Đang tải... (xem toàn văn)
các giao thức hay được sử dụng khi triển khai VPN là OpenVPN, IPSec, … tuy nhiên nhiều người dùng cho rằng hai giao thức này sử dụng chậm và khó cấu hình quản lý đúng cách. Chính vì vậy giao thức mạng riêng ảo mới VPN WireGuard đã ra đời nhằm mục đích khắc phục được nhược điểm trên. Việc triển khai giao thức WireGuard sẽ giúp cho doanh nghiệp có thể sử dụng mạng VPN một các hiệu quả và dễ dàng hơn giúp thông tin trở nên an toàn hơn.Mục tiêu của việc nghiên cứu thực hiện đồ án tốt nghiệp với đề tài “Tìm hiểu về giao thức mạng riêng ảo Wireguard và thực nghiệm” nhằm khai thác được những khía cạnh và ưu điểm của giao thức này, giúp mọi người có cái nhìn tổng quan về giao thức mới Wireguard.
Học viện bưu viễn thơng Hà Nội ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VỀ GIAO THỨC MẠNG RIÊNG ẢO WIREGUARD VÀ THỰC NGHIỆM Ngành: An tồn thơng tin Mã số: 7.48.02.02 Sinh viên thực hiện: Nguyễn Minh anh Người hướng dẫn: TS Trần Thị Loan Khoa An toàn thơng tin – Học viện bưu viễn thơng Hà Nội, 2021 MỤC LỤC MỤC LỤC .i DANH MỤC KÍ HIỆU VÀ VIẾT TẮT iii DANH MỤC HÌNH ẢNH iv LỜI CẢM ƠN .vi LỜI MỞ ĐẦU vii Chương TỔNG QUAN VỀ VPN 1.1 Lịch sử phát triển 1.2 Định nghĩa VPN .3 1.3 Các thành phần tạo nên VPN .5 1.3.1 VPN Clients 1.3.2 VPN Server 1.3.3 Firewall 1.3.4 ISA Server 1.3.5 Giao thức Tunneling 1.4 Lợi ích hạn chế việc sử dụng VPN 11 1.4.1 Lợi ích 11 1.4.2 Hạn chế 13 1.5 Chức VPN 14 1.6 Phân loại mạng VPN 14 1.6.1 Mạng VPN truy nhập từ xa (Remote Access VPN) 15 1.6.2 Mạng VPN cục (Intranet VPN) .17 1.6.3 Mạng VPN mở rộng (Extranet) 18 1.7 Các giao thức sử dụng VPN .20 1.7.1 1.7.2 1.7.3 1.7.4 Bộ giao thức IPSec 20 Giao thức PPTP (Point-to-Point Tunneling Protocol) 22 Giao thức L2TP (Layer Tunneling Protocol) 23 Giao thức Secure Socket Tunneling Protocol (VPN-SSTP) 25 1.7.5 Giao thức SSL 27 1.8 Giải pháp phòng chống số công lên VPN 31 1.8.1 Phịng chống cơng BEAST 31 1.8.2 Phịng chống cơng xen 32 1.8.3 Phòng chống công từ chối dịch vụ SSL (SSL Dos Attack) 34 CHƯƠNG 2: GIAO THỨC MẠNG RIÊNG ẢO WIREGUARD 39 2.1 Giới thiệu chung giao thức mạng riêng ảo WireGuard 40 2.1.1 Định nghĩa 40 2.1.2 Lịch sử hình thành phát triển 41 2.1.3 Mục đích sử dụng giao thức mạng riêng ảo WireGuard .43 2.2 Đặc điểm giao thức mạng riêng ảo WireGuard 43 2.2.1 Mơ hình giao thức mạng riêng ảo WireGuard .43 2.2.2 Tính bảo mật mạng riêng ảo dựa WireGuard .45 2.2.3 Khả mở rộng giao thức .45 2.3 Nguyên lý hoạt động giao thức mạng riêng ảo WireGuard 46 2.4 Quá trình bắt tay truyền liệu 47 2.5 So sánh ưu, nhược điểm giao thức WireGuard với số giao thức VPN khác 50 2.5.1 Ưu điểm giao thức mạng riêng ảo WireGuard 50 2.5.2 Nhược điểm giao thức mạng riêng ảo WireGuard 52 2.5.3 So sánh giao thức mạng riêng ảo WireGuard với số giao thức VPN khác 53 CHƯƠNG 3: THỰC NGHIỆM TRIỂN KHAI GIAO THỨC MẠNG RIÊNG ẢO WIREGUARD 61 3.1 Mơ hình