NGHIÊN CỨU MẠNG RIÊNG ẢO VÀ ỨNG DỤNG CHO KHỐI CƠ QUAN HCSN TỈNH NINH BÌNH

Đề tài : NGHIÊN CỨU MẠNG RIÊNG ẢO VÀ ỨNG DỤNG CHO KHỐI CƠ QUAN HCSN TỈNH NINH BÌNH Nội dung luận văn gồm có 5 chương : Chương 1: Tổng quan về mạng riêng ảo; Chương 2: Các giao thức dùng trong VPN; Chương 3: Bảo mật trong VPN. Trong 3 chương này học viên đã trình bày ngắn gọn những hiểu biết của mình về lý thuyết mạng riêng ảo. Từ tổng quan đến các giao thức và những vấn đề về bảo mật. Trong mỗi chương, bên cạnh những nội dung lý thuyết cơ bản, học viên có nêu thêm những nhận xét, đánh giá, bày tỏ quan điểm của mình trong những trường hợp, vấn đề cụ thể.

Chương I TỔNG QUAN VỀ MẠNG RIÊNG ẢO

1.1 Khái niệm mạng riêng

Mạng riêng là một thuật ngữ dùng để mô tả một mạng diện rộng gồm những thànhphần công cộng được kiểm soát bởi một tổ chức Mạng riêng được tạo ra với sự kết nốiđường dây thuê bao chuyên biệt từ nhà cung cấp dịch vụ truyền thông cho một băngthông nhất định theo thỏa thuận

Mạng máy tính ban đầu được triển khai với hai kỹ thuật chính: Đường thuê riêng(Leased Line) cho các kết nối cố định và đường quay số (Dial Up) cho các kết nối khôngthường xuyên Các mạng này có tính bảo mật cao, nhưng với lưu lượng dữ liệu thay đổi

và sự đòi hỏi về tốc độ đã thúc đẩy hình thành một kiểu mạng dữ liệu mới: Các mạngriêng dựa trên các kênh lôgíc có tính “ảo” đầu tiên đã được xây dựng trên mạng chuyểnmạch gói X.25, Frame Relay và ATM

Với sự phát triển của công nghệ Internet và sự ra đời của các kỹ thuật truyền dẫntốc độ cao, xu hướng hội tụ của các mạng trên nền NGN, MegaVNN đang diễn ra, tạođiều kiện cho sự xuất hiện nhiều dịch vụ mới, trong đó có dịch vụ mạng riêng ảo

1.2 Khái niệm mạng riêng ảo

Hình 1.1 Minh họa mạng riêng ảo

Mạng riêng ảo được định nghĩa đơn giản như là một mạng, trong đó các điểm củakhách hàng được kết nối với nhau trên một cơ sở hạ tầng chia sẻ với cùng một chínhsách truy nhập và bảo mật như trong mạng riêng

Mạng riêng ảo thường được xây dựng trên nền mạng chuyển mạch gói Nhà cungcấp truyền thông lập trước ra một tuyến đường trên mạng, gọi là mạch ảo, và cung cấpmột băng thông theo thỏa thuận gọi là CIR (tốc độ thông tin thỏa thuận) Mạng đượcchia sẻ với tất cả các người dùng của nhà cung cấp truyền thông, nhưng khi mạng bận,nhà cung cấp duy trì đủ băng thông cho khách hàng

1.3 Các dạng VPN

1.3.1 Phân loại theo chức năng

Có 2 dạng VPN chính là: Remote Access VPN (Client-to-LAN VPN), Site-to-Site

VPN (Intranet VPN và Extranet VPN).

VPN truy cập từ xa còn được gọi là mạng Dial Up riêng ảo (VPDN), là một kết nốingười dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệvới mạng riêng của mình từ rất nhiều địa điểm ở xa Remote Access VPN rất thuận lợiđối với các khách hàng hay di chuyển, công việc di động hoặc làm việc tại nhà Kết nốiVPN loại này cho phép truyền nhận thông tin tương đối an toàn, đảm bảo tính riêng tư

Hình 1.2 Minh họa mạng VPN truy cập từ xa

Site-to-Site VPN: Dùng để kết nối các mạng tại các vị trí khác nhau thông qua kết

nối VPN Có thể chia ra thành 2 loại khác, đó là Intranet VPN và Extranet VPN Intranet

VPN kết nối các văn phòng ở xa với trụ sở chính thường là các mạng LAN với nhau

Hình 1.3 Minh họa Intranet VPN

Extranet VPN là khi Intranet VPN mở rộng kết nối với một Intranet VPN khác

Hình 1.4 Minh họa Extranet VPN

1.3.2 Phân loại theo quan điểm công nghệ

Trên quan điểm công nghệ VPN có thể chia ra dựa trên lớp mạng mà nó hoạt động

là lớp 2 hay lớp 3 Các mạng được triển khai dựa trên cơ sở hạ tầng chung của các hệthống chuyển mạch gói như X.25, Frame Relay và ATM cũng thường được gọi là VPN.Một số quan điểm khác cho rằng kiểu mạng này thực chất là một kiểu mạng riêng Kiểumạng riêng này được thiết lập như sau: Nhà cung cấp dịch vụ cung cấp cho khách hàng

một bộ các đường thuê riêng logic - gọi là các VC Khách hàng trao đổi thông tin bằngcác thiết bị CPE qua các VC mà nhà cung cấp dịch vụ tạo ra Thông tin điều khiển địnhtuyến được trao đổi giữa các thiết bị của khách hàng Kiểu mạng riêng này còn được gọi

là mô hình Overlay VPN

Hình 1.5 Mạng riêng ảo trên nền Frame Relay

Mô hình này dễ triển khai, bảo mật và cách biệt tốt, tuy nhiên khi mạng có nhiềusites thì việc cung cấp chính xác băng thông của các VC đòi hỏi phải am hiểu chi tiết vềthông tin lưu lượng site-to-site và điều này thường là không dễ dàng

Trong mô hình VPN ngang hàng (Peer-to-Peer), các router của thiết bị PE trao đổi

thông tin định tuyến trực tiếp với các router của thiết bị CPE Mô hình này cho phép địnhtuyến trên phương diện khách hàng là cực kỳ đơn giản và tối ưu, hơn nữa rất dễ dàng khi

mở rộng mạng VPN

Công nghệ VPN lớp 2 được thiết kể để chạy trên lớp liên kết dữ liệu của mô hình

OSI của mạng IP riêng hoặc mạng Internet với kỹ thuật tạo đường hầm với giao thứcPPTP và giao thức L2TP

Công nghệ VPN lớp 3 được thiết kể để chạy trên lớp mạng của mô hình OSI và sử

dụng các giao thức trên tầng mạng Công nghệ VPN lớp 3 dùng IPSec

1.4 Kiến trúc của mạng riêng ảo

Hai thành phần cơ bản tạo ra mạng riêng ảo, đó là:

- Định đường hầm (tunnelling) cho phép làm “ảo” một mạng riêng

- Các dịch vụ bảo mật đa dạng cho phép dữ liệu mang tính riêng tư

Định nghĩa đường hầm: Tunnel là kết nối ảo dạng điểm - điểm (point to point) vàlàm cho mạng VPN hoạt động như một mạng riêng

Vai trò của đường hầm là tạo kết nối giữa 2 điểm cuối khi cần thiết Khi kết nối này

không đến thì huỷ bỏ nó dành băng thông cho các kết nối khác Kết nối này mang tínhlogic - “ảo” bất chấp các cấu trúc vật lý của mạng truyền dẫn, nó che giấu đi các các thiết

bị như bộ định tuyến, chuyển mạch và trong suốt đối với người dùng

Tạo đường hầm: Đường hầm được tạo ra bằng cách đóng gói các gói tin để truyềnqua mạng Việc đóng gói có thể bao gồm thêm việc mã hoá gói gốc và thêm vào tiêu đề

IP mới cho gói Tại điểm cuối, các tiêu đề IP sẽ được gỡ bỏ, gói được giải mã (nếu cầnthiết) và gói nguyên thuỷ được chuyển đến đích của nó

Hình 1.6 Định dạng gói tin tạo đường hầm

Hình 1.7 Cấu trúc một đường hầmĐường hầm có 2 loại: Thường trực hay tĩnh (Permanent hay Static) và tạm thời hayđộng (Temporary hay Dynamic)

Các VPN nói chung thường lựa chọn dạng đường hầm động Đường hầm động rấthữu dụng cho VPN vì nếu khi không cần đến thì được huỷ bỏ

Đường hầm có thể kết nối 2 điểm cuối theo kiểu LAN-to-LAN tại các cổng bảomật (Security Gateway), khi đó người dùng trên các LAN có thể sử dụng đường hầmnày

