BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT
THÀNH PHỐ HỒ CHÍ MINH

LUẬN VĂN THẠC SĨ
HUỲNH VĂN HOÀI THANH

NGHIÊN CỨU VÀ TRIỂN KHAI GIẢI PHÁP
BẢO MẬT MẠNG VPN NGUỒN MỞ
TẠI CÔNG AN TỈNH HẬU GIANG

NGÀNH: KỸ THUẬT ĐIỆN TỬ - 605270

S K C0 0 4 3 3 4

Tp. Hồ Chí Minh, tháng 10/2014


BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT
THÀNH PHỐ HỒ CHÍ MINH
LUẬN VĂN THẠC SĨ
HUỲNH VĂN HOÀI THANH

NGHIÊN CỨU VÀ TRIỂN KHAI GIẢI
PHÁP BẢO MẬT MẠNG VPN NGUỒN
MỞ TẠI CÔNG AN TỈNH HẬU GIANG

NGÀNH: KỸ THUẬT ĐIỆN TỬ - 60 52 70

Tháng 10, 2014


Huỳnh Văn Hoài Thanh
Tp.HCM, tháng 10, 2014

iii


Lời cam đoan
Em xin cam đoan luận văn này là công trình nghiên cứu của em và không trùng lặp
với bất kỳ công trình nghiên cứu khác, chưa từng được công bố trên bất kỳ tạp chí
nào.

Tp.HCM, ngày 25 tháng 10, 2014

Huỳnh Văn Hoài Thanh

iv


NGHIÊN CỨU VÀ TRIỂN KHAI GIẢI PHÁP BẢO MẬT
MẠNG VPN NGUỒN MỞ TẠI CÔNG AN TỈNH HẬU
GIANG
thực hiện bởi
HUỲNH VĂN HOÀI THANH
Nộp tại Khoa Điện - Điện tử
Ngày 25 Tháng 10, 2014 theo một phần yêu cầu hoàn thành chương trình
Thạc sỹ ngành Kỹ thuật điện tử
tại Trường Đại Học Sư Phạm Kỹ Thuật Thành Phố Hồ Chí Minh

Tóm tắt

by
VAN-HOAI-THANH HUYNH
Submitted to the Department of Electrical and Electronics Engineering
on October, 25, 2014 in partial fulfillment of the
requirements for the degree of
Master of Science in Electronics and Communication Engineering at the
University of Technical Education Ho Chi Minh City

Abstract
The growth of the Internet and e-commerce, together with the opportunities they
bring, have increased the need for secure communication between company networks,individual users, and the outside world. As communication and commerce
through the Internet increase, security risks for company networks also increase.
Security issues have now become a crucial factor in determining an organization’s
accessibility to the Internet. The goal of network security is to provide confidentiality, integrity and authenticity. Among the current network security solutions, VPN
with its own unique advantages have attracted the concern of many users. But most
of the VPN solutions in Vietnam are used from abroad. Due to the special nature
of network security solutions, we must develop our own security solutions. A Virtual Private Network (VPN) is a network technology that creates a secure network
connection over a public network such as the Internet. Large corporations, educational institutions, and government agencies use VPN technology to enable remote
users to securely connect to a private network. This thesis introduced a method to
vii


build open source Virtual Private Networks by using OpenVPN. OpenVPN is an open
source software application that implements VPN techniques and additional layer of
authentication (e.g. PKI/AD/LDAP) can easily be added to OpenVPN. After being tested, this method could configure some high quality VPN products, which can
achieve security and confidentiality of network data transmission, and meet the needs
of most users, help to saves investment costs and gradually mastering technology.
Thesis Supervisor: VAN-CA PHAN, PhD
Title: Lecturer



1

1.1.3

Vấn đề bị động, phụ thuộc nhà cung cấp . . . . . . . . . . . .

2

1.1.4

Chủ trương, chính sách của Đảng và nhà nước . . . . . . . . .

3

1.1.5

Thực trạng công an tỉnh Hậu Giang

. . . . . . . . . . . . . .

