1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO
3.6.3.2 Thoả thuận khoá Diffie-Hellman
Diffie-Hellman cung cấp phương thức thoả thuận bí mật chia sẻ không bị nghe lén. Thoả thuận khoá Diffie-Hellman yêu cầu cả phía phát và phía thu có một cặp khoá. Bằng việc tổ hợp khoá bí mật của phía này với khoá công khai của phía kia thì cả hai phía có thể tính toán ra cùng một số bí mật chia sẻ.
KẾT LUẬN
Vấn đề bảo mật mà các doanh nghiệp đang phải đối mặt là rất phức tạp và yêu cầu phòng thủ an toàn để giảm nhẹ những đe dọa mới nhất và để giảm nhẹ tổn thất của doanh nghiệp. Bảo mật là một đề tài phức tạp về lý thuyết và trong thực hành, và thường thì rất khó để thực hiện, đặc biệt khi phải cung cấp giải pháp an ninh từ đầu này tới đầu kia. Các biện pháp an toàn mạng có thể chống lại mọi sự vi phạm về truy cập trái phép do chúng phải tốn rất nhiều thời gian mới có thể phá hủy các biện pháp an toàn mạng, rất khó để thực hiện và khi thực hiện được thì kẻ tấn công sẽ phải mất rất nhiều thời gian và nỗ lực. Càng nhiều lớp bảo vệ, việc xâm nhập càng khó thực hiện. Do đó, việc kết hợp nhiều biện pháp an toàn mạng là cần thiết. Sau đây là đề xuất triển khai ứng dụng các giải pháp an ninh cho mạng VPN:
− Tường lửa: Đây là giải pháp đơn giản, hiệu quả khá cao và được sử dụng rất phổ biến trong các mạng VPN. Ưu điểm của tường lửa ngoài việc chống kẻ trộm số liệu hoặc tấn công vào hệ thống máy tính mà còn có thể cấm một số ứng dụng cụ thể đi qua tường lửa. Ngoài ra, tường lửa còn là điểm hỗ trợ kiểm tra an ninh hoặc kiểm soát.
− IPSec: Tập giao thức bảo mật IPSec được sử dụng trong trường hợp muốn nâng cao mức độ an ninh cho mạng VPN. Cơ chế đảm bảo an ninh đạt được bằng việc sử dụng hai giao thức là mào đầu nhận thực – AH, tải trọng bảo mật đóng gói – ESP và các thủ tục, giao thức quản lý khác. Trong tương lai, yếu điểm của IPSec là tốc độ xử lý chậm sẽ được khắc phục thông qua các phần cứng, phần mềm, kỹ thuật nhúng đang được khẩn trương nghiên cứu và ứng dụng.
− Nhận thực: Nhận thực đóng một vai trò quan trọng vì nó xác định chủ thể có quyền truy nhập hay không. Nhận thực bao gồm hai phần: Cơ chế nhận thực và truyền dữ liệu nhận thực lên server nhận thực. Một nội dung quan trọng là truyền các dữ liệu nhận thực lên server AAA. Các phần tử liên quan đến AAA cần được phối hợp hoạt động với các cơ chế nhận thực.
− Quản lý và các vấn đề về an ninh mạng: Ngoài các giải pháp khoa học công nghệ, những biện pháp quản lý khai thác, phối hợp hoạt động cũng góp phần bảo đảm an ninh mạng riêng ảo VPN. Đối với các nhà khai thác VPN, ngoài các quy định của Bộ Thông tin - truyền thông có thể quy định thêm các điều khoản riêng đối với mạng VPN của mình.
Do một số hạn chế khách quan và chủ quan nên luận văn cũng mới chỉ dừng lại ở phạm vi nghiên cứu các giải pháp đảm bảo an ninh cho mạng riêng ảo VPN trên nền Internet. Tuy nhiên hiện nay, nhu cầu sử dụng Mobile VPN của các nhân viên phải di chuyển bên ngoài văn phòng tăng một cách đáng kể. Các doanh nghiệp phải bắt kịp với xu thế này và do đó phải đảm bảo cho số nhân viên này có khả năng truy nhập vào dữ liệu doanh nghiệp thông qua các thiết bị cầm tay. Mobile VPN là các VPN được thiết kế cho những người sử dụng di động và vô tuyến. Chúng tích hợp các chuẩn dựa trên các công nghệ nhận thực và mã hóa để đảm bảo truyền dẫn dữ liệu và để bảo vệ mạng khỏi những kẻ xâm nhập trái phép. Mobile VPN cho phép người sử dụng roaming liền mạch qua các mạng dựa trên IP và vào hoặc ra các vùng vô tuyến mà không bị mất các phiên ứng dụng hoặc rơi phiên VPN bảo mật. Công nghệ Mobile VPN giúp cho người sử dụng có thể tạo nên các kết nối trong suốt và bảo mật tới các dịch vụ. Do đó những nghiên cứu tiếp theo về các giải pháp bảo đảm an ninh cho Mobile VPN là rất cần thiết.
