ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

NGUYỄN QUYẾT TIẾN

NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG RIÊNG ẢO
VÀ ỨNG DỤNG

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Hà Nội - 2015


ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

NGUYỄN QUYẾT TIẾN

NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG RIÊNG ẢO
VÀ ỨNG DỤNG

Ngành: Công nghệ thông tin
Chuyên ngành: Hệ thống thông tin
Mã số: 60480104

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

NGƢỜI HƢỚNG DẪN KHOA HỌC: TS. HỒ VĂN HƢƠNG

Hà Nội - 2015


bạn để luận văn đƣợc hoàn thiện hơn.
Hà Nội, tháng 08 năm 2015
Học viên

Nguyễn Quyết Tiến


MỤC LỤC

LỜI NÓI ĐẦU ..................................................................................................... 1
CHƢƠNG 1. TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN, BẢO
MẬT MẠNG RIÊNG ẢO VÀ TÌM HIỂU CÔNG NGHỆ MÃ NGUỒN MỞ.
............................................................................................................................... 3
1.1. AN TOÀN BẢO MẬT THÔNG TIN…………………………................3
1.1.1.Giới thiệu về bảo mật thông tin ............................................................. 3
1.1.2. Một số giải pháp an toàn thông tin ....................................................... 3
1.2. MẠNG RIÊNG ẢO…………………………………………………...….6
1.2.1. Khái niệm .............................................................................................. 6
1.2.2. Những lợi ích cơ bản của mạng riêng ảo .............................................. 6
1.2.3. Các mô hình kết nối VPN ..................................................................... 7
1.2.4. Giao thức mạng riêng ảo ..................................................................... 11
1.3. CÔNG NGHỆ MÃ NGUỒN MỞ…………………………………........16
1.3.1. Khái niệm phần mềm mã nguồn mở. .................................................. 16
1.3.2. Những ƣu điểm của PMNM ............................................................... 17
1.3.3. Những hạn chế của PMNM ................................................................ 18
1.4. KẾT LUẬN……………………………………………………………...18
CHƢƠNG 2. CÁC NGUY CƠ MẤT AN TOÀN THÔNG TIN TRONG
MẠNG RIÊNG ẢO VÀ CÁC GIẢI PHÁP BẢO MẬT MẠNG RIÊNG ẢO.
............................................................................................................................. 19
2.1. NGUY CƠ MẤT AN TOÀN THÔNG TIN TRONG MẠNG RIÊNG ẢO

Ký hiệu

Từ hoặc cụm từ

AH

Authentication Header

CA

Certificate Authority

CHAP

Challenge-Handshake Authentication Protocol

DH

Diffie-Hellman

ESP

Encapsulation Security Payload

HMAC

Hashed-keyed Message Authentication Code

IKE


PKI

Public Key Infrastructure

PPTP

Point To Point Tunneling Protocol

QoS

Quanlity of Service

SSL

Sercure Socket Layer

TLS

Transport Layer Sercurity

VPN

Virtual Private Network


DANH MỤC CÁC BẢNG BIỂU HÌNH VẼ
Số hình
Hình 1.1
Hình 1.2
Hình 1.3

Thông tin cấu hình CA

Trang
8
8
9
10
11
13
15
19
26
27
28
37
41
41
50


1
LỜI NÓI ĐẦU
1. Lý do chọn đề tài
Ngày nay cùng với sự phát triển không ngừng của công nghệ thông tin và
sự phát triển nhanh chóng của mạng Internet, các thông tin trao đổi trên Internet
cũng tăng lên nhanh chóng và đa dạng, phong phú về cả nội dung lẫn hình thức.
Phƣơng án truyền thông nhanh, an toàn và tin cậy đang trở thành mối
quan tâm của nhiều cơ quan, doanh nghiệp, đặc biệt là các tổ chức có cơ sở hạ
tầng phân tán về địa lý. Nếu nhƣ trƣớc đây giải pháp thông thƣờng là thuê các
đƣờng truyền riêng(Leased line) để duy trì mạng WAN(Wide Area Network)

Đối tƣợng và phạm vi nghiên cứu là công nghệ mạng riêng ảo VPN đƣợc
cài đặt trên nền hệ điều hành Linux bản phân phối Debian 8.0. Sử dụng mã
nguồn mở OpenVPN 2.3.4 để triển khai. Tích hợp hạ tầng khóa công khai PKI,
sử dụng thiết bị phần cứng SecureToken ST3 để lƣu khóa.
5. Phƣơng pháp nghiên cứu
Phƣơng pháp tìm hiểu, đánh giá để từ đó lựa chọn giải pháp bảo mật và triển
khai VPN dựa trên công nghệ mở.
6. Giả thuyết khoa học
Phát triển từ mã nguồn mở OpenVPN.


