c. SIP Server
4.5. Giải phỏp bảo mật cho hệ thống mạng VPN của VPBank
4.5.1. Phõn tớch cỏc giải phỏp cho ngành ngõn hàng
Giới thiệu về Brekeke Software, Inc
Là cụng ty chuyờn về cỏc sản phẩm điện thoại VoIP theo chuẩn SIP, Brekeke Software, Inc. được sỏng lập vào năm 2002 ở San Mateo, California. Tập trung vào việc phỏt triển phần mềm điện thoại chất lượng cao và cài đặt cỏc hệ thống VoIP mới ở nhiều cụng ty với quy mụ khỏc nhau, Brekeke đang trở thành một cụng ty dẫn đầu trong thị trường IP-PBX và phần mềm mỏy chủ SIP. Cỏc sản phẩm chớnh của họ, OnDO PBX và OnDO SIP Server chạy trờn cỏc hệ nền Microsoftđ Windowsđ 2000/XP, Red Hatđ Linuxđ 8.x/9.x.
Brekeke SIP Server - SIP Proxy, Registrar Server
Phần mềm dựa trờn giao thức SIP (Session Initiation Protocol). Brekeke SIP Server cung cấp nền tảng kết nối tin cậy, an toàn và từng nấc cho doanh nghiệp và nhà cung cấp dịch vụ.
Nú được xỏc định trờn SIP cơ bản với đặc tả RFC 3261, Brekeke SIP Server cung cấp chức năng của SIP Registrar Server, SIP Redirect Server và SIP Proxy Server.
Nú là SIP Server đầy đủ vận hành bằng cỏch tối ưu húa quỏ trỡnh xử lý, điều khiển cuộc gọi. Brekeke SIP Server cỏc hệ điều hành Window, Linux, Solaris, Linux[13].
Hỡnh 4.9: Mụ hỡnh kết nối cỏc LAN qua internet
Hỡnh 4.10: Mụ hỡnh kết nối cỏc LAN qua VPN
4.5.2. Cài đặt và triển khai hệ thống Brekeke SIP Server
SIP server sử dụng trong bài bỏo cỏo này là Brekeke SIP server Version 2.3.7.4. Bạn cú thể tải về từ địa chỉ: http://www.brekeke.com đớnh kốm Product ID qua địa chỉ email khi bạn đăng ký. Trước khi cài đặt phần mềm này, bạn cần phải cài đặt Java Virtual Machine được tải miễn phớ trờn trang web: http://www.java.sun.com.
Giả sử một mụ hỡnh kết nối 3 PC (1 PC làm SIP server đặt tại HO, 1 PC cài Softphone X-lite đặt tại HO, 1 PC cài Softphone X-lite đặt tại phũng giao dịch, 3 router kết nối HO, chi nhỏnh cấp 1 và phũng giao dịch). Mụ hỡnh kết nối được vẽ dưới đõy:
Hỡnh 4.11: Kết nối thiết bị với Router
Cấu hỡnh cho PC:
Cài đặt phần mềm Brekeke SIP server cho PC 1. Đặt địa chỉ cho PC: Đặt địa chỉ: 192.168.0.1; Subnet mask: 255.255.255.0; Default gateway: 192.168.0.3. Chạy ứng dụng Brekeke SIP server, chương trỡnh đũi hỏi bạn phải kết nối internet. Sau khi chạy ứng dụng thành cụng sẽ xuất hiện màn hỡnh login qua web, user và password mặc định là “sa”[13].
Hỡnh 4.12: Màn hỡnh đăng nhập Brekeke SIP server
Sau khi đăng nhập thành cụng sẽ hiển thị màn hỡnh SIP server đó được Active:
Hỡnh 4.13: Màn hỡnh trạng thỏi đăng nhập thành cụng
Sau đú bạn tiến hành cỏc thao tỏc tựy biến trờn SIP server như sau: Màn hỡnh tạo User:
Hỡnh 4.14: Màn hỡnh tạo User
Tương tự tạo user tiếp theo: User: 102; Name: TTTH_Hoatvs.
Softphone 1 được cài phần mềm X-lite. PC được đặt địa chỉ IP: 192.168.0.2; Subnet mask: 255.255.255.0; Default gateway: 192.168.0.3; Sau khi cài đặt ta vào phần Sip account setting/add điền cỏc thụng tin giống như đó đăng ký trờn SIP server
(user: TTTH_Hoanvs, password: hoanvs). Trong phần Domain đặt địa chỉ IP của SIP server. Sau đú chọn OK.