Địa chỉ nguồn

Dữ liệu

Dữ liệu

Security Gateway 2 Security Gateway 1

Đối với trường hợp Client-to-LAN, thì Client phải khởi tạo việc xây dựng đườnghầm trên máy người dùng để thông tin với cổng bảo mật để đến mạng LAN đích

Hình 1.8 Đường hầm trong các cấu trúc LAN và Client

1.5 Phân mảnh, hợp nhất gói dữ liệu và đơn vị truyền tối đa MTU

Trong quá trình di chuyển từ nguồn đến đích, một datagram có thể đi qua nhiềumạng khác nhau Mỗi router mở gói IP datagram từ khung dữ liệu nó nhận được, xử lý

và đóng gói nó trong một khung dữ liệu khác Định dạng và kích thước của khung dữliệu nhận được phụ thuộc vào giao thức của mạng vật lý mà gói sẽ đi qua

Các datagram được đóng gói vào trong khung, kích thước tổng của khung phải nhỏhơn kích thước tối đa MTU Đơn vị dữ liệu của IP datagram được thiết kế với độ dài65.535 bytes Tuy nhiên các mạng vật lý lại có kích thước gói nhỏ hơn, vì vậy phải chianhỏ datagram để nó có thể chuyển qua mạng này Quá trình này gọi là sự phân mảnh

Bảng 1.1 Giá trị thông số MTU

LAN

Security Gateway

Mobile Client

VPN Server

IP gốc Các gói cùng trong chuỗi phân mảnh đều có trường này giống nhau Cờ MFbằng 1 nếu là gói đầu của chuỗi phân mảnh và là 0 nếu là gói cuối cùng

Ngược lại, quá trình hợp nhất diễn ra khi nhận được một gói phân mảnh, nó giữphân mảnh đó trong vùng đệm, đến khi nhận hết các gói IP trong chuỗi phân mảnh cócùng trường định danh Khi phân mảnh đầu tiên được nhận, IP khởi động một bộ đếmthời gian IP phải nhận hết các phân mảnh kế tiếp trước khi đồng hồ tắt Nếu không IPphải hủy tất cả các phân mảnh trong hàng đợi hiện thời có cùng trường định danh Khi IPnhận được hết các phân mảnh, nó thực hiện hợp nhất các gói phân mảnh thành gói IPgốc và xử lý nó như gói IP bình thường

1.6 Ảnh hưởng của việc thất lạc gói MTU trong mạng lên VPN

Trong tất cả các giao thức sử dụng để xây dựng mạng VPN, các gói dữ liệu IPđược mã hoá, sau đó đóng gói và sau đó thêm tiêu đề IP mới để tạo đường hầm trênmạng IP công cộng Như vậy, khi gói tin MTU bị thất lạc trên mạng IP công cộng, vìthông tin trong đó đã được mã hoá nên thám mã không thể biết được thông tin thực sựchứa trong bản tin Tuy nhiên việc mất gói tin dẫn đến việc phải truyền lại toàn bộ góitin, điều này gây ra độ trễ chung đối với VPN và ảnh hưởng đến QoS của mạng VPN

1.7 Bảo mật và QoS

Là một yếu tố quan trọng trong việc bảo đảm cho VPN hoạt động an toàn và hiệuquả Dữ liệu truyền trên VPN có thể được mã hoá theo nhiều thuật toán khác nhau vớicác độ bảo mật khác nhau Người quản trị mạng có thể lựa chọn tùy theo yêu cầu bảomật và tốc độ truyền dẫn

Về QoS, các thoả thuận với các ISP liên quan đến độ trễ trung bình của gói trênmạng, hoặc kèm theo chỉ định về giới hạn dưới của băng thông Bảo đảm cho QoS làmột việc cần được thống nhất về phương diện quản lý đối với các ISP

Kết luận chương:

Trong chương này những khái niệm cơ bản nhất về mạng riêng ảo (VPN) đã đượchọc viên tìm hiểu và trình bày tóm tắt Đầu tiên là các khái niệm về mạng riêng, rồi đếnmạng riêng ảo, phân loại mạng riêng ảo theo chức năng, theo quan điểm công nghệ Kiếntrúc của mạng riêng ảo cũng được trình bày cụ thể, việc phân mảnh, hợp nhất gói dữliệu, đơn vị truyền tối đa MTU, ảnh hưởng của việc thất lạc gói MTU, các vấn đề bảomật và QoS cũng được trình bày

Như vậy, một cách tổng quan, về mặt công nghệ, mạng riêng ảo có thể được xácđịnh ngắn gọn là:

VPN = Định đường hầm + Bảo mật + Các thoả thuận về QoS

Mạng riêng ảo sử dụng nhiều giao thức để làm ảo một mạng riêng trên nền mạngcông cộng, để chọn được giao thức phù hợp cho ứng dụng, chúng ta sẽ tiếp tục nghiêncứu đến các giao thức VPN ở chương tiếp sau đây.

Chương II CÁC GIAO THỨC DÙNG TRONG VPN

2.1 Giao thức PPTP

2.1.1 Cấu trúc của giao thức

Giao thức PPTP là giao thức lớp 2 được phát triển dựa trên giao thức PPP đượcMicrosoft và một số hãng khác dùng cho truy nhập Internet từ xa (Dial Up) PPTP chophép người dùng quay số vào ISP và tạo ra kết nối bảo mật đến mạng riêng của họ PPP là giao thức lớp 2 dùng cho truy nhập mạng WAN lớp 2 như X.25, FrameRelay, Dial on Demand PPP có thể sử dụng cho nhiều giao thức lớp trên như TCP/IP,Novell/IPX, Apple Talk nhờ sử dụng NCP PPP sử dụng Link Control Protocol để thiếtlập và điều khiển các kết nối PPP sử dụng giao thức xác thực PAP hoặc CHAP

Hình 2.1 Các lớp phần tử trong cấu trúc của PPPPPTP xây dựng dựa trên chức năng của PPP để cung cấp một kết nối truy cập từ xa

và kết nối này có thể được đi qua một tunnel thông qua Internet để tới đích Giao thứcPPTP đóng gói các gói tin PPP vào trong một gói tin IP để truyền qua một hệ thốngmạng dựa trên giao thức IP như là Internet PPTP sử dụng một kết nối TCP như là mộtkết nối điều khiển PPTP để tạo, duy trì, kết thúc tunnel và sử dụng giao thức GRE đểđóng gói các gói tin PPP và để tạo ra các dữ liệu chuyển đi trong đường hầm

PPTP dựa trên PPP để thực thi các chức năng sau:

- Xác thực người dùng

- Tạo gói dữ liệu PPP

PPTP định nghĩa 2 loại gói: Gói điều khiển và gói dữ liệu và gán chúng vào 2 kênhriêng Sau đó PPTP tách các kênh điều khiển thành luồng điều khiển với giao thức TCP

và kênh dữ liệu thành luồng dữ liệu với giao thức IP Kết nối TCP được tạo ra giữa clientPPTP và máy chủ PPTP để chuyển thông báo điều khiển kết nối và báo hiệu

Hình 2.2 Cấu trúc khung PPTP với GRE

2.1.2 Mô tả hoạt động của giao thức PPTP

2.1.2.1 Các thành phần của mạng VPN/PPTP

Ba thành phần liên quan đến việc triển khai PPTP là: PPTP Client, NAS (NetworkAccess Server) và PPTP Server Trong trường hợp PPTP Client và PPTP Server trongcùng một mạng LAN thì không cần NAS

PPTP Client: Đây có thể là thiết bị của ISP có hỗ trợ PPTP hoặc là một máy tínhthực hiện việc quay số vào mạng có cài đặt giao thức PPTP, ví dụ như là một máy tínhcài hệ điều hành WINDOWS 98, WINDOWS NT, WINDOWS XP, Khi lựa chọnphần mềm cho PPTP Client ta cần phải so sánh chức năng của nó với máy chủ PPTP.Network Access Server: Còn được gọi là máy chủ truy cập từ xa hoặc là bộ tậptrung truy cập, cung cấp việc quản lý truy cập dựa trên phần mềm Các máy chủ truy cậpmạng của ISP nhìn chung được thiết kế và được xây dựng để sắp xếp và tổ chức cho một

số lượng lớn các client truy cập vào Một ISP cung cấp dịch vụ PPTP sẽ phải cài đặt mộtmáy chủ truy cập mạng có hỗ trợ PPTP Máy chủ này sẽ hỗ trợ các PPTP Client, chạytrên các nền khác nhau như là WINDOWS, MACINTOSH và UNIX Trong nhữngtrường hợp như vậy, máy chủ của ISP sẽ đóng vai trò như là một PPTP Client và kết nốitới máy chủ PPTP của công ty Vì vậy máy chủ truy cập của ISP trở thành một điểm đầucuối của tunnel PPTP và NAS của công ty là điểm đầu cuối thứ hai của tunnel PPTP.Máy chủ truy cập mạng có thể lựa chọn một tunnel không chỉ phù hợp với điểmđầu cuối mà còn phù hợp với mức thực hiện và mức dịch vụ Các máy chủ truy cậpmạng có thể lựa chọn tunnel dựa trên số điện thoại gọi đến, số điện thoại gọi đi, tênngười sử dụng (từ xác thực PAP hoặc CHAP),

Máy chủ PPTP: Có hai nhiệm vụ chính, thứ nhất nó đóng vai trò như là một điểmđầu cuối của tunnel PPTP và nó chuyển các gói tin tới và ra khỏi tunnel Máy phục vụ

PPTP chuyển gói tin tới một máy tính đích bằng cách xử lý gói tin PPTP để thu đượcthông tin về tên máy tính hoặc địa chỉ được đóng gói trong gói tin PPP.

