1. Home
  2. Luận văn tổng hợp
  3. Nghiên cứu xây dựng giải pháp bảo mật và xác thực mạng ảo VPN

Nghiên cứu xây dựng giải pháp bảo mật và xác thực mạng ảo VPN - Pdf 30


BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI 2
NGÔ QUANG HƯNG

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI 2


Đại học Sư phạm Hà Nội 2 cùng toàn thể các thầy cô đã giảng dạy, hướng dẫn
tôi trong khoá học 2012-1014 lớp K16-KHMT để tôi có thể hoàn thành luận văn.
Xin gửi lời cảm ơn tới bạn bè và gia đình đã luôn khuyến khích động viên tôi
trong quá trình học tập và làm luận văn.
Tôi xin chân thành cảm ơn!
Hà Nội, ngày 15 tháng 12 năm 2014
TÁC GIẢ LUẬN VĂN
Ngô Quang Hưng
Lời cam đoan

Tôi xin cam đoan rằng số liệu và kết quả nghiên cứu trong luận văn này
là trung thực và không trùng lặp với các đề tài khác. Tôi cũng xin cam đoan
rằng mọi sự giúp đ cho việc thực hiện luận văn này đã được cảm ơn và các
thông tin trích dẫn trong luận văn đã được chỉ rõ nguồn gốc. TÁC GIẢ LUẬN VĂN
Ngô Quang Hưng

1


2

2.2.3. Tính bảo mật 51
2.2.4. Hạ tầng PKI 53
2.2.5 Giao thức SSL/TLS 56
2.2.6 Tường lửa 58
2.3 Tổng kết 59
CHƯƠNG 3: XÂY DỰNG GIẢI PHÁP BẢO MẬT, XÁC THỰC VPN
VÀ TRIỂN KHAI ỨNG DỤNG DỰA TRÊN CÔNG NGHỆ MỞ 60
3.1. Khảo sát hiện trạng 60
3.2. Đề xuất giải pháp 63
3.2.1. Phân tích yêu cầu thực tế và giới thiệu giải pháp OpenVPN 63
3.2.2. Bảo mật trong OpenVPN 64
3.2.3. Ưu, nhược điểm và cách khắc phục khi triển khai 65
3.2.4. Tích hợp PKI dùng usb eToken 67
3.3. Triển khai ứng dụng 68
3.3.1. Mô hình remote access 68
3.3.2. Mô hình site to site 80
3.4. Tổng kết 81
KẾT LUẬN 82
TÀI LIỆU THAM KHẢO 83 3

BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT

Ký hiệu
Từ hoặc cụm từ
AH

Quanlity of Service
SSL
Sercure Socket Layer
TLS
Transport Layer Sercurity
VPN
Virtual Private Network 4

DANH MỤC CÁC BẢNG BIỂU, HÌNH VẼ

Số hình
Tên hình
Trang
Hình 1.1
Mạng VPN điển hình gồm mạng LAN trụ sở chính,
các văn phòng từ xa và người truy cập từ bên ngoài
14
Hình 1.2
Thiết lập VPN truy cập từ xa
15
Hình 1.3
Thiết lập Intranet sử dụng WAN
15
Hình 1.4

Hình 3.1
Hệ thống mạng của trường
61
Hình 3.2
Thiết bị usb eToken SecureToken ST3
68
Hình 3.3
Mô hình VPN remote access
68
Hình 3.4
Nội dung file vars
70
Hình 3.5
Quá trình tạo CA
71
Hình 3.6
Tạo chứng thư số và khóa cho Server
71
Hình 3.7
Tạo chứng thư số và khóa cho máy khách
72
Hình 3.8
Tạo tham số DH
72
Hình 3.9
Tạo khóa dạng pkcs12
73
5

Hình 3.10

Sử dụng Wireshark bắt gói tin và gói tin đã được mã hóa
80
Hình 3.21
Mô hình VPN site to site
81
Bảng 2.1
Phân loại thuật toán SHA
48
Bảng 2.2
Kích thước của các thuật toán SHA
48 6

