơng hỗ trợ an ninh truyền dẫn rễ bị đánh cắp; Một số cổng không sử dụng mạng sử dụng cho kết nối bất hợp pháp việc đảm bảo độc lập mạng công ty trước mạng công ty khác mạng công cộng  Truy cập từ xa( Remote access) : Là dạng truy cập thông qua hệ thống công cộng dạng mở rộng mạng Dạng truy cập không trực tiếp điều khiển hệ thống quản trị Hiện phổ biến dạng truy cập Internet  Truy cập xã hội( Social access): Là dạng truy cập thơng tin cách nói lên thơng tin hữu ích giới hạn cho phép 14 Chương : Giải pháp thiết kế hệ thống an ninh truy cập từ xa Vũ Văn Nam-CH ĐTVT Hình 5.11: Cấu hình giải pháp kết nối từ xa Thêm nữa, cấu hình firewall nhà cung cấp dịch vụ không cho phép kết nối truy nhập tới nội mạng nhà cung cấp dịch vụ Chức đảm bảo cho gói nhận giao diện WAN phải kiểm tra để lập gói u cầu khởi tạo kết nối Để bảo vệ truyền dẫn WAN chế Đường hầm ESP lựa chọn yêu cầu an ninh truyền dẫn nêu phần 5.3.4 Khi ta thấy điều rõ ràng thông tin mà đường hầm ESP cung cấp bị đánh cắp địa IP hai Gateway Do vậy, không nhận biết thơng tin liên quan đến chế phân giải địa địa mạng nội bộ, giao thức lớp Transport số hiệu cổng lẫn phần Payload Trong phần tập trung xem xét đến hai nội dung bảo vệ truyền dẫn nội với SSH bảo vệ phiên hỗ trợ với đường hầm ESP Tuy nhiên, ngược lại với xem xét truyền dẫn WAN trường hợp IP máy trạm dịch vụ phải nhìn thấy Lý địa IP cần thiết cho việc xác định gói tin Máy trạm dịch vụ gửi từ mạng khách hàng Tương tự địa Host truy cập từ xa phải xác định rõ mạng khách hàng Và phần xem xét việc tích hợp kết nối dial-in từ xa vào mạng nhà cung cấp dịch vụ 86 Chương : Giải pháp thiết kế hệ thống an ninh truy cập từ xa Vũ Văn Nam-CH ĐTVT 5.4.1.Bảo vệ truyền dẫn nội với SSH Trong phần phân tích việc ứng dụng SSH để bảo vệ liệu truyền dẫn nội mạng nhà cung cấp dịch vụ mạng khách hàng Một số vấn đề sau: Phương án thứ nhất: SSH trực tiếp tới Host từ xa Trong phần ta áp dụng SSH trực tiếp cho kết nối khởi tạo từ Máy trạm dịch vụ tới Host truy cập từ xa Cấu hình thể sau: Hình 5.12: Cấu hình phiên SSH trực tiếp tới Host truy cập từ xa Đường hầm ESP bảo vệ SSH ngồi Internet Trong mạng nội riêng biệt phần Payload gói IP mà thuộc SSH mã hố Tuy nhiên đứng phía khách hàng họ có lo lắng việc bị bi đánh cắp địa IP Máy trạm dịch vụ Host từ xa nội mạng cung cấp dịch vụ Thêm nữa, việc đánh cắp gói tin cung cấp thơng tin cho phép Host từ xa truy nhập SSH Các đối tượng cơng sử dụng thơng tin để giả mạo Máy trạm dịch vụ truy cập vào hệ thống, chí Gateway an ninh nhà cung cấp dịch vụ phát cho dù dùng chế xác thực theo địa IP giao diện Internal Các gói giả mạo gửi đến gateway an ninh khách hàng thông qua việc xác thực qua đường hầm an ninh hai gateway Điều cho thấy nội nhà cung cấp dịch vụ dễ dàng truy cập vào Host từ xa Và có Host từ xa cô lập yêu cầu truy cập cách sử dụng xác thực người dùng Lỗ hổng an ninh 87 Chương : Giải pháp thiết kế hệ thống an ninh truy cập từ xa Vũ Văn Nam-CH ĐTVT làm cho khả an ninh toàn hệ thống: từ xác thực