Tương tự đối softphone 2 đặt tại phũng giao dịch: Đặt địa chỉ IP cho PC: 192.168.3.2; Subnet mask: 255.255.255.0; Default gateway: 192.168.3.1; Cấu hỡnh cho softphone: với User: TTTH_hoatvs, Password: hoatvs.
Cấu hỡnh cho Router: Router A:
Gỏn địa chỉ interface Ethernet 0/0: 192.168.0.3 Subnet mask: 255.255.255.0 Gỏn địa chỉ interface Serial 0/0: 192.168.1.1 Subnet mask: 255.255.255.0 Sử dụng giao thức định tuyến Rip chi tiết:
RA(config-if)# interface fastEthernet 0/0
RA(config-if)# ip address 192.168.0.3 255.255.255.0 RA(config-if)# no shutdown
RA(config)# interface Serial 0/0
RA(config-if)# ip address 192.168.1.1 255.255.255.0 RA(config-if)# clock rate 64000
RA(config-if)# no shutdown RA(config)# router rip
RA(config-router)# network 192.168.1.0 RA(config-router)# network 192.168.0.0 RA(config-router)# end
Router B:
Gỏn địa chỉ interface Serial 0/0: 192.168.1.2 Subnet mask: 255.255.255.0 Gỏn địa chỉ interface Serial 0/1: 192.168.2.1 Subnet mask: 255.255.255.0 Sử dụng giao thức định tuyến Rip như sau:
RB(config)# interface Serial 0/0
RB(config-if)# ip address 192.168.1.2 255.255.255.0 RB(config-if)# clock rate 64000
RB(config-if)# no shutdown RB(config)# interface Serial 0/1
RB(config-if)# clock rate 64000 RB(config-if)# no shutdown RB(config)# router rip
RB(config-router)# network 192.168.1.0 RB(config-router)# network 192.168.2.0 RB(config-router)# end
Router C:
Gỏn địa chỉ interface Ethernet 0/0: 192.168.3.1 Subnet mask: 255.255.255.0 Gỏn địa chỉ interface Serial 0/0: 192.168.2.2 Subnet mask: 255.255.255.0 Sử dụng giao thức định tuyến Rip như sau:
RC(config-if)# interface fastEthernet 0/0
RC(config-if)# ip address 192.168.3.1 255.255.255.0 RC(config-if)# no shutdown
RC(config)# interface Serial 0/0
RC(config-if)# ip address 192.168.2.2 255.255.255.0 RC(config-if)# clock rate 64000
RC(config-if)# no shutdown RC(config)# router rip
RC(config-router)# network 192.168.2.0 RC(config-router)# network 192.168.3.0 RC(config-router)# end
Thực hiện cuộc gọi: Sau khi 2 softphone đó đăng ký với SIP server, ta cú thể thực hiện cuộc gọi. Vớ dụ tại Softphone 2 ta nhập: TTTH_Hoanvs@192.168.0.2 và gọi thỡ tại softphone1 (user: TTTH_Hoanvs) sẽ nhận được chuụng bỏo và ta cú thể thực hiện cuộc gọi bỡnh thường.
Trường hợp từ softphone gọi ra điện thoại PSTN ta phải cú Gateway kết nối với mạng PSTN và cấu hỡnh cho SIP server vào phần “Dial plan” đặt chọn 0 là để gọi ra ngoài PSTN.
4.6. Vấn đề bảo mật cho mạng VPN 4.6.1. Giới thiệu 4.6.1. Giới thiệu
Ngày nay cỏc doanh nghiệp phỏt triển khụng tập chung mà cú nhiều chi nhỏnh ở nhiều nơi khỏc nhau với như cầu trao đổi dữ liệu giữa cỏc chi nhỏnh và trung tõm lại rất lớn. Vấn đề kết nối cỏc chi nhỏnh với trung tõm qua đường đường line riờng rất phức tạp và nhiều hạn chế. Trong khi mạng internet lại phỏt triển rất mạnh nờn nảy sinh ra mạng VPN để kết nối cỏc chi nhỏnh với nhau rẻ và ổn định cao.
Cú nhiều cỏch phõn loại VPN nhưng cú hai cỏch phổ biến là: Phõn loại theo kiến trỳc dịch vụ (Remote Access VPN, Site to site VPN, Extranet VPN); Phõn loại theo cụng nghệ (Peer to peer, Overlay, lớp 2, lớp 3).
Trong đề tài ta chỉ quan tõm đến 2 giải phỏp VPN ở lớp 3 là Ipsec và SSL.