thực nghiệm 61 3.2 Triển khai thực nghiệm .62 3.2.1 Thiết lập Server 62 3.2.2 Thiết lập client 65 3.2.3 Bắt gói tin 68 3.3 Đánh giá kết thực nghiệm 70 KẾT LUẬN 72 TÀI LIỆU THAM KHẢO 73 PHỤ LỤC .74 DANH MỤC KÍ HIỆU VÀ VIẾT TẮT Viết tắt VPN PBX WAN LAN ISP HTTPS IPSEC L2TP PPP PPTP Đầy đủ Virtual Private Network Private Branch Exchange Wide Area Network Local Area Network Internet Service Provider Hypertext Transfer Ý nghĩa Mạng riêng ảo Tổng đài điện thoại Mạng diện rộng Mạng nội Nhà cung cấp dụng vụ Internet Giao thức truyền tải siêu văn Protocol Secure Internet Protocol Security Layer Tunneling bảo mật Giao thức Internet an toàn Protocol Point –to– Point Protocol Point-to-Point Tunneling Protocol Giao thức điểm – điểm Giao thức đường hầm điểm – điểm Chuẩn giao thức truyền thông TCP/IP QoS Giao thức đường hầm lớp mạng Internet Chất lượng dịch vụ Quality of Service DANH MỤC HÌNH Hình 1: Mơ hình kết nối VPN Hình 2: Đường hầm VPN Clients VPN Server Hình 3: Firewall cứng Hình 4: ISA Server Hình 5: VPN site to site 10 Hình 6: Giao thức xác thực 10 Hình 7: Mơ hình VPN truy cập từ xa 16 Hình 8: Mơ hình mạng VPN cục 17 Hình 9: Mơ hình VPN mở rộng .19 Hình 10: Đường hầm IPSec 21 Hình 11: Giao thức PPTP 22 Hình 12: Giao thức L2TP/IPSec 24 Hình 13: Giao thức SSTP 27 Hình 14: Chứng thư số SSL 29 Hình 15: Mơ tả công Beast attack 32 Hình 16; Mơ hình cơng xen .33 Hình 17: Dấu hiệu công xen 33 Hình 18: Mơ hình công từ chối dịch vụ SSL 34 Hình 19: Sử dụng cơng cụ THC-SSL-TOOL để cơng .35 Hình 20: Quá trình thỏa thuận kết nối bị lỗi 35 Hình 21: Hiển thị trình thỏa thuận kết nối bị lỗi 36 YHình 1: Biểu tượng Wireguard 40 Hình 2: Các dạng kết nối .43 Hình 3: Mơ hình kết nối sử dụng Wireguard .43 Hình 4: Quá trình bắt tay truyền liệu 47 Hình 5: Gói tin Request 48 Hình 6: Gói tin Response 48 Hình 7: Thơng điệp truyền liệu 49 Hình 8: Mã hóa Wireguard 50 YHình 1: Mơ hình triển khai Wireguard .57 Hình 2: Cài đặt Wireguard từ Internet 58 Hình 3: Tạo khóa cho server 59 Hình 4: Cấu hình wg0.conf 59 Hình 5: Tạo file cấu hình cho client 60 Hình 6: Cấu hình cho client Linux 61 Hình 7: Cài đặt Wireguard Android .61 Hình 8: Cấu hình Wireguard cho client Android 62 Hình 9: Máy Android kết nối đến Server 62 Hình 10: Kết nối thành cơng đến mạng Wireguard .63 Hình 11: Cài đặt Wireguard máy Linux kết nối đến Server 63 Hình 12: Kiểm tra kết nối Server .64 Hình 13: Truy cập mạng nội .64 Hình 14: Gói tin HTTP 64 Hình 15: Bát gói tin truyền thông client server 65 Hình 16: Gói tin mã hóa với Wireguard 65 LỜI CẢM ƠN Trong suốt trình học tập thực tập tốt nghiệp làm đồ án tốt nghiệp, em nhận quan tâm, hướng dẫn giúp đỡ tận tình thầy, giáo Học viện đặc biệt thầy, cô giáo Khoa An tồn thơng tin – Học viện bưu viễn thơng với giúp đỡ gia đình, bạn bè Lời đầu tiên, em xin bày tỏ lòng biết ơn sâu sắc đến Ban giám đốc Học viện, thầy, cô giáo Học viện đặc biệt