Nghiên cứu công nghệ mạng riêng ảo đa điểm động và đề xuất mô hình ứng dụng trong việc bảo mật mạng máy tính chuyên dụng

Mạng truyền số liệu đa dịch vụ sử dụng giao thức TCP/IP theo mô hình OSI, tùy theo tính chất, nhiệm vụ của từng ngành mà mạng có thể được xây dựng riêng mang tính tương đối độc lập c

DANH MỤC CÁC BẢNG BIỂU 4

DANH MỤC CÁC HÌNH VẼ 5

MỞ ĐẦU 6

CHƯƠNG I: TỔNG QUAN CÔNG NGHỆ BẢO MẬT TRONG MẠNG TRUYỀN SỐ LIỆU QUÂN SỰ 9

1 Mạng truyền số liệu quân sự và các đặc trưng 9

1.1 Giới thiệu về mạng truyền số liệu đa dịch vụ 9

1.2 An toàn và bảo mật trong mạng truyền số liệu đa dịch vụ 10

1.2.1 Một số khái niệm chung 10

1.2.1.1 An ninh mạng 10

1.2.1.2 Các dịch vụ an ninh 11

1.2.2 Các cơ chế an ninh dựa trên mật mã 11

1.2.2.1 Cơ chế mã hóa (encryption mechanism) 11

1.2.2.2 Cơ chế chữ ký điện tử (digital signature mechanism) 12

1.2.2.3 Cơ chế kiểm soát truy nhập (access control mechanism) 12

1.2.2.4 Cơ chế toàn vẹn dữ liệu (data integrity mechanism) 12

1.2.2.5 Cơ chế trao đổi xác thực (authentication exchange mechanism) 13 1.2.2.6 Cơ chế đệm truyền thông (traffic padding mechanism) 13