4.6.2. IPsec VPN: VPN ở lớp mạng
IPSec (Internet Protocol Security) là giao thức mạng về bảo mật và thường được liờn kết với VPN (tất nhiờn cú thể dựng IPsec ở trong mạng cục bộ LAN). IPSec cho phộp việc truyền tải dữ liệu được mó húa an toàn ở lớp mạng (Network Layer) theo mụ hỡnh OSI thụng qua mạng cụng cộng như Internet. VPN lớp mạng đề cập đến những thỏch thức trong việc dựng Internet như là một mụi trường truyền đưa cỏc lưu lượng đa giao thức và nhạy cảm.
Hỡnh 4.15: Giải phỏp IPSec VPN
Việc thiết lập một đường hầm IPSec (IPsec tunnel) giữa hai thực thể, trước tiờn, phải thỏa thuận về chớnh sỏch an ninh (security policy), giải thuật mó húa (encryption algorithm), kiểu xỏc thực (authentication method) sẽ được dựng để tạo kờnh. Trong IPSec tất cả cỏc nghi thức lớp trờn lớp mạng (từ lớp 4) như TCP, UDP, SNMP, HTTP, POP, SMTP,VoIP…đều được mó húa một khi kờnh IPSec được thiết lập.
4.6.3. SSL VPN là gỡ?
Thuật ngữ SSL VPN được dựng để chỉ một dũng sản phẩm VPN mới và phỏt triển nhanh chúng dựa trờn giao thức SSL. Cũng cần núi rừ là bản thõn giao thức SSL khụng mới nhưng liờn kết SSL với VPN là mụ hỡnh mới. Dựng SSL VPN, kết nối giữa người dựng từ xa và tài nguyờn mạng cụng ty thụng qua kết nối HTTPS ở lớp ứng dụng thay vỡ tạo “đường hầm” ở lớp mạng như giải phỏp IPSec. SSL VPN là giải phỏp VPN hướng ứng dụng (application based VPN)[17].
Hỡnh 4.16: Giải phỏp SSL VPN
4.6.4. SSL VPN hay IPsec VPN?
Trước tiờn, cần phải khẳng định là SSL VPN và IPSec VPN khụng phải là hai cụng nghệ loại trừ lẫn nhau. Thường thỡ hai cụng nghệ này đồng thời được triển khai trong cựng một cụng ty. Việc xem xột cỏc khớa cạnh liờn quan đến chi phớ/lợi nhuận (cost/benefit) cũng như cỏc vấn đề cụng nghệ mà hai giải phỏp SSL và IPsec đề cập giỳp cho việc lựa chọn triển khai VPN sẽ trở nờn dễ dàng hơn. Chỳng ta xem xột vấn đề dưới cỏc mặt sau đõy:
Kiểu kết nối, kiểu truy cập: IPSec VPN phự hợp cho cỏc kết nối theo kiểu site-to-site. Nú là sự lựa chọn tốt nhất cho cỏc mạng LAN từ xa kết nối với nhau hay kết nối với mạng trung tõm. Cỏc kết nối yờu cầu băng thụng rộng, hiệu suất cao, dữ liệu lớn, kết nối liờn tục (always on), cố định là đối tượng cung cấp của giải phỏp IPsec VPN truyền thống này. Tuy nhiờn, khi được dựng cho mục đớch truy cập tài nguyờn tập trung từ cỏc vị trớ phõn bố rải rỏc khắp nơi, hay khi người dựng di động từ xa từ cỏc vị trớ cụng cộng ớt tin cậy như sõn bay, nhà ga, khỏch sạn, tiệm cà phờ internet muốn truy cập vào tài nguyờn của cụng ty họ thỡ giải phỏp IPSec VPN tỏ ra nhiều bất cập và đú chớnh là ưu điểm của SSL VPN.
Cú thể lấy một vớ dụ điển hỡnh việc triển khai SSL VPN của Cụng ty Bảo hiểm Việt Nam (Bảo Việt) được trỡnh bày trong hội thảo về An ninh mạng do Cụng ty Juniper Networks tổ chức tại TP. Hồ Chớ Minh ngày 30/11/2004. Giải phỏp SSL VPN của Juniper dựa trờn dũng sản phẩm NetScreen phự hợp nhu cầu của Bảo Việt. Bảo Việt cú hàng ngàn cỏc đại lý bảo hiểm rải khắp cỏc tỉnh thành trong cả nước, từ đú cú hàng trăm cỏc kết nối di động đến Trung tõm dữ liệu của Bảo Việt. Do đú giải phỏp SSL VPN là rất phự hợp. Tuy nhiờn, Bảo Việt dự tớnh xõy dựng thờm một trung tõm dữ liệu thứ hai và việc kết nối hai trung tõm này (dạng site-to-site) qua mụi trường Internet thỡ giải phỏp IPSec cần được xem xột.
