LUẬN VĂN TÌM HIỂU GIẢI PHÁP BẢO MẬT ỨNG DỤNG TRÊN VPN

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang	45
Dung lượng	1,31 MB

Nội dung

Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và đặc biệt là mạng Internet ngày càng phát triển đa dạng và phong phú. Các dịch vụ trên mạng Internet đã xâm nhập vào hầu hêt các lĩnh vực trong đời sống xã hội. Các thông tin trao đổi trên Internet cũng đa dạng cả về nội dung và hình thức, trong đó có rất nhiều thông tin cần bảo mật cao bởi tính kinh tê, tính chính xác và tin cậy của nó. Bên cạnh đó, những dịch vụ mạng ngày càng có giá trị, yêu cầu phải đảm bảo tính ổn định và an toàn cao. Tuy nhiên, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạp hơn, do đó đối với mỗi hệ thống, nhiệm vụ bảo mật đặt ra cho người quản trị là hêt sức quan trọng và cần thiêt. Giải pháp bảo mật trên VPN là giải pháp khả thi nhất vì vừa đảm bảo được những yêu tố bảo mật vừa bỏ ra chi phí vừa phải. Hiện nay VPN đang được sử dụng rất rộng rãi. Công nghệ này ngày càng phát triển. Đó là lí do tôi chọn đề tài “Tìm Hiểu Giải Pháp Bảo Mật Ứng Dụng Trên VPN”. Đề tài đem lại những lợi ích đáp ứng nhu cầu thiêt thực của xã hội. Việc đầu tiên nghĩ đên là thiêt kê mô hình mạng và áp dụng vào thưc tê, đảm bảo được tính bảo mật là điều mà đề tài quan tâm nhất. Từ đó đưa ra các giải pháp hợp lý với chi phí lắp đặt và sự phát triển của công nghệ ngày nay

ĐẠI HỌC ĐÀ NẴNG TRƯỜNG ĐẠI HỌC BÁCH KHOA KHOA CÔNG NGHỆ THÔNG TIN Tel (84-5113) 736 949, Fax (84-5113) 842 771 Website: itf.ud.edu.vn, E-mail: cntt@edu.ud.vn LUẬN VĂN TỐT NGHIỆP KỸ SƯ NGÀNH CÔNG NGHỆ THÔNG TIN MÃ NGÀNH : 05115 ĐỀ TÀI : TÌM HIỂU GIẢI PHÁP BẢO MẬT ỨNG DỤNG TRÊN VPN Mã số : 06T3 - 004 Ngày bảo vệ : 15,16/6/2011 SINH VIÊN : LỚP : CBHD : LÊ QUÝ CÔNG 06T3 NGUYỄN THẾ XUÂN LY ĐÀ NẴNG, 06/2011 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN LỜI CẢM ƠN Trước tiên em xin gửi lời cám ơn chân thành sâu sắc tới thầy cô giáo trường Đại học Bách Khoa Đà Nẵng nói chung thầy giáo khoa Cơng Nghệ Thơng Tin nói riêng tận tình giảng dạy, truyền đạt cho em kiến thức, kinh nghiệm quý báu suốt thời gian qua Đặc biệt em xin gửi lời cảm ơn đến thầy Nguyễn Thế Xuân Ly, thầy tận tình giúp đỡ, trực tiếp bảo, hướng dẫn em suốt trình làm đồ án tốt nghiệp Trong thời gian làm việc với thầy, em không ngừng tiếp thu thêm nhiều kiến thức bổ ích mà học tập tinh thần làm việc, thái độ nghiên cứu khoa học nghiêm túc, hiệu quả, điều cần thiết cho em q trình học tập cơng tác sau Sau xin gửi lời cảm ơn chân thành tới gia đình, bạn bè động viên, đóng góp ý kiến giúp đỡ trình học tập, nghiên cứu hoàn thành đồ án tốt nghiệp LỜI CAM ĐOAN Tôi xin cam đoan : Những nội dung luận văn thực hướng dẫn trực tiếp thầy Nguyễn Thế Xuân Ly Mọi tham khảo dùng luận văn trích dẫn rõ ràng tên tác