MỞ ĐẦU
1. Lý do chọn đề tài
Hiện nay, cùng với sự phát triển của công nghệ thông tin, công nghệ
mạng máy tính và đặc biệt là mạng Internet đã phát triển mạnh mẽ cả về mặt
mô hình lẫn tổ chức, đáp ứng đầy đủ các nhu cầu của người sử dụng. Internet
đã được thiết kế để kết nối nhiều mạng với nhau và cho phép thông tin chuyển
đến người sử dụng một cách tự do và nhanh chóng. Các thông tin trao đổi trên
Internet cũng đa dạng cả về nội dung và hình thức, trong đó có rất nhiều thông
tin cần bảo mật cao bởi tính kinh tế, tính chính xác và tin cậy của nó. Tuy nhiên
Internet lại là một hệ thống mạng công cộng, không hề có bất kỳ cơ chế bảo
mật nào và dữ liệu lưu chuyển trên Internet một cách tự do và hỗ loạn. Làm thế
nào để người dùng di động có thể truy cập được vào mạng nơi họ làm việc ở
bất kỳ đâu, bất kỳ lúc nào thông qua mạng Internet công cộng. Làm thế nào để
các chi nhánh trong cùng một cơ quan có thể truyền thông dễ dàng với nhau và
với mạng của khách hàng mà không sợ dữ liệu có thể bị mất, bị giả mạo hay bị

sử dụng thiết bị phần cứng SecureToken ST3 để lưu khóa.
5. Phương pháp nghiên cứu
Phương pháp tìm hiểu, đánh giá để từ đó xây dựng giải pháp bảo mật và
xác thực VPN dựa trên công nghệ mở.
6. Giả thuyết khoa học
Phát triển từ mã nguồn mở OpenVPN.
8

CHƯƠNG 1. NGHIÊN CỨU TỔNG QUAN VỀ AN NINH BẢO MẬT
THÔNG TIN, MẠNG RIÊNG ẢO VPN VÀ TÌM HIỂU CÔNG NGHỆ
MÃ NGUỒN MỞ.
1.1. Tổng quan về an toàn bảo mật thông tin
1.1.1. Giới thiệu về bảo mật thông tin
Với sự phát triển mạnh mẽ của công nghệ thông tin, đặt biệt là sự phát
triển của mạng Internet, ngày càng có nhiều thông tin được lưu giữ trên máy
tính và gửi đi trên mạng Internet. Do đó xuất hiện nhu cầu về an toàn và bảo
mật thông tin trên máy tính. Bảo vệ an toàn thông tin dữ liệu là một chủ đề
rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rất nhiều phương
pháp được thực hiện để bảo vệ an toàn thông tin dữ liệu. Các phương pháp bảo
vệ an toàn thông tin dữ liệu có thể được quy tụ vào ba nhóm sau:
- Bảo vệ an toàn thông tin bằng các biện pháp hành chính
- Bảo vệ an toàn thông tin bằng các biện pháp kỹ thuật (phần cứng)
- Bảo vệ an toàn thông tin bằng các biện pháp thuật toán (phần mềm)
Ba nhóm trên có thể được ứng dụng riêng rẽ hoặc phối kết hợp. Môi
trường khó bảo vệ an toàn thông tin nhất và cũng là môi trường đối phương dễ
xâm nhập nhất đó là môi trường mạng và truyền tin. Biện pháp hiệu quả nhất
và kinh tế nhất hiện nay trên mạng truyền tin và mạng máy tính là biện pháp
thuật toán.
An toàn thông tin gồm các nội dung sau:
- Tính bí mật: Tính kín đáo riêng tư của thông tin

Vì không thể có một giải pháp an toàn tuyệt đối nên người ta thường phải
sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều hàng rào chắc
đối với các hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu là
10

bảo vệ thông tin cất giứ trong máy tính, đặc biệt là các máy chủ trên mạng. Bởi
thế ngoài một số biện pháp nhằm chống thất thoát thông tin trên đường truyền
mọi có gắng tập trung vào việc xây dựng các mức rào chắn từ ngoài vào trong
cho các hệ thống kết nối vào mạng. Thông thường bao gồm các mức bảo vệ
sau:
Quyền truy cập: Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm
soát các tài nguyên của mạng và quyền hạn trên tài nguyên đó. Dĩ nhiên là kiểm
soát được các cấu trúc dữ liệu càng chi tiết càng tốt. Hiện tại việc kiểm soát
thường ở mức tệp.
Đăng ký tên / mật khẩu: Thực ra đây cũng là kiểm soát quyền truy nhập,
nhưng không phải truy nhập ở mức thông tin mà ở mức hệ thống. Đây là
phương pháp bảo vệ phổ biến nhất vì nó đơn giản ít phí tổn và cũng rất hiệu
quả. Mỗi người sử dụng muốn được tham gia vào mạng để sử dụng tài nguyên
đều phải có đăng ký tên và mật khẩu trước. Người quản trị mạng có trách nhiệm
quản lý, kiểm soát mọi hoạt động của mạng và xác định quyền truy nhập của
những người sử dụng khác theo thời gian và không gian.
Mã hóa dữ liệu: Để bảo mật thông tin trên đường truyền người ta sử dụng
các phương pháp mã hóa. Dữ liệu bị biến đổi từ dạng nhận thức được sang dạng
không nhận thức được theo một thuật toán nào đó và sẽ được biến đồi ngược
lại ở trậm nhận (giải mã). Đây là lớp bảo vệ thông tin rất quan trọng.
Bảo vệ vật lý: Ngăn cản các truy nhập vật lý vào hệ thống. Thường dùng
các biện pháp truyền thống như ngăn cấm tuyệt đối người không phận sự vào
phòng đặt máy mạng, dùng ổ khóa trên máy tính hoặc các máy trạm không có
ổ mềm.
Tường lửa: Ngăn chặn thâm nhập trái phép và lọc bỏ các gói tin không