Phần mềm khỏch (Client software): IPSec VPN yờu cầu cần phải cú phần mềm client cài đặt tại cỏc mỏy tớnh để bàn hoặc mỏy tớnh xỏch tay. Điều này làm hạn chế tớnh linh động của người dựng vỡ khụng thể kết nối VPN nếu khụng cú phần mềm IPSec client được nạp. Trong khi với giải phỏp SSL VPN, chỉ cần hệ điều hành cú tớch hợp một trỡnh duyệt (browser) bất kỳ hỗ trợ SSL là thực hiện được một kết nối an toàn. Sự cú mặt khắp nơi của trỡnh duyệt trờn tất cả cỏc thiết bị từ mỏy tớnh đến PDA, điện thoại thụng minh… làm cụng nghệ VPN dựa trờn SSL dễ triển khai hơn.
Vỡ cần phải cài phần mềm IPsec client trờn cỏc thiết bị truy cập từ xa, nờn điều này làm tăng thờm chi phớ quản trị, cấu hỡnh. Với một cụng ty cú hàng trăm, thậm chớ hàng ngàn người dựng từ xa thỡ việc cài đặt, quản lý, hỗ trợ người dựng trong giải phỏp IPSec là cụng việc tốn nhiều thời gian, cụng sức, tài nguyờn và tiền bạc của cụng ty. SSL VPN thật sự là giải phỏp hiệu quả trong trường hợp này.
Độ tin cậy của thiết bị truy nhập mạng từ xa: Với IPSec VPN, người dựng từ xa hay mạng LAN từ xa kết nối với trung tõm cú thể dễ dàng truy cập đến toàn bộ tài nguyờn mạng như thể họ đang ngồi tại trung tõm. Vỡ vậy, cỏc thiết bị hay mạng từ xa phải tin cậy (trusted), mặt khỏc vỡ cỏc thiết bị truy cập được quản lý và cài đặt cấu hỡnh nờn IPSec VPN đỏp ứng nhu cầu này. Tuy nhiờn, mọi việc trở nờn khú khăn nếu như chỳng ta cung cấp giải phỏp này cho người dựng từ xa khụng cú độ tin cậy tương tự và cỏc thiết bị truy cập đa dạng như PDA, điện thoại thụng minh (smart phone) khụng do chỳng ta quản lý hay cài đặt cấu hỡnh IPSec client (Bảng dưới).
Bảng 4.3: So sỏnh IPSec VPN và SSL VPN theo quan điểm kiểu kết nối
Kiểm soỏt truy cập (Access Control): IPSec VPN được thiết kế để mở rộng phạm vi của mạng LAN. Người dựng ở cỏc chi nhỏnh văn phũng cũng muốn truy cập khụng hạn chế tài nguyờn mạng một cỏch hiệu quả, đũi hỏi cỏc chớnh sỏch an ninh của mạng từ xa cũng tương tự như của mạng tại trung tõm. Do đú cỏc giải phỏp IPSec
được ỏp dụng rất hiệu quả cho mụ hỡnh site-to-site. Sự việc sẽ khỏc đi nếu chỳng ta cho phộp cỏc nhõn viờn thường xuyờn di chuyển, cỏc đại lý, cỏc nhà cung cấp, nhà thầu, cỏc đối tỏc thương mại kết nối vào mạng chỳng ta. Và giải phỏp SSL VPN là một lựa chọn hợp lý nhằm giảm thiểu nguy cơ đến từ cỏc kết nối này nhờ cơ chế kiểm soỏt chi tiết (granular access control)[18].
Độ bảo mật (security): Khi so sỏnh SSL VPN và IPsec VPN thường cú cõu hỏi được đặt ra “Giao thức nào an toàn hơn?”. Thật ra, cả hai nghi thức bảo mật này đều hoàn tất nhiệm vụ tương tự. Chỳng đều cung cấp một phương phỏp trao đổi khúa an toàn (secure key exchange) và phương phỏp mó húa mạnh. Mặc dự hai cụng nghệ khỏc nhau, tiến hành thiết lập, triển khai trờn cỏc hệ thống theo cỏc phương thức khỏc nhau, thế nhưng chỳng đều chia sẻ chung một số đặc trưng cơ bản đú là cơ chế mó húa mạnh, dựng khúa phiờn (session key), khả năng xỏc thực sử dụng cỏc phương phỏp, cụng nghệ như: Triple DES, 128-bit RC4, MD5, SHA1, RADIUS, Active Directory, LDAP, X.509.