giả, tên cơng trình, thời gian, địa điểm công bố Mọi chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, tơi xin chịu hồn tồn trách nhiệm Sinh viên Lê Quý Công MỤC LỤC CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 1.1 Giớ thiệu về bảo mật mạng Internet .2 1.1.1 Nguy làm mất an toàn thông tin mạng 1.1.2 Yêu cầu của bảo mật 1.1.3 Các giải pháp về bảo mật .3 1.2 Giới thiệu công nghệ VPN 1.2.1 Lịch sử hình thành và phát triển của mạng VPN 1.2.2 Định ngĩa VPN 1.2.3 Nguyên tắc hoạt động của VPN 1.2.4 Các chức năng, ưu và nhược điểm của VPN 1.2.5 Các kiểu VPN Router Cisco, Fix, ASA CHƯƠNG 2: BẢO MẬT TRÊN VPN .12 2.1 Các kiểu xác thực VPN 12 2.1.1 Xác thực nguồn gốc dữ liệu .12 2.1.2 Xác thực tính toàn vẹn dữ liệu 15 2.2 Mã hóa 19 2.2.1 Thuật toán mã hóa bí mật(đối xứng) 20 2.2.2 Thuật toán mã hóa công cộng 27 2.3 Public Key Infrastructure 30 2.3.1 Tổng quan về PKI 30 2.3.2 PKI 31 2.3.3 Cơ sở hạ tầng của PKI .33 2.4 Các giao thức VPN .36 2.4.1 Kỹ thuật Tunneling 36 2.4.2 Các giao thức .39 2.4.3 IPSec 41 CHƯƠNG 3: THIẾT KẾ MẠNG DMVPN CHO DOANH NGHIỆP TRÊN CÔNG NGHỆ CISCO .50 3.1 Tìm hiểu các yêu cầu thực tê .50 3.1.1 Yêu cầu của đối tượng doanh nghiệp 50 3.1.2 Yêu cầu của người quảng trị mạng 50 3.2 Phân tích yêu cầu 50 3.2.1 Phần sơ đồ mạng VPN .50 3.2.2 Phần chức của mạng VPN 50 3.3 Tìm hiểu và phân tích hệ thống 51 3.3.1 Thiêt kê sơ đồ vật lý 53 3.3.2 Thiêt kê sơ đồ IP 55 3.4 Triển khai 57 3.4.1 Triển khai 57 3.4.2 Cấu hình DMVPN kêt nối trụ sở chính với các chi nhánh 58 3.4.3 Kiểm thử bảo mật mô hình .59 3.4.4 Giải pháp phát triển lai .61 DANH MỤC HÌNH Hình 1: Mô hình VPN thông thường Hình 2: Hệ thống đáp ứng thách đố người dùng 13 Hình 3: Hàm băm thông dụng MD5, SHA-1 16 Hình 4: Cấu trúc bản của MD5/SHA .17 Hình 5: Xác thực tính toàn vẹn dữ liệu dựa xác thực bản tin MAC .18 Hình 6: Chữ ký số 19 Hình 7: Thuật toán mã hóa bí mật 21 Hình 8: Sơ đồ thuật toán DES .22 Hình 9: Mạng Fiestel 23 Hình 10: Phân phối khóa hệ thống mật mã khóa đối xứng 24 Hình 11: Quá trình tạo khóa DES .25 Hình 12: Quá trình mã hóa qua key của 3DES 26 Hình 13: Thuật toán mã hoá khóa công cộng 27 Hình 14: Dữ liệu được trao đổi dựa thuật toán Rivest Shamir Adleman 29 Hình 15: Quá trình thiêt lập tunnel 36 Hình 16: Thiêt lập đường hầm thông tin 38 Hình 17: Truyền dữ liệu qua đường hầm 38 Hình 18: Định dạng gói tin VPN 38 Hình 19: IPSec phases 43 Hình 20: IP Packet được bảo vệ ESP Transport Mode 46 Hình 21: IP Packet được bảo vệ ESP Tunnel Mode 46 Hình 22: IP Packet được bảo vệ AH 47 Hình 23: IP Packet được bảo vệ AH Transport Mode .47 Hình 24: IP Packet được bảo vệ AH Tunnel Mode 47 Hình 25: Transport và Tunnel mode IPSec so với gói tin thông thường 49 Hình 26: Sơ đồ hệ thống mạng DMVPN cho doanh nghiệp 51 Hình 27: Sơ đồ vật lý của hệ thống mạng .53 Hình 