tạo ra và chỉ được giải mã khi về đến đích. Cách này mắc phải nhược điểm là
12

chỉ có dữ liệu của người dùng thì mới có thể mã hóa được còn dữ liệu điều
khiển thì giữ nguyên để có thể xử lý tại các nút.
1.2. Tổng quan về mạng riêng ảo VPN
1.2.1. Khái niệm
Mạng riêng ảo, có tên tiếng Anh là Virtual Private Network, viết tắt là
VPN. Sau đây ta thường gọi ngắn gọn theo tên viết tắt.
Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng (như
Internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ sở hạ tầng
để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được
truy nhập. Nói cách khác, VPN được định nghĩa là liên kết của khách hàng
được triển khai trên một hạ tầng công cộng với các chính sách như là trong một
mạng riêng. Hạ tầng công cộng này có thể là mạng IP, Frame Relay, ATM hay
Internet.
1.2.2. Những lợi ích cơ bản của Mạng riêng ảo
VPN mang lại nhiều lợi ích, những lợi ích này bao gồm:
- Giảm chi phí thực thi: Chi phí cho VPN ít hơn rất nhiều so với các giải
pháp truyền thống dựa trên đường Lease-Line. Bởi vì VPN loại trừ được những
yếu tố cần thiết cho các kết nối đường dài bằng cách thay thế chúng bởi các kết
nối cục bộ tới ISP hoặc điểm đại diện của ISP.
- Giảm được chi phí thuê nhân viên và quản trị: Vì giảm được chi phí
truyền thông đường dài. VPN cũng làm giảm được chi phí hoạt động của mạng
dựa vào WAN một cách đáng kể. Hơn nữa, một tổ chức sẽ giảm được toàn bộ
chi phí mạng nếu các thiết bị dùng trong mạng VPN được quản trị bởi ISP. Vì
lúc này, thực tế là Tổ chức không cần thuê nhiều nhân viên mạng cao cấp.
- Nâng cao khả năng kết nối: VPN tận dụng Internet để kết nối giữa các
phần tử ở xa của một Intranet. Vì Internet có thể được truy cập toàn cầu, nên
13

- Có khả năng kết nối từ xa giữa các nhánh văn phòng.
- Được điều khiển truy nhập tài nguyên mạng khi cần thiết của khách
hàng, nhà cung cấp và những đối tượng quan trọng của công ty nhằm hợp tác
kinh doanh.
Dựa trên những nhu cầu cơ bản trên, ngày nay VPN đã phát triển và phân
chia thành 3 mô hình chính: VPN Truy cập từ xa (Remote Access VPN), VPN
Cục bộ (Intranet VPN), VPN mở rộng (Extranet VPN) Hình 1.1 Mạng VPN điển hình gồm mạng LAN trụ sở chính, các văn phòng
từ xa và người truy cập từ bên ngoài

1.2.3.1. VPN Truy cập từ xa (Remote Access VPN)
VPN truy cập từ xa cho phép người dùng từ xa, người dùng di động của
một tổ chức có thể truy cập tới các tài nguyên mạng của tổ chức hay công ty.
Đặc biệt là những người dùng thường xuyên di chuyển hoặc các chi nhánh văn
phòng nhỏ mà không có kết nối thường xuyên đến mạng Intranet hợp tác.
Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng
và người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông
qua đó để kết nối tới mạng của công ty qua Internet.
15 Hình 1.2 Thiết lập VPN truy cập từ xa
1.2.3.2. VPN Cục bộ (Intranet VPN)
Intranet VPN thường được dùng để kết nối các nhánh Văn phòng từ xa
của một tổ chức với Intranet trung tâm của tổ chức đó. Trong cách thiết lập
Intranet không sử dụng công nghệ VPN, mỗi một mạng từ xa phải kết nối tới
Intranet của tổ chức qua các Router trung gian.


