Nhóm SV lớp AT4b HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN ĐỀ TÀI THỰC TẬP CƠ SỞ TÌM HIỂU MẠNG RIÊNG ẢO VPN SỬ DỤNG IPSEC ĐỂ BẢO MẬT Nhận xét của giảng viên hướng dẫn : . . . . . . . . . . . . . . . . . . . Học viện Kỹ thuật Mật mã1 Nhóm SV lớp AT4b MỤC LỤC Lời nói đầu …………………………………………………………………… .4 Tài liệu tham khảo ………………………………………………… ……………. 68 4 Tuy nhiên lượng thông tin được chia sẻ và trao đổi ngày càng lớn và trong đó cũng có rất có nhiều thông tin nhạy cảm quan trọng. Do đó, môi trường kết nối mở internet vô hình chung lại là một môi trường dễ dàng những kẻ xấu lợi dụng để tấn công khai thác những dữ liệu quan trọng hay thực hiện những mục đích phá hoại của chúng. Nhu cầu đặt ra là phải tìm ra các giải pháp tận dụng được những ưu điểm của cơ sở hạ tầng mạng công cộng để truyền thông một cách an toàn và hiệu quả. Mạng riêng ảo là một trong các giải pháp cho phép tạo ra các kết nối riêng an toàn trên mạng công cộng .6 Hiện nay, công nghệ mạng riêng ảo đã và đang được nghiên cứu và ứng dụng rất rộng rãi trong nước và trên thế giới. Với mục đích nghiên cứu các công nghệ mạng riêng ảo và khả năng ứng dụng của nó trong bảo mật thông tin trên mạng, nên nhóm chúng em chọn đề tài “tìm hiểu về mạng riêng ảo VPN trên nền IPSec” .6 Phần 1: Tổng quan về an toàn mạng máy tính8 Học viện Kỹ thuật Mật mã2 Nhóm SV lớp AT4b Chương1. Khái niệm chung về an toàn thông tin 8 Chương 2. Các nguy cơ đe doạ hệ thống thông tin 11 2.1. Các hiểm hoạ an toàn thông tin 11 2.2. Các mức bảo vệ an toàn mạng .13 2.2.1. Quyền truy nhập (Access Rights) 14 2.2.2. Đăng nhập/Mật khẩu (Login/Password) 14 2.2.3. Mã hóa dữ liệu (Data Encryption) 15 2.2.4. Bảo vệ vật lý (Physical Protection) 15 2.2.5. Bức tường lửa (Firewall) 16 Phần 2: Mạng riêng ảo VPN .17 (Virtual Private Network) 17 Chương I. Giới thiệu chung về Mạng riêng ảo 17 1.1. Các khái niệm cơ bản về mạng riêng ảo 17 1.1.1. Định nghĩa về Mạng riêng ảo 17 1.1.2. Một số ví dụ về Mạng riêng ảo 18 1.1.3. Những lợi ích cơ bản của Mạng riêng ảo 19 1.2. Các mô hình kết nối VPN thông dụng .21 1.2.1.VPN Truy cập từ xa (Remote Access VPN) 21 1.2.2. VPN Cục bộ (Intranet VPN) 24 1.2.3. Mạng riêng ảo mở rộng (Extranet VPN) 26 1.3. Những yêu cầu đối với Mạng riêng ảo .29 1.3.1. Bảo mật 29 1.3.2. Tính sẵn sàng và tin cậy 30 1.3.3. Chất lượng dịch vụ 31 1.3.4. Khả năng quản trị 32 1.3.5. Khả năng tương thích 32 1.4. Các giao thức VPN .34 1.4.1. L2TP 34 1.4.2. GRE 35 1.4.3. IPSec 35 1.4.4. Point to Point Tunneling Protocol (PPTP) 36 Chương 2: VPN ứng dụng giao thức IPSec .38 2.1. Kiến trúc an toàn IP (IPSec) .38 2.1.1. Giới thiệu chung và các chuẩn 38 2.1.2. Liên kết bảo mật IPSec (SA-IPSec) 41 2.1.3. Các giao thức của IPSec 43 2.1.3.1. Giao thức xác thực tiêu đề (AH) .43 2.1.3.2. Giao thức đóng gói tải bảo mật(ESP) .48 2.1.4. Các chế độ IPSec 52 2.1.4.1. Chế độ Transport 53 2.1.4.2. Chế độ Tunnel .54 2.1.5. Sự kết hợp giữa các SA 55 2.1.5.1. Kết hợp giữa AH và ESP trong chế độ Transport 55 2.1.5.2. Kết hợp AH và ESP ở chế độ Tunnel 56 Học viện Kỹ thuật Mật mã3 Nhóm SV lớp AT4b 2.2. Giao thức trao đổi khoá Internet 56 2.2.1. Giới thiệu chung và các chuẩn 56 2.2.2. Các yêu cầu quản lý khoá đối với IPSec 57 2.2.3. Pha thứ nhất của IKE 58 2.2.4. Pha IKE thứ II 61 2.2.5. Các chế độ IKE 62 2.2.5.1. Main Mode 62 2.2.5.2. Aggressive mode .63 2.2.5.3. Quick Mode .64 2.2.5.4. Chế độ New Group 65 2.3. Quá trình hoạt động của IPSec .65 2.4. Xử lý hệ thống IPSec/IKE 66 2.4.1. Xử lý IPSec cho đầu ra với các hệ thống máy chủ 66 2.4.2. Xử lý đầu vào với các hệ thống máy chủ Host 67 2.4.3. Xử lý đầu ra với các hệ thống cổng kết nối 67 2.4.4. Xử lý đầu vào với các hệ thống cổng kết nối 68 Tài liệu tham khảo ………………………………………………………………. 