3

1.2

Mục đích nghiên cứu . . . . . . . . . . . . . . . . . . . . . . . . . . .

4

1.3


1.6

Nhiệm vụ nghiên cứu . . . . . . . . . . . . . . . . . . . . . . . . . . .

15

1.7

Phương pháp nghiên cứu . . . . . . . . . . . . . . . . . . . . . . . . .

16

1.8

Những đóng góp mới của đề tài . . . . . . . . . . . . . . . . . . . . .

16

1.9

Cấu trúc đề tài . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

17

2 CƠ SỞ LÝ THUYẾT

19

ix

2.2.2

Mật mã bất đối xứng . . . . . . . . . . . . . . . . . . . . . . .

23

2.2.3

Hàm băm . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

28

2.3

Kiểm tra nhận dạng . . . . . . . . . . . . . . . . . . . . . . . . . . .

29

2.4

Xác thực . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

29

2.5

Cơ sở hạ tầng khóa công khai (PKI) . . . . . . . . . . . . . . . . . .

30


41

2.2

2.6

2.7

Các nguy cơ xâm nhập dữ liệu khi truyền

3 GIẢI PHÁP

44

3.1

Đặt vấn đề . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

44

3.2

Yêu cầu giải pháp . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

44

3.3

Thiết kế mô hình giải pháp . . . . . . . . . . . . . . . . . . . . . . .


53

3.5

Ưu điểm và tính mới của giải pháp . . . . . . . . . . . . . . . . . . .

55

3.6

Phát triển giải pháp . . . . . . . . . . . . . . . . . . . . . . . . . . .

55

3.6.1

Mô hình sản phẩm bảo mật tích hợp FVS . . . . . . . . . . .

55

3.6.2

Thiết kế phần cứng FVS . . . . . . . . . . . . . . . . . . . . .

56

x


3.6.3


4.1.3

Cài đặt, cấu hình SafeNet iKey 1032 . . . . . . . . . . . . . .

64

4.2

Kiểm tra tính xác thực của hệ thống . . . . . . . . . . . . . . . . . .

64

4.3

Thử nghiệm trên hệ thống ảo . . . . . . . . . . . . . . . . . . . . . .

65

4.3.1

Cấu hình địa chỉ IP . . . . . . . . . . . . . . . . . . . . . . . .

66

4.3.2

Kiểm tra tính bí mật của thông tin truyền . . . . . . . . . . .

68


Kết luận . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

74

Tài liệu tham khảo

76

xi


Danh sách hình vẽ
1.1

Rủi ro bảo mật tăng trong thời kỳ thương mại điện tử . . . . . . . .

2

1.2

Bảo mật kết nối trong hệ thống ATM sử dụng công nghệ VPN . . . .

5

1.3

Mô hình Ipsec VPN của tác giả Trần Quốc Thư . . . . . . . . . . . .

6


1.9

Mô hình OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . .

12

1.10 Mô hình TFA trên Cisco . . . . . . . . . . . . . . . . . . . . . . . . .

12

1.11 Mô hình thử nghiệm TFA trên Cisco . . . . . . . . . . . . . . . . . .

13

1.12 Mô hình Ipsec VPN nguồn mở . . . . . . . . . . . . . . . . . . . . . .

13

2.1

Các hình thức xâm nhập phổ biến . . . . . . . . . . . . . . . . . . . .

20

2.2

Giải thuật mã hóa đối xứng và bất đối xứng . . . . . . . . . . . . . .

22


2.8

Giao thức ESP và AH . . . . . . . . . . . . . . . . . . . . . . . . . .

35

2.9

Giao thức SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

37

2.10 Thủ tục bắt tay OpenVPN . . . . . . . . . . . . . . . . . . . . . . . .

40

xii


3.1

Sự tấn công của hacker lên kênh truyền không an toàn . . . . . . . .

45

3.2

Mô hình giải pháp . . . . . . . . . . . . . . . . . . . . . . . . . . . .


Các module chính của giải pháp . . . . . . . . . . . . . . . . . . . . .