vào mạng Intranet của một tổ chức trên nền hạ tầng mạng công cộng sử dụng
các đường truyền thuê bao. Giải pháp này cũng cung cấp các chính sách như
trong mạng riêng của một tổ chức như đảm bảo tính bảo mật, tính ổn định.
Extranet VPN cũng có kiến trúc tương tự như Intranet VPN, tuy nhiên điểm
khác biệt giữa chúng là phạm vi các ứng dụng cho phép các đối tác Extranet
VPN sử dụng. So với Intranet VPN thì vấn đề tiết kiệm chi phí không rõ bằng
nhưng điều quan trọng là khả năng cộng tác với các đối tác, khách hàng hay
các nhà cung cấp sản phẩm. Việc để cho khách hàng nhập trực tiếp dữ liệu về
các hợp đồng vào hệ thống sẽ tiết kiệm được rất nhiều thời gian cũng như các
lỗi không đáng có, tuy nhiên việc này rất khó thực hiện với công nghệ WAN
truyền thống. Extranet VPN thường sử dụng các kết nối dành riêng và thêm vào
các lớp bảo mật để xác thực và giới hạn truy nhập trên hệ thống.
18 Hình 1.5 Mạng Extranet dựa trên VPN
Ưu điểm chính của Extranet VPN là:
+ Chi phí rất nhỏ so với cách thức truyền thống.
+ Dễ thực thi, duy trì và dễ thay đổi
+ Dưới sự hiện diện của Internet, ta có thể chọn các đại lý lớn
+ Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân
viên hỗ trợ có thể giảm xuống.
Tuy nhiên cũng có một số nhược điểm:
+ Các nguy cơ an ninh như tấn công DOS vẫn còn tồn tại
+ Tăng rủi ro vì các xâm nhập vào Intranet của tổ chức
+ Độ trễ truyền thông vẫn lớn và thông lượng bị giảm xuống rất thấp với
các ứng dụng Multimedia.
+ Sự thực thi có thể bị gián đoạn và QoS cũng có thể không được bảo đảm.
19


trong đường hầm bằng các giao thức khác IP trong khi IPSec chỉ có thể truyền
các gói tin IP trong đường hầm
Nhược điểm: Khó khăn lớn nhất gắn kèm với PPTP là cơ chế yếu kém
về bảo mật do nó dùng mã hóa đồng bộ trong khóa được xuất phát từ việc nó
sử dụng mã hóa đối xứng là cách tạo ra khóa từ mật khẩu của người dùng. Điều
này càng nguy hiểm hơn vì mật khẩu thường gửi dưới dạng phơi bày hoàn toàn
trong quá trình xác nhận. Giao thức tạo đường hầm kết tiếp (L2F) được phát
triển nhằm cải thiện bảo mật với mục đích này.
12.4.2. Giao thức chuyển tiếp lớp hai (L2F)
Giao thức L2F đương nghiên cứu và phát triển sớm nhất và là một trong
những phương pháp truyền thống để cho người sử dụng truy nhập từ xa vào
mạng các doanh nghiệp thông qua thiết bị. L2F cung cấp các giải pháp cho dịch
vụ quay số ảo bằng thiết bị một đường hầm bảo mật thông qua cơ sở hạ tầng
công cộng như Internet. Nó cho phép đóng gói các gói tin PPP trong khuân
dạng L2F và định đường hầm ở lớp liên kết dữ liệu.
Ưu điểm:
- Nâng cao bảo mật cho quá trình giao dịch
- Có nền tảng độc lập
- Không cần những sự lắp đặt đặc biệt với ISP
- Hỗ trợ một phạm vi rộng rãi các công nghệ mạng như ATM, IPX,
NetBEUI và Frame Relay.
Nhược điểm:
- L2F yêu cầu cấu hình và hỗ trợ lớn
- Thực hiện L2F dựa trên ISP. Nếu trên ISP không hỗ trợ L2F thì không
thể triển khai L2F được.
21

1.2.4.3. Giao thức đường hầm lớp 2 (L2TP)
Được phát triển bởi IETF và được tán thành bởi các hãng lớn, như: Cisco,
Microsoft, 3COM, và Ascend. L2TP là một sự kết hợp của các giao thức VPN

Nhờ tải bản gốc

Tài liệu, ebook tham khảo khác

Học thêm

Music ♫

Copyright: Tài liệu đại học © DMCA.com Protection Status