Gateway Khách hàng Nhà cung cấp dịch vụ Máy trạm dịch vụ Host từ xa Theo phân tích nên đưa chức xác thực truy nhập từ xa Gateway truy cập mạng công ty đồng thời tách riêng hệ thống an ninh Máy trạm dịch vụ Gateway mạng khách hàng Kiến trúc an ninh hình 5.11 phần đạt yêu cầu trường hợp vấn đề công nội nhà cung cấp dịch vụ thấp Ví dụ máy trạm dịch vụ không kết nối tới Mạng nhà cung cấp dịch vụ thực giao diện WAN có kết nối tới mạng Khách hàng Phương án thứ 2: Xác thực Gateway khách hàng Cấu hình an ninh phương án sử dụng hai chế an ninh SSH: SSH từ máy trạm dịch vụ tới Gateway khách hàng SSH từ Gateway khách hàng tới Host truy cập từ xa Cấu hình mạng thể hình sau: Hình 5.13: Cấu hình an ninh hai lớp SSH Cấu hình ngăn chặn công mạng từ nội nhà cung cấp dịch vụ Như biết, IPSec không dùng trường hợp phương thức Transport khơng phù hợp với Proxy nhà cung cấp dịch vụ Đường hầm ESP không cho phép Proxy lọc gói truyền nhận Máy trạm dịch vụ Mạng khách hàng Khi thêm dịch vụ SSH Gateway an ninh khách hàng máy trạm dịch vụ yêu cầu kết nối tới Host từ xa phải kết nối tới Gateway khách hàng từ tiếp tục kết nối Host từ xa Thêm địa IP Host truy cập từ xa không sử dụng 88 Chương : Giải pháp thiết kế hệ thống an ninh truy cập từ xa Vũ Văn Nam-CH ĐTVT cho yêu cầu kết nối từ phía nhà cung cấp dịch vụ Đúng gói IP từ Máy trạm dịch vụ tới Host truy cập từ xa địa hoá địa Gateway an ninh khách hàng Do mạng nhà cung cấp dịch vụ địa IP Host truy cập từ xa nhận biết 5.4.2 Sử dụng đường hầm ESP để bảo vệ phiên truy cập hỗ trợ Giải pháp truy cập từ xa nêu phần 5.4.1 lỗ hổng an ninh phía khách hàng phần giải Trong suốt phiên hỗ trợ Máy trạm dịch vụ ln kết nối tới mạng nhà cung cấp dịch vụ bị truy cập Host khác mạng Lúc nội mạng nhà cung cấp cơng vào Máy trạm dịch vụ sử dụng ln phiên hỗ trợ Để giải yêu cầu người ta đưa hai giải pháp: thứ yêu cầu định kỳ xác thực dựa vào thông tin người sử dụng( User-base re-authentication) thành viên đội hỗ trợ thứ hai sử dụng IPSec Với cách xếp cho IPSec huỷ bỏ tất gói khơng có địa địa sai Trong phần phân tích cấu hình cho giải pháp dùng IPSec Có cấu hình sau đây: Thiết lập an ninh với Gateway khách hàng Theo phân tích Đường hầm ESP trường hợp ta thiết lập đường hầm đặt Máy trạm dịch vụ Gateway khách hàng Nó liên tục chèn vào Máy trạm dịch vụ Mạng khách hàng có đường hầm kích hoạt cho phiên hỗ trợ Thêm nữa, Máy trạm dịch vụ truy cập vào Host khác mạng nhà cung cấp dịch vụ khơng thể bị xem xét Host Lúc SSH sử dụng để thiết lập an ninh Máy trạm dịch vụ Host truy cập từ xa Cấu hình trường hợp thể sau: 89 Chương : Giải pháp thiết kế hệ thống an ninh truy cập từ xa Vũ Văn Nam-CH ĐTVT Hình 5.14: Thiết lập an ninh Máy trạm dịch vụ Gateway khách hàng Cấu hình ứng dụng Gateway khách hàng gán cho địa IP tạm thời để thực kết nối tới Host từ xa Địa IP tạm thời thường cung cấp cho thành viên cơng ty để họ Dialling vào mạng họ Đối với truy cập cho đối tác kinh doanh khác việc cung cấp địa IP tĩnh xem xét, hoạt động cơng ty