1.6.1 Bảo mật trong VPN
Là rào chẵn vững chắc giữa mạng riêng và Internet. Bạn có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua. Một số sản phẩm dùng cho VPN như router 1700 của Cisco có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thích hợp. Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN.
Mật mã truy cập
Là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng và mật mã chung.
Mật mã riêng (Symmetric-Key Encryption)
Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng. Mã riêng yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã được.
Mật mã chung (Public-Key Encryption)
Kết hợp mã riêng và một mã công cộng. Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa. Có một ứng dụng loại này được dùng phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì.
Giao thức bảo mật giao thức Internet (IPSec)
Cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn.
IPSec có hai cơ chế mã hóa là Tunnel và Transport
Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước. Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được gia thức này. Ngoài ra, tất cả các thiết bị phải sử dụng một mã nguồn khóa chung và các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau. IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, firewall với router, Pc với router, Pc với máy chủ.
AAA là viết tắt của ba chữ Authentication ( thẩm định quyền truy cập) Authorization (cho phép) và Accounting ( kiểm soát ). Các server này được dùng để đảm bảo truy cập an toàn hơn. Khi yêu cầu thiết lập mộ kết nối được gửi tới từ máy khác, nó sẽ phải qua máy chủ AAA để kiểm tra. Các thông tin về những hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn.
1.6.2 Sự an toàn và tin cậy:
Sự an toàn của một hệ thống máy tính là một bộ phận của khả năng bảo trì một hệ thống đáng tin cậy được. Thuộc tính này của một hệ thống được viện dẫn như sự đáng tin cậy.
Có 4 yếu tố ảnh hưởng đến một hệ thống đáng tin cậy:
- Tính sẵn sàng: khả năng sẵn sàng phục vụ, đáp ứng yêu cầu trong khoảng thời gian. Tính sẵn sàng thường được thực hiện qua những hệ thống phần cứng dự phòng.
- Sự tin cậy: Nó định nghĩa xác xuất của hệ thống thực hiện các chức năng của nó trong một chu kỳ thời gian. Sự tin cậy khác với tĩnh sẵn sàng, nó được đo trong cả một chu kỳ của thời gian, nó tương ứng tới tính liên tục của một dịch vụ.
- Sự an toàn: Nó chỉ báo hiệu một hệ thống thực hiện những chức năng của nó chính xác hoặc thực hiện trong trường hợp thất bại một ứng xử không thiệt hại nào xuất hiện.
- Sự an ninh: Trong trường hợp này sự an ninh có nghĩa như một sự bảo vệ tất cả các tài nguyên của hệ thống .
Một hệ thống máy tính đáng tin cậy ở mức cao nhất là luôn bảo đảm an toàn ở bất kỳ thời gian nào. Nó bảo đảm không một sự va chạm nào mà không cảnh báo thông tin có cảm giác, lưu tâm đến dữ liệu có cảm giác có 2 khía cạnh để xem xét:
- Tính bí mật. - Tính toàn vẹn.
Thuật ngữ tính bảo mật như được xác định có nghĩa rằng dữ liệu không thay đổi trong một ứng xử không hơp pháp trong thời gian tồn tại của nó. Tính sẵn sàng, sự an toàn và an ninh là những thành phần phụ thuộc lẫn nhau. Sự an ninh bảo vệ hệ thống khỏi những mối đe dọa và sự tấn công. Nó đảm bảo một hệ thống an toàn luôn sẵn sàng và đáng tin cậy.
Sự an toàn của hệ thống máy tính phụ thuộc vào tất cả những thành phần của nó. Có 3 kiểu khác nhau của sự an toàn:
• Sự an toàn phần cứng
• Sự an toàn thông tin
• Sự an toàn quản trị
An toàn phần cứng: Những đe dọa và tấn công có liên quan tới phần cứng của hệ thống, nó có thể được phân ra vào 2 phạm trù:
• Sự an toàn vật lý
• An toàn bắt nguồn
Sự an toàn vật lý bảo vệ phần cứng trong hệ thống khỏi những mối đe dọa vật lý bên ngoài như sự can thiệp, mất cắp thông tin, động đất và ngập lụt. Tất cả những thông tin nhạy cảm trong những tài nguyên phần cứng của hệ thống cần sự bảo vệ chống lại tất cả những sự bảo vệ này.