Máy chủ PPTP cũng có thể là một bộ lọc gói tin, sử dụng bộ lọc PPTP Với bộ lọcnày ta có thể thiết lập cho máy chủ để giới hạn ai có thể nối vào mạng cục bộ bên tronghoặc nối ra bên ngoài Internet Trong các hệ thống như WINDOWS NT 4.0 và RRAS,

sự kết hợp bộ lọc PPTP với bộ lọc địa chỉ IP cho phép tạo ra chức năng bức tường lửatrên mạng

Việc thiết lập một máy chủ PPTP ở phía công ty có một số hạn chế, đặc biệt là nếumáy chủ PPTP được đặt ở bên trong Firewall PPTP được thiết kế sao cho chỉ có mộtcổng TCP/IP có thể được sử dụng để chuyển dữ liệu qua Firewall - cổng 1723 Tuynhiên việc thiếu cấu hình cổng có thể làm cho Firewall dễ bị tấn công Do vậy nếu ta cómột Firewall được cấu hình để lọc theo giao thức, ta cần thiết lập chúng để cho phépGRE được đi qua

2.1.2.2 Các bước kết nối của PPTP

* Quá trình thực hiện PPTP theo ba bước sau:

- Tạo kết nối PPP: Một PPTP Client sử dụng PPP để kết nối tới máy NAS của ISPqua hệ thống điện thoại công cộng hoặc đường ISDN

- Tạo kết nối điều khiển PPTP: Sử dụng kết nối vật lý PPP đã được thiết lập ở trên,giao thức PPTP tạo ra một kết nối điều khiển từ PPTP Client đến máy chủ PPTP Kếtnối này sử dụng giao thức TCP để thiết lập kết nối và được gọi là PPTP tunnel

- Gửi dữ liệu qua PPTP tunnel: Bước cuối cùng giao thức PPTP sẽ tạo ra các gói tin

IP (chứa các gói tin PPP đã được mã hoá) và gửi tới máy chủ PPTP thông qua PPTPtunnel đã được tạo ra ở trên Máy chủ PPTP sẽ mở các gói tin IP và giải mã các gói tinPPP bên trong Sau đó nó sẽ chuyển các gói tin PPP đã được giải mã tới máy đích

* Tạo kết nối điều khiển PPTP:

Kết nối điều khiển là một phiên TCP chuẩn mà qua đó các thông điệp điều khiểnđược gửi giữa PPTP Client và PPTP Server Các thông điệp điều khiển sẽ thiết lập, duytrì và kết thúc PPTP tunnel

Bảng 2.1 Một số các thông điệp điều khiển

INCOMING_CALL_REQUEST PPTP Client gửi để thiết lập cuộc gọi đếnINCOMING_CALL_REPLY Do máy phục vụ PPTP gửi đi để trả lời thông điệp Incoming_Call_RequestINCOMING_CALL_CONNECTED Do PPTP Client gửi đi để để trả lời thông điệp Incoming_Call_ReplyWAN_ERROR_NOTIFY

Do máy phục vụ PPTP gửi tới VPN Client

để chỉ ra lỗi trên giao diện PPP của máy phục vụ PPTP

SET_LINK_INFO Cấu hình kết nối giữa client và máy phục vụ

PPTPCALL_CLEAR_REQUEST Do máy phục vụ PPTP gửi đi để thông báo

kết thúc tunnelCALL_DISCONNECT_NOTIFY Do PPTP Client gửi đi để trả lời yêu cầu kết

thúc tunnelSTOP_CONTROL_CONNECTION_

STOP_CONTROL_CONNECTION_

Các thông điệp điều khiển được truyền trong các gói tin điều khiển (các gói tinTCP) Một kết nối TCP được tạo ra giữa PPTP Client và PPTP Server Kết nối TCP nàyđược sử dụng để trao đổi các thông điệp điều khiển Gói tin này có cấu trúc như sau:

PPTP ControlMessage Datalink TrailerHình 2.3 Cấu trúc gói tin TCP

Hình 2.4 Kết nối PPP giữa client và máy chủ truy cập

Hình 2.5 Kết nối điều khiển PPTP tới máy chủ PPTP qua kết nối PPP

* Gửi dữ liệu qua PPTP tunnel:

Datalink

Header

IPHeader

GREHeader

PPPHeader

Encrypted PPPPayload (IP, IPX,NETBEUI)

DatalinkTrailerHình 2.6 Cấu trúc gói tin dữ liệu gửi qua tunnel

1; 6 : Phần đầu và phần đuôi của khung dữ liệu

2 : Phần đầu của gói tin IP

3 : Phần đầu của gói tin GRE

4 : Phần đầu của gói tin PPP

5 : Phần dữ liệu đã được mã hoá

Dữ liệu người sử dụng được giao thức PPTP chuyển đi là các gói tin PPP Các góitin PPP được truyền giữa client và máy phục vụ PPTP được đóng gói vào gói tin GRE vàgói tin GRE được truyền đi thông qua IP Các gói tin PPP đã được đóng gói về cơ bản làcác gói dữ liệu PPP mà không có các thành phần đặc trưng của một khung dữ liệu như làtrường FCS (Frame Check Sequence), trường điều khiển, cờ, …

Phần đầu GRE được sử dụng trong giao thức PPTP được bổ sung một ít so với giaothức GRE cũ Sự khác nhau chính là có thêm một trường Acknowledgment Number

C R K S s Recur A Flags Ver Protocol Type

Key (HW) Payload Length Key (LW) Call ID

Sequence Number (Optional)

Acknowledgment Number (Optional)

Hình 2.7 Cấu trúc của phần đầu GRE nâng cao

C Nếu giá trị bằng 1 thì trường kiểm tra được sử dụng Trong phần đầu của

GRE nâng cao thì giá trị này được đặt bằng 0

R Giá trị bằng 1 chỉ ra rằng trường Offset và Routing được sử dụng Trong phần

đầu của GRE nâng cao thì giá trị này được đặt bằng 0

K Giá trị bằng 1 chỉ ra rằng trường Key được sử dụng trong phần đầu của GRE

S Giá trị bằng 1 chỉ ra rằng trường Sequence Number được sử dụng trong phần đầu của GRE.Recur Được đặt giá trị 0

A Được đặt giá trị 1, chỉ ra rằng trường Acknowledgment Number được sử dụng.Flag Được đặt giá trị 0

Ver Được đặt giá trị 1 (phiên bản đã được nâng cao)

Protocol Type: Được đặt giá trị Hex 880BKey Payload Length: Chỉ ra kích thước gói tin (Không bao gồm phần đầu GRE)Key Call ID: Chứa giá trị Peer’s Call ID của phiên làm việc mà gói tin được truyền đi

Trong trường hợp cấu trúc LAN-to-LAN, hai máy chủ PPTP với sự hỗ trợ của giaothức xác thực CHAP hoặc MS-CHAP tạo đường hầm tương tự như cơ chế trên, tức làmột máy chủ PPTP coi máy kia là client và ngược lại.