28: Sơ đồ IP của hệ thống mạng 55 Hình 29: Sơ đồ mạng DMVPN cho doanh nghiệp 57 Hình 30: Thực hiện ping từ R đên địa IP Đà Nẵng 59 Hình 31: Thực hiện ping user từ Đà Nẵng đên router DTNN 60 Hình 32: Ping từ user Đà nẵng đên Server 60 Hình 33: Lệnh show ip route 60 Hình 34: Bắt được gói tin Hello đã mã hóa của giao thức EIGRP 61 DANH MỤC BẢNG Bảng 1: Bảng kêt nối vật lý của Router Hà Nội 54 Bảng 2: Bảng kêt nối vật lý của Router TP Hồ Chí Minh .54 Bảng 3: Bảng kêt nối vật lý của Router Đà Nẵng 54 Bảng 4: Bảng kêt nối vật lý của Router đối tác nước ngoài 55 Bảng 5: Bảng cấu hình địa IP cho router R-HANOI .56 Bảng 6: Bảng cấu hình địa IP cho router R-HCM 56 Bảng 7: Bảng cấu hình địa IP cho router R-DANANG 56 Bảng 8: Bảng cấu hình địa IP cho router R-World 56 Bảng 9: Tham số máy ảo Window XP .58 Bảng 10: Tham số máy ảo Window server 2003 .58 Bảng 11: Bảng cấu hình địa IP của các router 59 Tìm hiểu giải pháp bảo mật ứng dụng VPN Hình 4: Cấu trúc bản của MD5/SHA Việc xử lý theo khối này cho phép tính giá trị hash của các bản tin lớn theo kiểu nối tiêp Vector khởi tạo IV (initialization Vector) và giá trị hash:  Ngoài 512 bit khối dữ liệu đầu vào, hàm băm yêu cầu vector khởi tạo IV có kích thước kích thước của hash (128 bit đối với MD5, 160 bit đối với SHA-1)  Trong vòng đầu tiên, IV lấy giá trị định nghĩa trước các chuẩn MD5, SHA Một giá trị hash được tính dựa khối 512 bit đầu vào đầu tiên Giá trị hash này đóng vai trò IV vòng thứ hai Quá trình tiêp tục với giá trị hash vòng trước là IV của vòng sau Sau khối dữ liệu 512 bit cuối được xử lý thì giá trị hash tính được là MD của toàn bản tin 2.1.2.3 Mã xác thực bản tin MAC (Message Authentication Code) Lý xây dựng mã xác thực bản tin MAC là vì bản thân MD không cung cấp bất kỳ bảo vệ nào chống lại việc thay đổi bất hợp pháp nội dung của bản tin Khi người nào đó thay đổi nội dung của bản tin đường truyền thì có thể tính lại giá trị hash MD5 SHA dựa nội dung của bản tin đã thay đổi đó và vậy tại phía thu, giá trị hash hoàn toàn hợp lệ MAC là phương pháp bảo vệ chống sửa đổi bất hợp pháp nội dung của bản tin MAC được thực hiện dựa hàm băm chiều kêt hợp với khoá bí mật Lê Quý Công – Lớp 06T3 Trang 17 Báo cáo đồ án tốt nghiệp Hình 5: GVHD : KSGV.Nguyễn Thế Xuân Ly Xác thực tính toàn vẹn dữ liệu dựa xác thực bản tin MAC Để giải quyêt vấn đề này, MAC sử dụng khóa bí mật quá trình tính MD của bản tin thì mới đảm bảo chống lại những những thay đổi bất hợp pháp Phía phát, nơi có khóa bí mật tạo giản lược thông điệp hợp lệ (valid MD) và được gọi là mã xác thực bản tin MAC Phía thu sử dụng khóa bí mật, khóa bí mật để xác định tính hợp lệ của bản tin cách tính lại giá trị MAC và so sánh với giá trị MAC mà phía phát truyền tới Thông thường giá trị MAC cuối được tạo cách cắt ngắn giá trị hash thu được MD5 (128 bit) hay SHA-1 (160 bit) x́ng cịn 96 bit Mặc dù việc cắt giảm này làm giảm đáng kể số các tổ hợp cần thử đối với tấn công kiểu brute force, nó có tác dụng che dấu trạng thái bên của thuật toán băm và khó khăn rất nhiều cho người tấn công để có thể từ đầu của vòng băm thứ hai tới kêt quả trung gian của vòng băm thứ nhất Phương pháp mã xác thực tính toàn vẹn sử dụng MAC có ưu điểm là thực hiện nhanh và hiệu quả vì việc tạo MAC dựa hàm băm tương đối đơn giản, đó thường được sử dụng để xác thực các cụm dữ liệu tốc độ cao (sử dụng cho các gói tin IPSec) Nhược điểm của phương pháp này là phía thu phải biêt được khóa bí mật thì mới kiểm tra được tính toàn vẹn của bản tin, dẫn đên vấn đề phải phân phối khoá cách an toàn 2.1.2.4 Chữ ký số (Digital Signature) Lê Quý Công - Lớp 06T3 Trang 18 Tìm hiểu giải pháp bảo mật ứng dụng VPN Chữ ký số là phương pháp khác để để bảo vệ chống sửa đổi bất hợp pháp nội dung bản tin Chữ ký số được thực hiện cách mật mã giá trị hash thu được từ hàm băm chiều Giá trị hash (MD5 SHA) của bản tin được mật mã với khóa bí mật của phía phát để tạo thành chữ ký số và được truyền với bản tin tương ứng Hình 6: Chữ ký số Phía thu tính lại mã hash từ bản tin thu được, đồng thời giải mã chữ ký số kèm với bản tin Nêu giá trị giải mã trùng khớp với giá trị hash tính được thì kêt luận được tính toàn vẹn của bản tin, vì có phía phát mới có khoá bí mật để mật mã chữ ký đó Do khoá công cộng được phân phối rộng rãi, nên bất cứ người dùng nào có thể xác định tính toàn vẹn của bản tin Phương pháp này tránh được vấn đề phân phối khóa an toàn, quá trình mật mã và giải mã sử dụng khóa bí mật/công khai thực hiện rất chậm Vì vậy phương pháp này được sử dụng để xác thực đối tác tại thời điểm ban đầu của phiên trao đổi thông tin 2.2 Mã hóa Mã hóa được thực hiện dựa hai thành phần: đó là thuật toán và khóa Một thuật toán mã hoá là chức toán học nối phần văn bản hay các thông tin dễ hiểu với chuỗi các số gọi là khóa để tạo văn bản mật mã khó hiểu Lê Quý Công – Lớp 06T3 Trang 19 Báo cáo đồ án tốt nghiệp GVHD : KSGV.Nguyễn Thế Xuân Ly Có rất nhiều thuật toán mã hóa khác nhau, có vài thuật toán mã hóa đặc biệt không sử dụng khóa có sẵn với các thuật toán sử dụng các khóa được sử dụng nhiều Mã hóa hệ thống khóa bản cung cấp hai ưu điểm quan trọng đó là:  Bằng việc dùng khóa thì có thể sử dụng thuật toán để truyền thông với nhiều người, người dùng sử dụng khóa  Nêu bản tin được mã hóa bị bẻ gãy, cần chuyển khoá mới để bắt đầu mã hóa bản tin đó lại mà không cần phải đổi thuật toán mới để thực hiện quá trình đó  Một thuật toán mã hóa tốt phải có được các tính chất:  Bảo mật chống lại các tấn công tới cryptographic  Khả mở rộng, các chiều dài khóa thay đổi  Bất kỳ thay đổi tới văn bản lối vào mã hóa làm thay đổi lớn lối đã được mã hóa  Không