53

3.8

Dòng dữ liệu đi từ client đến Server . . . . . . . . . . . . . . . . . . .

54

3.9

Phần cứng thiết bị FVS . . . . . . . . . . . . . . . . . . . . . . . . .

57

3.10 Kiến trúc phần mềm FVS . . . . . . . . . . . . . . . . . . . . . . . .

57

3.11 Sơ đồ hệ thống mạng VPN Công an tỉnh Hậu Giang . . . . . . . . .

59

4.1

Xây dựng CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

61


4.7

Sơ đồ hệ thống thử nghiệm . . . . . . . . . . . . . . . . . . . . . . . .

67

4.8

Kết quả kiểm tra . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

67

4.9

Dữ liệu bắt được khi chưa thiết lập tunnel OpenVPN . . . . . . . . .

69

4.10 Dữ liệu bắt được khi tunnel OpenVPN đã thiết lập . . . . . . . . . .

69

xiii


Danh sách bảng
3.1

Thông số cấu hình thiết bị FVS . . . . . . . . . . . . . . . . . . . . .


trị, bí mật thương mại, sở hữu trí tuệ, thậm chí trở thành những loại vũ khí nguy
hiểm có nguy cơ xâm phạm đến an ninh quốc gia. Vấn đề bảo mật thông tin bây
giờ đã trở thành một nhu cầu lớn và là yếu tố rất quan trọng đối với tổ chức, doanh
nghiệp. Biểu đồ 1.1 minh họa các rủi ro an ninh tăng lên khi một tổ chức mở rộng
hoạt động ra mạng Internet, thương mại điện tử.

1.1.2

Chi phí đầu tư lớn cho giải pháp bảo mật

Hiện nay hầu hết các tổ chức, doanh nghiệp sử dụng các sản phẩm an ninh nhập
khẩu từ nước ngoài trong giải pháp bảo mật của mình. Giải pháp này đòi hỏi phải
đầu tư chi phí lớn cho giải pháp bảo mật của mình.
Việc đầu tư một hệ thống bảo mật đồ sộ, kinh phí lớn với các nhà cung cấp giải
1


"

!
#$

%& $ '$

Hình 1.1: Rủi ro bảo mật tăng trong thời kỳ thương mại điện tử
pháp bảo mật hàng đầu như Cisco, Checkpoint, Juniper..là điều không thể với các
doanh nghiệp vừa và nhỏ mặc dù họ có nhu cầu lớn cho việc triển khai giải pháp bảo
mật cho tổ chức của mình.

1.1.3


1.1.5

Thực trạng công an tỉnh Hậu Giang

Được thành lập vào tháng 01 năm 2004, gồm 01 Trung tâm chỉ huy và trên 30 phòng
ban, 07 công an huyện, thị, thành phố, 74 công an phường xã, thị trấn và được bố
trí đều trên địa bàn tỉnh Hậu Giang. Do mới thành lập, nên cơ sở vật chất, hạ tầng
viễn thông, hệ thống thông tin còn gặp nhiều khó khăn, chưa đáp ứng tốt theo yêu
cầu đặt ra. Trong khi đó còn một số cán bộ, đảng viên chưa nhận thức đúng về tầm
quan trọng và hiệu quả của việc ứng dụng công nghệ thông tin vào hoạt động công
tác, chưa thấy được tầm quan trọng của vấn đề bảo đảm an toàn thông tin và xem
nó là vấn đề sống còn của đất nước...
Hiện nay trong Công an tỉnh Hậu Giang, việc trao đổi thông tin dữ liệu từ Công
an tỉnh xuống các huyện, thị, thành phố trên địa bàn và ngược lại đang thực hiện
bằng con đường giao liên hoặc Fax. Việc này tốn rất nhiều thời gian, chi phí và không
đảm bảo được độ an toàn và bảo mật thông tin. Hệ thống hiện tại vẫn còn nhiều mặt