2.2 Giao thức L2TP

2.2.1 Giao thức L2F

Giao thức L2F do hãng Cisco phát triển, dùng để truyền các khung SLIP/PPP quaInternet L2F hoạt động ở lớp 2 trong mô hình OSI Cũng giống như giao thức PPTP,L2F được thiết kế như là một giao thức tunnel, sử dụng các định nghĩa đóng gói dữ liệuriêng của nó để truyền các gói tin ở mức 2 Một sự khác nhau chính giữa PPTP và L2F ởchỗ việc tạo tunnel trong giao thức L2F không phụ thuộc vào IP và GRE, điều này chophép nó làm việc với các môi trường lớp vật lý khác nhau

Ngoài việc L2F sử dụng giao thức PPP để xác thực người sử dụng, nó còn hỗ trợtốt hơn cho RADIUS để xác thực L2F khác PPTP ở việc định nghĩa các kết nối bêntrong một tunnel, cho phép một tunnel hỗ trợ nhiều kết nối

2.2.2 Mô tả giao thức L2TP

2.2.2.1 Cấu trúc của giao thức

Giao thức L2TP là sự kết hợp các tính năng của L2F và PPTP Sự khác nhau giữaPPTP và L2TP là ở chỗ L2TP kết hợp các kênh điều khiển và dữ liệu chạy trên UDP chứkhông phải TCP L2TP thường được sử dụng để xác thực người dùng Dial Up và địnhđường hầm các kết nối SLIP/PPP qua Internet Vì L2TP là giao thức lớp 2 nên nó đưa racho người sử dụng khả năng mềm dẻo như PPTP trong việc truyền tải các giao thứckhông phải là IP, ví dụ như là IPX và NETBEUI

Hình 2.8 Cấu trúc khung của L2TP

2.2.2.2 Mô tả hoạt động của giao thức

- Tương thích với những thành phần khác của IPSec (như máy chủ mã hoá, giaothức chuyển khoá, giải thuật mã hoá, …)

- Đưa ra chỉ báo rõ ràng khi IPSec đang hoạt động

- Hỗ trợ tải SA về

- Có hàm băm xử lý được các địa chỉ IP động

- Có cơ chế bảo mật chống trộm (mã hoá khoá với mật khẩu)

- Có cơ chế chuyển đổi mã tự động theo định kỳ

- Chặn hoàn toàn các lưu lượng không IPSec

* NAS: ISP cung cấp L2TP cần cài NAS cho phép L2TP để hỗ trợ cho các clientL2TP chạy trên nền khác nhau như Unix, Windows, Macintosh Trong trường hợp clientkhông có L2TP thì mạng sẽ ít bảo mật hơn, và khi muốn bảo mật dữ liệu trong đườnghầm thì thoả thuận với ISP để họ hỗ trợ LAC và mã hoá dữ liệu từ đoạn LAC đến LNS

* Máy chủ mạng L2TP: Đóng vai trò là điểm kết cuối của đường hầm PPTP vàchuyển các gói từ đường hầm đến mạng LAN riêng Máy chủ L2TP thường tích hợp vớitường lửa vì nó không có khả năng lọc gói và khi đó nó có nhiều ưu điểm hơn so vớimáy chủ PPTP Luồng dữ liệu và thông tin điều khiển được truyền trên cùng một UDPnên việc thiết lập tường lửa đơn giản hơn Do một số tường lửa không có hỗ trợ GREnên chúng tương thích với L2TP hơn PPTP

b) Các bước kết nối

Cũng giống như PPTP, giao thức L2TP sử dụng PPP để tạo kết nối từ client tớimáy phục vụ truy cập mạng L2TP sử dụng PPP để thiết lập kết nối vật lý, thực hiện xácthực người sử dụng, tạo gói tin PPP và đóng kết nối khi phiên làm việc kết thúc

Khi PPP thiết lập kết nối xong, L2TP sẽ thực hiện nhiệm vụ của nó Đầu tiên L2TP

sẽ xác định xem NAS tại phía công ty có nhận ra người sử dụng đầu cuối hay không và

có sẵn sàng phục vụ như là một điểm đầu cuối của tunnel hay không Nếu tunnel có thểđược tạo ra, L2TP sẽ thực hiện vai trò đóng gói các gói tin PPP để truyền đi

Khi L2TP tạo ra các tunnel giữa bộ tập trung truy cập mạng của ISP và NAS phíacông ty, nó có thể gán một hoặc nhiều phiên làm việc trong một đường hầm L2TP tạo ramột số nhận dạng cuộc gọi và chèn Call ID này vào phần đầu của L2TP trong mỗi mộtgói tin để chỉ ra gói tin đó thuộc phiên làm việc nào

Offset Size (opt)(16 bít) Offset Pad (opt)(16 bít)

Hình 2.9 Cấu trúc của L2TP HeaderT: Chỉ ra dạng của thông điệp Giá trị 0 là cho dữ liệu và 1 là cho điều khiển

L: Nếu trường Length tồn tại thì giá trị của bit này bằng 1 Với thông điệp điềukhiển thì giá trị bit này phải là 1.

Các bit x dành cho việc mở rộng về sau

S: Nếu trường Ns và Nr tồn tại thì giá trị của bit này bằng 1 Với thông điệp điềukhiển thì giá trị bit này phải là 1

O: Nếu trường Offset Size tồn tại thì giá trị của bit này bằng 1 Với thông điệp điềukhiển thì giá trị bit này phải là 0

P: Xác định độ ưu tiên Nếu giá trị bit này bằng 1 thì gói dữ liệu sẽ được xử lý ưutiên trong hàng đợi của nó Với thông điệp điều khiển thì bit này phải được đặt giá trị 0.Ver: Có giá trị là 2 (4 bits)

Length: Chỉ ra tổng độ dài của thông điệp

Tunnel ID: Chỉ ra nhận dạng cho kết nối điều khiển ID của đường hầm

Session ID: Chỉ ra nhận dạng của phiên làm việc bên trong một đường hầm

Ns: Số thứ tự của gói dữ liệu hoặc của thông điệp điều khiển Giá trị ban đầu là 0.Nr: Chỉ ra số thứ tự của thông điệp điều khiển tiếp theo

Giao thức L2TP có thể đồng thời tạo ra nhiều tunnel giữa NAS của ISP và máy chủmạng của client L2TP bao gồm một số nhận dạng tunnel sao cho các tunnel riêng biệt

có thể được nhận ra khi nó đến từ một phía nào đó, hoặc từ phía bộ tập trung truy cậpmạng của ISP hoặc từ phía NAS của công ty

Cũng giống như giao thức PPTP, giao thức L2TP định nghĩa hai loại thông điệpkhác nhau Đó là thông điệp điều khiển và thông điệp dữ liệu Thông điệp điều khiểnđược sử dụng để thiết lập, quản lý và giải phóng các phiên làm việc được tải qua đườnghầm, cũng như là trạng thái của chính tunnel đó Còn thông điệp dữ liệu được sử dụng đểtruyền dữ liệu qua tunnel đó Tuy nhiên không giống như giao thức PPTP, giao thứcL2TP truyền cả thông điệp điều khiển và thông điệp dữ liệu như là một phần của cùngmột luồng L2TP cũng trợ giúp để giảm lưu lượng mạng và cho phép các máy chủ điềukhiển việc tắc nghẽn đường truyền bằng cách thực hiện cơ chế điều khiển luồng giữamáy chủ truy cập mạng của ISP, còn gọi là bộ tập trung truy cập L2TP và máy chủ mạngriêng L2TP-LNS Trong trường hợp kết nối LAN-to-LAN, một trong 2 máy chủ L2TPphải có kết nối với ISP để khởi tạo phiên làm việc PPP Hai bên đóng vai trò LAC vàLNS trong việc khởi tạo và kết thúc đường hầm khi cần thiết

2.3 Giao thức IPSEC

IPSec là khuôn khổ của các chuẩn mở để bảo đảm an toàn cho thông tin qua mạng

IP Dựa trên các chuẩn được phát triển bởi Internet Engineering Task Force (IETF),

B

IPSec bảo đảm tính tin cậy, tính toàn vẹn và tính xác thực của việc truyền dữ liệu quamạng IP công cộng Nó cung cấp một thành phần cần thiết cho một giải pháp mềm dẻo,dựa trên các tiêu chuẩn cho một chính sách an ninh trên toàn mạng IPSec định nghĩa 2loại tiêu đề cho các gói IP để điều khiển quá trình xác thực và mã hóa: Một là xác thựctiêu đề Authentication Header (AH), hai là đóng gói bảo mật tải Encapsulating SecurityPayload (ESP) Xác thực tiêu đề AH đảm bảo tính toàn vẹn cho tiêu đề gói và dữ liệu.Trong khi đó đóng gói bảo mật tải ESP thực hiện mã hóa và đảm bảo tính toàn vẹn chogói dữ liệu nhưng không bảo vệ tiêu đề cho gói IP như AH IPSec còn dùng giao thứcInternet Key Exchange (IKE) để thỏa thuận liên kết bảo mật (SA) giữa hai thực thể vàtrao đổi các thông tin khóa

2.3.1 ESP trong cấu hình Gateway-to-Gateway

Cấu hình này sẽ thiết lập kết nối có IPSec để mã hoá và đảm bảo tính toàn vẹn của

dữ liệu giữa hai điểm A và B (minh họa trong hình vẽ 2.10)

* Bước đầu tiên là thiết lập kết nối IKE SA (nếu nó chưa có) như sau: A gửi gói IPbình thường đến B Mạng A sẽ định tuyến đến Gateway A Gateway A nhận gói IP vàthực hiện dịch địa chỉ để gửi đi Gateway A khởi tạo quá trình thoả thuận IKE SA vớiGateway B ở chế độ chính hoặc ở chế độ năng động Đến đây IKE SA được thiết lập

Hình 2.10 Cấu hình Gateway-to-Gateway

* Bước thứ hai: Thực hiện thiết lập IPSec SA như sau:

Gateway A dùng kết nối IKE SA để thực hiện thoả thuận IPSec SA với Gateway B.Quá trình này được thực hiện ở chế độ nhanh (Quick Mode) Kết thúc quá trình này mộtcặp IPSec SA đơn hướng với chế độ bảo mật ESP đường hầm được thiết lập

Gateway A và B sẽ thực hiện mã hóa và đảm bảo tính toàn vẹn của dữ liệu theo cáctham số nhận được từ IPSec để gửi thông tin cho nhau Sau đó dữ liệu từ Gateway sẽđược gửi về các điểm kết cuối A hay B Khi truyền dữ liệu đạt đến thời gian tồn tại của

SA thì Gateway đầu tiên sẽ khởi tạo lại quá trình tạo lại khoá Sau khi tạo khoá xong thìthông tin được gửi theo khoá mới và khoá cũ bị xoá đi.