3
CHƢƠNG 1. TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN, BẢO
MẬT MẠNG RIÊNG ẢO VÀ TÌM HIỂU CÔNG NGHỆ MÃ NGUỒN MỞ.
1.1. AN TOÀN BẢO MẬT THÔNG TIN
1.1.1. Giới thiệu về bảo mật thông tin
Với sự phát triển nhanh chóng của công nghệ thông tin, đặc biệt là sự phát
triển của mạng Internet, thì nhu cầu truyền tin trên mạng Internet và lƣu trữ
chúng trên máy tính ngày càng tăng cao. An toàn bảo mật thông tin là một chủ
đề rộng, có liên quan đến nhiều lĩnh vực và trên thực tế có nhiều phƣơng pháp
đƣợc thực hiện để bảo vệ an toàn thông tin. Các phƣơng pháp an toàn thông tin
có thể đƣợc quy tụ vào ba nhóm sau:
-Bảo vệ an toàn thông tin bằng các biện pháp hành chính
-Bảo vệ an toàn thông tin bằng các biện pháp ký thuật(phần cứng)
-Bảo vệ an toàn thông tin bằng các biện pháp thuật toán(phần mềm)
Ba nhóm trên có thể đƣợc ứng dụng riêng rẽ hoặc phối kết hợp. Môi
trƣờng khó đảm bảo an toàn thông tin nhất và cũng là môi trƣờng đối phƣơng dễ
bị xâm nhập nhất đó là môi trƣờng mạng và truyền tin. Biện pháp hiệu quả và
kinh tế nhất hiện nay trên mạng truyền tin và mạng máy tính là biện pháp thuật
toán[1,2].

nếu không khi có kẻ tấn công vào đƣợc một hệ thống thì chúng cũng dễ dàng tấn
công vào hệ thống khác.
Các mức bảo vệ trên mạng:
Vì không thể có một giải pháp an toàn tuyệt đối nên ngƣời ta thƣờng phải
sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều hàng rào vững
chắc đối với các hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu
là bảo vệ thông tin cất giữ trên máy tính, đặc biệt là các máy chủ trên mạng. Bởi
thế ngoài một số biện pháp chống thất thoát thông tin trên đƣờng truyền, mọi cố
gắng tập trung vào việc xây dựng các mức rào chắn từ ngoài vào trong cho các
hệ thống kết nối vào mạng. Thông thƣờng bao gồm các mức bảo vệ sau:
Quyền truy cập: Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát
các tài nguyên của mạng và quyền hạn trên tài nguyên đó. Tất nhiên là kiểm soát
đƣợc các cấu trúc dữ liệu càng chi tiết càng tốt. Hiện tại việc kiểm soát thƣờng ở
mức tệp.
Đăng ký tên/ mật khẩu: Thực ra đây cũng là quyền kiểm soát truy nhập,
nhƣng không phải là truy nhập ở mức thông tin mà là ở mức hệ thống. Đây cũng
là phƣơng pháp bảo vệ phổ biến nhất vì nó đơn giản mà chi phí thấp mà cũng rất