thầy(cơ) giáo Khoa An tồn thơng tin tận tình giúp đỡ cho em suốt thời gian học Học viện Đặc biệt, em xin bày tỏ lòng biết ơn chân thành tới giảng viên TS Trần Thị Loan trực tiếp giúp đỡ, hướng dẫn em hồn thành đồ án Do trình độ kiến thức thực tế cịn hạn chế nên khơng thể tránh khỏi thiếu sót Vì thế, em mong nhận quan tâm, đóng góp thầy giáo để đồ án em hoàn chỉnh Những ý kiến, đóng góp thầy giúp em nhận hạn chế qua em có thêm nguồn tư liệu đường học tập công việc, nghiên cứu sau Em xin trân trọng cảm ơn! SINH VIÊN THỰC HIỆN ĐỒ ÁN Nguyễn Minh Anh LỜI MỞ ĐẦU Ngày nay, thời đại công nghệ thông tin ngày phát triển, nhu cầu sử dụng doanh nghiệp cá nhân ngày tăng lên không gian mạng số lượng chất lượng Đặc biệt, môi trường công ty, doanh nghiệp, việc giữ an tồn thơng tin cho cơng nhân viên công ty điều quan trọng Trong số giải pháp an toàn Google dirver, Webservice, Onedriver, … biện pháp bảo mật tốt mà đa phần công ty lớn dùng đến mạng riêng ảo VPN VPN giúp cho nhân viên dễ dàng truy cập vào mạng lưới cơng ty, thực thao tác tồn liệu cơng ty Nhờ thế, người dùng làm việc lúc, nơi mà không lo bị gián đoạn Bên cạnh đó, giao thức truy cập cịn mang tính bảo mật cao liệu không tiếp xúc trực tiếp với môi trường Internet Đa phần nay, giao thức hay sử dụng triển khai VPN OpenVPN, IPSec, … nhiên nhiều người dùng cho hai giao thức sử dụng chậm khó cấu hình quản lý cách Chính giao thức mạng riêng ảo VPN WireGuard đời nhằm mục đích khắc phục nhược điểm Việc triển khai giao thức WireGuard giúp cho doanh nghiệp sử dụng mạng VPN hiệu dễ dàng giúp thông tin trở nên an toàn Mục tiêu việc nghiên cứu thực đồ án tốt nghiệp với đề tài “Tìm hiểu giao thức mạng riêng ảo Wireguard thực nghiệm” nhằm khai thác khía cạnh ưu điểm giao thức này, giúp người có nhìn tổng quan giao thức Wireguard Đồ án tốt nghiệp chia thành 03 chương với nội dung sau: Chương 1: Tổng quan VPN Trình bày khái niệm, ứng dụng ưu nhược điểm hệ thống VPN có đặc biệt giao thức truyền thống sử dụng mạng VPN Chương 2: Giao thức mạng riêng ảo Wireguard Trình bày đặc điểm giao thức Wireguard phát triển với ưu điểm vấn đề tồn giao thức so sánh giao thức với số giao thức VPN truyền thống Chương 3: Thực nghiệm triển khai giao thức mạng riêng ảo Wireguard Trình bày mơ hình thực nghiệm bảo vệ hệ thống với VPN Wireguard thực nghiệm số tính giao thức Do thời gian có hạn kiến thức thực tế lĩnh vực rộng nên trình thực đồ án chắn khơng tránh khỏi thiếu sót Em mong nhận ý kiến đóng góp thầy để đồ án hoàn thiện Em xin chân thành cảm ơn! SINH VIÊN THỰC HIỆN ĐỒ ÁN Nguyễn Minh Anh # Tạo file cấu hình cho Client Sau cài đặt xong WireGuard vào server tạo file cấu hình cho client Ở thực nghiệm này, sử dụng hai client clinet Android client Linux Để tạo file cấu hình cho hai client sử dụng câu lệnh: Cho Android: python generate_client.py client_android Cho Linux: python generate_client.py