2.3.2 AH và ESP trong cấu hình Host-to-Host

Cấu hình này sẽ thiết lập kết nối có IPSec để mã hoá và đảm bảo tính toàn vẹn của

dữ liệu giữa hai điểm A và B Tuỳ thuộc và nhu cầu bảo mật mà ta dùng ESP hay AH

* Bước đầu tiên thiết lập IKE SA như sau: Khi A gửi gói IP bình thường đến B thìphần mềm IPSec Client sẽ xác định các tham số cần thiết cho kết nối A sẽ khởi tạo quátrình thoả thuận IKE SA với B ở chế độ chính (Main Mode) hoặc ở chế độ năng động(Aggressive Mode) Kết thúc quá trình này IKE SA được thiết lập

Hình 2.11 Cấu hình Host-to-Host

* Bước thứ hai: Thực hiện thiết lập IPSec SA như sau:

A dùng kết nối IKE SA để thực hiện thoả thuận IPSec SA với B Quá trình nàyđược thực hiện ở chế độ nhanh (Quick Mode) Kết thúc quá trình này một cặp IPSec SAđơn hướng với chế độ bảo mật ESP hay AH được thiết lập

A mã hoá và thực hiện đảm bảo tính toàn vẹn cho dữ liệu rồi gửi cho B

B dựa vào SPI và các tham số SA để giải mã và kiểm tra tính toàn vẹn của dữ liệu

2.3.3 IPSec trong IPv6

IPv6 hỗ trợ sử dụng giao thức IPSec Trong gói tin IPv6 các tuỳ chọn được đưa vàoHeader mở rộng được chỉ ra trong trường Next Header của Header trước đó

Hình 2.12 Cấu trúc của một gói IPv6

ExtensionHeader

Upper LayerProtocol Data UnitPayload

IPv6 Packet

Hình 2.13 Cấu trúc gói dữ liệu IPv6 khi sử dụng Header mở rộng AH và ESP

IPv6 Header và Extension Header: IPv6 Header có kích thước không đổi là 40

bytes Extension Header có thể có hoặc không và độ dài thay đổi tuỳ theo kiểu tuỳ chọn.Trường Next Header trong IPv6 chỉ ra Header mở rộng tiếp theo Trong mỗi Header mởrộng lại có một trường Next Header cho biết có còn sử dụng Header mở rộng tiếp theo Upper Layer PDU: Khối dữ liệu giao thức lớp trên PDU, thường bao gồm Header

và phần Payload của nó Trong IPv6 giá trị Next Header là 51 khi sử loại Header mởrộng AH, còn đối với ESP là 52

Bảng 2.2 So sánh các giao thức VPN

Giao

Sử dụng trong mạng

nối Node to Node

+ Các đặc điểm giá trị được

thêm vào phổ biến cho truy cập

+ Mang tính độc quyền rộng lớn, yêu cầu một máy chủ chạyWin NT để kết thúc những đường hầm

+ Chỉ sử dụng mã hoá RSA RC- 4

+ Được dùng tại các máy chủ truy nhập

từ xa định đường hầm proxy

+ Có thể được dùng giữa các văn phòng

ở xa có máy chủ Win NT để chạy máy chủ truy cập từ

xa và định tuyến RRAS

+ Có thể dùng cho những máy để bàn Win9x hay máy trạmdùng Win NT

+ Dùng cho truy nhập từ xa tại POP

Được mã hoáXác thực

+ Chuẩn giao thức rãnh

+ Hoạt động một cách độc lập

của các ứng dụng mức cao hơn

+ Cho phép giấu địa chỉ mạng

+ Ít sản phẩm có khả năng tương tác giữa các nhà cung cấp+ Ít hỗ trợ giao diện

(Desktop Support)

+ Phần mềm tốt nhấttrên máy tính người dùng cho các giải pháp độc quyền của nhà cung cấp đối vớiviệc truy nhập từ xa bằng quay số

Mỗi giao thức đều có những điểm mạnh, điểm yếu như đã được liệt kê trong bảng

so sánh các giao thức ở trên Tính ưu việt và sự hạn chế của từng giao thức sẽ được xemxét để sử dụng trong những trường hợp ứng dụng cụ thể để mang lại hiệu quả cao nhất.PPTP và L2TP là các giao thức hoạt động ở lớp 2, là các giao thức truyền thống, sửdụng đơn giản, tính bảo mật không cao (nhất là đối với PPTP), thích hợp với các môhình mạng quy mô vừa phải Những điểm khác nhau chính giữa PPTP và L2TP là:

- Việc tạo tunnel trong giao thức L2TP không phụ thuộc vào IP và GRE, điều nàycho phép nó làm việc với các môi trường lớp vật lý khác nhau

- L2TP ngoài việc sử dụng giao thức PPP để xác thực người sử dụng, nó còn hỗ trợ

tốt hơn cho RADIUS để xác thực L2TP khác PPTP ở việc định nghĩa các kết nối bêntrong một tunnel, cho phép một tunnel hỗ trợ nhiều kết nối (trong khi PPTP chỉ hỗ trợmột kết nối)

- Với PPTP thì gói điều khiển và gói dữ liệu được gán vào hai kênh riêng còn L2TP

có thể kết hợp chúng lại để chạy trên một luồng chung (dùng UDP thay vì TCP)

- Việc thiết lập, sử dụng PPTP đơn giản hơn còn L2TP cho phép thiết lập bảo mật ởmức cao hơn PPTP

Khác hẳn với hai giao thức nêu trên, IPSec là giao thức thuộc lớp 3, nó có thể hoạtđộng một cách độc lập, nó đảm bảo an toàn cho thông tin truyền tin qua mạng IP (bảođảm tính tin cậy, tính toàn vẹn và tính xác thực của dữ liệu) IPSec thường dùng giaothức Internet Key Exchange (IKE) để thỏa thuận liên kết bảo mật (SA) Dạng VPN kiểunày có thuận lợi là rất linh động, chi phí thuê đường truyền thấp và khả năng bảo mật tốt

(mặc dù không bằng kiểu mạng riêng kênh logic), nhưng có nhược điểm là tăng lưulượng vô ích vì thêm mào đầu để tạo đường hầm và tăng độ trễ do phải mã hoá và giải

mã gói tin Giao thức này được dùng cho các mạng yêu cầu độ bảo mật cao, quy mô lớn

và phức hợp

Mạng VPN được thiết lập, sử dụng trên nền mạng công cộng nên vấn đề bảo mậtphải được đặt ra và quan tâm đúng mức Xem xét các phương pháp bảo mật cho mạngVPN là việc làm cần thiết Chúng ta sẽ nghiên cứu đến các nội dung này ở chương III

Chương III BẢO MẬT TRONG VPN

Một trong những mối quan tâm lớn nhất khi dùng mạng Internet đó là bảo mật Việctruyền dữ liệu giữa các mạng LAN hay trên môi trường dùng chung Internet rất dễ bị tấncông bằng cách nghe trộm, thâm nhập hơn là khi dữ liệu còn ở trên một máy tính đơn.Trong mỗi giao thức đã trình bày ở chương II, việc bảo mật đã được thực hiện, tuy nhiên

để tăng cường tính bảo mật chúng ta cần kết hợp với nhiều cách bảo mật khác để bảomật dữ liệu nhằm chống lại các truy nhập và thay đổi trái phép ở các mạng kể trên

Một khung bảo mật đầy đủ gồm có 7 thành phần: Xác thực (authentication), tin cậy(confidence), tính toàn vẹn (integrity), cho phép (authorization), công nhận(nonrepudiation), quản trị (administration) và theo dõi kiểm toán (accounting)

Hình 3.1 Các thành phần của một hệ thống bảo mậtBởi vì các giao thức TCP/IP không được thiết kế có bảo mật nên nhiều hệ thốngbảo mật khác nhau được phát triển cho các ứng dụng và lưu lượng chạy trên mạngInternet Phần mềm cũng như phần cứng có nhiệm vụ chuẩn bị dữ liệu cho việc truyềntrên một mạng cung cấp một số khả năng có thể áp dụng xác thực (authentication) và mãhóa (encryption)

Security Policy Server

Security Policy Server

Security Gateway Liên kết đến ISP

Protected LAN Security Gateway

Protected LAN

Certificate Association

Mobile Client

Internet

gì chúng ta biết (mật khẩu), cái gì nhận dạng chúng ta (giọng nói, quét võng mạc, dấuvân tay, chữ ký, …) Sự đa dạng của các hệ thống VPN hiện nay dựa trên các phươngpháp xác thực khác nhau hoặc là kết hợp các phương pháp ấy Có thể phân loại bảo mậttrên VPN theo các cách sau: Mật khẩu truyền thống hay mật khẩu một lần; xác thựcthông qua các giao thức (PAP, CHAP, RADIUS, …) hay phần cứng (smart card, tokencard, PC card), nhận diện sinh trắc học (dấu vân tay, giọng nói, quét võng mạc, ).