có sử dụng giao diện truy cập từ xa qua mơi trường Internet cần phải xem xét kỹ lưỡng Nếu Máy trạm dịch vụ có yêu cầu gửi gói IP tới Host từ xa đường hầm ESP Máy trạm dịch vụ sử dụng để thiết lập an ninh tới Gateway An ninh khách hàng, lúc gói IP bao bọc gói khác gửi Sau đó, Gateway an ninh mạng nhà cung cấp dịch lại lần đóng thành gói ESP trước ngồi mơi trường Internet Về phía mạng khách hàng trước hết Gateway an ninh phải thực chế mở gói ESP liên kết với Gateway nhà cung cấp dịch vụ sau thực mở gói ESP liên kết với Máy trạm dịch vụ trước gói vào mạng khách hàng Cớ chế có hiệu cho gói IP xuất phát từ Máy trạm dịch vụ Thiết lập an ninh với Gateway Nhà cung cấp dịch vụ Trong giải pháp đưa hình 5.13 khơng xem xét đến Proxy Firewall nhà cung cấp dịch vụ với chức kiểm tra gói đến lập yêu cầu truy nhập Imbound Các gói tin theo chuẩn đường hầm ESP Máy trạm dịch vụ Gateway khách hàng qua Proxy Firewall chống lại kiểm tra phần đóng gói Header lớp 90 Chương : Giải pháp thiết kế hệ thống an ninh truy cập từ xa Vũ Văn Nam-CH ĐTVT Transport Để giải vấn đề cần thiết lập Proxy thực với giao thức IPSec liên quan trực tiếp tới mối quan hệ an ninh Máy trạm dịch vụ Gateway khách hàng Lúc thiết lập đường hầm ESP máy trạm dịch vụ Proxy IPSec nhà cung cấp dịch vụ Khi Gateway khách hàng phải chấp nhận xác thực Proxy Nhà cung cấp dịch vụ Máy trạm dịch vụ thay phải thực chức Cấu hình mạng phương án thể sau: Hình 5.15: Cấu hình an ninh Máy trạm dịch vụ Gateway nhà cung cấp Một Firewall mạng nhà cung cấp dịch vụ thực chức kiểm tra gói tin trao đổi Máy trạm dịch vụ Host truy cập từ xa, lúc đầu cuối đường hầm Thêm nữa, sử dụng SSH ngăn chặn chức kiểm tra phần Payload Firewall mạng nhà cung cấp dịch vụ Kết luận Cấu hình an ninh truy cập sử dụng đường hầm ESP giải vấn đề bảo vệ Máy trạm dịch vụ trước công từ nội mạng nhà cung cấp dịch vụ Tuy nhiên khơng kết nối tới mạng khách hàng đường hầm an ninh bị cơng nội nhà cung cấp với mục đích truy cập vào nguồn liệu nhà cung cấp Đối tượng cơng thực việc kích hoạt Máy trạm dịch vụ cơng mạng thơng đặt vào phần mềm gián điệp Trojan horse, phân tích danh sách xác thực làm sai lệch cấu hình IPSec 91 Chương : Giải pháp thiết kế hệ thống an ninh truy cập từ xa Vũ Văn Nam-CH ĐTVT Để tránh dạng cơng cơng ty phải thường xun có sách đứng đắn Host, chế truy cập mạng công ty phải đảm bảo không cho phép kết nối tới mạng khác Những yêu cầu khách hàng phải cô lập Máy trạm dịch vụ từ mạng cung cấp dịch vụ 5.4.3 Giải pháp an ninh cho hệ thống tích hợp truy cập quay số (Dial-in) Trong phần trước sử dụng Kiến trúc mạng nhà cung cấp sau mạng Internet để truy cập vào Gateway Internet khách hàng Trong phần đưa giải pháp an ninh cho hệ thống tích hợp truy cập Dial-in vào mạng Nhà cung cấp dịch vụ kiến trúc thể sau: Hình 5.16: Cấu hình tích hợp Dial-in Một số nội dung phân tích cấu hình sau: Proxy Firewall nội Trong cấu hình Proxy Firewall nội mạng nhà cung cấp dịch vụ firewall mà giới thiệu đầu chương 5, nhiên cung cấp