1.2.2.7 Cơ chế kiểm soát chọn đường (routing control mechanism) 13

1.2.2.8 Cơ chế kiểm chứng (notary mechanism) 13

1.2.3 Vị trí đặt dịch vụ an ninh theo mô hình mạng phân tầng 14

1.2.4 Ý nghĩa của việc sử dụng mật mã trong bảo mật tại tầng IP 15

1.2.5 Bảo mật trong mạng truyền số liệu đa dịch vụ 17

1.2.6 Giao thức bảo mật cho mạng truyền số liệu đa dịch vụ 20

2 Giải pháp mạng riêng ảo đang được sử dụng trong mạng truyền số liệu quân sự và những hạn chế 20

2.1 Giải pháp mạng riêng ảo VPN truyền thống 20

2.1.1 Giới thiệu mạng riêng ảo VPN 20

2.1.2 Cách thức hoạt động của VPN truyền thống 22

2.1.3 Các giao thức VPN phổ biến 22

2.2 Những hạn chế của giải pháp VNP truyền thống 26

CHƯƠNG II: NGHIÊN CỨU CÔNG NGHỆ MẠNG RIÊNG ẢO ĐA ĐIỂM

ĐỘNG 28

1 Giới thiệu về công nghệ mạng riêng ảo đa điểm động (DMVPN) 28

1.1 Khái niệm mạng riêng ảo đa điểm động (DMVPN) 28

1.2 Các dạng triển khai mạng riêng ảo đa điểm động (DMVPN) 33

1.3 Các thành phần trong mạng riêng ảo đa điểm động (DMVPN) 34

1.4 Mô hình chung của mạng riêng ảo đa điểm động (DMVPN) 36

1.5 Ưu điểm của việc sử dụng mạng riêng ảo đa điểm động (DMVPN) 37

2 Kỹ thuật thiết kế mạng riêng ảo đa điểm động (DMVPN) 38

2.1 Dual DMVPN Cloud Topology 40

2.1.1 Hub-and-Spoke 40

a Single Tier 41

b Dual Tier 42

2.1.2 Spoke-to-spoke 43

Kiến trúc hệ thống trung tâm 44

2.2 Single DMVPN Cloud Topology 44

CHƯƠNG III: ĐỀ XUẤT MÔ HÌNH ỨNG DỤNG TRÊN CÔNG CỤ MÔ PHỎNG HỆ THỐNG MẠNG (NETWORK SIMULATOR Version 3 – NS3)[4] .46

KẾT LUẬN 47

TÀI LIỆU THAM KHẢO 48

DANH MỤC CÁC TỪ VIẾT TẮT

DANH MỤC CÁC BẢNG BIỂU

Bảng 1: GRE header 31

DANH MỤC CÁC HÌNH VẼ

Hình 1: Cấu trúc mạng truyền số liệu đa dịch vụ 10

Hình 2: So sánh OSI và TCP/IP 14

Hình 3: Mô hình bảo mật tại tầng IP 16

Hình 4: Mô hình bảo mật thông tin cho mạng đa dịch vụ 18

Hình 5: Mô hình mạng riêng ảo VPN truyền thống 21

Hình 6: Dữ liệu đi qua Tunnel được mã hóa 22

Hình 7: Giao thức SSL VPN 23

Hình 8: Giao thức PPTP VPN 24

Hình 9: Mô hình VPN truyền thống 27

Hình 10: Gói IP trong chế độ IPSec Tunnle 28

Hình 11: Gói dữ liệu IP được bảo vệ bởi AH 29

Hình 12: Gói dữ liệu IP được bảo vệ bởi ESP 30

Hình 13: Định dạng packet được đóng gói với GRE 30

Hình 14: Định dạng tùy chọn trong GRE header 31

Hình 15: Mô hình Point-to-Point GRE 32

Hình 16: Mô hình Point-to-Multipoint GRE (mGRE) 33

Hình 17: Mô hình tổng quát DM VPN 34

Hình 18: Dual DMVPN Cloud Topology 35

Hình 19: Single DMVPN Cloud Topology 35

Hình 20: Mô hình chung của DMVPN 36

Hình 21: Dual DMVPN Cloud Topology 39

Hình 22: Single DMVPN Cloud Topology 40

Hình 23: Dual DMVPN Cloud Topology—Hub-and-Spoke Deployment Model 41

Hình 24: Single Tier Headend Architecture 42

Hình 25: Dual Tier Headend Architecture 43

Hình 26: Dual DMVPN Cloud Topology—Spoke-to-Spoke Deployment Model 44

Hình 27: Single DMVPN Cloud Topology 45

MỞ ĐẦU

1 Tính cấp thiết của đề tài:

Ngày nay, công nghệ truyền thông đang phát triển rất nhanh, trong đó công nghệ mạng đóng vai trò hết sức quan trọng trong việc truyền tải đa dạng dữ liệu trên đó Hệ thống mạng truyền số liệu đang dần trở thành xương sống trong các hệ thống công nghệ thông tin trong Quân đội[1] Bởi hệ thống này thể hiện được tính ưu việt, phù hợp với xu thế phát triển của công nghệ, nhu cầu nhiệm vụ Các máy chủ cung cấp dịch vụ, các máy tính làm việc của cá nhân đều được kết nối chung vào hệ thống mạng này để phục vụ công tác chuyên môn Mạng truyền số liệu quân sự (TSLQS) được triển khai dựa trên hạ tầng mạng chuyển mạch nhãn đa giao thức (MPLS – Multi - Protocol Label Switching), kết hợp với hệ thống truyền dẫn đa dạng gồm mạng trục cáp quang tốc độ cao và mạng lưới sử dụng vệ tinh VinaSAT

Hệ thống mạng truyền số liệu quân sự ngày càng phát triển rộng và trở nên phức tạp về cả tổ chức hệ thống, lẫn số lượng máy tính đầu cuối kết nối vào mạng

Vì vậy nhu cầu bảo mật thông tin, nhu cầu liên lạc trực tiếp mang tính di động đòi hỏi phải có một giải pháp tổng thể cho vấn đề này Đối với mạng TSLQS hiện nay đang áp dụng công nghệ mạng riêng ảo (VPN – Virtual Private Network) để đảm bảo an toàn thông tin trên mạng này Công nghệ này cho phép tạo đường dẫn riêng qua kết nối mạng, được sử dụng rộng rãi trên toàn thế giới bởi tính hiệu quả với chi phí thấp, có sẵn và tính bảo mật cao Mạng riêng ảo truyền thống áp dụng cấu hình thủ công gán IP tĩnh phù hợp với các mạng có quy mô nhỏ, đơn lẻ Do đó đối với các mạng có quy mô lớn, kết nối các khu vực khác nhau trên phạm vi rộng khắp sẽ

sử dụng mạng riêng ảo đa điểm động như một giải pháp thay thế để đáp ứng nhu cầu phát sinh từ việc mở rộng mạng, nhu cầu cao về tính linh hoạt, di động[2]

Với việc mở rộng quy mô phát triển hạ tầng cơ sở mạng nhằm đáp ứng nhu cầu nhiệm vụ trong thời điểm hiện tại cũng như sau này Và việc bảo đảm an toàn thông tin phục vụ lãnh đạo chỉ huy các cấp trong Quân đội, cũng như mạng lại tính thuận tiện nhất cho người sử dụng trong thực tế

Chính vì thế tôi đã quyết định chọn đề tài cho luận văn của mình là “Nghiên cứu công nghệ mạng riêng ảo đa điểm động và đề xuất mô hình ứng dụng trong việc bảo mật mạng máy tính chuyên dụng” để tìm hiểu sâu hơn về nội dung này

2 Mục đích nghiên cứu của đề tài:

Nghiên cứu áp dụng công nghệ mạng riêng ảo đa điểm động nhằm giải quyết nhu cầu bảo mật mạng máy tính chuyên dụng với quy mô lớn, nhu cầu kết nối đầy đủ dạng lưới

3 Đối tượng và phạm vi nghiên cứu:

Công nghệ bảo mật mạng riêng ảo truyền thống, mạng riêng ảo đa điểm động

Phạm vi nghiên cứu của đề tài sẽ tập trung vào mô hình triển khai thực tế trên hạ tầng mạng truyền số liệu quân sự

6 Phương pháp và công cụ nghiên cứu:

Luận văn sử dụng phương pháp phân tích và tổng hợp lý thuyết, hệ thống hóa lý thuyết

Phương pháp mô phỏng

CHƯƠNG I: TỔNG QUAN CÔNG NGHỆ BẢO MẬT TRONG MẠNG

TRUYỀN SỐ LIỆU QUÂN SỰ

1 Mạng truyền số liệu quân sự và các đặc trưng

1.1 Giới thiệu về mạng truyền số liệu đa dịch vụ

Mạng truyền số liệu đa dịch vụ là mạng truyền dẫn tốc độ cao, công nghệ hiện đại, sử dụng phương thức truyền chuyển mạch nhãn đa giao thức (IP/MPLS) Kết nối mạng tại tất cả các đầu mối đều sử dụng cáp quang tốc độ 100/1000Mbps, các kết nối đều đảm bảo tính dùng riêng, an ninh, an toàn và tính dự phòng cao, cho phép hoạt động thông suốt 24/7

Trên cơ sở hạ tầng tiên tiến và đồng bộ, mạng truyền số liệu đa dịch vụ đáp ứng cho rất nhiều dịch vụ như: Truyền hình hội nghị; kết nối mạng riêng ảo; truy

nhập từ xa (Remote Access IP VPN); trao đổi dữ liệu và các dịch vụ dữ liệu, thoại

IP

Mạng truyền số liệu đa dịch vụ sử dụng giao thức TCP/IP theo mô hình OSI, tùy theo tính chất, nhiệm vụ của từng ngành mà mạng có thể được xây dựng riêng mang tính tương đối độc lập cho một tổ chức hoặc cơ quan Trong đó, các tài nguyên mạng như thiết bị mạng, dịch vụ mạng và người dùng nằm phân tán trên một phạm vi địa lý xác định và phục vụ cho một nhu cầu xác định Mạng đa dịch vụ gồm có 3 lớp chính:

- Lớp lõi: Các thiết bị truyền dẫn đảm bảo hoạt động cho toàn mạng

- Lớp biên: Gồm các thiết bị truyền dẫn đảm bảo việc cung cấp hạ tầng mạng cho các dịch vụ

- Lớp truy nhập: Gồm các thiết bị truyền dẫn đảm bảo việc truy nhập cho người dùng trên toàn mạng

Cấu trúc mạng truyền số liệu đa dịch vụ được mô tả trong Hình 1 Mạng trục

là xương sống của toàn bộ mạng truyền số liệu, mạng tiềm ẩn nhiều nguy cơ về an ninh, an toàn như các truy cập trái phép hay tấn công từ các mạng lớp biên, lớp truy nhập, mạng ATM hiện tại hay từ các vùng mạng liên thông khác Việc bảo đảm an toàn, an ninh mạng là hết sức quan trọng

Core

PBX PBX

p biên

Hình 1: Cấu trúc mạng truyền số liệu đa dịch vụ

1.2 An toàn và bảo mật trong mạng truyền số liệu đa dịch vụ

1.2.1 Một số khái niệm chung

1.2.1.1 An ninh mạng

Mô hình OSI (Open Systems Interconnection) là mô hình tương tác giữa các

hệ thống mở được tổ chức Tiêu chuẩn quốc tế − ISO (The International

Organization for Standardization) đề xuất qua tiêu chuẩn ISO 7498 An ninh mạng

là một trong những vấn đề cơ bản của mạng, vì thế sau khi đưa ra mô hình OSI,

ISO đã đề xuất kiến trúc an ninh (security architecture) qua tiêu chuẩn ISO 7498−2,

trong đó định nghĩa các thuật ngữ, khái niệm cơ bản trong an ninh mạng và kiến trúc an ninh cho OSI An ninh trong môi trường OSI là tổng hợp những biện pháp bảo toàn tài nguyên và tài sản của hệ thống mạng trong quá trình tương tác giữa các

hệ thống mở Theo đó đối tượng bảo vệ của hệ thống an ninh mạng gồm:

- Thông tin và dữ liệu (bao gồm cả phần mềm và dữ liệu thụ động liên quan đến biện pháp an ninh)

- Các dịch vụ truyền thông và dịch vụ xử lý dữ liệu

- Các thiết bị và phương tiện mạng

Nguy cơ là những sự cố tiềm tàng, có thể gây ra những tác động không mong muốn đến hệ thống mạng truyền số liệu; khả năng bị tấn công là bất kỳ điểm yếu nào trên hệ thống có thể bị lợi dụng để tạo ra sự cố cho hệ thống mạng; Tấn công là hành động cố ý tác động lên một hoặc nhiều thành phần của hệ thống nhằm buộc một nguy cơ nào đó xảy ra

1.2.1.2 Các dịch vụ an ninh

Các dịch vụ an ninh là các dịch vụ bổ sung tính năng an toàn an ninh cho hệ thống và được thiết kế để chống lại một số dạng tấn công xác định Các dịch vụ này thường được phân loại như sau:

Xác thực: Đảm bảo một người dùng khi tham gia vào hệ thống phải là chính

họ, từ lúc khởi tạo cho đến khi kết thúc một phiên giao dịch

Kiểm soát truy nhập: Bên cạnh dịch vụ xác thực, kiểm soát truy nhập là dịch

vụ kiểm soát/giới hạn các truy nhập vào một hệ thống hoặc một ứng dụng trên mạng

An toàn dữ liệu: Dịch vụ này nhằm bảo vệ dữ liệu trước các tấn công thụ

động Điều này không những chỉ đối với nội dung các gói tin mà còn bao gồm cả việc giữ bí mật điểm đầu và điểm cuối của gói tin

Toàn vẹn dữ liệu: Mục đích của dịch vụ này là để phát hiện các thay đổi dữ

liệu trong quá trình truyền thông

Chống chối bỏ: Tính chất này nhằm giải quyết vấn đề một thực thể tham gia

truyền thông chối bỏ hành động gửi/nhận dữ liệu của mình, cả hai phía của một giao dịch đều có thể chứng minh việc phía bên kia đã gửi/nhận dữ liệu

Tính sẵn sàng: Các tài nguyên trên mạng cần phải luôn sẵn sàng với các truy

nhập hợp lệ Kẻ tấn công sẽ không thể ngăn chặn hoặc làm gián đoạn truy nhập tới các tài nguyên này

1.2.2 Các cơ chế an ninh dựa trên mật mã

Cơ chế an ninh là tổ hợp những thao tác kỹ thuật cụ thể, được sử dụng để tạo

ra dịch vụ an ninh Những cơ chế an ninh này được trình bày chi tiết ở nhiều tài liệu, theo ISO 7498–2 chúng được mô tả sơ lược như sau:

1.2.2.1 Cơ chế mã hóa (encryption mechanism)

Cơ chế mã hóa được sử dụng để bảo mật cho dữ liệu được truyền thông trên kênh Hai loại chính là mật mã đối xứng và không đối xứng

- Mật mã đối xứng, còn gọi là hệ mật khoá bí mật, là hệ mật mà trong đó có thể tìm ra khoá được sử dụng để giải mã (khoá giải mã) từ khoá được sử dụng để mã hoá (khoá mã) và ngược lại

- Mật mã không đối xứng, còn gọi là hệ mật khoá công khai, là hệ mật mà trong đó không thể tìm ra khoá giải mã từ khoá mã và ngược lại Khoá mã còn được gọi là khoá công khai, khoá giải mã còn được gọi là khoá riêng

1.2.2.2 Cơ chế chữ ký điện tử (digital signature mechanism)

Bản chất của cơ chế chữ ký điện tử là chữ ký chỉ có thể được tạo ra từ những thông tin riêng, đặc trưng của người ký Khi kiểm tra chữ ký, có thể xác minh rằng chỉ có người có thông tin riêng đó mới tạo ra được chữ ký, nói cách khác chữ ký điện tử được sử dụng để khẳng định tính pháp lý của thông tin được gửi đi trên mạng