3.1.1.2 Mật khẩu một lần

Một cách ngăn chặn việc sử dụng trái phép mật khẩu bị giữ là ngăn không chochúng được dùng trở lại bằng cách yêu cầu mật khẩu mới cho mỗi phiên làm việc mới

3.1.2 Các giao thức xác thực mật khẩu

3.1.2.1 Giao thức xác thực mật khẩu PAP

Giao thức xác thực mật khẩu PAP được thiết kế một cách đơn giản cho một máytính tự xác thực đến một máy tính khác khi giao thức điểm-điểm PPP được sử dụng làmgiao thức truyền thông PAP là giao thức bắt tay kiểu hai chiều, đó là máy tính chủ tạokết nối sẽ gửi một nhận dạng người dùng và mật khẩu kép đến hệ thống mà nó muốn tạokết nối Sau đó hệ thống đích thực hiện xác thực nếu đúng nó sẽ chấp nhận truyền thông

3.1.2.2 Giao thức xác thực yêu cầu bắt tay CHAP

Giao thức CHAP được thiết kế tương tự như PAP nhưng là phương pháp bảo mậthơn đối với xác thực kết nối PPP

Hình 3.2 Hệ thống đáp ứng thách đố dùng CHAPTrong CHAP có sử dụng hàm băm một chiều và giao thức bắt tay gồm 3 bước:

- Máy tính xác thực gửi một bản tin thách đố đến máy tính ngang cấp

Người dùng

1

2 Đáp ứng EFGH Thách đố ABCD

3

- Máy tính ngang cấp tính toán một giá trị sử dụng hàm băm 1 chiều và gửi trả lại.

- Máy tính xác thực xem xét chấp nhận nếu tương ứng với giá trị mong muốn.Tiến trình này có thể lặp lại bất kỳ thời điểm nào trong suốt quá trình tạo liên kếtPPP để đảm bảo rằng kết nối không bị nắm quyền hay bị suy yếu

3.1.2.3 Dịch vụ xác thực người dùng quay số từ xa RADIUS

RADIUS sử dụng kiểu Client/Server để chứng nhận và quản trị kết nối mạng cácphiên làm việc cho người dùng ở xa RADIUS giúp cho việc điều khiển truy cập dễ quản

lý hơn và nó hỗ trợ các kiểu xác thực người dùng khác nhau bao gồm PAP và CHAP.Kiểu RADIUS Client/Server dùng một máy chủ truy cập mạng NAS để quản lý kếtnối người dùng NAS có nhiệm vụ chấp nhận các yêu cầu kết nối của người dùng, thuthập các thông tin nhận dạng người dùng, mật khẩu đồng thời chuyển thông tin này mộtcách bảo mật đến RADIUS Máy chủ RADIUS thực hiện xác thực để chấp nhận hay từchối kết nối

3.1.3 Các hệ thống nhận dạng phần cứng

Một trong những thiết bị phần cứng hay được dùng nhất là smart card Smart cardđược gắn mạch tích hợp điện tử để lưu thông tin Smart card sử dụng những con số, đặcđiểm nhận dạng cá nhân (vân tay, giọng nói, chữ ký, …), hay sử dụng phương pháp mãhoá để xác thực người dùng Smart card chứa nhiều thông tin và nó có thể được lập trìnhcho các ứng dụng khác nhau Smart card có loại dùng một lần và dùng nhiều lần Smartcard truyền thông tin đến thiết bị đọc thẻ như máy tính, thiết bị nhập dữ liệu, …

3.1.4 Các phương pháp mã hóa

Công cụ mạnh nhất trong bảo mật dữ liệu là mật mã Bằng việc biến đổi dữ liệu saocho những người quan sát bất hợp pháp không thể hiểu được, các chuyên gia an toàn cóthể vô hiệu hoá sự can thiệp, khả năng sửa đổi và giả mạo

Mã hoá mang lại tính bí mật cho dữ liệu Thêm vào đó, mã hóa còn có thể đượcdùng để đạt được tính toàn vẹn bởi vì nhìn chung dữ liệu không thể đọc được cũngkhông thể thay đổi được Hơn nữa, mã hóa là cơ sở cho một số giao thức, chúng là dãyhành động thỏa thuận sẵn để hoàn thành một nhiệm vụ nào đó Vì vậy, mã hóa là cốt lõicủa các biện pháp đảm bảo cả ba mục tiêu an toàn và bảo mật máy tính

Có 2 loại hệ mật chủ yếu: Hệ mật đối xứng và hệ mật không đối xứng

Mật mã Bản mã Giải mã

Khóa K

Hình 3.3 Mô hình mật mã đối xứng

- Hệ mật đối xứng (hệ mật khóa bí mật, mã khối): Quá trình mật mã (E) và giải mã(D) cùng dùng chung một khóa K.

Hình 3.4 Mô hình mật mã phi đối xứng

- Hệ mật không đối xứng (khóa công khai): Sử dụng khóa mã KE và khóa giải mãriêng biệt KD (ghép thành cặp)

3.2 Bảo mật trong PPTP

PPTP sử dụng giao thức RADIUS để quản lý và xác thực người dùng Trên cơ sởthông tin nhận dạng về người dùng và mật khẩu cung cấp từ NAS, RADIUS thực hiệnkiểm tra đối chiếu với cơ sở dữ liệu của nó và cho phép kết nối tạo đường hầm Các thủtục xác thực là CHAP, PAP, MS-CHAP Với giao thức PPTP, dữ liệu được mã hoáđiểm-điểm của Microsoft-MPPE Việc thay đổi khoá có thể thoả thuận sau mỗi gói haymột số gói Tuy nhiên, gói tin PPP vẫn có thể bị bắt giữ, đọc và thay đổi

Nhận xét chung đối với PPTP là: Giao thức PPTP là giải pháp tạm thời và đangđược thay thế dần bằng L2TP PPTP thích hợp cho VPN dạng Client-to-LAN với một sốhữu hạn người dùng Tính bảo mật của PPTP là yếu hơn so với các giao thức khác nhưng

nó ít phức tạp hơn

3.3 Bảo mật trong L2TP

Việc xác thực người dùng diễn ra trong 3 giai đoạn: Giai đoạn 1 tại ISP, giai đoạn 2

và giai đoạn 3 (tuỳ chọn) tại máy chủ mạng riêng

Trong giai đoạn 1, ISP có thể sử dụng số điện thoại của người dùng hoặc tên ngườidùng để xác định dịch vụ L2TP và khởi tạo kết nối đường hầm đến máy chủ của VPN.Khi đường hầm được thiết lập, LAC của ISP chỉ định một số nhận dạng cuộc gọi mới đểđịnh dạng cho kết nối trong đường hầm và khởi tạo phiên làm việc

Máy chủ VPN tiến hành tiếp bước 2 là quyết định chấp nhận hay từ chối cuộc gọidựa vào các thông tin xác thực từ cuộc gọi của ISP chuyển đến Thông tin đó có thểmang CHAP, PAP, EAP hay bất cứ thông tin xác thực nào

Sau khi cuộc gọi được chấp nhận thì máy chủ VPN có thể khởi động giai đoạn 3 tạilớp PPP Bước này tương tự như máy chủ xác thực một người dùng quay số truy nhậpvào thẳng máy chủ