68 Học viện Kỹ thuật Mật mã4 Nhóm SV lớp AT4b LỜI NÓI ĐẦU Chúng ta đang sống trong một thời đại mới, thời đại phát triển rực rỡ của công nghệ thông tin, đặc biệt là công nghệ máy vi tính và mạng internet với sự bùng nổ của hàng ngàn cuộc cách mạng lớn nhỏ. Sự ra đời của Internet và những dịch vụ của nó đã mang lại cho con người rất nhiều những lợi ích to lớn, góp phần thúc đẩy nền kinh tế phát triển mạnh mẽ, đơn giản hóa những thủ tục lưu trữ, xử lý, trao chuyển thông tin phức tạp, liên lạc và kết nối giữa những vị trí, khoảng cách rất lớn một cách nhanh chóng, hiệu quả… và đã trở thành yếu tố không thể thiếu đối với sự phát triển của nền kinh tế, chính trị cũng như văn hóa, tư tưởng của bất kỳ quốc gia hay châu lục nào. Con người đã không còn bị giới hạn bởi những khoảng cách về địa lý, có đầy đủ quyền năng hơn để sáng tạo những giá trị mới vô giá về vật chất và tinh thần, thỏa mãn những khát vọng lớn lao của chính họ và của toàn nhân loại. Học viện Kỹ thuật Mật mã5 Nhóm SV lớp AT4b Tuy nhiên lượng thông tin được chia sẻ và trao đổi ngày càng lớn và trong đó cũng có rất có nhiều thông tin nhạy cảm quan trọng. Do đó, môi trường kết nối mở internet vô hình chung lại là một môi trường dễ dàng những kẻ xấu lợi dụng để tấn công khai thác những dữ liệu quan trọng hay thực hiện những mục đích phá hoại của chúng. Nhu cầu đặt ra là phải tìm ra các giải pháp tận dụng được những ưu điểm của cơ sở hạ tầng mạng công cộng để truyền thông một cách an toàn và hiệu quả. Mạng riêng ảo là một trong các giải pháp cho phép tạo ra các kết nối riêng an toàn trên mạng công cộng. Hiện nay, công nghệ mạng riêng ảo đã và đang được nghiên cứu và ứng dụng rất rộng rãi trong nước và trên thế giới. Với mục đích nghiên cứu các công nghệ mạng riêng ảo và khả năng ứng dụng của nó trong bảo mật thông tin trên mạng, nên nhóm chúng em chọn đề tài “tìm hiểu về mạng riêng ảo VPN trên nền IPSec”. Bản báo cáo này đề cập đến một vấn đề khá lớn và tương đối phức tạp, đòi hỏi nhiều thời gian và kiến thức về lý thuyết cũng như thực tế. Do thời gian nghiên cứu chưa được nhiều và trình độ bản thân còn hạn chế, nên bài làm của chúng em không tránh khỏi những khiếm khuyết. Em rất mong nhận được sự hướng dẫn, chỉ bảo của các thầy, cô giáo và sự đóng góp nhiệt tình của các bạn để giúp em bổ sung vốn kiến thức và có thể tiếp tục nghiên cứu đề tài nêu trên một cách tốt hơn, hoàn chỉnh hơn. Chúng em xin chân thành cám ơn! Học viện Kỹ thuật Mật mã6 Nhóm SV lớp AT4b Học viện Kỹ thuật Mật mã7 Nhóm SV lớp AT4b Phần 1: Tổng quan về an toàn mạng máy tính Chương1. Khái niệm chung về an toàn thông tin An toàn nghĩa là thông tin được bảo vệ, các hệ thống và những dịch vụ có khả năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi, các thay đổi tác động đến độ an toàn của hệ thống là nhỏ nhất. Hệ thống có một trong các đặc điểm sau là không an toàn: Các thông tin dữ liệu trong hệ thống bị người không được quyền truy nhập tìm cách lấy và sử dụng (thông tin bị rò rỉ). Các thông tin trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn) . Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống chỉ có thể cung cấp các thông tin có giá trị thực sự khi các chức năng của hệ thống đảm bảo hoạt động đúng đắn. Một trong những mục tiêu của an toàn bảo mật trong công nghệ thông tin là đưa ra một số tiêu chuẩn an toàn mà ứng dụng các tiêu chuẩn an toàn này giúp loại trừ hoặc giảm bớt các nguy hiểm. Do kỹ thuật truyền nhận và xử lý thông tin ngày càng phát triển đáp ứng cácyêu cầu ngày càng cao nên hệ thống chỉ có thể đạt tới độ an toàn nào đó. Quản lý an toàn và sự rủi ro được gắn chặt với quản lý chất lượng. Khi đánh giá độ an toàn thông tin cần phải dựa trên phân tích các rủi ro, tăng sự an toàn bằng cách giảm tối thiểu rủi ro. Các đánh giá cần hài hoà với đặc tính, cấu trúc hệ thống và quá trình kiểm tra chất lượng. Trong những năm gần đây, vấn đề bảo vệ thông tin (BVTT) được quan tâm rất lớn. Thông tin được tích luỹ, lưu trữ, xử lý và chuyển tải trong các hệ thống máy tính điện tử (MTĐT), ở đây thuật ngữ bảo vệ thông tin được hiểu là sự tạo lập trong các hệ thống MTĐT một tổ hợp có tổ chức các công cụ, các phương pháp và các biện pháp nhằm đảm bảo tính toàn vẹn, tính bí mật và tính sẵn sang dịch vụ của các thông tin được bảo vệ. Nội dung của vấn đề bảo vệ thong tin được hiểu như sau: Theo mức độ phát triển và phức tạp của các công cụ, các phương pháp và các dạng tự động Học viện Kỹ thuật Mật mã8 Nhóm SV lớp AT4b xử lý, tính dễ tổn thương của thông tin không ngừng tăng lên. Các nhân tố cơ bản làm tăng tính dễ tổn thương này bao gồm: 1. Sự tăng lên đột biến lượng thông tin tích lũy lưu trữ và xử lý nhờ máy tính điện tử và các phương tiện tự động khác (bùng nổ thông tin). 2. Sự tập trung trong những cơ sở dữ liệu thống nhất các thong tin với mục đích khác nhau và thuộc các sở hữu khác nhau. 3. Sự mở rộng không ngừng lớp khách hang sử dụng có tiếp cận trực tiếp với các tài nguyên hệ thống và các mảng dữ liệu chứa trong hệ thống. 4. Sự phức tạp của các chế độ hoạt động của các thiết bị tính toán trong hệ thống đa phương tiện (multimedia), phân chia thời gian và thời gian thực. 5. Tự động hoá sự trao đổi thong tin giữa các máy tính kể cả ở các khoảng cách xa (các mạng LAN, WAN, INTERNET…) Trong điều kiện như vậy xuất hiện 2 dạng tổn thương: Một mặt là khả năng làm biến dạng hoặc huỷ diệt thông tin một cách bất hợp pháp tức là tính bí mật thông tin bị tổn thương (có nguy cơ rò rỉ thông tin - bị lấy cắp, chặn bắt , đánh tráo…). Dạng tổn thương thứ 2 này gây ra mối lo ngại lớn cho các thuê bao và các nhà quản lý hệ thống. Người ta liệt kê các kênh của rò rỉ thong tin bao gồm: - Ăn cắp trực tiếp các vật mang và các tài liệu được xử lý trong các hệ thống. - Ghi nhớ hoặc sao chép các thông tin đang ở trong hệ thống hoặc ở trong các vật mang thông tin (đĩa, băng, tài liệu…) - Kết nối bất hợp pháp vào thiết bị hoặc đường truyền hoặc sử dụng bất hợp pháp các thiết bị của hệ thống (thường là các thiết bị đầu cuối và các máy trạm). - Tiếp cận trái phép thong tin nhờ các thiết bị đặc biệt về bảo đảm toán học và chương trình (hacker, virut…) - Chặn thu các sóng điện từ, bức xạ bởi các thiết bị của hệ thống trong quá trình xử lý và truyền dẫn thông tin. Như vậy, với nhiều kênh rò rỉ thông tin kể trên cần thiết phải có các công cụ, các phương pháp và các biện pháp đặc biệt để bịt kín các kênh rò rỉ và Học viện Kỹ thuật Mật mã9 Nhóm SV lớp AT4b ngăn chặn sự sử dụng bất hợp pháp các thông tin. Thiết lập và bảo đảm hoạt động cho các công cụ , các phương pháp à các biện pháp ấy chính là nội dung cơ bản của bảo vệ thông tin. Các hệ thông máy tính ngày càng trở nên phức tạp hơn về mặt kỹ thuật, do đó việc bảo đảm cho chúng hoạt động liên tục, sẵn sang phục vụ các yêu cầu của thuê bao ngày càng trở nên bức xúc. Bảo đảm tính sẵn sàng dịch vụ của thông tin cũng là nội dung quan trọng của bảo vệ thông tin. Học viện Kỹ thuật Mật mã10