Cơ chế chữ ký điện tử gồm có hai thuật toán là tạo chữ ký (là bí mật và duy nhất chỉ có người ký mới có) và kiểm tra chữ ký (được phổ biến công khai) Trong thủ tục ký vào thông điệp, người gửi thông điệp (đồng thời là người ký) sử dụng thuật toán tạo chữ ký để tính toán ra chữ ký (thường là một chuỗi nhị phân có độ dài

cố định) từ thông điệp cần ký Trong thủ tục kiểm tra chữ ký, người kiểm tra chữ ký (thường đồng thời là người nhận thông điệp) sử dụng thuật toán kiểm tra chữ ký công khai của người gửi để xác minh chữ ký gửi kèm thông điệp có đúng là đã được tạo ra từ người gửi hay không

1.2.2.3 Cơ chế kiểm soát truy nhập (access control mechanism)

Loại cơ chế này sử dụng danh tính xác thực của một thực thể để xác định và áp đặt các quyền truy nhập phù hợp cho thực thể đó Nếu một thực thể tìm cách sử dụng tài nguyên mà nó không có quyền truy nhập hoặc cách thức truy nhập của nó không thích hợp thì chức năng kiểm soát truy nhập sẽ ngăn chặn truy nhập đó và có thể ghi lại sự việc đã xảy ra như là một phần của bản ghi vết kiểm toán phục vụ cho hoạt động kiểm tra sau này

1.2.2.4 Cơ chế toàn vẹn dữ liệu (data integrity mechanism)

Toàn vẹn dữ liệu có thể là sự toàn vẹn của một gói dữ liệu hoặc sự toàn vẹn của một luồng dữ liệu Việc xác định tính toàn vẹn của một gói dữ liệu được thực hiện thông qua hai tiến trình, tại thực thể gửi và tại thực thể nhận Thực thể gửi chắp vào sau gói dữ liệu một giá trị được tính toán từ bản thân gói dữ liệu đó thông qua

hàm một chiều, giá trị này được gọi là giá trị tóm lược thông điệp – message digest

Thực thể nhận, sau khi nhận được gói dữ liệu sẽ tách phần dữ liệu và giá trị tóm lược, thực hiện tính toán giá trị tóm lược từ phần dữ liệu và so sánh nó với phần nhận được, tức là giá trị tóm lược đã được thực thể gửi gắn vào gói dữ liệu, từ đó sẽ xác định được dữ liệu có bị sửa trong quá trình truyền hay không

Đối với toàn vẹn luồng dữ liệu, ngoài việc thực hiện bảo đảm tính toàn vẹn của từng gói dữ liệu, người ta còn chắp thêm một số thông tin phụ trợ như số thứ tự của gói tin, tem thời gian,… vào phần đầu của mỗi gói dữ liệu trước khi tính toán và

chắp giá trị tóm lược thông điệp Nhờ vậy, luồng dữ liệu sẽ được xác minh là có toàn vẹn hay không

1.2.2.5 Cơ chế trao đổi xác thực (authentication exchange mechanism)

Cơ chế trao đổi xác thực được đặt trong một tầng của mô hình mạng phân tầng nhằm xác thực các thực thể liên kết Nếu một thực thể không xác thực được, nó

sẽ không thể kết nối được đến thực thể đích và hệ thống trên trạm đích sẽ ghi lại quá trình yêu cầu kết nối, cũng như các thao tác cụ thể mà nó đã thực hiện vào một bản ghi vết kiểm toán nhằm phục vụ quá trình kiểm tra sau này Có nhiều kỹ thuật được sử dụng để tạo ra trao đổi xác thực, như mật khẩu, kỹ thuật mật mã…, khi sử dụng kỹ thuật mật mã kết hợp với giao thức bắt tay có thể chống lại được việc phát lặp lại các gói tin trên kênh Trao đổi xác thực cũng có thể được sử dụng cùng với dịch vụ chống thoái thác nhằm chứng minh trách nhiệm gửi/nhận thông tin trên mạng

1.2.2.6 Cơ chế đệm truyền thông (traffic padding mechanism)

Cơ chế đệm truyền thông thực hiện chắp thêm các dữ liệu "bù" vào gói tin để bảo đảm kích thước của tất cả các gói tin được truyền trên kênh là bằng nhau Cơ chế này phải được sử dụng kết hợp với cơ chế mật mã mới có hiệu quả, vì khi đó tất

cả các gói tin trên kênh đều có kích thước như nhau, đều được mã hoá, do vậy việc

dò tìm thông tin thông qua phân tích thông lượng kênh của đối phương sẽ khó thành công

1.2.2.7 Cơ chế kiểm soát chọn đường (routing control mechanism)

Cơ chế kiểm soát chọn đường thực hiện việc phân tích và áp đặt tuyến đường trên kênh cho luồng dữ liệu, tuyến đường đó có thể được chọn tự động (dynamic routing) hoặc được xếp đặt trước (static routing) nhằm chọn ra tuyến đường an toàn cho luồng dữ liệu Việc chọn đường liên quan đến nhãn an ninh của dữ liệu, với mỗi nhãn an ninh nhất định (xác định mức độ nhạy cảm của dữ liệu) cần phải chọn ra tuyến đường có độ an toàn tương xứng

1.2.2.8 Cơ chế kiểm chứng (notary mechanism)

Cơ chế kiểm chứng thực hiện xác minh các thuộc tính của dữ liệu truyền thông giữa hai hay nhiều thực thể như tính toàn vẹn, thời gian truyền/nhận và đích của dữ liệu Lời bảo đảm này được một tổ chức công chứng trung gian mà các thực thể truyền thông đều tin cậy và công nhận Trên tuyến đường giữa cặp thực thể truyền thông có nhiều đoạn, mỗi đoạn truyền thông có thể sử dụng chữ ký số, kỹ thuật mật mã và toàn vẹn một cách thích hợp để tổ chức công chứng tại đó có thể xác minh Khi cần kiểm chứng, dữ liệu truyền giữa các thực thể sẽ được gửi tới công chứng viên để xác nhận