Mật mã Bản mã Giải mã

Khóa KE

Khóa KD

Việc sử dụng các giao thức xác thực đơn giản nhưng không bảo mật cho các luồng

dữ liệu điều khiển và thông báo dữ liệu tạo kẽ hở cho tấn công chèn gói dữ liệu để chiếmquyền điều khiển đường hầm, hay kết nối PPP, hoặc phá vỡ việc đàm phán PPP, lấy cắpmật khẩu người dùng Mã hoá PPP không có xác thực địa chỉ, toàn vẹn dữ liệu, quản lýkhoá nên bảo mật này yếu không an toàn trong kênh L2TP

Vì vậy, để có được xác thực như mong muốn, cần phải phân phối khoá và có giaothức quản lý khoá Về mã hoá, sử dụng IPSec cung cấp bảo mật cao để bảo vệ gói mức

IP, tối thiểu cũng phải được thực hiện cho L2TP trên IP Việc quản lý khoá được thựchiện thông qua liên kết bảo mật SA, nó sẽ giúp 2 đối tượng truyền thông xác địnhphương thức mã hoá, nhưng việc chuyển giao khóa lại do IKE thực hiện

3.4 Bảo mật trong IPSec

3.4.1 Xác thực tiêu đề AH

AH là một trong những giao thức bảo mật IPSec đảm bảo tính toàn vẹn cho tiêu đềgói và dữ liệu cũng như việc chứng thực người sử dụng Trong những phiên bản đầu củaIPSec, đóng gói bảo mật tải ESP chỉ thực hiện mã hóa mà không có chứng thực nên AH

và ESP được dùng kết hợp Tuy nhiên AH vẫn được dùng để đảm bảo việc chứng thựccho toàn bộ tiêu đề, dữ liệu cũng như việc đơn giản hóa đối với dữ liệu truyền trên mạng

giá trị băm bằng khóa chia sẻ và kiểm tra sự trùng khớp giá trị băm qua đó đảm bảo tínhtoàn vẹn của gói dữ liệu IPSec dùng thuật toán mã chứng thực thông báo băm HMAC Tuy nhiên IPSec không bảo vệ tính toàn vẹn cho tất cả các trường trong tiêu đề của

IP, chẳng hạn như TTL và trường check tiêu đề IP có thể thay đổi trong quá trình truyền

3.4.1.3 Cấu trúc AH

Next Header Payload Length Reserved

Security Parameters Index (SPI) Sequence Number Authentication DataHình 3.6 Cấu trúc AH

- Next Header: Dài 01 byte, xác định giao thức mức cao hơn theo sau AH Ở chế độtunnel tải AH là nguyên gói IP nên Next Header được đặt là 4 cho IP-in-IP Ở chế độtransport thì Next Header cho TCP là 6 và UDP là 17

- Payload Length: Dài 01 byte, xác định chiều dài dữ liệu chứng thực

- Reserved: Dài 02 byte, dành sử dụng trong tương lai, thường được đặt bằng 0

- Security Parameters Index: Dài 04 byte, xác định giao thức bảo mật dùng cho gói

- Sequence Number: Dài 04 byte, xác định số tuần tự của gói Nó có tác dụng nhưmột bộ đếm các gói IP AH thu được với cùng địa chỉ đích và tham số SPI

- Authentication Data: Có độ dài thay đổi, chứa giá trị ICV, giá trị để kiểm tra tínhtoàn vẹn của dữ liệu

3.4.2 Đóng gói bảo mật tải ESP

ESP là giao thức bảo mật IPSec thứ hai Nó thực hiện cả mã hóa và đảm bảo tínhtoàn vẹn của dữ liệu mặc dù không bao trùm cả tiêu đề IP ESP có thể dùng chỉ để mãhóa dữ liệu, mã hóa và đảm bảo tính toàn vẹn hay chỉ đảm bảo tính toàn vẹn của dữ liệu

3.4.2.1 Chế độ ESP

Hình 3.7 Chế độ làm việc của ESPESP cũng có hai chế độ: Transport và Tunnel Ở chế độ Tunnel, ESP tạo tiêu đề IPmới cho mỗi gói Ở chế độ này có thể mã hóa và đảm bảo tính toàn vẹn của dữ liệu haychỉ thực hiện mã hóa toàn bộ gói IP gốc Việc mã hóa toàn bộ gói IP (gồm cả tiêu đề IP

và tải IP) giúp che được địa chỉ cho gói IP gốc Ở chế độ Transport, ESP dùng lại tiêu đềcủa gói IP gốc chỉ mã hóa và đảm bảo tính toàn vẹn cho tải của gói IP gốc

3.4.2.2 Xử lý mã hóa

ESP dùng hệ mật đối xứng để mã hóa gói dữ liệu Nghĩa là cả hai đầu thu và phátđều dùng cùng một loại khóa để mã hóa và giải mã dữ liệu ESP thường dùng loại mãkhối AES-CBC, AES-CTR và 3DES Với IP Header phía ngoài không được mã hóanhưng là địa chỉ công cộng nên vẫn đảm bảo tính bảo mật

3.4.2.3 Cấu trúc tiêu đề và phần đuôi của ESP

ESP thêm phần tiêu đề và phần đuôi vào mỗi gói dữ liệu

Security Parameters Index (SPI)Sequence Number

Payload DataPadding

Authentication Data

Hình 3.8 Cấu trúc ESPPhần tiêu đề ESP có 2 phần là SPI và Sequence Number:

- Security Parameters Index: Dài 04 bytes, xác định giao thức bảo mật dùng cho gói

- Sequence Number: Dài 04 byte, xác định số tuần tự của gói Nó có tác dụng nhưmột bộ đếm các gói IP AH thu được với cùng địa chỉ đích và tham số SPI

ESP Trailer ESP Auth

Được mã hoá

Xác thực

Được mã hoá Xác thực

Tunnel Mode

Gói IP gốc

Transport Mode

Phần đuôi ESP gồm:

- Padding: Xác định bytes của dữ liệu được gắn thêm vào

- Pad Length: Xác định số lượng bytes dữ liệu được gắn thêm vào

- Next Header: Xác định giao thức mức cao hơn theo sau AH

- Authentication Data: Có độ dài thay đổi, chứa giá trị ICV là giá trị để kiểm tratính toàn vẹn của dữ liệu

3.4.3 Trao đổi khóa mã hóa IKE

Trong truyền thông sử dụng giao thức IPSec phải có sự trao đổi khóa giữa hai điểmkết cuối do đó đòi hỏi phải có cơ chế quản lý khóa Có hai phương thức chuyển giaokhóa đó là chuyển khóa bằng tay và chuyển khóa bằng giao thức IKE Cả hai phươngthức này không thể thiếu được trong IPSec Một hệ thống IPSec phụ thuộc phải hỗ trợphương thức chuyển khóa bằng tay Phương thức chìa khóa trao tay (chẳng hạn khóathương mại) ghi trên giấy, trên đĩa mềm, gửi qua bưu phẩm hoặc e-mail Phương thứcnày chỉ phù hợp với số lượng nhỏ các site, đối với mạng lớn phải thực hiện phương thứcquản lý khóa tự động Trong IPSec người ta thường dùng giao thức quản lý chuyển khóaIKE Phương thức này có các khả năng sau:

- Cho phép 2 bên thỏa thuận sử dụng các giao thức, giải thuật và khóa

- Đảm bảo ngay từ lúc bắt đầu chuyển khóa là truyền thông đúng đối tượng

- Quản lý các khóa sau khi chúng được chấp nhận trong tiến trình thỏa thuận

- Đảm bảo các khóa được chuyển một cách bảo mật

3.4.3.1 Các chế độ và các giai đoạn trong IKE

Các quá trình thực hiện trên IKE được chia thành 2 giai đoạn Giai đoạn 1 thiết lậpđường hầm bảo mật cho các hoạt động IKE diễn ra trên đó Giai đoạn 2 là tiến trình đàmphán các mục đích liên kết bảo mật SA

IKE có 3 chế độ chuyển khóa (2 cho giai đoạn 1 và 1 cho giai đoạn 2):

- Chế độ chính: Hoàn thành giai đoạn sau khi đã thiết lập một kênh bảo vệ

- Chế độ năng động: Một cách khác để hoàn thành giai đoạn 1 Nó đơn giản hơn vànhanh hơn chế độ chính nhưng không bảo mật nhận dạng cho việc đàm phán giữa cácnút bởi vì nó truyền nhận dạng của chúng trước khi đàm phán một kênh bảo mật

- Chế độ nhanh (Quick Mode): Hoàn thành giai đoạn 2 bằng cách đàm phán một

SA cho mục đích tryền thông

IKE cũng còn một chế độ khác là chế độ nhóm mới, chế độ này không thật sự làcủa giai đoạn 1 hay giai đoạn 2 Chế độ nhóm mới theo sau đàm phán của qúa trình vàđưa một cơ chế định nghĩa nhóm riêng cho chuyển giao Diffie-Hellman