3


hạn chế, mô hình kết nối mạng chỉ là kết nối mạng LAN ở phạm vi hẹp, thậm chí
ở một số phòng ban, huyện, thị, thành phố chưa có kết nối mạng, việc truyền nhận
thông tin dữ liệu chưa được mã hóa, chưa xây dựng giải pháp an ninh, chưa thực
hiện phân cấp phân quyền, chưa đặt ra tính an toàn và bảo mật thông tin...
Để khắc phục thực trạng này, việc đưa ra một mô hình giải pháp bảo mật, mô
hình tương tự như các hệ thống bảo mật của các nhà cung cấp dịch vụ như Cisco,
Checkpoint, Juniper.. nhưng ở quy mô nhỏ hơn, phù hợp với điều kiện thực tế của
công an tỉnh. Do vậy em đã mạnh dạn chọn đề tài: “Nghiên cứu và triển khai giải
pháp bảo mật mạng VPN nguồn mở tại Công an tỉnh Hậu Giang”.

Theo cơ chế quản lý các giao dịch với ngân hàng qua thẻ ATM, nếu muốn rút được

Hình 1.2: Bảo mật kết nối trong hệ thống ATM sử dụng công nghệ VPN
tiền thì bắt buộc phải có đủ cả hai yếu tố thẻ ATM và mã số cá nhân (mã PIN). Đây
là một giải pháp xác thực người dùng hai yếu tố (cái mà bạn có (thẻ ATM) và cái
mà chỉ có bạn biết (mã PIN), nhưng ta có thể thấy việc xác thực người dùng bằng
mật khẩu hiện nay là không an toàn. Đây cũng là khẳng định của Bill Gate (chủ tịch
Microsoft) trong một hội thảo về an ninh mạng do hãng RSA tổ chức vào tháng 2
năm 2004. Hiện nay không ít xảy ra các vụ việc khách hàng bị mất tiền trong tài tài
khoản tới hàng tỷ đồng mà không rõ nguyên do...Điều này xảy ra là do hệ thống xác
thực trong ATM chưa đủ mạnh vì khi hacker đánh cắp thông tin (mã PIN, thông tin
cá nhân), sau đó làm giả thẻ ATM thì hacker có thể kết nối vào hệ thống để rút tiền.
Vậy yêu cầu đặt ra, xây dựng theo một lớp bảo mật nữa ngoài việc xác thực người
dùng hai yếu tố (Thẻ ATM + Mã PIN).
(2) Nghiên cứu về giải pháp bảo mật thông tin truyền trên mạng sử dụng công
nghệ VPN, được tác giả tác giả Trần Quốc Thư (Luận văn thạc sĩ năm 2013, Học
viện công nghệ Bưu chính Viễn Thông), minh họa ở hình 1.3 và Nguyễn Quốc Cường
(Luận văn thạc sĩ năm 2011, Học viện công nghệ Bưu chính Viễn Thông), minh họa
ở hình 1.4. Tác giả đã triển khai công nghệ Ipsec VPN để tạo nối bảo mật từ xa.
5


Hình 1.3: Mô hình Ipsec VPN của tác giả Trần Quốc Thư
Các giải pháp trên đều dùng giải pháp bảo mật của các nhà cung cấp, chi phí đầu
tư lớn, phụ thuộc hoàn toàn vào công nghệ, chưa tự phát triển giải pháp riêng. Hơn
nữa, phương pháp xác thực trong giải pháp này chỉ có một yếu tố và ta không thể
nhúng thêm các cơ chế bảo mật vào hệ thống.