chức lại giống Chức phải lập tất yêu cầu truy cập từ Mạng Hỗ trợ vào mạng nhà cung cấp dịch vụ Hay nói cách khác cho phép yêu cầu truy từ Mạng nhà cung cấp dịch vụ tới Mạng hỗ trợ Các yêu cầu truy cập phải chấp nhận thông qua nhà Quản trị cung cấp dịch vụ, đồng thời quản lý trì 92 Chương : Giải pháp thiết kế hệ thống an ninh truy cập từ xa Vũ Văn Nam-CH ĐTVT Host thuộc sở hữu mạng nhà cung cấp dịch vụ Trong đội hỗ trợ phép truy cập vào Host dịch vụ truy cập vào mạng khách hàng Xác thực truy cập Host dịch vụ Như cấu hình Host dịch vụ Proxy Firewall phải có yêu cầu xác thực Đội hỗ trợ số chúng phải yêu cầu định kỳ thay đổi thông tin xác thực đội hỗ trợ để tránh vấn đề gây ảnh hưởng đến Máy trạm dịch vụ.Đó lý mà dùng SSH Một lựa chọn phương thức đường hầm ESP sử dụng để thiết lập an ninh Máy trạm dịch vụ Proxy Firewall nội Sự khác hai giải pháp tập trung Máy trạm dịch vụ trình bày phần 5.4.1 5.4.2 Firewal mở rộng(External Firewall) Firewall mở rộng phải cho phép yêu cầu truy cập truy nhập từ Host dịch vụ tới Gatewayy khách hàng, phải cô lập yêu cầu truy nhập truy xuất từ WAN tới Host dịch vụ Trong hầu hết trường hợp, Firewall mở rộng tích hợp vào gateway hỗ trợ lúc Geteway hỗ trợ phải có chức chống lại dạng công từ bên vào mạng Host dịch vụ Gateway khách hàng Trong phần thừa nhận Gateway khách hàng bao gồm hệ thống máy chủ truy cập (Server Access) làm đầu cuối cho dạng truy cập truy nhập Thêm nữa, thừa nhận Gateway khách hàng đảm bảo cho dạng truy cập xuyên qua Proxy Firewall đặt hệ thống máy chủ truy cập Gateway hỗ trợ kết nối WAN Công việc Gateway hỗ trợ thực quay số yêu cầu truy cập tới Gateway khách hàng khởi tạo kết nối WAN dựa giao thức PPP Yêu cầu Dial-in thực trực tiếp tới Gateway khách hàng qua điểm cung cấp dịch vụ Internet khách hàng(Customer ISP) Trong trường hợp thứ Gateway khách hàng mạch điện đầu cuối, truy cập quay số gọi, thực xác thực dựa thông tin ID gọi lớp ứng dụng gán cho địa IP tạm thời thông qua giao diện mở rộng Gateway hỗ trợ Trong trường hợp thứ hai Gateway hỗ trợ thực dial-in tới điểm cung cấp dịch vụ Internet khách hàng, chúng xem 93 Chương : Giải pháp thiết kế hệ thống an ninh truy cập từ xa Vũ Văn Nam-CH ĐTVT mạch điện đầu cuối gọi Sau xác thực gán cho địa IP tạm thời giao diện mở rộng Gateway hỗ trợ, sau thiết lập đường hầm PPP xuyên qua mạng Internet tới Gateway khách hàng Do Gateway khách hàng thực chức xác thực người sử dụng gán địa IP tạm thời tới giao diện mở rộng Gateway Hỗ trợ Trong hai trường hợp Gateway Hỗ trợ phải thực chức NAT Mục đích trì chế phân giả địa mạng Hỗ trợ thực chuyển đổi địa gói Incoming Outgoing để phù hợp với cớ chế địa định tuyến mạng WAN Bảo vệ truyền dẫn qua mạng WAN Trong trường hợp trên, kể Dial-in L2TP khơng cung cấp chế bảo vệ truyền dẫn Do đội Hỗ trợ cần phải khởi tạo phiên SSH tới Gateway khách hàng đồng thời để khởi tạo an ninh tới Host truy cập từ xa Trong trường hợp lựa chọn đường hầm ESP để thiết lập an ninh tới Gateway khách hàng chọn phiên SSH