Tương thớch Firewall, NAT: Việc kết nối IPSec thụng qua Firewall cũng là một khú khăn. IPSec dựng cỏc giao thức AH (Authenticated Header) hoặc/và ESP (Encapsulating Security Payload). Nếu Firewall của ISP ngăn khụng cho hai nghi thức này đi qua hoặc ngăn cổng UDP mà IKE (Internet Key Exchange) dựng để thương lượng cỏc thụng số bảo mật trước khi kết nối thỡ IPSec khụng thể thực hiện được. Một thỏch thức khỏc là sự khụng tương thớch của IPSec với dịch địa chỉ mạng NAT (Network Address Translation). Trong khi đú, giải phỏp SSL VPN tương thớch hoàn toàn với Firewall, NAT hay server proxy.
Ứng dụng: IPSec VPN hỗ trợ tất cả cỏc ứng dụng trờn nền tảng IP. Một khi kờnh IPSec được thiết lập, tất cả cỏc dịch vụ ứng dụng từ cỏc ứng dụng truyền thống như web, thư điện tử, truyền tệp đến cỏc ứng dụng khỏc như ICMP, VoIP, SQL, .net, Citrix ICA, cỏc ứnh dụng đa dịch vụ… đều cho phộp đi ngang qua kờnh này. Đõy là một ưu điểm của IPSec VPN, nhất là IPSec VPN cú thể cung cấp kết nối an toàn cho cỏc ứng dụng khụng dựa trờn nền Web (non Web-based applications). Vỡ vậy, cỏc mỏy khỏch (client) dựng IPSec thực hiện kết nối VPN được gọi là fat-client do khả năng cung ứng nhiều dịch vụ và ứng dụng. Trong khi đú, khả năng truy cập cỏc ứng dụng, dịch vụ của giải phỏp SSL VPN dường như hạn chế hơn. SSL VPN cung cấp cỏc ứng dụng trờn nền Web (Web-based application), cỏc ứng dụng e-mail (POP3/IMAP/SMTP). Cỏc mỏy khỏch (client) chỉ cần dựng trỡnh duyệt (browser) cú hỗ trợ SSL thực hiện kết nối VPN mà khụng cần cài đặt phần mềm client nờn được gọi là clientless hoặc thin-client. Đa số cỏc giải phỏp SSL VPN khụng cung cấp cỏc ứng dụng dựng cổng TCP động như FTP hay VoIP. Hiện nay, mọi người vẫn chỉ biết đến SSL VPN chỉ hỗ trợ cỏc ứng dụng trờn nền Web. Thật ra, SSL VPN hỗ trợ cả cỏc ứng dụng trờn nền TCP sử dụng chương trỡnh chuyển tiếp cổng (port forwarding applet)
như Terminal Services (RDP protocol) hoặc ứng dụng chia sẻ tệp CIFS (Common Internet File Service), Citrix ICA… (riờng dũng sản phẩm Cisco VPN 3000 Concentrator hiện chưa hỗ trợ Citrix ICA, hóng Cisco dự định sẽ hỗ trợ ứng dụng này trong phiờn bản sắp tới.
Sau đõy là bảng so sỏnh túm tắt cỏc đặc tớnh của hai giải phỏp IPSec và SSL VPN: Bảng dưới.
Bảng 4.4: So sỏnh đặc trưng của VPN hai giải phỏp IPSec và SSL
4.6.5. Xu hướng
Hiện nay, với xu hướng thương mại điện tử, nhiều ứng dụng trờn nền Web được xõy dựng. Theo hóng Gartner điều tra: “Đến cuối năm 2004, 60 % cụng ty sử dụng thin-client VPN (SSL VPN) thay vỡ full, fat-client VPN (IPSec VPN)”. Thờm vào đú, hóng Frost and Sullivan đỏnh giỏ đến năm 2009, doanh số giải phỏp SSL VPN sẽ vượt qua 1.3 tỷ USD và chi phớ trung bỡnh cho một người dựng của giải phỏp SSL VPN từ 60 USD đến 200 USD so với 150 USD đến 300 USD khi dựng giải phỏp IPSec VPN. Nhỡn vào con số ấn tượng trờn, chỳng ta cú cảm tưởng tương lai thuộc về SSL VPN. Tuy nhiờn theo nghiờn cứu mới nhất của Infonetics Research (www.infonetics.com), giải phỏp VPN và Firewall phần cứng chiếm 82%, phần mềm VPN chiếm 12%, SSL VPN chỉ chiếm cú 5% và đến năm 2007 mới chiếm 14% thị
phần VPN và Firewall. Vỡ vậy, cú thể tạm kết luận giải phỏp IPSec VPN đang chiếm