PHỤ LỤC 1: Quá trình nhận thực Password Authentication Protocol (PAP)
PAP cung cấp một phương pháp đơn giản cho máy khách từ xa để thiết lập nhận dạng của nó sử dụng nhận thực bắt tay một chiều khi truyền thông đang xảy ra giữa host và server truy nhập. Chi tiết được trình bày trong Hình 4.1:
Hình 4.1: Nhận thực PAP một chiều
Quá trình nhận thực PAP như sau:
1. Máy khác thiết lập dàn xếp PPP giao diện được cấu hình đóng gói PPP và khai báo server truy nhập để sử dụng PPP.
2. Server truy nhập mạng xác định phương pháp nhận thực sử dụng. Trong trường hợp này, server truy nhập mạng nói với máy khách truy nhập từ xa sử dụng PAP.
3. Máy khách gửi username và password dưới dạng PAP tường minh đến server truy nhập mạng.
4. Server truy nhập mạng so sánh các giá trị được máy khách gửi đến với các giá trị được cấu hình trong cơ sở dữ liệu của nó để chấp nhận hay từ chối máy khách truy nhập từ xa.
Khi thông tin liên lạc diễn ra giữa hai router, PAP sử dụng bắt tay nhận thực hai chiều; một cặp username/password được gửi ngang hàng để nhận thực lặp đi lặp lại đến khi nhận thực được chấp nhận hay kết nối kết thúc. Đối với PAP, quá trình này chứng tỏ là phương pháp nhận thực không an toàn bởi vì password được gửi đi trên kênh kết nối dưới dạng tường minh. Với PAP, sẽ không có sự bảo vệ từ phía ngược lại.
PHỤ LỤC 2: Quá trình nhận thực Challenge Handshake Authentication (CHAP)
Với nhận thực CHAP, server truy nhập gửi một bản tin thách thức tới node từ xa sau khi liên kết PPP được thiết lập. Server truy nhập kiểm tra đáp ứng với giá trị hàm băm được tính toán bởi chính nó. Nếu giá trị đúng, sự nhận thực được chấp nhận. Chi tiết như hình 4.2:
Hình 4.2: Nhận thực CHAP ba chiều.
Quá trình nhận thực CHAP như sau:
1. Máy khách truy nhập thiết lập dàn xếp PPP giao diện được cấu hình đóng gói PPP.
2. LCP dán xếp CHAP và MD5 (Message Digest 5) và truy nhập mạng khai báo máy khách truy nhập từ xa sử dụng CHAP.
3. Máy khác truy nhập từ xa công nhận yêu cầu.
4. Một gói CHAP được tạo ra và được gửi tới máy khách truy nhập từ xa. Gói CHAP chứa các thông tin sau đây:
− Nhận dạng kiểu gói. − Số nhận dạng tiếp sau. − Số ngẫu nhiên.
− Tên nhận thực.
5. Máy khách truy nhập từ xa xử lý gói tin CHAP thách thức như sau: − Số nhận dạng tiếp sau được đưa qua bộ phát hàm băm MD5.
− Số ngẫu nhiên được đưa qua bộ phát hàm băm MD5. − Tên nhận thực được sử dụng để xác đinh password. − Password được đưa qua bộ phát hàm băm MD5.
Kết quả là thách thức CHAP băm một chiều sẽ được gửi lại cho server truy nhập mạng dưới dạng gói tin đáp ứng CHAP.
6. Gói tin đáp ứng CHAP được nhận bởi server truy nhập mạng và được xử lý như sau:
− Số nhận dạng tiếp sau nhận dạng thách thức ban đầu.
− Số nhận dạng tiếp sau được đưa qua bộ phát hàm băm MD5. − Số ngẫu nhiên ban đầu được đưa qua bộ phát hàm băm MD5. − Tên nhận thực được sử dụng để tim password.
− Password được đưa qua bộ phát hàm băm MD5.
− Giá trị hàm băm đã nhận được thì được so sánh với giá trị mà server truy nhập mạng đã tính toán.
7. Nếu nhận thực thành công, gói CHAP thành công được tạo ra và được gửi cho máy khách truy nhập từ xa. Tương tự, nếu nhận thực không thành công, gói CHAP lỗi được tạo ra và được gửi cho máy khách truy nhập từ xa.
CHAP cung cấp sự bảo vể chống lại những kẻ tấn công playback qua việc sự dụng giá trị thách thức duy nhất và không thể đoán trước. Việc sử dụng các thách thức lập lại hai phút một lần trong bất kỳ phiên CHAP nào là khoảng thời gian giới hạn. Server truy nhập điều khiển tần suất và khoảng thời gian của các thách thức.