tới Host truy cập từ xa Khi thiết lập hệ thống an ninh Máy trạm dịch vụ - Gateway khách hàng Máy trạm dịch vụ - Host truy cập từ xa Trong trường hợp sử dụng SSH Firewall mở rộng lập tất gói tin với yêu cầu truy cập truy nhập, thực kết nối theo chế yêu cầu-phúc đáp, mạng Hỗ trợ an tồn với dạng cơng từ bên ngồi từ nội khách hàng hình vẽ sau thể cấu hình sử dụng SSH Hình 5.17: Cấu hình an ninh Dial-in sử dụng SSH 94 Chương : Giải pháp thiết kế hệ thống an ninh truy cập từ xa Vũ Văn Nam-CH ĐTVT Trong trường hợp sử dụng đường hầm ESP Firewall mở rộng xác định yêu cầu khởi tạo kết nối đường hầm ESP mạng hỗ trợ bị ảnh hưởng dạng công từ nội khách hàng Các dạng cơng ngun nhân làm cho Firewall mạng khách hàng ngăn chặn kết nối truy xuất đội hỗ trợ Gateway an ninh khách hàng bị làm sai lệch cấu hình Tuy nhiên , việc an ninh cho mạng hỗ trợ công việc Firewall mợ rộng giải pháp sử dụng ESP ứng dụng Cấu hình ESP đặt Firewall mở rộng thể sau: Hình 5.18: Cấu hình bảo vệ mạng hỗ trợ dạng truy cập truy nhập Trong cấu hình thể việc tổ chức an ninh Host từ xa Host dịch vụ sử dụng SSH Lúc Firewall mở rộng xác định yêu cầu khởi tạo kết nối tới mạng Hỗ trợ cô lập chúng lại 5.5 Đánh giá nhận xét giải pháp Tồn phần trình bày nhằm trình bày cách chi tiết hệ thống truy cập hỗ trợ từ xa từ cấu hình chi tiết đơn vị thiết bị, đối tượng tác động vào hệ thống đến yêu cầu hoạt động yêu cầu an ninh thiết bị đối tượng Cụ thể xem xét mạng chức nhà cung cấp dịch vụ, khách hàng vấn đề xây dựng hệ thống với chức truy cập hỗ trợ dịch vụ từ xa vào mạng khách hàng từ phía nhà cung cấp dịch vụ 95 Chương : Giải pháp thiết kế hệ thống an ninh truy cập từ xa Vũ Văn Nam-CH ĐTVT Cũng giải pháp chung an ninh bảo mật mạng giải pháp đảm bảo chức an ninh mạng sau: • Bảo đảm an tồn cho tồn thông tin mạng, chống lại truy nhập bất hợp pháp vào mạng Sự truy nhập tiến hành có yêu cầu truy cập kết nối từ mạng khách hàng đến nhà cung cấp dịch vụ ngược lại thông qua mạng Internet mạng điện thoại cơng cộng • Kiểm sốt truy nhập vào hệ thống mạng khách hàng theo yêu cầu chức hỗ trợ nhà cung cấp dịch vụ • Đảm bảo an ninh cho kết nối từ xa thực qua kết nối VPN, Dial- in qua đường điện thoại mã hóa dữa liệu Đồng thời tổ chức an ninh theo lớp mơ hình OSI Ngồi ra, hệ thống đảm bảo yêu cầu riêng cho hệ thống truy cập hỗ trợ từ xa vào mạng khách hàng từ phía nhà cung cấp dịch vụ sau: • Khi sảy cố với Server dịch vụ Server hỗ trợ nhà cung cấp kết nối trực tiếp tới Đội hỗ trợ yêu cầu hỗ trợ • Khi kết nối hỗ trợ từ phía nhà cung cấp dịch tới mạng khách hàng hệ thống đảm bảo xác thực xác, truy cập thông tin vào cần thiết Server hỗ trợ Đồng thời ngăn chặn truy cập tới Server khác mạng khách hàng, truy cập ngược lại phía mạng nhà cung cấp dịch vụ dạng truy cập cơng từ phía bên ngồi vào hệ thống • Căn vào việc tiếp cận hai đối tượng khách hàng nhà cung cấp dịch vụ luận văn đưa chế an ninh truy cập hỗ trợ từ xa, chế điều khiển truy cập động hai mức (dynamic two-level access control) Với