1.6.1. Khả năng đáp ứng an toàn của các dịch vụ PKI
Dựa trên mật mã khóa công khai và mạng riêng ảo (VPN) đảm bảo các yếu cầu cơ bản của an toàn an ninh thông tin; tính bí mật (Confidentiality), toàn vẹn (Intergrity), tính xác thực (Authentication), tính chống chối bỏ (Non – Repudiation).
1.6.2. Một số ứng dụng bảo mật dựa trên hệ thống PKI
Mục tiêu chính của PKI là cung cấp khóa công khai và xác định mối liên hệ giữa khóa và định dạng người dùng. Nhờ vậy người dùng có thể sử dụng trong một số ứng dụng như:
Hình 1.13. Các ứng dụng tiêu biểu của PKI
1.6.2.1. Bảo mật Email (OpenPGP hay S/MIME)
kỹ thuật này cho phép truyền thông tin cậy, toàn vẹn dữ liệu và không thể chối bỏ đối với thông điệp thư điện tử. chúng ta có thể tăng cường bảo mật thư điện tử nhờ các chứng thực để xác minh các chứng cứ của người gửi, điểm xuất phát thông điệp và tính xác thực của thông điệp.
1.6.2.2. Chữ ký số Dịch vụ chứng thực số Chữ ký số Đăng nhập bằng thẻ thông minh
bảo mật qua email
Ký mã phần mèm IP Security 802.1X Chính sách giới hạn phần mềm Xác thực qua internet Mã hóa hệ thống file
Luận văn thạc sỹ
Lê Ngọc Hoàn Trang 35
Các giao dịch trên mạng được nhờ có cơ chế xác minh người gửi và nội dung dữ liệu nguyên vẹn. chữ ký số cũng cung cấp chức năng chống chối bỏ
1.6.2.3. Mã hóa hệ thống file
kỹthuật đảm bảo mã hóa dữ liệu nhờ sử dụng kết hợp các phương pháp mã hóa đối xứng và mã hóa bất đối xứng . EFS cung cấp hai cách khôi phục hệ thống: khôi phục dữ liệu và khôi phục khóa. Khi khôi phục dữ liệu, phần mềm khôi phục dữ liệu có thể mở toàn bộ các file mã hóa. Khôi phục khóa, phần mềm khôi phục khóa có thể khôi phục khóa bí mật từ cơ sở dữ liệu của CA.
1.6.2.4. Xác thực và mã hóa giao dịch web
Phân bổ các thức thực SSL tới máy chủ web cho phép một máy khách dùng trình duyệt web xác thực định danh của máy chủ web, đồng thời mã hóa toàn bộ dữ liệu được trao đổi giữa chúng. Hoặc là chứng thực SSL có thể được phân bổ tới máy khách cho phép chúng trình diện tới máy chủ web. Kỹ thuật này cho phép xác thực lẵn nhau giữa máy chủ và máy khách web.
1.6.2.5. Bảo mật IP
Các chứng thcwh có thể được sử dụng để xác thực hai điểm cuối, đầu hỗ trợ IPSec khi đã được xác thục, IPSec có thể được sử dụng để mã hóa và ký số toàn bộ thông tin giữa hai điểm đầu cuối. Các chứng thực không đóng vai tro thực sự trong mã hóa và ký dữ liệu IPSec, chúng chỉ được dùng để xác định xác thực hai điểm đầu cuối.
1.6.2.6. Thư điện tử bảo mật
Kỹ thuật này cho phép truyền thông tin cậy, toàn vẹn dữ liệu và không thể chối bỏ đối với các thông điệp thư điện tử. chúng ta có thể tăng cường bảo mật thư điện tử nhờ các chứng thực để xác minh các chứng cứ của người gửi, điểm xuất phát thông điệp và tính xác thực của thông điệp
1.6.2.7. Đăng nhập hệ thống bằng thẻ thông minh
Kỹ thuật này tăng cường tính bảo mật nhờ cơ chế xác thực hai yêu tố. Để xác thực với mạng, người dùng phải có thẻ thông minh và biết số PIN (personal Identification Number) của thẻ thông minh đó.
Luận văn thạc sỹ
Lê Ngọc Hoàn Trang 36
1.6.2.8. Đăng nhập một lần
Với phương pháp kỹ thuật này người sử dụng giảm thiểu được việc phải nhớ mật khẩu của họ. thay vì việc phải đăng nhập riêng lẻ từng ưng dụng riêng biệt, người sử dụng chỉ cần cung cấp thông xác thực tới nơi xác lưu trữ xác thực thông tin của PKI, sau đó phần mềm sẽ xác thực Client trên máy tính của người sử dũng sẽ tự động lần lượt chặn các yêu cầu xác thực một cách hoàn toàn trong suốt và cung cấp thông tin xác thực cho mỗi ứng dụng.