1.2.3 Vị trí đặt dịch vụ an ninh theo mô hình mạng phân tầng

Trên thực tế, khi tiến hành xây dựng giải pháp bảo vệ an ninh trong mạng phân tầng cần phải kết hợp nhiều dịch vụ an ninh để việc bảo vệ có hiệu quả cao nhất ISO 7498–2 đề ra những nguyên tắc xây dựng hệ thống an ninh như sau:

- Hệ thống an ninh mạng được xây dựng bằng các dịch vụ an ninh ở nhiều tầng

- Chức năng được thêm vào theo yêu cầu an ninh không được giống hệt như chức năng có sẵn của các tầng trong OSI

- Không vi phạm tính độc lập của các tầng và tối thiểu hoá số chức năng tin cậy

- Các chức năng an ninh thêm vào một tầng cần được định nghĩa sao cho chúng phải được thực hiện như những module hoàn chỉnh

Trên thực tế mô hình mạng phân tầng được sử dụng rộng rãi là TCP/IP với

bốn lớp mạng, 0 thể hiện sự so sánh giữa mô hình OSI với TCP/IP

Các dịch vụ an ninh trong TCP/IP được đặt tương ứng như sau:

- Tại tầng Truy nhập mạng (network access) có thể đặt dịch vụ bảo mật hướng kết nối và bảo mật luồng truyền thông

- Tại tầng IP có thể đặt dịch vụ bảo mật phi kết nối và bảo mật luồng truyền thông

Giao vận

Mạng

Liên kết dữ liệu Vật lý

Hình 2: So sánh OSI và TCP/IP

- Tầng giao vận có thể đặt dịch vụ bảo mật hướng kết nối và phi kết nối

- Tại tầng ứng dụng có thể đặt tất cả các dịch vụ bảo mật Riêng dịch vụ bảo mật trường lựa chọn chỉ có thể đặt tại tầng ứng dụng

1.2.4 Ý nghĩa của việc sử dụng mật mã trong bảo mật tại tầng IP

- TCP/IP là một giao thức chuẩn của Internet và được hầu hết các ứng dụng trên mạng hỗ trợ Các dịch vụ dùng giao thức TCP/IP như thư điện tử, cơ sở dữ liệu, dịch vụ Web, truyền file, truyền hình ảnh, âm thanh,… dữ liệu của các ứng dụng này được chứa trong các gói IP và được bảo vệ nhờ các dịch vụ an toàn tại tầng Network Mỗi mạng con chỉ cần có một thiết bị bảo vệ gói IP và là một Gateway để cho phép tất cả các gói tin IP phải chuyển qua nó trước khi ra kênh công khai

- Không phải can thiệp và sửa đổi các ứng dụng hiện có và trong suốt đối với người dùng: Do được đặt tại tầng Network nên các dịch vụ an toàn không cần quan tâm đến ứng dụng tạo ra dữ liệu chứa trong gói IP Tất cả các gói IP của các dịch vụ thông tin khác nhau đều được xử lý theo một cách chung Vì vậy, chúng ta không cần phải can thiệp và sửa đổi cấu trúc của ứng dụng cần bảo vệ Toàn bộ các thao tác bảo vệ gói IP được thực hiện một cách trong suốt đối với người sử dụng, người dùng không cần phải can thiệp vào quá trình thực hiện các dịch vụ an toàn và cũng không cần phải thực hiện các thao tác làm việc với ứng dụng

- Tăng cường khả năng của Firewall: Chúng ta biết rằng có một số tấn công đối với Firewall lọc gói như soi gói, giả địa chỉ nguồn, chiếm kết nối,… Những tấn công này không thể phát hiện ra nếu chỉ dùng các luật lọc gói Khi cài đặt các dịch

vụ an toàn bằng kỹ thuật mật mã tại tầng Network, các tấn công trên sẽ bị ngăn chặn, ngược lại bảo vệ gói tin IP bằng kỹ thuật mật mã không thể ngăn chặn các gói bằng cách dựa vào các luật lọc gói Nếu kết hợp chức năng lọc gói và chức năng bảo vệ gói IP bằng kỹ thuật mật mã chúng ta có thể tạo ra các Firewall có độ an toàn cao

Hình 3: Mô hình bảo mật tại tầng IP

- Giảm số đầu mối can thiệp dịch vụ an toàn: Khi cài đặt dịch vụ an toàn tại mức ứng dụng và mức vận tải, chúng ta chỉ có thể tạo ra một kênh an toàn giữa hai

hệ thống đầu cuối, nghĩa là giữa hai thiết bị đầu cuối có thông tin cần trao đổi được bảo vệ Khi hệ thống đầu cuối trong mạng nội bộ được tăng lên, số đầu mối cần can thiệp dịch vụ an toàn cũng sẽ tăng theo Điều này dẫn đến những khó khăn về chi phí, quản trị hệ thống, huấn luyện đào tạo sử dụng,… Do can thiệp mật mã tại tầng Network, nên chúng ta có thể tạo ra các Gateway có khả năng chặn bắt và bảo vệ gói IP của tất cả các thiết bị trong mạng nội bộ và dịch vụ an toàn chỉ cần tích hợp tại Gateway này

- Cho phép bảo vệ dữ liệu của một số ứng dụng thời gian thực: Việc sử dụng mật mã tại tầng khác trong mô hình ISO không phải lúc nào cũng thực hiện được, hơn nữa các ứng dụng thời gian thực đòi hỏi các luồng dữ liệu phải được chuyển gần như tức thời, không cho phép trễ lâu (ví dụ thoại, truyền hình…) Với các ứng dụng như vậy, việc cài đặt các dịch vụ an toàn tại tầng Network và tầng truy cập mạng là phù hợp Tuy nhiên, việc can thiệp vào tầng truy cập mạng có hạn chế là phải dùng phương thức mã theo tuyến, tại các nút trung gian dữ liệu phải giải mã để tìm ra thông tin định tuyến sau đó được mã lại để đi tiếp, điều này rất phức tạp và làm trễ gói tin rất lớn do quá trình mã hóa, giải mã nhiều lần Khi cài đặt tại tầng Network chúng ta dùng phương thức mã hóa từ mút tới mút, trong đó header truyền thông được để ở dạng rõ và gói IP không cần phải giải mã, mã hóa tại các nút truyền thông trung gian