An toàn thông tin: Liên quan đến tính dễ bị tổn thương trong phần mềm, phần cứng và sự kết hợp của phần cứng và phần mềm. Nó có thể được chia vào sự an toàn và truyền thông máy tính. Sự an toàn máy tính bao trùm việc bảo vệ của các đối tượng chống lại sự phơi bày và sự dễ bị tổn thương của hệ thống, bao gồm các cơ chế điều khiển truy nhập, các cơ chế điều khiển bắt buộc chính sách an toàn, cơ chế phần cứng, kỷ thuật, mã hóa… Sự an toàn truyền thông bảo vệ đối tượng truyền.
An toàn quản trị: An toàn quản trị liên quan đến tất cả các mối đe dọa mà con người lợi dụng tới một hệ thống máy tính. Những mối đe dọa này có thể là hoạt động nhân sự. Sự an toàn nhân sự bao trùm việc bảo vệ của những đối tượng chống lại sự tấn công tù những người dùng ủy quyền.
Mỗi người dùng của hệ thống của những đặc quyền để truy nhập những tài nguyên nhất định. Sự an toàn nhân sự chứa đựng những cơ chế bảo vệ chống lại những người dùng cố tình tìm kiếm được những đặc quyền cao hơn hoặc lạm dụng những đặc quyền của họ, cho nên sự giáo dục nhận thức rất quan trọng để nó thực sự là một cơ chế bảo vệ sự an toàn hệ thống. Thống kê cho thấy những người dùng ủy quyền có tỷ lệ đe dọa cao hơn cho một hệ thống máy tính so với từ bên ngoài tấn công. Những thông tin được thống kê cho thấy chỉ có 10% của tất cả các nguy hại
máy tính được thực hiện từ bên ngoài hệ thống, trong khi có đến 40% là bởi những người dùng trong cuộc và khoảng 50% là bởi người làm thuê.
1.7 Các yếu tố cơ bản đối với một giải pháp VPN
Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo.
1.7.1 Tính tương thích (Compatibility):
Mỗi công ty, mỗi doanh nghiệp điều được xây dựng các hệ thống mạng nội bộ và diện rộng của riêng mình dựa trên các thủ tục khác nhau và không tuân thủ theo một chuẩn nhất định của nhà cung cấp dịch vụ. Rất nhiều các hệ thống mạng không sử dụng các chuẩn TCP/IP vì vậy không thể kết nối trực tiếp với Internet. Để có thể sử dụng được IP VPN tất cả các hệ thống mạng riêng điều phải được chuyển sang một hệ thống địa chỉ theo chuẩn sử dụng trong Internet cũng như bổ sung các tính năng về tạo kênh kết nối ảo, cài đặt cổng kết nối Internet có chức năng trong việc chuyển đổi các thử tục khác nhau sang chuẩn IP .77% số lượng khách hàng được hỏi yêu cầu khi chọn một nhà cung cấp dịch vụ IP VPN phải tương thích với các thiết bị hiện có của họ.
1.7.2 Tính bảo mật (Security)
Tính bảo mật cho khách hàng là một yếu tố quan trọng nhất đối với giải pháp VPN. Người sử dụng cần được bảo đảm các dữ liệu thông qua mạng VPN đạt được mức độ an toàn giống như trong một hệ thống mạng dùng riêng do họ xây dựng và quản lý. Việc cung cấp tính năng bảo đảm an toàn cần đảm bảo hai mục tiêu sau:
- Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu cho người sử dụng trong mạng và mã hóa dữ liệu truyền.
- Đơn giản trong việc duy trì quản lý, sử dụng. Đòi hỏi thuận tiện và đơn giản cho người sử dụng cũng như nhà quản trị mạng trong việc cài đặt cung như quản trị hệ thống.