chế cho phép người hỗ trợ cấp phép quyền truy cập hợp pháp thu hồi lại không cần thiết Cụ thể mức thứ Quản lý mạng khách hàng thực xác thực đội hỗ trợ bình thường, cịn mức hai đội hỗ trợ gán cho quyền truy cập hỗ trợ, thông tin cung cấp xác thực Ưu điểm chế ta sử dụng nguyên lý xác thực “Need- to - Know” cho việc điều khiển việc gán quyền truy cập cho đội hỗ trợ Ngược lại chế có mặt không thuận lợi 96 Chương : Giải pháp thiết kế hệ thống an ninh truy cập từ xa Vũ Văn Nam-CH ĐTVT tăng trình xử lý xác thực cung cấp quyền truy cập cho đội hỗ trợ đồng thời tăng trình xử lý cần thiết đội hỗ trợ phía khách hàng Với nội dung chức hỗ trợ dịch vụ giải pháp có quy mơ phạm vi hẹp, khơng đảm bảo tính mở hệ thống Yêu cầu cho hệ thống phức tạp tách biệt hẳn với hệ thống sử dụng Ngoài hạn chế tính kinh tế Tuy nhiên với giải pháp giải triệt để vấn đề truy cập an ninh hỗ trợ vào mạng khách hàng từ nhà cung cấp dịch vụ, từ xây thành chế chuẩn an ninh truy cập hỗ trợ từ xa Căn vào chế tích hợp vào hệ thống kết nối có truy cập từ xa vào mạng nội thông qua mạng thoại công công, mạng Internet mạng Wireless 97 Kết Luận VŨ VĂN NAM-CH ĐTVT 2003 KẾT LUẬN Luận văn cung cấp cách nhìn tổng thể kiến trúc truy cập từ xa dựa yêu cầu hỗ trợ Mục đích luận trình bày cần thiết an ninh Mạng bản, cách tổ chức đơn vị hệ thống đưa yêu cầu chức bảo vệ cho kiến trúc chương Trong chương trình bày cách áp dụng phương pháp xác thực, giao thức an ninh IPEsc, SSH, Firewall quản lý tài khoản để xây dựng giải pháp truy cập hoàn chỉnh đáp ứng yêu cầu nhà cung cấp dịch vụ khách hàng Đồng thời chương thể lựa chọn thiết kế phù hợp với kiến trúc mạng yêu cầu đặt Ngoài kiến trúc hệ thống xây dựng theo luồng cơng việc (work-flow), cho phép người Quản trị khách hàng quản lý nghiêm ngặt khả truy cập Đội hỗ trợ tới Host mạng thông qua việc cấp quản lý cấp phép thu hồi quyền truy cập Tuy nhiên luận văn tương thích giao thức IPSec kịch hệ thống Trong phần 2.2.3 thấy rõ khơng phù hợp với kỹ thuật VPN mở rộng Sự không phù hợp AH ESP transport với hệ thống phân giải địa cho phép sử dụng ESP Tunnelling cho việc tổ chức an ninh kết nối Host –to-Host, điều không chấp nhận yêu cầu điều khiển truy cập công ty Luận văn đề xuất phương án thay sử dụng SSH Để tránh việc phân tích lưu lượng bị SSH, đường hầm hai Gateway nên xem xét SSH thứ hai hay nói cách khác lặp SSH Host vùng DMZ mạng khách hàng Khi có đầu cuối Đường hầm máy trạm dịch vụ có nhiều ưu điểm cho việc thực an ninh phiên hỗ trợ từ chấp nhận nội nhà cung cấp dịch vụ, SSH kết hợp với Xác thực người sử dụng (User-base re-Authentication) thực hầu hết yêu cầu an ninh cho phiên hỗ trợ Tuy nhiên có điểm bất lợi SSH dịch chức điều khiển truy cập từ Gateway mạng tới Host truy cập, SSH coi cổng TCP đường hầm với phần Payload Và số hiệu cổng Đường hầm không bị phát Firewall mạng ngắt Host truy cập./ 98 Kết Luận VŨ VĂN NAM-CH ĐTVT 2003 KẾT LUẬN Luận văn cung cấp cách nhìn tổng thể kiến trúc truy cập từ xa dựa yêu cầu hỗ trợ Mục đích