1.6.2.9. Kỹ mã phần mềm
Kỹ thuật này nhằm giúp các máy tính tránh được các mối đe dọa bị cài đặt phần mềm không được xác nhận như trình điều khiển các thiết bị, các điều khiển (control), applet (ứng dụng ký sinh),… Khi nội dung đã được ký, các ứng dụng hỗ trợ ký mã như trình duyệt web của microsft có thể ngăn chặn truy cập trái phép đến các điều khiển chưa được ký.
1.6.2.10. Chính sách hạn chế truy cập phần mềm
Cho phép chỉ ra các chương trình được phép hoạt động trên một máy tính nhờ thực hiện các chức năng ký số trên mã nhị phân của ứng dụng.
1.6.2.11. Mạng riêng ảo
Người sử dụng từ xa có thể kết nối tới mạng riêng ảo nhờ các giao thức đừng hầm như PPTP, L2TP. Các chứng thực giúp tăng cường chức năng xác thực người dùng và có thể dùng để xác thực cho IPSec nếu sử dụng L2TP cho mã IPSec. Thông thường, các chứng thực được phát hành tới các đối tượng sau; người sử dụng, máy tính, thiết bị mạng, và các dịch vụ phần mềm,…
1.6.3. Một số hệ thống PKI
Dưới đây là danh sách một số hệ thống PKI, trong đó một số nhà cung cấp chứng thực số hàng đầu (ví dụ VeriSign) không được liệt kê vì các phần mềm của họ không được công bố công khai:
- Hệ thống quản lý chứng thực Red Hat
Luận văn thạc sỹ
Lê Ngọc Hoàn Trang 37 - Microsoft
- OpenCA (Một mô hình PKI mã nguồn mở)
- RSA Security - IDX-PKI - Simple CA
Luận văn thạc sỹ
Lê Ngọc Hoàn Trang 38
Chương 2. Tìm hiểu về mạng riêng ảo (VPN) 2.1. Tổng quan mạng riêng ảo
2.1.1. Khái niệm mạng riêng ảo (VPN: Virtual Private Network)
VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng (private network) thông qua các mạng công cộng. về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là internet) để kết nói với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường leased line, mỗi VPN sử dụng các đường kết nối ảo được dẫn đường qua internet của các công ty hay tổ chức, cơ sở tới các site hay các nhân viên từ xa. Để có thể gửi và nhận thông tin qua mạng công cộng mà vẫn tính đảm bảo an toàn và bảo mật. VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền, tạo ra một đường ống bảo mật (pipeline security) giữ nơi nhận và nơi gửi (tunnel) giống như một kết nối point to point trên mạng riêng.
2.1.2. Tính cần thiết của mạng riêng ảo (VPN)
Có thể nói thông tin là một yếu tố hàng đầu cho lĩnh vực thương mại cho các doanh nghiệp, công ty, tổ chức, và ngày nay vấn đề quản lý, truy cập và nắm bắt thông tin cũng vô cùng quan trọng đối các tổ chức, cơ quan và các đơn vị nhà nước trước xu thế toàn cầu hóa. Vấn đề an ninh thông tin đã và đang là vấn đề nóng bóng đối với các quốc gia, doanh nghiệp, các tổ chức,…
Mục tiêu chính của mạng riêng ảo là sử dụng môi sử dụng môi trường truyền thông rộng khắp để cung cấp một mạng riêng ảo đảm bảo 3 chức năng chính: chức năng bảo mật, toàn vẹn dữ liệu, và xác thực.
2.1.3. Xu hướng phát triển mạng riêng ảo (VPN)
Mạng riêng ảo có thể phát triển được trên nhiều môi trường khác nhau: công nghệ chuyển mạch gói, công nghệ chuyển mạch khung Frame Relay, hay Internet.. trong các môi trường khác nhau, sự phát triển của VPN có những đặc điểm khác nhau về mặt kỹ thuật cũng như mặt đáp ứng yêu cầu của của người sử dụng. tuy nhiên trong quá trình phát triển thì VPN trên môi trường Internet là một xu hướng phát triển mạnh mẽ nhất,
Luận văn thạc sỹ
Lê Ngọc Hoàn Trang 39
điều này xuất phát từ nhu cầu thực tế của sự phát triển rất nhanh về sử dụng internet trong những năm gần đây.