1.7.3 Tính khả dụng (Availability)
Một giải pháp VPN cần thiết phải cung cấp được tính bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền. Tiêu chuẩn về chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá của một mạng lưới có khả năng đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối. QoS liên quan đến khả năng đảm bảo độ trễ dich vụ trong một phạm vi nhất định hoặc liên quan đến cả hai vấn đề trên.
Mặc dù VPN đã xuất hiện trên thị trường khoảng 2 năm trở lại đây nhưng các tiêu chuẩn liên quan đến dịch vụ này vẫn chưa được tiêu chuẩn hóa một cách toàn diện, các nhà sản xuất thiết kế vẫn phát triển các tiêu chuẩn kỷ thuật tiêng của mình.
Vì vậy cần chú ý lựa chọn thiết bị nào trong khi phát triển mạng riêng ảo, cũng như đảm bảo tính đồng bộ của thiết bị sử dụng. Trên thế giới hiện có tới 60 giả pháp khác nhau liên quan đến.
2. CÁC GIAO THỨC KẾT NỐI TUNNEL TRONG VPN
Trong VPN có 3 giao thức chính để xây dựng một mạng riêng ảo hoàn chỉnh đó là:
- IPSEC (IP Security)
- PPTP (Point to Point Tuneling Protocol) - L2TP (Layer 2 Tunneling Protocol)
Tùy vào từng ứng dụng và mục đích cụ thể mà mỗi giao thức có thể có những ưu nhược điểm khác nhau khi triển khai vào mạng VPN.
Trong đồ án này sẽ thực hiện triển khai mô hình VPN trên máy ảo sử dụng giao thức PPTP nên chúng ta sẽ chỉ đi sâu nghiên cứu giao thức PPTP.
2.1 Giao thức IPSEC
IPSEC là sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu, và chứng thực dữ liệu giữa các thiết bị tham gia VPN. Các thiết bị này có thể là các host hoặc các Sercurity Gateway (Router, Firewalls, VPN concentralor,…) hoặc là giữa một host và một Gateway như trong trường hợp Remote Access VPN. IPSEC bảo vệ đa luồng dữ liệu giữa các Peers, và 1 Gateway có thể hỗ trợ đồng thời nhiều nguồn dữ liệu.
IPSEC hoạt động ở lớp mạng và sử dụng giao thức Internet Key Exchange (IKE) để thỏa thuận các giao thức giữa các bên tham gia và IPSEC sẽ phát khóa mã hóa và xác thực để dùng.
Vị trí của IPSEC trong mô hình OSI
Ưu , nhược điểm của IPSEC
o Ưu điểm:
- Khi IPSEC được triển khai trên bức tường lửa hoặc bộ định tuyến của một mạng riêng, thì tính năng an toàn của IPSEC có thể áp dụng cho toàn bộ vào ra mạng riêng đó mà các thành phần khác không cần phải sử lý thêm các công việc liên quan đến bảo mật.
- IPSEC được thực hiện bên dưới lớp TCP và UDP, đồng thời nó hoạt động trong suốt đối với các lớp này. Do vậy không cần phải thay đổi phần mềm hay cấu hình lại các dịch vụ khi IPSEC được triển khai.
- IPSEC có thể được cấu hình để hoạt động một cách trong suốt đối với các ứng dụng đầu cuối, điều này giúp che giấu những chi tiết cấu hình phứt tạp mà người dùng phải thực hiện khi kết nối đến mạng nội bộ từ xa thông qua mạng Internet.
o Nhược điểm:
- Tất cả các gói được xử lý theo IPSEC sẽ bị tăng kích thước do phải thêm vào các tiêu đề khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảm xuống. Vấn đề này có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kỹ thuật như vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa.
- IPSEC được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các dạng lưu lượng khác.
- Việc tính toán nhiều giải thuật phức tạp trong IPSEC vẫn còn là một vấn đề khó đối với các trạm làm việc và máy PC năng lực yếu.
- Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với chính phủ một số quốc gia.
2.2 Giao thức Point-to-Point Tunneling Protocol (PPTP) 2.2.1 Khái quát về PPTP 2.2.1 Khái quát về PPTP
PPTP là một giải pháp độc quyền cung cấp khả năng bảo mật giữa Remote Client và Enterprise Server bằng việc tạo ra một VPN thông qua một IP trên cơ sở mạng trung gian. Được phát triển bởi PPTP Consortium (Microsoft Corporation, Ascend Communications, 3COM, US Robotics, và ECI Telematics) , PPTP được đưa ra dựa trên yêu cầu VPNs thông qua mạng trung gian không an toàn. PPTP không những tạo ra điều kiện dễ dàng cho việc bảo mật các giao dịch thông qua TCP/IP trong môi trường mạng chung, mà còn qua mạng riêng intranet.
PPTP là một trong số nhiều kỹ thuật được sử dụng để thiết lập đường hầm cho những kết nối từ xa. Giao thức PPTP là một sự mở rộng của giao thức PPP cơ bản cho nên giao thức PPTP không hỗ trợ những kết nối nhiều điểm liên tục mà có nó chỉ hỗ trợ kết nối từ điểm tới điểm.
Mô hình VPN sử dụng giao thức PPTP
PPTP chỉ hỗ trợ IP, IPX, Net BEUI, PPTP không làm thay đổi PPP mà nó chỉ là giải pháp mới, một cách tạo đường hầm trong việc chuyên chở giao thông PPP.
Minh họa một gói tin PPTP
2.2.2 Bảo mật trong PPTP
PPTP đưa ra một số dịch vụ khác nhau cho PPTP client và server. Những dịch vụ này bao gồm các dịch vụ sau:
• Mã hóa và nén dữ liệu.
• Thẩm định quyền ( Authentication).
• Điều khiển truy cập ( Accsee control).
• Trích học Packet.
Ngoài các cơ chế bảo mật cơ bản nói trên, PPTP có thể được sử dụng kết hợp với firewall va router.
Mã hóa và nén dữ liệu PPTP
PPTP không cung cấp cơ chế mã hóa bảo mật dữ liệu. Thay vì nó dùng dịch vụ mã hóa được đưa ra bởi PPP. PPP lần lượt dùng Microsoft Point-to-Point Encryption (MPPE), đây là phương pháp mã hóa shared secret.
Phương pháp shared secret thường dùng trong mục đích mã hóa trong trường hợp PPP là ID của người dùng và nó tương ứng với mật khẩu. 40-bit session key thường dùng để mã hóa user. Thuật toán băm được dùng để cấp khóa là thuật toán RSA RC4. Khóa này được dùng để mã hóa tất cả dữ liệu được trao đổi qua tunnel. Tuy nhiên, 40- bit key thì quá ngắn và quá yếu kém đói với các kĩ thuật hack ngày nay. Vì thế, phiên bản 128-bit key ra đời. Nhằm làm giảm rủi ro, Microsoft đòi hỏi khóa phải được làm tươi sau 256 gói packet.
PPTP Data Authentication IP
Header HeaderGRE HeaderPPP (IP datagram, IPX datagram, NetBEUI frame)PPP Payload Encrypted
- MS-CHAP ( Microsoft Challenge Handshake Authentication Protocol). MS- CHAP là một phiên bản tùy biến của Microsoft của CHAP và được dùng làm phương pháp xác nhận cơ bản cho PPP. Bởi vì nó tương đối mạnh như CHAP, chức năng của MS-CHAP thì hoàn toàn tương tự CHAP. Hai điểm khác nhau chính giữa hai cơ chế này là CHAP dựa trên thuật toán hàm băm RSA MD5, MS-CHAP thì dựa trên RSA RC4 và DES. Vì lý do thực tế MS-CHAP đã phát triển đơn độc cho các sản phẩm của Microsoft ( Windows 9x và một số phiên bản Windows NT), nó không được hổ trợ