CHƯƠNG 3. LỰA CHỌN GIẢI PHÁP BẢO MẬT, XÁC THỰC VPN VÀ TRIỂN KHAI ỨNG DỤNG DỰA TRÊN CÔNG NGHỆ MỞ
3.2. LỰA CHỌN GIẢI PHÁP
3.2.1. Phân tích yêu cầu thực tế và lựa chọn giải pháp OpenVPN
Hiện nay, có nhiều giải pháp, thiết bị hỗ trợ công nghệ VPN ( Virtural Private Netwwork) của các hãng nhƣ Cisco, Checkpoint, Juniper… Tuy nhiên, giá thành các sản phẩm này khá đắt. Điều này gây trở ngại lớn đối với các tổ chức không đủ kinh phí để triển khai, trong khi nhu cầu triển khai rất cần thiết với bài toán đặt ra là giảm giá thành sản phẩm,. Ngày nay, công nghệ phần mềm ngày càng phát triển mạnh mẽ. Đặc biệt là công nghệ mã nguồn mở. Nếu tận dụng đƣợc những yêu thế này, tức là tận dụng phần mềm mã nguồn mở vào ứng dụng VPN thì sẽ giảm đƣợc khá nhiều chi phí cho việc triển khai và cũng đảm
bảo đƣợc các vấn đề an ninh, an toàn. Điều này sẽ đem lại lợi thế rất lớn so với các sản phẩm thương mại. Khi tiếp cận phần mềm VPN mã nguồn mở, có hai nhóm giải pháp đƣợc sử dụng phổ biến hiện nay: Giải pháp không gian nhân và không gian người sử dụng [1,2,3,4].
Nhóm giải pháp không gian nhân là những giải pháp sửa đổi nhân qua các bản vá lỗi. Chúng phức tạp hơn và ít linh hoạt hơn so với nhóm giải pháp không gian người sử dụng. Hầu hết các giải pháp triển khai trên giao thức bảo mật IPsec (4), hoặc là có nguồn gốc đƣợc hỗ trợ bởi nhân hoặc thông qua các bản vá nhân. Một số dự án nhƣ: Dự án FreeS/WAN đƣợc xây dựng đầu tiên và là mã nguồn của IPsec cho Linux, bao gồm một chồng nhân IPsec đƣợc gọi là KLIPS.
Dự án FreeS/WAN đã bị hủy bỏ vào năm 2004. OpenSwan và StrongSwan là sự tiếp tục của dự án FreeS/WAN [4].
Nhóm giải pháp không gian người sử dụng hoạt động trong không gian người sử dụng và do đó, không phụ thuộc hoàn toàn vào mô đun nhân hoặc các bản vá. Giải pháp này dễ cài đặt, khá linh hoạt và mềm dẻo trên một số hệ điều hành. Giải pháp không gian người sử dụng VPN sử dụng” giao diện đường hầm áp đảo”, tạo nên các chức năng kết nối mạng ở mức độ thấp, để đạt được đường hầm IP. Ví dụ nhƣ Tinc, CIPE, vTun, và Open VPN [5]. Giải pháp không gian người sử dụng có thể được nhóm lại dựa trên giao thức bảo mật sau: Các giao thức sử dụng chức năng mã hóa đƣợc cung cấp bởi OpenSSL[7] ( Open VPN, vTun, Tinc). Các giao thức, phương thức mã hóa riêng ( CIPE, PPTP, L2TP).
Mục đích của nghiên cứu này là thực hiện xây dựng một giải pháp VPN trong môi trường Linux [6,7]. Có thể nhận thấy việc sửa đổi nhân và biên dịch lại không phải là lựa chọn khả thi nhất và sẽ mất nhiều thời gian., IPsec cũng không phải là lựa chọn vì cách cấu hình và cài đặt là tương đối phức tạp. Giải pháp VPN không gian người sử dụng là sự lựa chọn tối ưu. Một trong những lựa chọn tốt nhất là OpenVPN. Đây là một giải pháp hiệu quả và dễ dàng để cấu hình, VPN cung cấp gần như một phương thức bảo mật như IPsec. SSL/TLS được sử dụng nhƣ hệ thống bảo mật. OpenVPN là một trong những sự lựa chọn phần mềm an toàn nhất và đáng tin cậy. Không có lỗ hổng bảo mật lớn đƣợc tìm thấy và nó
Ngày nay công nghệ phần mềm ngày càng phát triển mạnh mẽ. Đặc biệt là công nghệ mã nguồn mở. Nếu tận dụng đƣợc ƣu thế này, đƣa phần mềm mã nguồn mở vào ứng dụng VPN thì sẽ giảm đƣợc khá nhiều chi phí cho việc triển khai mô hình mạng riêng ảo. Tạo điều kiện cho các đơn vị ứng dụng công nghệ mới.
Một trong những lựa chọn tốt nhất là OpenVPN. Đây là một giải pháp mạnh mẽ và dễ dàng để cấu hình VPN, cung cấp các giải pháp bảo mật.
3.2.2. Tích hợp PKI dùng usb eToken
Để đáp ứng yêu cầu một mạng riêng ảo có tính bảo mật cao. Đa số các mạng riêng ảo ngày nay đang đƣợc khai thác không sử dụng sự hỗ trợ của cơ sở hạ tầng mã khóa công khai (PKI). Các điểm kết nối cuối của các mạng VPN này nhận biết lẫn nhau thông qua thiết lập các đường hầm IP. Một cách đơn giản nhất, là cài đặt cấu hình tại hai đầu của đường hầm VPN cùng chia sẻ một bí mật chung - một cặp mật khẩu. Phương pháp giải quyết đơn giản này có thể hoạt động tốt trong một mạng VPN nhỏ nhƣng sẽ trở nên khó khăn khi điều khiển trong mạng VPN có số lƣợng điểm truy cập lớn.
Hai đầu cuối VPN có thể nhận thức nhau thông qua giấy chứng nhận điện tử (thẻ hội viên điện tử) không thể thiếu trong các mạng VPN lớn. Các mạng VPN sử dụng chứng nhận điện tử khi đường hầm IP khởi tạo, các điểm kết nối cuối sẽ xác nhận lẫn nhau thông qua chứng nhận điện tử. Cơ sở hạ tầng mã hóa công khai sẽ đóng vai trò quan trọng trong việc xây dựng thành công các mạng VPN lớn.
USB eToken là thiết bị phần cứng để tạo ra cặp khóa công khai và bí mật cũng như lưu trữ khóa bí mật của khách hàng, kết nối với máy tính thông qua cổng giao tiếp USB. USB eToken cung cấp nền tảng bảo mật an toàn, hiệu quả, dễ sử dụng và triển khai trên diện rộng.
Giải pháp sử dụng thiết bị Secure Token ST 3 của hãng SecureMetric tương thích với các môi trường Linux, Windows.