hạn chê nhập vào hay xuất Có nhiều kiểu thuật toán mã hoá khác được sử dụng Tuy nhiên, có hai kiểu thuật toán mã hoá sử dụng khóa được dùng phổ biên đó là: thuật toán mã hóa khóa bí mật (secret key) hay cịn gọi là mã hóa đới xứng (symmetric) và thuật toán mã hóa khoá công cộng (Public key) Số khóa mà thuật toán có thể cung cấp phụ thuộc vào số bit khóa Ví dụ: khoá dài bit cho phép có 8=256 khóa, khóa dài 40 bit cho phép có 240 khóa Số khóa càng lớn thì khả bản tin đã được mã hóa bị bẻ khóa càng thấp Mức độ khó phụ thuộc vào chiều dài của khóa 2.2.1 Thuật toán mã hóa bí mật(đối xứng) Tḥt toán đới xứng được định nghĩa là thuật toán khóa chia sẻ sử dụng để mã hóa và giải mã bản tin Các thuật toán mã hóa đối xứng sử dụng chung khóa để mã hóa và giải mã bản tin, điều đó có nghĩa là cả bên gửi và bên nhận đã thoả thuận, đồng ý sử dụng khóa bí mật để mã hóa và giải mã Khi ta có nhiều sự trao đổi với N người khác thì ta phải giữ và dấu N khóa bí mật với khóa được dùng cho sự trao đổi Lê Quý Công - Lớp 06T3 Trang 20 Tìm hiểu giải pháp bảo mật ứng dụng VPN Hình 7: Thuật toán mã hóa bí mật Ưu điểm của mã hóa khóa đối xứng:  Thuật toán này mã hóa và giải mã rất nhanh, phù hợp với khối lượng lớn thông tin  Chiều dài khóa từ 40÷168 bit  Các tính toán dễ triển khai phần cứng  Người gửi và người nhận chia sẻ chung mật  Do hai bên chiêm giữ khoá giống nên đều có thể tạo và mã hoá và cho là người khác gửi bản tin đó Điều này gây nên cảm giác không tin cậy về nguồn gốc của bản tin đó Một số thuật toán đối xứng DES (Data Encryption Standard) có độ dài khoá là 56 bit, 3DES có độ dài khoá là 168 bit và AES (Advanced Encryption Standard) có độ dài khoá là 128 bit, 256 bit 512 bit Tất cả các thuật toán này sử dụng khoá để mã hóa và giải mã thông tin 2.2.1.1 Thuật toán DES Thuật toán DES được đưa vào năm 1977 tại Mỹ và đã được sử dụng rất rộngrãi Nó là sở để xây dựng thuật toán tiên tiên là 3DES Hiện nay, DESvẫn được sử dụng cho những ứng dụng không đòi hỏi tính an toàn cao, và chuẩn mậtmã dữ liệu mới là AES chưa chính thức thay thê nó DES mã hóa các khối dữ liệu 64 bitvới khóa 56 bit Sơ đồ thuật toán DES cho hình dưới: Lê Quý Công – Lớp 06T3 Trang 21 Báo cáo đồ án tốt nghiệp GVHD : KSGV.Nguyễn Thế Xuân Ly Hình 8: Sơ đồ thuật toán DES Trước hêt 64 bit T đưa vào được hoán vị phép hoán vị khởi tạo IP (InitialPermutation), không phụ thuộc vào khóa T 0= IP(T) Sau thực hiện 16 vòng lặp, dữliệu được qua các bước hoán vị đảo RP (Reversed Permulation) và tạo thành khốiciphertext Thực chất các hoán vị này không là tăng tính an toàn DES.Trung tâm của vòng lặp xử lý DES là mạng Fiestel (được đặt theo tên củamột nhà khoa hoc tại IBM) Hoạt động của mạng Fiestel được diễn tả sau: T =L0R0 với L0= t1…t32, R0= t33…t64 Xét vòng lặp thứ i (0

Ngày đăng: 03/12/2021, 09:52