client_linux Hình 5: Tạo file cấu hình cho client # Cấu hình client Server Trước tiên, cần đặt địa ip cho hai client sử dụng câu lệnh sau: sudo wg set wg0 peer SpwqYkZRlgJHwd3fGPAFieuB2Vs4V3Hxt+cBNYhfjBI= allowed-ips 10.200.200.2/32 65 sudo wg set wg0 peer /OqrvsJ6HAB76JnYbAfa8R1R0RsOTrsZv93+l4bEmWE= allowed-ips 10.200.200.3/32 sudo wg-quick save wg0 Câu lệnh thứ thứ hai nhằm thiếp lập giá trị private key cho VPN định dải địa ip phép truy cập là: 10.200.200.2/32 10.200.200.3/32 Sau sử dụng lệnh: sudo wg-quick save wg0 để lưu cấu hình vừa thiết lập cho wg0 confix Hình 6: Cấu hình cho client Linux Như đến đây, thiết lập xong Server, tiếp đến tiến hành thiết lập WireGuard Client ping client với Server vừa tạo 3.2.2 Thiết lập client Trên máy Android Để sử dụng WireGuard Android, bạn tải ứng dụng WireGuard Tunsafe Google Play điện thoại 66 Hình 7: Cài đặt Wireguard Android Ở thực nghiệm này, sử dụng trực tiếp WireGuard tải Google Play Để sử dụng Wireguard hệ điều hành Android cần phải import file cấu hình máy Server vào máy Trên thực tế nhiều cách để import liệu khác nhau, nhiên thực nghiệm sử dụng thông qua Website HTTP để tải file cấu hình tạo bước xuống Hình 8: Cấu hình Wireguard cho client Android #Kết nối máy Android vào server 67 Hình 9: Máy Android kết nối đến Server Sau import file cấu hình vào máy Android, phía Server hiển thị chấp nhận kết nối với client Để kiểm tra kết nối này, sử dụng máy Android truy cập vào Website nội VPN WireGuard (địa 10.200.200.1) Nếu bật WireGuard Android truy cập thành cơng vào địa website Hình 10: Kết nối thành công đến mạng Wireguard Trên Client Linux Để cài đặt WireGuard Linux sử dụng câu lệnh: Apk add –U wireguard-tools Sau cài đặt WireGuard lên máy Client Linux cần Import file cấu hình client tạo Server vào máy Linux thông qua câu lệnh: Tải cài đặt cấu hình: wget http://192.168.139.177:8888/client_linux.conf 68 Mở file cấu hình: cat client_linux.conf Hình 11: Cài đặt Wireguard máy Linux kết nối đến Server #Kiểm tra kết nối Server Lúc Client Linux kết nối đến Server kiểm tra Server chấp nhận hai Client kết nối Client Android Client Linux Hình 12: Kiểm tra kết nối Server #Kiểm tra kết nối từ client Linux đến mạng nội Sử dụng câu lệnh: wget http://10.200.200.1:5000/ Xem nội dung trang Web vừa truy cập sử dụng câu lệnh: less index.html 69 Hình 13: Truy cập mạng nội 3.2.3 Bắt gói tin Với gói tin sử dụng giao thức đơn giản DHCP, HTTP, sử dụng Wireshark để bắt gói tin ln nhận rõ nội dung gói tin (ví dụ hình ảnh 3.14): Hình 14: Gói tin HTTP Khi máy client kết nối đến Server sử dụng giao thức Wireguard Sử dụng phần mềm Wireshark để bắt gói tin truyền client server 70 Hình 15: Bát gói tin truyền thơng client server Chúng thấy gói tin truyền giao thức mạng riêng ảo Wireguard nội dung gói tin mã hóa Các q trình bắt tay thiết lập kết nối client server trước truyền tin thể rõ hỗ trợ nhận