5
hiệu quả. Mỗi ngƣời sử dụng muốn đƣợc tham gia vào mạng để sử dụng tài
nguyên đều phải có đăng ký tên và mật khẩu trƣớc. Ngƣời quản trị mạng có
trách nhiệm quản lý, kiểm soát mọi hoạt động của mạng và xác định quyền truy
nhập của những ngƣời sử dụng khác theo thời gian và không gian.
Mã hóa dữ liệu: Để bảo mật thông tin trên đƣờng truyền ngƣời ta sử dụng
các phƣơng pháp mã hóa. Dữ liệu dƣợc biến đổi từ dạng nhận thức đƣợc sang
dạng không nhận thức đƣợc theo một thuật toán nào đó và sẽ đƣợc biến đổi
ngƣợc lại (giả mã). Đây là lớp bảo vệ thông tin rất quan trọng.
Bảo vệ vật lý: Ngăn cản các truy nhập vật lý vào hệ thống. Thƣờng các biện
pháp truyền thống nhƣ ngăn cấm tuyệt đối ngƣời không đƣợc phép vào phòng

liệu của ngƣời dùng thì mới đƣợc mã hóa còn dữ liệu điều khiển thì giữ nguyên
để có thể xử lý tại các nút.
1.2. MẠNG RIÊNG ẢO
1.2.1. Khái niệm
Mạng riêng ảo có tên tiếng Anh là Virtual Private Network, viết tắt là VPN.
Sau đây thƣờng gọi ngắn gọn theo tên viết tắt.
Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng (nhƣ
Internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) là cơ sở hạ tầng để
truyền thông tin nhƣng vẫn đảm bảo là một mạng riêng và kiểm soát đƣợc truy
nhập. Nói cách khác VPN đƣợc định nghĩa là liên kết của khách hàng đƣợc triển
khai trên một hạ tầng công cộng với các chính sách nhƣ là một mạng riêng. Hạ
tầng công cộng này có thể là mạng IP, Frame Relay, ATM hay Internet [5,6].
1.2.2. Những lợi ích cơ bản của mạng riêng ảo
VPN mang lại nhiều lợi ích, bao gồm:
-Giảm chi phí thực thi: Chi phí cho VPN ít hơn rất nhiều so với các giải
pháp truyền thống dựa trên đƣờng Lease – Line. Bởi vì VPN loại trừ đƣợc
những yếu tố cần thiết cho các kết nối đƣờng dài bằng cách thay thế chúng bởi
các kết nối cục bộ tới ISP hoặc điểm đại diện của ISP.
-Giảm đƣợc chi phí thuê nhân viên và quản trị: Vì giảm đƣợc chi phí truyền
thông đƣờng dài. VPN cũng làm giảm đƣợc chi phí hoạt động của mạng dựa vào
WAN một cách đáng kể. Hơn nữa, một tổ chức sẽ giảm đƣợc toàn bộ chi phí
mạng nếu các thiết bị dùng trong mạng VPN đƣợc quản trị bởi ISP. Vì lúc này
tổ chức sử dụng VPN không cần thuê thêm nhiều nhân viên mạng cao cấp.
-Nâng cao khả năng kết nối: VPN tận dụng Internet để kết nối giữa các
phần tử ở xa của một Intranet. Vì Internet có thể đƣợc truy cập toàn cầu, nên hầu
hết các chi nhánh, văn phòng, ngƣời dùng, ngƣời dùng di động từ xa đều có thể
dễ dàng kết nối tới Intranet của công ty mình.


7

mở rộng (Extranet VPN)


8

Hình 1.1 Mạng VPN điển hình gồm mạng LAN trụ sở chính, các văn phòng từ
xa và người truy cập từ bên ngoài.
1.2.3.1. VPN truy nhập từ xa (Remote Access VPN)
VPN truy nhập từ xa cho phép ngƣời dùng từ xa, ngƣời dùng di động của
một tổ chức có thể truy cập tới các tài nguyên mạng của tổ chức hay công ty.
Đặc biệt là những ngƣời dùng thƣờng xuyên di chuyển hoặc chi nhánh văn
phòng ở xa.
Bằng việc thực thi giải pháp VPN truy cập từ xa, các chi nhánh văn phòng
và ngƣời dùng từ xa chỉ cần thiết lập kết nối Dial – up cục bộ tới ISP và thông
qua đó kết nối tới mạng của công ty qua Internet.