Sự phát triển của VPN trên mạng Internet được tạo ra bởi 4 yếu tố cơ bản đó là: 1. Sự phát triển về địa lý của các chi nhánh của các công ty, tập đoàn doanh nghiệp ở nhiều quốc gia, lãnh thổ dẫn đến nhu cầu về thông tin tăng cao. Bên cạnh đó với công nghệ phát triển cũng có nhiều các chuyên gia làm việc từ xa cho nhiều các đơn vị, tổ chức nên yêu cầu trao đổi thông tin cũng gia tăng.
2. Sự phát triển kinh tế toàn cầu với xu thế hội nhập của các quốc gia nên nhu cầu trao đổi thông tin và kiểm soát thông tin diễn ra mạnh mẽ, trong khi đó với các hệ thống mạng LAN không đáp ứng được yêu cầu.
3. Chi phí cho việc cài đặt mạng diện rộng là khá lớn, đố là chưa kể đến việc khó khăn trong triển khai mạng diện rộng vì nó ảnh hưởng đến chủ quyền của nhiều quốc qia, lãnh thổ,… ngược lại sử dụng lợi thế sẵn có của mạng Internet lại là một lợi thế nổi bật.
4. Nhu cầu tích hợp và đơn giản hóa giao diện người dùng.
2.1.4. Lợi ích của mạng riêng ảo (VPN) mang lại
- Tiết kiệm chi phí về thiết bị, hỗ trợ kỹ thuật,..
- Đảm bảo được vấn đề an ninh thông tin thông qua các giao thức an ninh, các phương pháp xácthực bảo vệ và mã hóa dữ liệu trong thế giới mạng không an toàn.
- Đảm bảo tính linh hoạt. VPN cho phép nhiều kết nối thực hiện như Frame
Relay, leased line, Dial – Up, xDSL, Wireless,…
- Tính khả mởi, tức là có thể tận dụng trên cơ sở hạ tầng mạng Internet sẵn có mà không phải đầu tư thêm nhiều.
- Tăng hiệu suất, đó là cung cấp các kết nối nhanh, an toàn và tin cây hơn với các truy cập từ xa, ít yêu cầu bảo dưỡng hơn.
Như vậy, có thể nói hiệu quả của giải pháp VPN (Virtual Private Network) là một mạngVPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như 'Văn phòng' tại gia) hoặc
Luận văn thạc sỹ
Lê Ngọc Hoàn Trang 40
người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài, có xu hướng tăng cường
thông tin từ xa vì địa bàn hoạt động rộng hoặc có nhiều địa điểm, cơ sở cách xa nhau. Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và thời gian.
2.2. Các thành phần trong một mạng riêng ảo (VPN)
Các thành phần trong mạng cơ bản kiến trúc VPN bao gồm: • Máy phục vụ truy cập mạng (NAS – Network Access Server) • Bộđịnh tuyến (Router)
• Máy nguồn đường hầm (TOS – Tunnel Origination Server) • Máy đích đường hầm (TTS – Tunnel Termination Server) • Máy phục vụ việc xác thực (Authentication Server) • Firewalls
• Máy phục vụxác định chính sách (Policy Server) • VPN Wateway
Các thành phần mạng tốt nhất có thể được so sánh với các chức năng mạng. Một vài thành phần chỉ cung cấp một chức năng, trong khi một số thành phần khác cung cấp nhiều chức năng hơn. Chức năng NAS thông thường được cung cấp bởi một thiết bị mà đồng thời thiết bị này cũng cung cấp chức năng mansy nguồn đường hầm hoặc máy đích đường hầm. Chức năng máy đích đường hầm có thể được hỗ trợ một thiết bị mà thiết bị này cũng hỗ trợ các chức năng về bảo mật.
2.2.1. Máy phục vụ truy cập mạng (NAS)
NAS là một thiết bị có khả năng cung cấp dịch vụ truy cập mạng. Nếu NAS này được đặt tại mạng riêng của một đơn vị thì nó được gọi là máy phục vụ truy cập từ xa
(RAS – Remote Access Server). Nếu được đặt trongm ột mạng công cộng thì nó cung cập một dịch vụ truy cập tới hạ tầng mạng chia sẻ được quản lý bởi ISP. Một ISP có thể cung cấp các điểm truy cập dịch vụ (PoP – Point of Presence) để mở rộng khả năng truy
Luận văn thạc sỹ
Lê Ngọc Hoàn Trang 41
cập tới mạng riêng của một đơn vị. Điều này các người sử dụng từ xa có thể truy cập tới mạng riêng của đơn vị mình thông qua ISP với các giá cước nội hạt.
Bởi vì hệ thống ngày càng phát triển nên nhiều NAS được sử dụng. Chức năng tuyền thông được tách biệt khỏi chức năng xác thực. Chức năngtruyền thông điều khiển các modem và các cổng giao tiếp. Còn một máy phục vụ khác sẽ cung cấp chức năng xác thực. Định tuyến và lọc được là các chcuws năng được hỗ trợ bởi các thiết bị này.