diện tự động gói tin Wireguard phần mềm Wireshark Các gói tin nhận diện mã hóa Hình 16: Gói tin mã hóa với Wireguard Khi gói tin mã hố đường truyền nên “tấn công dạng Man in the middle” khơng thể giải mã gói tin chúng khơng thể lấy khố để giải mã gói tin 71 3.3 Đánh giá kết thực nghiệm Mơ hình thực triển khai đầy đủ kết nối mã hóa giao thức WireGuard Hệ thống bao gồm máy tính chạy hệ điều hành Linux máy tính giả lập hệ điều hành Android Các máy tính Client kết nối thành cơng vào Server gói tin truyền thông máy hệ thống với Server mã hóa theo giao thức thử nghiệm WireGuard Tuy nhiên, việc gán địa cho client địa tĩnh, lợi việc sử dụng IP tĩnh việc kết nối nhanh người dùng khơng cần phải cấp lại IP Dựa vào đó, việc gán địa IP tĩnh gây nhiều bất cập việc quản lý IP, ghi nhớ kẻ cơng lợi dụng điểm yếu để công vào hệ thống VPN WireGuard giao thức phát triển nên tránh thiếu xót, cập nhập WireGuard ngày hồn thiện Có thể mong đợi VPN hệ 72 KẾT LUẬN CHƯƠNG Sau nghiên cứu hệ thống mạng VPN giao thức truyền thống sử dụng VPN, Chương làm rõ tính chất giao thức VPN WireGuard phát triển giới Chương triển khai thành cơng mơ hình VPN với WireGuard Mặc dù có nhiều ưu điểm so với VPN biết OpenVPN, IPsec thân giao thức WireGuard tồn nhiều nhược điểm (trình bày Chương 2) Giao thức WireGuard giao thức người sáng lập nhận khả phát triển tương lai có nhiều cập nhật tính đầy đủ cho giao thức 73 KẾT LUẬN Mạng riêng ảo có giá phải chăng, dễ sử dụng thành phần quan trọng thiết lập máy tính smartphone Cùng với tường lửa giải pháp diệt virus/anti-malware, cài đặt VPN để khoảnh khắc người dùng trực tuyến hoàn toàn riêng tư Khi sử dụng VPN, chạy OpenVPN IPsec, vốn tiêu chuẩn thống trị thời gian dài Tuy nhiên, WireGuard thay đổi thứ Nó mã hóa rõ ràng, kết nối tích tắc, sử dụng mật mã đại thử nghiệm hoạt động với thứ WireGuard chí cịn đưa vào Linux kernel 5.6 Linus Torvalds, người sáng tạo Linux cho biết, “So với nỗi kinh hoàng OpenVPN IPSec, tác phẩm nghệ thuật” Đồ án giới thiệu giao thức VPN WireGurad đặc điểm giao thức phát triển Đồ án thực thử nghiệm thành công cài đặt giao thức WireGuard thực nghiên cứu gói tin mã hóa sử dụng giao thức VPN WireGuard phát triển có nhiều ưu điểm đặc biệt việc thiết kế cài đặt cho người tìm hiểu VPN nói chung giao thức an tồn mạng ứng dụng VPN nói riêng Do thời gian có hạn nên đồ án thực môi trường giả lập chưa đưa thực hệ thống mạng thực tế Theo đánh giá chuyên gia bảo mật thiết kế giao thức Wireguard có nhiều điểm phát triển hồn thiện Trong thời gian tới, em nghiên cứu triển khai thử nghiệm môi trường mạng với số lượng máy lớn đánh giá hiệu so với số giao thức VPN truyền thống Em mong nhận góp ý thầy để đồ án tơi hồn thiện Em xin chân thành cảm ơn SINH VIÊN Nguyễn Minh Anh 74 TÀI LIỆU THAM KHẢO [1] Giáo trình: Giao thức An tồn mạng máy tính – Học viện Bưu viễn thơng [2] WireGuard: Next Generation Kernel