PHỤ LỤC 3: Thuận lợi và khó khăn của Biên dịch địa chỉ mạng
NAT giúp giải quyết các vấn đề khác ngoài vấn đề cạn kiệt nhanh không gian địa chỉ mạng toàn cầu và cung cấp nhiều thuận lợi, như là:
− NAT giảm trường hợp chồng chéo kế hoạch đánh địa chỉ. Nếu kế hoạch định địa chỉ IP được thiết lập trong mạng riêng và mạng được nối tới mạng công cộng như Internet, hay kết hợp với mạng của một công ty khác thì có thể sử dụng cùng địa chỉ, thông tin không thể điễn ra bởi vị sự chồng lấn kế hoạch đánh địa chỉ IP. Không có NAT thì việc chồng lấn kế hoạch đánh địa chỉ có thể diễn ra nghiêm trọng trên phạm vi toàn cầu.
− Thực hiện NAT một cách tự động tạo ra một tường lửa thay thế tạm thời giữa mạng tin cậy bên trong và mạng không tin cậy bên ngoài hay Internet. NAT chỉ cho phép các kết nối bắt đầu bên trong mạng tin cậy. Có nghĩa là một máy tính bên ngoài mạng không tin cậy không thể kết nối tới máy tính bên trong mạng tin cậy trừ khi máy tính bên trong tạo liện lạc.
− NAT tăng tính mềm dẻo kết nối tới mạng công cộng và cung cấp cho người thiết kế mạng tính mềm dẻo hơn khi thiết kế kế hoạch đánh địa chỉ cho tổ chức. Tính mềm dẻo này cho phép các đặc tính cân bằng / chia tải và multiple pool.
Mặt dù hầu hết các thiết bị mạng cung cấp NAT bởi vì nhiều đặc điểm có ích của nó nhưng NAT cũng có vài khó khăn:
− NAT tăng trễ chuyển mạch gói tin nói chung do biên dịch địa chỉ. Router phải kiểm tra mọi gói tin để xác định xem các mào đầu bị viết lại.
− NAT gây ra tổn thất khả năng tìm vết end-to-end và bắt buộc vài ứng dụng dùng địa chỉ IP phải dừng lại vì chức năng ẩn địa chỉ IP vốn có của NAT.
− Ở mức cao, NAT có hai kiểu mạng: bên trong và bên ngoài. Các mạng bên trong là các mạng được gán các địa chỉ IP được xem như là riêng hay không thể định tuyến. Tương tự như vậy, các mạng bên ngoài là các mạng được xem như là công cộng và có thể định tuyến.
PHỤ LỤC 4: Quá trình điều khiển truy nhập dựa trên ngữ cảnh CBAC
Quá trình điều khiển truy nhập dựa trên ngữ cảnh thực hiện như sau :
1. Theo dõi việc bắt đầu các phiên mới và chắc chắn rằng chúng đạt tiêu chuẩn. 2. Duy trì các thông tin trạng thái của mỗi phiên thông qua nó bằng việc theo
dõi các cờ, các số nối tiếp, và số tin báo nhận.
3. Thiết lập và cài đặt các danh sách điều khiển truy nhập động cho các phiên được thừa nhận.
4. Đóng các phiên và gỡ bỏ tạm thời danh sách điều khiển truy nhập đã được kết thúc.
5. Kiểm tra kỹ các phiên SMTP để cho phép chỉ một tập hợp tối thiểu các lệnh thừa nhận.
6. Theo dõi các phiên cho phép điều khiển (như điều khiển FTP) và cho phép các phiên dữ liệu kết hợp (như dữ liệu FTP) truyền qua.
7. Theo dõi các applets Java giữa các phiên HTTP và ngăn chúng nếu bộ định tuyến được cấu hình làm như vậy.
8. Khảo sát mỗi gói giữa mỗi phiên để bảo đảm rằng nó phù hợp với trạng thái phiên hiện hành.
9. Duy trì một khoảng thời gian sau mỗi gói của phiên được chuyển tiếp và kết thúc bất kỳ phiên nào đã vượt quá phiên timeout tiêu chuẩn.
10. Theo dõi cho những dấu hiệu mà một tấn công SYN vào trong tiến trình, và như vậy thì, đặt lại các yêu cầu phiên vượt mức.
11. Gửi đi những cảnh báo những sự kiện và những gói đột xuất đã bị loại bởi vì chúng không đạt tiêu chuẩn.
12. Ở cuối phiên, ghi lại thời gian, các địa chỉ nguồn, và đích; các cổng; và toàn bộ số bytes đã truyền.