1.3.2


bảo an toàn cho việc truy cập từ xa trong mạng không dây là một vấn đề đặc biệt
quan tâm hiện nay, thiết kế và triển khai một hệ thống mạng không dây truy cập an
toàn dựa trên giao thức SSL được tác giả đề xuất trong [10,12]. Trong [13], tác giả đã
nghiên cứu các ưu điểm và triển khai giải pháp bảo mật SSL VPN trong các trường
đại học, đảm bảo an toàn dữ liệu trong quá trình trao đổi...
Chính sách lựa chọn giải pháp bảo mật VPN dựa trên công nghệ IPSEC và SSL
được đưa ra trong [14–16]. Trong [15] tác giả đã nghiên cứu sự khác biệt giữa hai
công nghệ IPSEC VPN và SSL VPN và các tiêu chuẩn được đưa ra để quyết định
chính xác công nghệ nào sẽ phù hợp hơn với nhu cầu bảo mật cho ứng dụng thực tế
là mã hóa, xác thực và toàn vẹn dữ liệu, tường lửa, IP Public, NAT, Port, điều khiển
truy cập.... Việc phân tích, so sánh các ưu khuyết điểm giữa hai công nghệ IPSEC
VPN và SSL VPN cũng được nghiên cứu trong [14,16], trong đó tác giả đã phân tích
các đặc tính an toàn hai công nghệ này (xác thực, mã hóa, toàn vẹn dữ liệu). Hơn
nữa, các bài viết này đã giới thiệu chi tiết về các nguyên tắc làm việc, cơ chế bảo mật
của SSL VPN và IPSec VPN, sau đó phân tích những lợi thế và bất lợi (phạm vi ứng
dụng, cơ chế bảo mật, sự phức tạp trong hoạt động, chi phí triển khai, khả năng mở
rộng và các khía cạnh khác ...) và cuối cùng tác giả đã đưa ra chính sách lựa chọn
tham khảo cho giải pháp bảo mật VPN phù hợp với ứng dụng thực tế.
Giải pháp bảo mật VPN nguồn mở được giới thiệu trong [17–20]. Có hai vấn đề
chính trong công nghệ VPN, đó là vấn đề an toàn và tính tiện lợi khác (chi phí thấp,
dễ cài đặt và sử dụng...). Hiện nay có nhiều giải pháp VPN nhưng đa số chỉ đáp ứng
được một trong hai vấn đề trên. IPSEC triển khai khó khăn (khó cài đặt và sử dụng,
chi phí cao) nhưng đáp ứng được vấn đề an ninh. Tuy nhiên, cấu trúc phức tạp của
nó đã làm cho nó dễ bị tấn công, lỗi, và lỗ hổng bảo mật. Giải pháp OpenVPN cung
cấp một sự pha trộn lý tưởng của cả hai vấn đề trên.
Trong [20] tác giả đã phân tích đặc tính an toàn OpenVPN (bảo mật, toàn vẹn

8





Hình 1.5: Mô hình Ipsec VPN của Cisco [1, 2]
tố và ta không thể nhúng thêm các cơ chế bảo mật vào hệ thống.
Tác giả trong các bài báo [18, 19, 24] dùng công nghệ OpenVPN để bảo mật dữ
liệu trên đường truyền. Trong các bài báo này, tác giả chỉ triển khai trên mô hình
mạng Host-to-Host và phương pháp xác thực chỉ một yếu tố, không kết hợp với phần
cứng bảo mật thông minh Smart Token để tăng cường tính bảo mật, minh họa cụ
thể ở hình 1.9.
Tác giả trong các bài báo [25,26] đã đề xuất giải pháp bảo mật dữ liệu trên đường
truyền dùng công nghệ Ipsec với phương pháp xác thực hai yếu tố. Nhưng các tác
giả đã triển khai giải pháp trên thiết bị của Cisco, chi phí đầu tư cao, phụ thuộc vào
công nghệ, minh họa cụ thể ở hình 1.10, 1.11.
Giải pháp nghiên cứu Ipsec VPN nguồn mở (FreeSwan) trong bài báo [21] cho
việc bảo mật dữ liệu trên đường truyền, giải pháp này cấu hình cài đặt khó khăn
và phức tạp nếu các site (mạng LAN chi nhánh từ xa) tăng lên. Hơn nữa, giải pháp
này xác thực bằng phương pháp khóa chia sẽ trước RSA (pre-shared key) có mức độ
an toàn thấp hơn phương pháp xác thực bằng chứng chỉ số. Thêm vào đó, giải pháp
này chỉ xác thực bảo mật một yếu tố (khóa RSA) và không thể mở rộng và bổ sung
thêm yếu tố xác thực để tăng cường tính bảo mật của hệ thống. Các kết quả nghiên

10