- Khó có khả năng cài đặt một số dịch vụ an toàn đặc biệt là dịch vụ xác thực thực thể và chống chối bỏ

- Chỉ có một cơ chế bảo vệ cho tất cả các dữ liệu của các ứng dụng

- Khi các đầu mối trong mạng nội bộ tham gia lớn thì việc cùng lúc phải phục vụ cho nhiều dịch vụ bảo mật và nhiều hướng kết nối nên đòi hỏi băng thông của mạng phải cao, tốc độ xử lý mã hóa, giải mã dữ liệu phải lớn để đáp ứng các yêu cầu của thực tế Đây chính là vấn đề được luận án quan tâm nghiên cứu giải quyết

- Đòi hỏi người quản trị hệ thống phải có kiến thức tốt về công nghệ và quản trị mạng

- Mạng nội bộ phía bên trong Gateway bảo vệ gói IP phải tự chủ động về khâu bảo đảm an toàn, an ninh

1.2.5 Bảo mật trong mạng truyền số liệu đa dịch vụ

Các nghiên cứu về bảo mật đối với mạng truyền số liệu đa dịch vụ chủ yếu được giải quyết tại lớp biên hoặc lớp truy cập, thiết bị bảo mật được đặt giữa vị trí mạng nội bộ bên trong với mạng truyền số liệu diện rộng, hoặc là bảo mật đầu cuối – đầu cuối, nền tảng công nghệ chính tại các lớp này đó là IP, vì vậy giải pháp bảo mật chính là xử lý bảo mật tại tầng IP Tại vị trí này, các thiết bị truyền dẫn (thông thường là các router hoặc gateway) sẽ được xây dựng sẵn hoặc tích hợp các thiết bị cung cấp dịch vụ bảo mật sử dụng mật mã Thực tế, giải pháp phổ biến và hiệu quả nhất đó là tạo ra các mạng riêng ảo (VPN – Virtual Private Network) Mỗi VPN sẽ tạo ra một “đường hầm” ảo kết nối giữa 2 điểm đầu cuối Các dữ liệu trao đổi bên

trong đường hầm sẽ được mã hóa bằng kỹ thuật mật mã Error! Reference source not found là mô hình giải pháp bảo mật dữ liệu trên đường truyền đặt giữa nút

mạng nội bộ và mạng truyền số liệu diện rộng theo công nghệ IP sử dụng giao thức bảo mật IPSec

VPN cung cấp tính năng bảo mật bằng cách sử dụng các giao thức đường hầm (tunneling protocol) và qua các thủ tục bảo mật như mã hóa Mô hình bảo mật VPN cung cấp:

- Tính bí mật: Kể cả khi mạng bị chặn thu ở mức gói tin, kẻ tấn công chỉ thấy

được các dữ liệu đã mã hóa

Các giao thức VPN an toàn phổ biến được phát triển bao gồm, như IPSec

(Internet Protocol Security), SSL/TLS (Secure Sockets Layer/Transport Layer Security), DTLS (Datagram Transport Layer Security), MPPE (Microsoft Point-to- Point Encryption), SSTP (Microsoft Secure Socket Tunneling Protocol), SSH VPN (Secure Shell)

Trong đó giao thức IPSec đáp ứng hầu hết các mục tiêu an ninh như: Xác thực, tính toàn vẹn và bảo mật, IPSec mã hóa và đóng gói gói tin IP bên trong gói tin IPSec, giải mã các gói tin IP gốc ở cuối đường hầm và chuyển tiếp đến đích Trên thế giới các sản phẩm bảo mật mạng đã có đều sử dụng một trong các giao thức trên Các giải pháp phần mềm như OpenSwan, StrongSwan (IPSec), OpenSSH (SSH), OpenVPN, SoftEther VPN (SSL/TLS), các sản phẩm này có thể triển khai dễ dàng trên các máy tính thông thường nhưng thường bị hạn chế về hiệu năng bởi khả năng xử lý mã hóa/giải mã của bộ xử lý máy tính Một số giải pháp phần mềm cho phép kết hợp với các thiết bị tăng tốc mã hóa, giải mã để khắc phục hạn chế này bằng giải pháp phần cứng Các giải pháp phần cứng thiết bị chuyên dụng như các sản phẩm của Cisco, Checkpoint, Jupiter Network, Fortinet , giải pháp này thường có hiệu năng cao hơn giải pháp phần mềm do tích hợp sẵn các bộ đồng xử lý mật mã (crypto co-processor) thiết kế trên FPGA/ASIC Hàng loạt các biện pháp, giải pháp, công nghệ, sản phẩm đã ra đời dựa trên các chuẩn bảo mật trên nhằm bảo mật, an toàn thông tin, trong đó các sản phẩm thường gặp là hệ thống mã hóa luồng thông tin (thoại, luồng IP…), hệ thống xác thực chữ ký số, hệ thống mạng riêng ảo (VPN), hệ thống tường lửa (Firewall), hệ thống giám sát, hệ thống chống truy cập trái phép IDPS Trong hầu hết các dạng sản phẩm nói trên các hệ mật đóng vai trò đặc biệt quan trọng Các hệ mật không chỉ giúp cho việc mã hóa

dữ liệu mà nó còn là công cụ để xác thực định danh, xác thực nguồn gốc và tính toàn vẹn của dữ liệu

E1/ FE

Mạng t

E1/ FE

Router PE

Mạng lõi IP/ MPLS LAN

Trung tâm ạng ( NOC)

Thiết ị mã hóa

ng

Mạng t

Thiết ị mã hóa

Mạng u i

Router

Mạng õ

BM Ethernet

’’’’’’’‘‘‘

Hình 4: Mô hình bảo mật thông tin cho mạng đa dịch vụ

Có thể chia các sản phẩm trong bảo mật an toàn thông tin thành hai nhóm: Sản phẩm bằng phần mềm và sản phẩm bằng phần cứng