PHỤ LỤC 5: Những giao thức lớp ứng dụng có thể được cấu hình toàn bộ cho CBAC − CU – SeeMe. − FTP. − H.323. − HTTP. − Java. − NetShow Microsoft. − Unix R−commands. − RealAudio. − RPC, Sun RPC và RPC Microsoft. − SMTP. − SQLNet. − StreamWorks. − TFTP. − VDOLive.
PHỤ LỤC 6: Các dịch vụ hỗ trợ cổng system-defined
Ứng dụng Số Cổng Giao thức
http 80 Hypertext Transfer Protocol
Fpt 21 File Transfer Protocol
exec 512 Remote Process Execution
cuseeme 7648 Cu−SeeMe Protocol
h.323 1720 H.323 Protocol
msrpc 135 Microsoft Remote Procedure Call
netshow 1755 Microsoft NetShow
real audio 7070 RealAudio
real video 707 RealVideo
sqlnet 1521 SQLNet
smtp 25 Simple Mail Transport Protocol
streamworks 1558 StreamWorks Protocol
sunrpc 111 Sun Remote Procedure Call
tftp 69 Sun Remote Procedure Call
vdolive 7000 VDOLive
PHỤ LỤC 7: Thuật toán RSA
Thuật toán RSA dựa trên sự khó khăn khi phân tích thành thừa số của một số x là tích số của hai số nguyên tố lớn. Thực hiện như sau:
− Tính x = p*q và Φ(x) = (p-1)(q-1)
− Chọn e ngẫu nhiên, thoả mãn: 1 < e < Φ(x) ; e và Φ(x) không có số nguyên tố chung ngoại trừ 1.
− Tính d sao cho e*d ≡ 1(modΦ(x))
− Công khai các giá trị x và e, giữ bí mật p, q, d.
Thuật toán mã hoá: Giả sử A gửi tin cho B. A nhận khoá công khai của B là: (x,e). Chia thông báo thành các khối M = m1 m2 m3... Tính c = me mod x. Gửi bản mã c cho B.
Thuật toán giải mã: B thực hiện gải mã cho bản mã c bằng khoá bí mật d. Tính m = cd mod x và M = m1 m2 m3...
PHỤ LỤC 8: Thuật toán Diffie-Hellman
− Người gửi sử dụng khóa chung của người nhận. Khóa này sẵn có cho tất cả các phía kết nối.
− Người gửi sau đó thực hiện bước tính toán bao gồm khóa riêng của người gửi và khóa chung của người nhận. Kết quả tính toán cho ra khóa bí mật chia sẻ.
− Văn bản được mã hóa sử dụng khóa bí mật chia sẻ được tạo ra ở trên. − Văn bản mã hóa sau đó được gửi tới người nhận.
− Tại phía nhận văn bản mã hóa, người nhận tạo ra khóa bí mật chia sẻ bằng cách thực hiện một tính toán tương tự gồm khóa riêng của chính nó và khóa chung của người gửi.
TÀI LIỆU THAM KHẢO Tiếng Anh
1. Ph.D. Tran Tuan Anh, 04-2007, Viet Nam Network Security, Report APECTEL35.
2. Charlie Scott, Paul Wolfe, Mike Erwin, 1999, Virtual Private Network, O’Reilly.
3. Chris Mcnab, 2004, Network Security Assessment, O'Reilly 4. Cisco Systems, 2003 , Designing VPN Security.
5. Datasheet ASG V61 Network Security – Astaro Security Gateway - 2005 6. IEEE Communications Magazine – June 2004.
7. Jason Albanese, Wes Sonnenreich, 2006, Network Security Illustrated, McGraw-Hill.
8. Joe Harris, 2002, Cisco Network Security Little Black Book, The Coriolis Group, LLC.
9. Jon C. Snader, 2005, VPNs Illustrated: Tunnels, VPNs, and IPSec, Addison Wesley Professional.
10. Managing Network Security, Ericsson White Paper, 284 23-3075 Uen Rev A - 10/2006
11. Matthew Strebe, 2004, Network Security Foundations, Sybex.
12. Meeta Gupta, 2003, Building a Virtual Private Network, Premier Press. 13. Michael H. Behringer, Monique J. Morrow, 2005, MPLS VPN Security,
Cisco Press.
14. Naganand Doraswamy, Dan Harkins, 2003, IPSec: The new security standard for the internet, intranets, and vpn, Prentice hall PTR.
15. Paul Wouters, Ken Bantoft, 2006, Building And Integrating Virtual Private Networks With Openswan, Packt Publishing Ltd.
16. D.Richard Kuhn, Miles C. Tracy, Sheila E. Frankel, 2002, Security for Telecommuting and Broadband Communications, National Institute of Standards and Technology.
17. Vijay Bollapragada, Mohamed Khalid, Scott Wainner, 2005, IPSec VPN Design, Cisco Press.