luận trình bày cần thiết an ninh Mạng bản, cách tổ chức đơn vị hệ thống đưa yêu cầu chức bảo vệ cho kiến trúc chương Trong chương trình bày cách áp dụng phương pháp xác thực, giao thức an ninh IPEsc, SSH, Firewall quản lý tài khoản để xây dựng giải pháp truy cập hoàn chỉnh đáp ứng yêu cầu nhà cung cấp dịch vụ khách hàng Đồng thời chương thể lựa chọn thiết kế phù hợp với kiến trúc mạng yêu cầu đặt Ngoài kiến trúc hệ thống xây dựng theo luồng cơng việc (work-flow), cho phép người Quản trị khách hàng quản lý nghiêm ngặt khả truy cập Đội hỗ trợ tới Host mạng thông qua việc cấp quản lý cấp phép thu hồi quyền truy cập Tuy nhiên luận văn tương thích giao thức IPSec kịch hệ thống Trong phần 2.2.3 thấy rõ khơng phù hợp với kỹ thuật VPN mở rộng Sự không phù hợp AH ESP transport với hệ thống phân giải địa cho phép sử dụng ESP Tunnelling cho việc tổ chức an ninh kết nối Host –to-Host, điều không chấp nhận yêu cầu điều khiển truy cập công ty Luận văn đề xuất phương án thay sử dụng SSH Để tránh việc phân tích lưu lượng bị SSH, đường hầm hai Gateway nên xem xét SSH thứ hai hay nói cách khác lặp SSH Host vùng DMZ mạng khách hàng Khi có đầu cuối Đường hầm máy trạm dịch vụ có nhiều ưu điểm cho việc thực an ninh phiên hỗ trợ từ chấp nhận nội nhà cung cấp dịch vụ, SSH kết hợp với Xác thực người sử dụng (User-base re-Authentication) thực hầu hết yêu cầu an ninh cho phiên hỗ trợ Tuy nhiên có điểm bất lợi SSH dịch chức điều khiển truy cập từ Gateway mạng tới Host truy cập, SSH coi cổng TCP đường hầm với phần Payload Và số hiệu cổng Đường hầm không bị phát Firewall mạng ngắt Host truy cập./ 98 VŨ VĂN NAM-CH ĐTVT 2003 TÀI LIỆU THAM KHẢO Tiềng việt Nguyễn Thúc Hải, “ Mạng máy tính hệ thống mở”,1996 Phạm Thế Quế, “ Bài giảng Mạng máy tính”, Học viện cơng nghệ bưu viễn thơng 2000 VN Guide, “ Mạng bản” 1998 Tiếng Anh Dr.Andres Fortino, P.E, “ Networking Technologies”, McGraw-Hill, 2001 S.K.PARMAR, Cst, “Computer, Internet and Network Systems Security” CERT, “System and Network Security Practices” Daniel Tshisuaka,“ Secure Remote Access ” Tampere University of Technology, “Secure Network Access with IPSec Tunnels” S Kent, R Atkinson: “Security Architecture for the Internet Protocol”, 1998 10 T Sheldon, “Encyclopedia of Networking & Telecommunications”, Osborne/McGraw - Hill, 2001 11 Lucent Technologies Inc, “IP VPN Security for Enterprise Customers”, 2004 93 ... Giải pháp truy cập từ xa thực tế Hình 3.4: Các thành phần tham gia chức chúng giải pháp hỗ trợ từ xa Hình 3.5: Quá trình thực hỗ trợ từ xa Hình 4.1: Kiến trúc Logic mơ hình truy cập từ xa Hình... chức thành phần Chương 5: Thực giải pháp an ninh cho truy cập hỗ trợ từ xa Trong chương đưa nguyên tắc để xây dựng hệ thống an ninh truy cập hỗ trợ từ xa dựa tiêu chí phân tích chương chương trình... đòi hỏi khả an ninh cao truy cập vật lý có liên quan tính tồn vẹn khả bảo vệ nguồn thông tin 42 Chương : Tổng quan hỗ trợ từ xa Vũ Văn Nam – CH ĐTVT 2003 (b) Hỗ trợ từ xa thực truy cập mạng Đây