2.2.2. Bộ định tuyến (router)
Tất cả ba dạng của VPN đều dựa vàobộ định tuyến. Các giải pháp VPN hiện thời là các bộ định tuyến được kết hợp với các chức năng khác. Các bộ định tuyến có thể được đặt ở phái mạng của một đơn vị và phái ISP. Chúng ta có thể phân biệt các bộ định tuyến trong, ngoài và thậm chí cá bộ định tuyến ngầm định. Một hệ tự trị (AS –
Automonous System) bao gồm các mạng và việc quản lý các mạng đó bởi một sự quản trị duy nhất. các bộ định tuyến trong và ngoài là một phần của AS. Các bộ định tuyến ngoài cho phép liên lạc với các bộ định tuyến của một AS khác, trong khi các bộ định tuyến trong cho phép Routing Iformation Protocol), OSPF (Open Shortest Path First
protocol).
2.2.3. Máy nguồn đường hầm (TOS)
Đây là phần quản lý đường hầm, nó có thể thiết lập hoặc hủy bỏ các đuognừ hầm. Tất cả những người sử dụng dịch vụ VPN đã được xác thực sẽ truy cập các tài nguyền trên mạng riêng của đơn vị thông qua một đường hầm mà đường hầm này được kết thức tại máy đích đường hầm. Máy nguồn có thể hỗ trợ nhiều đường hầm cùng một lúc. Tất cả các sản phẩm VPN đều hỗ trợ đường hầm. Trong thực tế, các thiết bị truy cập như là NAScung cấp chức năng này. Ví dụ như Cisco sử dụng bộ sử dụng bộ truy cập chung
L2TP (LAC – L2TP Access Concentrator) như là một NAS, trong đó có hố trợ định tuyến và đường hầm. Thiết bị này sẽ cungthiết lập một đường hầm giữa nó và máy đích đường hầm của ddown vị.
Luận văn thạc sỹ
Lê Ngọc Hoàn Trang 42
Phía còn lài của đường hầm là một thiết bị sẽ ketes thúc đường hầm. Sau đó nó sẽ chuyển các gói tin nhận được từ hầm tới đích là các máy tương ứng. Nếu đó là phiên
khởi tạo thì người gửi đàu tiên sẽ nhận được thông báo xác thực, dựa vào dó người nhận sẽ được sự chấp nhận hoặc bị loại bỏ.
2.2.5. Máy phục vụ việc xác thực (Authentication Server)
Khi một máy khách kết nối vào NAS thì NAS phải xác định xem máy này muốn truy cập Internet hay là truy cập vào dịch vụ VPN để truy cập vào tài nguyên trong một mạng riêng của đơn vị. Các ISP à các đơn vị có thể lựa chọn các cách xác thực. Với cơ chế xác thực đơn thì chỉ có phía đơn vị xác thực, còn nếu là cơ chế xác thực kép thì cả ISP và sẽ cung cấp xác thực. phía đơn vị sẽ hoạch định các chính sách và cung cấp quyền truy cập đến các tài nguyên khác nhau trên mạng của họ cho những người truy cập khác nhau.
Trong nhiều trường hợp có một máy phục vụ cấp quyền truy cập và lưu cacsthongo tin về truy cập. Máy phục vụ này có thể được dặt ở ISP và cũng có thể được đặt ở phía đơn vị. có hai loại chính được sử dụng:
- Terminal Access Controller Access Control System (TACACS) - Remote Authentication Dia In User Server (RADIUS)
Bất kỳ một thiết bị nào cũng có thể truy cập đến một máy phục vụ TACACS hoặc RADIUS và nó đóng vai trò như một máy khách TACACS hoặc RADIUS. Một NAS hoặc một máy đích đường hầm sử dụng giao thức TACACS để liên lạc với máy phục vụ TACACS. RADIUS ccungx làm việc theo cơ chế như vậy. Sự khác nhau ở chỗ là RADIUS là phiên bản ra sau và mã hóa dữ liệu trao đổi giữa nó với NAS hoặc máy đích đường hầm. Các máy phục vụ này có một cơ sở dữ liệu cùng với hồ sở người sử dụng. Những người sửu dụng được cấp phép sẽ được gán cho các quyền riêng để truy cập vào các thiêt bị hoặc các dịch vụ mạng cụ thể.
Luận văn thạc sỹ
Lê Ngọc Hoàn Trang 43
Để bảo vệ mạng của đơn vị bởi các truy cập bật hợp pháp, một Firewall được sử