Hình 1.2 Thiết lập VPN truy cập từ xa


9
1.2.3.2. VPN cục bộ (Intranet VPN)
Intranet VPN thƣờng đƣợc dùng để kết nối các chi nhánh văn phòng từ xa
của một tổ chức với Intranet trung tâm của tổ chức đó. Trong cách thiết lập
Intranet không sử dụng công nghệ VPN, mỗi một mạng từ xa phải kết nối tới
Intranet của tổ chức qua các Router trung gian.

Hình 1.3 Thiết lập Intranet sử dụng WAN
Thiết lập Intranet sử dụng WAN mất chi phí rất cao vì cần ít nhất 2 Router để
kết nối tới một khu trung tâm từ xa để tới Intranet của tổ chức đó. Hơn nữa việc
thực thi, duy trì và quản trị Intranet xƣơng sống sẽ rất tốn kém. Với việc thực thi

lớp bảo mật để xác thực và giới hạn truy nhập trên hệ thống.

Hình 1.5 mạng Extranet dựa trên VPN
Ƣu điểm chính của Extranet VPN là:
-Chi phí rất nhỏ so với cách thức truyền thống.
-Dễ thực thi, duy trì và thay đổi
-Vì một phần kết nối Internet đƣợc duy trì bởi ISP nên số lƣợng nhân viên
hỗ trợ có thể giảm xuống.
Tuy nhiên cũng có một số nhƣợc điểm:
-Các nguy cơ an ninh nhƣ tấn công DOS vẫn tồn tại.
-Tăng rủi ro vì các xâm nhập vào Internet của tổ chức.
-Độ trễ truyền thông vẫn lớn và thông lƣợng giảm xuống rất thấp với các
ứng dụng Multimedia.
-Sự thực thi có thể bị gián đoạn và QoS cũng có thể không đƣợc đảm bảo.
1.2.4. Giao thức mạng riêng ảo
Tính bảo mật trong VPN đạt đƣợc thông qua “đƣờng hầm” (tunneling)
bằng cách đóng gói thông tin trong một gói IP khi truyền qua Internet. Thông tin
sẽ đƣợc giải mã tại đích đến bằng cách loại bỏ gói tin IP để lấy ra thông tin ban
đầu [5,6].


12
Có 5 giao thức đƣờng hầm(tunneling protocols) phổ biến thƣờng đƣợc
dùng trong VPN là:
-Point – to – Point Tunneling Protocol (PPTP)
-L2F
-Layer2 Tunneling Protocol (L2TP)
-Secure Socket Layer (SSL)
-Internet Protocol Security (IPSec)
1.2.4.1. PPTP (Poit to Point Tunneling)

- L2F yêu cầu cầu hình và hỗ trợ lớn
- Thực hiện L2F dựa trên ISP. Nếu trên ISP không hỗ trợ L2F thì không
thể triển khai L2F đƣợc.
1.2.4.3. Giao thức đường hầm lớp 2 (L2TP)
Đƣợc phát triển bởi IETF. L2TP là một sự kết hợp của các giao thức VPN
trƣớc đây nhƣ PPTP và L2F. L2TP cung cấp sự mềm dẻo, khả năng mở rộng,
giải pháp truy cập từ xa chi phí thấp.

Hình 1.6 Đường hầm L2TP
Ƣu điểm của L2TP:
- L2TP là giải pháp chung. Nó độc lập với Platform, nó cũng hỗ trợ nhiều
công nghệ mạng. Hơn nữa nó cũng hỗ trợ giao dịch qua liên kết WAN Non-IP
mà không cần một IP.
- Đƣờng hầm L2TP là trong suốt với ISP cũng nhƣ đối với ngƣời dùng.
- L2TP cho phép kiểm soát xác thực ngƣời dùng thay cho ISP
- Các giao dịch L2TP nhanh hơn các giao dịch dựa trên L2F.
Tuy nhiên nó cũng có một số nhƣợc điểm là chậm hơn PPP vì nó sử dụng
IPSec để xác thực từng gói tin nhận đƣợc.