Network Tunnel [3] Security Analysis of WireGuard MIT 6.857 Final Project Andrew He Baula Xu Jerry Wu Spring 2018 [4] https://www.wireguard.com/ [5] https://quantrimang.com/wireguard-vpn-la-gi-175529 [6] https://wiki.archlinux.org/title/WireGuard [7] https://www.researchgate.net/publication/345641555_Using_WireGuard_ VPN [8] http://www.vnpro.vn/ 75 PHỤ LỤC Cấu hình file cài đặt wireguard # Cài đặt WireGuard apk add -U wireguard-tools # Tải file cấu hình wget http://192.168.139.177:8888/client_linux.conf # Sửa file cấu hình vi /etc/wireguard/wg0.conf # Phân lại quyền cho file cấu hình (vì file cấu hình có private key nên khơng cho phép user khác root đọc file này) chmod 0600 /etc/wireguard/wg0.conf # Bật giao diện mạng wg0 wg-quick up wg0 Cấu hình server # Tạo key cho server wg genkey | tee server_pri cat server_pri | wg pubkey | tee server_pub # Chỉnh sửa file cấu hình wg0.conf # Bật giao diện mạng wg0 wg-quick up wg0 # Tạo file cấu hình cho Client 76 python generate_client.py client_android python generate_client.py client_linux # Cấu hình client cho Server sudo wg set wg0 peer SpwqYkZRlgJHwd3fGPAFieuB2Vs4V3Hxt+cBNYhfjBI= allowed-ips 10.200.200.2/32 sudo wg set wg0 peer /OqrvsJ6HAB76JnYbAfa8R1R0RsOTrsZv93+l4bEmWE= allowed-ips 10.200.200.3/32 sudo wg-quick save wg0 Cấu hình file wg0.conf [Interface] Address = 10.200.200.1/24 SaveConfig = true PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE ListenPort = 51820 77 PrivateKey = EHgzYpCRVDLb/kfIWeyf2649NBjDCWutNkQ1P4kDZUs= [Peer] PublicKey = SpwqYkZRlgJHwd3fGPAFieuB2Vs4V3Hxt+cBNYhfjBI= AllowedIPs = 10.200.200.2/32 [Peer] PublicKey = /OqrvsJ6HAB76JnYbAfa8R1R0RsOTrsZv93+l4bEmWE= AllowedIPs = 10.200.200.3/32 Cấu hình file client_linux.conf [Interface] Address = 10.200.200.3/24 PrivateKey = 2P5pQ6OiwOS4iKTMt+PCTnnAPAjIY1M7/hyqDzDo+U0= DNS = 8.8.8.8 [Peer] PublicKey = s37gDvd4xJfe9h8AKkFUtGF7ulctZwwtC6HrRLbEJhY= Endpoint = 192.168.139.177:51820 AllowedIPs = 10.200.200.0/24 PersistentKeepalive = 21 Cấu hình file client_android.conf 78 [Interface] Address = 10.200.200.2/24 PrivateKey = QBt0+IaeOXp7/k0yaktReY4AHEckPSofacEJ5vdGl2Q= DNS = 8.8.8.8 [Peer] PublicKey = s37gDvd4xJfe9h8AKkFUtGF7ulctZwwtC6HrRLbEJhY= Endpoint = 192.168.139.177:51820 AllowedIPs = 10.200.200.0/24 PersistentKeepalive = 21 79 ... dụng giao thức mạng riêng ảo WireGuard .43 2.2 Đặc điểm giao thức mạng riêng ảo WireGuard 43 2.2.1 Mơ hình giao thức mạng riêng ảo WireGuard .43 2.2.2 Tính bảo mật mạng riêng ảo dựa WireGuard. .. số giao thức VPN khác 50 2.5.1 Ưu điểm giao thức mạng riêng ảo WireGuard 50 2.5.2 Nhược điểm giao thức mạng riêng ảo WireGuard 52 2.5.3 So sánh giao thức mạng riêng ảo WireGuard. .. sánh giao thức với số giao thức VPN truyền thống Chương 3: Thực nghiệm triển khai giao thức mạng riêng ảo Wireguard Trình bày mơ hình thực nghiệm bảo vệ hệ thống với VPN Wireguard thực nghiệm