- Sản phẩm bằng phần mềm thường được cài đặt trên các hệ điều hành sử dụng các chíp xử lý trung tâm CPU có ưu điểm là mềm dẻo, dễ cài đặt, dễ nâng cấp, tùy biến, tuy nhiên tốc độ xử lý trong nhiều trường hợp còn rất chậm do CPU phải thực thi rất nhiều các lệnh của hệ điều hành, mỗi lệnh trước khi thực hiện cần phải biên dịch và xử lý nhiều mã lệnh và phần lớn các lệnh này được thực hiện tuần tự Theo thử nghiệm của Mohd Nazri Ismail băng thông của Open VPN (thiết kế bằng phần mềm) giảm 1000 lần so với VPN thiết kế bằng phần cứng Netscreen, độ trễ bị tăng lên 10 lần, do đó với mạng tốc độ cao các giải pháp bằng phần mềm sẽ làm ảnh hưởng rất nhiều đến tốc độ đường truyền và hiệu năng mã hóa/giải mã của thiết bị mật Chính vì lý do này mà trong hệ thống mạng đòi hỏi băng thông lớn, tốc độ đường truyền cao, yêu cầu thời gian thực, hoặc các hệ thống cùng lúc phục vụ nhiều người sử dụng, đa dịch vụ, để tránh hiện tượng “nghẽn cổ chai”, suy hao tốc độ trên đường truyền, nhiều giải pháp mã hóa dữ liệu bằng phần cứng đã được ra đời như các chíp mã hóa riêng được sử dụng các công nghệ nền tảng như: ASIC, FPGA, RISK…, để tạo nên các hệ thống như mạng riêng ảo bằng phần cứng, tường lửa bằng phần cứng được tích hợp trong các router

Các sản phẩm mật mã được xây dựng trên phần cứng đã được sử dụng khá rộng rãi ở nước ngoài và có những ưu, nhược điểm cơ bản như sau:

- Tốc độ xử lý cao, nâng cao được hiệu năng của băng thông khi mã hóa

- Có khả năng hỗ trợ xử lý song song

- Cùng lúc hỗ trợ được nhiều kết nối, bảo đảm cho nhiều dịch vụ

- Có độ ổn định, độ tin cậy và tính an toàn về thiết kế cao

- Việc cài đặt, quản trị đơn giản

Nhược điểm:

- Khả năng tùy biến thấp so với các chương trình thiết kế bằng phần mềm

- Khả năng nâng cấp, cập nhật phiên bản mới tuy có thể thông qua việc nâng cấp firmware nhưng nói chung có nhiều hạn chế

- Giá thành phần lớn các trường hợp cao hơn hẳn các sản phẩm thiết kế bằng phần mềm, lệ thuộc vào nhà sản xuất

- Không cho phép can thiệp vào hệ thống (do đã bị cứng hóa) do đó khó có thể thay thế các thành phần mật mã bằng các thành phần của khách hàng, thậm chí việc kiểm định, đánh giá tính năng, tham số kỹ thuật của thiết bị cũng rất khó khăn

- Khả năng kiểm soát thiết bị không cao, không thể loại trừ khả năng cài chíp

“rệp” hoặc các thành phần gián điệp theo dõi toàn bộ hệ thống thông qua các phương tiện truyền thông từ xa

1.2.6 Giao thức bảo mật cho mạng truyền số liệu đa dịch vụ

Yêu cầu bảo mật mạng truyền số liệu đa dịch vụ đòi hỏi bảo vệ tất cả các dịch vụ trên mạng, không phải một vài giao thức riêng biệt, về mặt kỹ thuật, IPsec

và SSL/TLS đều có những tính chất riêng biệt, tùy theo yêu cầu bảo mật mà chọn lựa IPsec hay SSL/TLS Trong đó, nếu một dịch vụ cụ thể cần được bảo vệ và được

hỗ trợ bởi SSL/TLS thì SSL/TLS là một lựa chọn tốt Mặt khác nếu cần thiết bảo vệ tất cả các dịch vụ hoặc các tuyến liên lạc gateway-tới-gateway thì IPSec là lựa chọn tốt hơn Việc chọn giao thức IPSec cho bảo mật mạng đa dịch vụ là lựa chọn thích hợp Mặc dù cả IPSec và SSL/TLS đều thực hiện được việc tạo ra và mã hóa các VPN Tuy nhiên, khi ứng dụng trong mạng truyền số liệu đa dịch vụ, IPSec là ứng

cử viên sáng giá Với đặc điểm hoạt động tại lớp 3 (lớp mạng), khi một “đường hầm” bảo mật được thiết lập giữa 2 nút mạng bất kỳ, tất cả các dịch vụ chạy trên nền IP (WEB, FTP, email, VoIP) sẽ đều được bảo mật và có thể coi thiết bị mạng tích hợp IPSec tại lớp truy nhập là trong suốt đối với người dùng Điều này hoàn toàn thỏa mãn được yêu cầu bảo vệ thông tin trên một mạng truyền số liệu đa dịch

vụ về các tiêu chí bảo mật và giá thành Thêm nữa, việc triển khai IPSec trên các thiết bị mạng hầu như không yêu cầu việc cài đặt, cấu hình tại phía các máy trạm truy nhập hoặc máy chủ cung cấp dịch vụ

Trong phạm vi luận án, tác giả sẽ nghiên cứu về giải pháp mật mã sử dụng cho IPSec cài đặt trên thiết bị bảo mật mạng tại lớp truy nhập và đề xuất các giải pháp cụ thể để nâng cao hiệu quả bảo mật cho mạng đa dịch vụ

2 Giải pháp mạng riêng ảo đang được sử dụng trong mạng truyền số liệu quân sự và những hạn chế

2.1 Giải pháp mạng riêng ảo VPN truyền thống

2.1.1 Giới thiệu mạng riêng ảo VPN

VPN là sự mở rộng của một mạng riêng (Private Network) thông qua các mạng công cộng Về cơ bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dùng như đường leased-line, mỗi VPN sử dụng các kết nối ảo được dẫn qua đường Internet từ mạng riêng của các công ty tới các site, nhân viên từ xa

Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn đảm bảo tính an toàn và bảo mật, VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền

tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi gọi là Tunnel Tunnel giống như một kết nối point-to-point trên mạng riêng

Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa theo

cơ chế giấu đi, chỉ cung cấp phần đầu gói tin (header) là thông tin về đường đi cho phép nó có thể đi tới đích thông qua mạng công cộng một cách nhanh chóng, dữ liệu được mã hóa để nếu các packet bị bắt trên đường truyền công cộng cũng không thể đọc nội dung vì không có khóa để giải mã Liên kết với dữ liệu mã hóa và đóng gói được gọi kết nối VPN

VPN là khái niệm chung cho việc thiết lập kênh truyền ảo, nhưng còn tùy thuộc vào mô hình mạng và nhu cầu sử dụng mà chọn loại thiết kế cho phù hợp Công nghệ VPN có thể được phân thành 2 loại cơ bản: Site-to-Site VPN và Remote Access VPN

Site-to-Site VPN: là mô hình dùng để kết nối các hệ thống mạng ở các nơi

khác nhau tạo thành một hệ thống mạng thống nhất Ở loại kết nối này thì việc chứng thực an đầu phụ thuộc vào thiết bị đầu cuối ở các Site, các thiết bị này hoạt động như Gateway và đây là nơi đặt nhiều chính sách bảo mật nhằm truyền dữ liệu một cách an toàn giữa các Site

Remote Access VPN: loại này thường áp dụng cho nhân viên làm việc lưu

động hay làm việc ở nhà muốn kết nối vào mạng công ty một cách an toàn Cũng có thể áp dụng cho văn phòng nhỏ ở xa kết nối vào Văn phòng trung tâm của công ty Remote Access VPN còn được xem như là dạng User-to-LAN, cho phép người dùng ở xa dùng phần mềm VPN Client kết nối với VPN Server VPN hoạt động nhờ vào sự kết hợp với các giao thức đóng gói PPTP, L2TP, IPSec, GRE, MPLS, SSL, TLS

Hình 5: Mô hình mạng riêng ảo VPN truyền thống

2.1.2 Cách thức hoạt động của VPN truyền thống

Thực ra, cách thức làm việc của VPN cũng khá đơn giản, không khác là mấy

so với các mô hình server – client thông thường Server sẽ chịu trách nhiệm chính trong việc lưu trữ và chia sẻ dữ liệu sau khi mã hóa, giám sát và cung cấp hệ thống gateway để giao tiếp và xác nhận các tài khoản client trong khâu kết nối, trong khi client VPN, cũng tương tự như client của hệ thống LAN, sẽ tiến hành gửi yêu cầu – request tới server để nhận thông tin về dữ liệu chia sẻ, khởi tạo kết nối tới các client khác trong cùng hệ thống VPN và xử lý quá trình bảo mật dữ liệu qua ứng dụng được cung cấp Nói dễ hiểu hơn, VPN sẽ tạo ra một đường hầm (Tunnel) bất khả xâm phạm, tất cả dữ liệu và hoạt động trên Internet của bạn sẽ được truyền qua đây

và đường hầm này sẽ bảo vệ dữ liệu trước nguy cơ bị tấn công

Hình 6: Dữ liệu đi qua Tunnel được mã hóa

2.1.3 Các giao thức VPN phổ biến

a IP security (IPSec):

Được dùng để bảo mật các giao tiếp, các luồng dữ liệu trong môi trường Internet (môi trường bên ngoài VPN) Đây là điểm mấu chốt, lượng traffic qua IPSec được dùng chủ yếu bởi các Transport mode, hoặc các tunnel (hay gọi là hầm - khái niệm này hay dùng trong Proxy, SOCKS) để MÃ HÓA dữ liệu trong VPN

Sự khác biệt giữa các mode này là:

Transport mode chỉ có nhiệm vụ mã hóa dữ liệu bên trong các gói (data package - hoặc còn biết dưới từ payload) Trong khi các Tunnel mã hóa toàn bộ các data package đó

Do vậy, IPSec thường được coi là Security Overlay, bởi vì IPSec dùng các lớp bảo mật so với các Protocol khác

b Secure Sockets Layer (SSL) và Transport Layer Security (TLS):

Có 1 phần tương tự như IPSec, 2 giao thức trên cũng dùng mật khẩu để đảm bảo an toàn giữa các kết nối trong môi trường Internet

Hình 7: Giao thức SSL VPN

Bên cạnh đó, 2 giao thức trên còn sử dụng chế độ Handshake - có liên quan đến quá trình xác thực tài khoản giữa client và server Để 1 kết nối được coi là thành công, quá trình xác thực này sẽ dùng đến các Certificate - chính là các khóa xác thực tài khoản được lưu trữ trên cả server và client

c Point-To-Point Tunneling Protocol (PPTP):

Là giao thức được dùng để truyền dữ liệu qua các hầm - Tunnel giữa 2 tầng traffic trong Internet L2TP cũng thường được dùng song song với IPSec (đóng vai

trò là Security Layer - đã đề cập đến ở phía trên) để đảm bảo quá trình truyền dữ liệu của L2TP qua môi trường Internet được thông suốt

Không giống như PPTP, VPN sẽ "kế thừa" toàn bộ lớp L2TP/IPSec có các key xác thực tài khoản được chia sẻ hoặc là các Certificate

• Đã bị bẻ khóa bởi NSA

• Không hoàn toàn bảo mật

d OpenVPN

OpenVPN là một giao thức VPN mã nguồn mở và đó là cả sức mạnh cũng như điểm yếu của nó Tài liệu nguồn mở có thể được truy cập bởi bất kỳ ai, có nghĩa là không chỉ người dùng hợp pháp có thể sử dụng và cải thiện nó, mà những người không có ý định lớn đến thế cũng có thể xem xét nó để tìm điểm yếu và khai thác chúng