CHƯƠNG 3. LỰA CHỌN GIẢI PHÁP BẢO MẬT, XÁC THỰC VPN VÀ TRIỂN KHAI ỨNG DỤNG DỰA TRÊN CÔNG NGHỆ MỞ
3.3. TRIỂN KHAI ỨNG DỤNG
3.3.2. Cài đặt và cấu hình openvpn
wget http://www.openvpn.net/release/openvpn-2.3.8.tar.gz
wget http:/www.oberhumer.com/opensource/lzo/download/lzo-2.3.8.tar.gz
Bước 2: Trước tiên cài đặt gói lzo : tar –xvzf lzo-2.38.tar.gz
cd lzo-2.38 ./configure make
make check make test make install
Bước 3 : tiến hành cài đặt openvpn : tar –xvzf openvpn-2.3.8.tar.gz
cd openvpn-2.3.8 ./configure
make
make install
Sinh khóa: Thiết lập CA và tạo ra các chứng chỉ số và khóa cho một máy chủ Openvpn và nhiều máy khách
Bước đầu tiên thiết lập một PKI (cơ sở hạ tầng khóa công khai). PKI bao gồm:
- Khóa công khai và khóa riêng của máy chủ và mỗi máy khách
- Giấy chứng nhận CA, chứng chỉ và khóa đƣợc sử dụng để đăng ký mỗi chứng chỉ số của máy chủ và các máy khách
Việc tạo và quản lý PKI (small PKI) được thực hiện dưới dạng scrip được cài đặt tại /etc/openvpn/easy-rsa:
- Chỉnh sửa các thông số KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG, and KEY_EMAIL trong tệp cấu hình vars.
- Cài đặt PKI . ./vars ./clean-all ./build-ca
ai:easy-rsa # ./build-ca
...++++++
writing new private key to 'ca.key' ---
You are about to be asked to enter information that will be incorporated into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank For some fields there will be a default value,
If you enter '.', the field will be left blank.
---
Country Name (2 letter code) [KG]:
State or Province Name (full name) [NA]:
Locality Name (eg, city) [BISHKEK]:
Organization Name (eg, company) [OpenVPN-TEST]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:OpenVPN-CA Email Address [me@myhost.mydomain]:
- Tạo chứng chỉ số và khóa cho server ./build-key-server server
- Tạo chứng chỉ và khóa cho máy khách ./ build-key client
- Tạo tham số DH ./build-dh
ai:easy-rsa # ./build-dh
Generating DH parameters, 1024 bit long safe prime, generator 2 This is going to take a long time
...+...
...+...+...+...
...
Tệp khóa:
Filename Needed By Purpose Secret
ca.crt server + all clients Root CA certificate NO ca.key key signing machine only Root CA key YES dh{n}.pem server only Diffie Hellman parameters NO server.crt server only Server Certificate NO
server.key server only Server Key YES
client1.crt client1 only Client1 Certificate NO
client1.key client1 only Client1 Key YES
Cấu hình hệ thống Openvpn:
VPN server VPN client
port 1554 proto udp dev tun
server 172.16.102.0 255.255.255.0 ca /etc/openvpn/scfg/ca.crt
cert /etc/openvpn/scfg/server.crt key /etc/openvpn/scfg/server.key dh /etc/openvpn/scfg/dh1024.pem client-to-client
client-config-dir /etc/openvpn/ccfg management 127.0.0.1 6300
push "route 192.168.10.0 255.255.255.0"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option WINS 10.8.0.1"
tun-mtu 1300
remote 192.168.98.44 port 1554
client dev tun proto udp
ca ca.crt
pkcs11-providers
/home/anhdoan/epass3003/redist/libs huttle_p11v220.so.1.0.0
pkcs11-id
'Feitian\x20Technologies\x20Co\x2E\
x2C\x20Ltd\x2E/ePass3003Auto/0121 511609040510/ePass/6639393235383 3302D376166312D313165312D3835
mssfix 1300 keepalive 10 60 tls-auth ta.key cipher BF-CBC max-clients 100 persist-tun persist-key verb 5
status /var/log/openvpn-status-new.log log /var/log/openvpn-new.log
resolv-retry infinite tun-mtu-extra 32 mssfix 1300 nobind ping 15
verb 3
#tun-mtu 1300
#tls-remote "anhdoan"
Thông tin cấu hình CA:
Thông tin cấu hình Client
Thông tin cấu hình Server:
Cài đặt giao diện quản trị mạng VPN sử dụng webmin:
Tải bộ cài đặt webmin từ địa chỉ sau: http://www.webmin.com/download.html Và cài đặt
[root@uynq ~]# rpm -Uvh webmin-1.550-1.noarch.rpm Sau khi cài đặt, đăng nhập vào Webmin bằng địa chỉ https://localhost:10000
Hình 3.4. Giao diệnWebmin
Tạo Certification Authority
Chọn Server -> OpenVPN + CA, chọn Certification Authority List.
Điền các thông tin, chọn Save.
Hệ thống sẽ tạo ra các tham sô ca.key và ca.crt cho Certification Authority.
Tạo khóa cho máy chủ VPN
Để tạo Server key, vào Server -> OpenVPN + CA -> Certication Authority List, và chọn Keys list.
Tạo mới và cấu hình VPN server
Chọn Servers -> OpenVPN + CA -> VPN List, chọn New VPN server.
Điền các thông tin cho VPN Server.
Tạo khóa và tài khoản VPN client
Chọn Servers -> OpenVPN + CA -> Certication Authority List -> Keys list.
Hệ thống tạo khóa cho client.
KẾT LUẬN
Với yêu cầu tính bảo mật và dễ dàng triển khai, giải pháp OpenVPN là lựa chọn tối ƣu nhất. Đánh giá mô hình kiến trúc của OpenVPN khắc phục đƣợc một số vấn đề bảo mật đƣợc nêu nhƣ: chống tấn công DDOS, chống tấn công phát lại, tấn công trung gian … Trong Luận văn đề xuất triển khai một giải pháp VPN ứng dụng thử nghiệm vào mô hình kết nối mạng trong thực tế.
Thực hiện xây dựng giải pháp tương đối hoàn thiện trên nền tảng của phần mềm OpenVPN mã nguồn mở, trong đó, áp dụng hai mô hình site to site và remote access. Tích hợp các giải pháp bảo mật nâng cao dựa trên PKI: Tích hợp việc lưu khóa trên thiết bị phần cứng; tích hợp đầy đủ giải pháp tường lửa mã nguồn mở. Phần mềm quản trị thực hiện yêu cầu thiết kế, xây dựng giao diện quản trị trên nền web.
Công cụ quản trị cho phép giám sát kết nối, lựa chọn thuật toán mã hóa cho kết nối VPN. Kết quả nghiên cứu này sẽ làm cơ sở cho việc triển khai một số giải pháp bảo mật mạng riêng ảo trong thực tiễn.
Hướng phát triển:
- Nghiên cứu giải pháp bảo mật Cơ sở dữ liệu - Nghiên cứu giải pháp bảo mật thƣ điện tử - Nghiên cứu giải pháp bảo mật xác thựcWeb