14
1.2.4.4. IPSec
Kiến trúc IPSec cung cấp một bộ khung an toàn tại tầng IP với cả Ipv4 và
Ipv6. Các giao thức tầng giao vận và tầng ứng dụng có thể dùng IPSec để đảm
bảo an toàn mà không phải thay đổi.
IPSec cung cấp khả năng bảo mật đầu cuối – tới – đầu cuối giữa các máy
tính và mạng máy tính.
IPSec là một kiến trúc an toàn, nó có các đặc trƣng sau:
- Cung cấp tính xác thực, mã hóa, toàn vẹn dữ liệu và bảo vệ sự phát lại.
- Cung cấp khả năng tạo và tự động làm tƣơi các khoa mật mã một cách

nhƣ một sự hỗ trợ.
Giao thức SSL đề ra các vấn đề an toàn sau:
+Tính riêng tƣ: Sau khi khóa đối xứng đƣợc thiết lập trong khi thăm dò
trƣớc để khởi tạo, các thông điệp đƣợc mã hóa bằng khóa này.
+Tính toàn vẹn: Các thông điệp chứa một mã xác thực thông điệp (MAC).
+Tính xác thực: Trong khi thăm dò trƣớc, Client xác thực Server sử dụng
khóa công khai. Nó cũng có thể dựa trên chứng chỉ.


16
So sánh giao thức IPSec với SSL
Những điểm giống nhau:
- IPSec (qua IKE) và SSL cung cấp xác thực Client và Server
- IPSec và SSL cung cấp tính năng đảm bảo an toàn và xác thực đối với
dữ liệu.
- IPSec và SSL có thể dùng các thuật toán mật mã mạnh cho việc mã hóa
các hàm băm, có thể sử dụng xác thực trên chứng chỉ.
- IPSec và SSL cung cấp tính năng sinh khóa và làm tƣơi khóa mà không
cần phải truyền bất kỳ khóa nào dƣới dạng rõ hay ngoại tuyến.
Những điểm khác nhau:
- SSL đƣợc thực thi nhƣ một API giữa tầng ứng dụng và tầng giao vận,
IPSec đƣợc thực thi nhƣ một khung làm việc tại tầng mạng.
- SSL cung cấp tính năng bảo mật từ ứng dụng – tới - ứng dụng, IPSec
cung cấp tính năng bảo mật từ thiết bị - tới – thiết bị.
- SSL không bảo vệ lƣu lƣợng UDP, IPSec có bảo vệ lƣu lƣợng UDP.
- SSL có thể vƣợt qua ANT hoặc SOCKS, chúng dùng để che dấu cấu
trúc địa chỉ bên trong hoặc tránh sự xung đột địa chỉ IP riêng; IPSec trong chế
độ vận tải (end – to - end) không thể sử dụng ANT nhƣng có thể sử dụng một
đƣờng hầm IPSec để đạt đƣợc mục tiêu tƣơng tự thậm chí bảo mật hơn ANT vì
đƣờng hầm cũng có thể đƣợc mã hóa.

ngƣời sử dụng có thể phát triển, thay đổi, bổ sung… theo yêu cầu riêng mà các
phần mềm thƣơng mại không đáp ứng đƣợc.
Tính thích ứng và sáng tạo: Khả năng cho phép sửa đổi và tự nâng cấp
giúp cho các nhà phát triển có thể sửa lỗi (nếu có) và cũng có thể sáng tạo phần
mềm theo yêu cầu và phong cách riêng của mình.
Chất lƣợng tin cậy: Nhiều phần mềm có chất lƣợng và độ tin cậy cao. Các
PMNM sau khi hoàn thành thƣờng đƣợc thử nghiệm, đánh giá và bổ sung bởi rất
nhiều nhà phát triển.
Tuân thủ các chuẩn: PMNM thông thƣờng đƣợc phát triển tuân thủ theo
các chuẩn tốt hơn, vì đôi khi các sản phẩm thƣơng mại lại đƣợc áp chuẩn của
riêng các công ty tạo ra chúng mà chƣa chắc các chuẩn của các công ty khác
nhau đã đƣợc chấp nhận.
Không bị hạn chế quyền sử dụng: Quyền đƣợc dùng PMNM dƣới bất kỳ
hình thức nào làm yên tâm mọi nhà phát triển và ngƣời dùng.
Tính lâu dài: PMNM không có một chủ sở hữu duy nhất là lý do đảm bảo
để không ai có thể làm ngừng sự phát triển của sản phẩm này.