Để thiết lập một bảo mật IKE cho một nút, một host hay một cổng cần:

- Một giải thuật mã hóa để bảo mật dữ liệu

- Một giải thuật băm dành cho báo hiệu

- Một phương thức xác thực cho báo hiệu

- Thông tin về nhóm làm việc thông qua nhóm

Yếu tố thứ 5 có thể đưa ra trong SA là hàm giả ngẫu nhiên sử dụng để băm giá trịhiện tại xuống quá trình chuyển khóa cho mục đích kiểm tra Nếu trong SA không baogồm nó thì HMAC của giải thuật băm (yếu tố thứ 2) được sử dụng

* Chế độ chính:

- Giai đoạn 1 sử dụng chế độ chính diễn ra theo 3 cặp thông báo trao đổi hai chiềugiữa SA gửi và SA nhận như hình vẽ Cặp thông báo đầu tiên thỏa thuận về giải thuật vàbăm Cặp thông báo thứ 2 chuyển giao khóa chung và các nonce của nhau Cặp thôngbáo thứ 3 hai bên sẽ kiểm tra danh định của nhau và quá trình trao đổi hoàn tất

- Hai bên sử dụng khóa dùng chung khi chúng nhận được Hai bên sẽ thực hiệnbăm chúng 3 lần: Đầu tiên tạo ra một khóa gốc (để sử dụng tạo khóa phụ trong chế độnhanh sau này), sau đó là khóa xác thực và cuối cùng là khóa mã để sử dụng

- Chế độ chính bảo mật danh định của các đối tượng truyền thông Nếu không cầnbảo mật, để trao đổi nhanh hơn thì chế độ năng động được sử dụng

Hình 3.9 Quá trình trao đổi trong chế độ chính

* Chế độ năng động:

Tiêu đề SA

Tiêu đề SA

Tiêu đề

Key Nonce

Tiêu đề Key Nonce

Tiêu đề ID

SA : Một liên kết bảo mật tải Sig : Một chữ ký tải

SA : Một liên kết bảo mật tải Sig : Một chữ ký tải

Hình 3.10 Quá trình trao đổi trong chế độ năng độngChế độ năng động đưa ra dịch vụ cũng tương tự như chế độ chính Ở chế độ này,chỉ có một lần trao đổi thay vì ba lần như chế độ chính Khi bắt đầu chuyển đổi bên phát

sẽ tạo ra một đôi Diffie-Hellman, đưa ra một SA, chuyển đi giá trị Diffie-Hellman côngcộng, gửi một nonce cho đầu kia ghi nhận và gửi một gói ID cho bên đáp ứng

* Chế độ nhanh:

Chế độ nhanh có hai mục đích: Đàm phán về bảo mật IPSec và làm tươi khóa Chế

độ nhanh thì đơn giản hơn chế độ chính và năng động vì nó đã có sẵn một đường hầmbảo mật Các gói chế độ nhanh đều được mã hóa và được khởi tạo với một tải băm

Hình 3.11 Quá trình trao đổi trong chế độ nhanhKhóa có thể được làm tươi bằng một trong hai cách: Nếu như không cần chuyểntiếp một cách bí mật hoàn toàn thì chế độ nhanh chỉ làm tươi khóa trong chế độ chínhhay trong chế độ năng động với băm thêm

3.4.3.2 Đàm phán SA

Để thiết lập một SA, bên khởi tạo gửi một thông báo ở chế độ nhanh yêu cầu một

SA mới Một đàm phán SA là kết quả của hai SA: Một hướng về bên khởi tạo và mộthướng đi Để tránh xung đột về SPI nút nhận phải chọn SPI Do đó trong chế độ nhanhbên phát thông báo cho bên đáp ứng biết SPI đã được sử dụng và bên đáp ứng sẽ theoSPI đã được chọn Mỗi SPI kết hợp với IP đích chỉ định một IPSec SA đơn duy nhất

Kết luận chương:

Tiêu đề

Hash 1 SA

3

Cert : Một chứng nhận tải

ID : Một nhận dạng tải Key : Một khóa trao đổi tải Nonce : Một lần tải

SA : Một liên kết bảo mật tải Sig : Một chữ ký tải

{} : Chỉ thị một tùy chọn tải

Trong chương này và hai chương trước học viên đã trình bày ngắn gọn những hiểubiết của mình về lý thuyết mạng riêng ảo Từ tổng quan đến các giao thức và những vấn

đề về bảo mật Trong mỗi chương, bên cạnh những nội dung lý thuyết cơ bản, học viên

có nêu thêm những nhận xét, đánh giá, bày tỏ quan điểm của mình trong những trườnghợp, vấn đề cụ thể

Việc ứng dụng mạng riêng ảo này vào việc mở rộng các mạng LAN thành mạngWAN trong thực tế đang là một hướng đi rất khả thi Hiện tại mạng diện rộng khối cơquan HCSN tỉnh Ninh Bình còn đang dùng chủ yếu là công nghệ Dial Up - cũ, lạc hậu,

độ sẵn sàng, tính ổn định không cao Trên cơ sở những hiểu biết nêu trên, học viên đềxuất xây dựng mạng IPSec VPN cho khối cơ quan HCSN tỉnh Ninh Bình quy mô cấpcác Sở, Ban, Ngành của tỉnh Trước khi đi vào thiết kế xây dựng mạng riêng này, chúng

ta sẽ khảo sát, đánh giá hiện trạng hạ tầng mạng lưới trong chương IV

Chương IV HIỆN TRẠNG MẠNG LƯỚI CNTT TẠI KHỐI CƠ QUAN

HCSN TỈNH NINH BÌNH

4.1 Tình hình ứng dụng công nghệ thông tin tại tỉnh Ninh Bình

4.1.1 Tổng quan mạng lưới công nghệ thông tin

Mạng lưới công nghệ thông tin mà trước hết là tin học hoá quản lý hành chính nhànước tại tỉnh Ninh Bình đã bước đầu đạt được một số kết quả

Các cơ quan Đảng tỉnh Ninh Bình đã được xây dựng mạng lưới công nghệ thôngtin (CNTT) phù hợp, đáp ứng được nhu cầu trước mắt cũng như lâu dài cho việc tin họchoá hoạt động của các cơ quan Đảng Hoàn thành việc nối mạng diện rộng với trungương và từ tỉnh đến các huyện, thị, thành uỷ, đảng uỷ khối cơ quan tỉnh Trong đó cơquan tỉnh uỷ, mỗi huyện, thị, thành uỷ đều xây dựng được một hệ thống mạng LAN, kếtnối với mạng diện rộng của Đảng, khai thác có hiệu quả các hệ thống thông tin

Đến tháng 8/2008, hạ tầng CNTT được trang bị bằng nguồn vốn Đề án 47 và 06 cụthể như sau: Máy chủ 31 bộ; máy trạm 228 bộ (trong tổng số 282 máy từ tất cả cácnguồn); máy tính xách tay 15 chiếc; máy in các loại 104 chiếc; UPS các loại 242 chiếc;máy quét 3 chiếc; máy chiếu 1 chiếc, máy quay camera kỹ thuật số 1 chiếc; các thiết bịmạng: Router 01 cái; Switch 17 cái; Modem 26 cái, bộ giao tiếp đa cổng 1 bộ,

Các Ban của Đảng và 8/8 huyện, thành, thị uỷ đã xây dựng hoàn chỉnh hệ thốngmạng LAN Các máy tính đều được nối mạng để khai thác hệ thống thông tin điều hànhtác nghiệp dùng chung cho các cơ quan Đảng và kết nối Internet để khai thác thông tinphục vụ công việc Hạ tầng CNTT trong các cơ quan đảng đã cơ bản được xây dựng phùhợp với mục tiêu Tuy nhiên, mới chỉ đáp ứng được các yêu cầu trước mắt cho việc ứngdụng tin học hóa hoạt động của các cơ quan Đảng, chưa trang bị đủ máy tính cho cán bộ,

chuyên viên làm việc Cấp tỉnh mới có bình quân 2 chuyên viên/1 máy, cấp huyện, thị vàthành ủy có bình quân 17 máy/1 đơn vị (theo yêu cầu của dự án 1 máy/1 chuyên viên).Chưa trang bị được máy tính đến các Đảng uỷ xã, phường, thị trấn trong tỉnh (Ở một sốđơn vị Đảng ủy cơ sở cũng có máy tính tự trang bị nhưng số lượng không nhiều).

Trong khối các cơ quan quản lý nhà nước: Hoàn thành xây dựng Trung tâm tíchhợp dữ liệu của tỉnh, tuân thủ định hướng công nghệ, kiến trúc hệ thống Các thiết bị đềuđược đưa vào sử dụng bước đầu phát huy hiệu quả đầu tư Đến nay có 15 máy chủ đanghoạt động 24/7 với các chức năng đã được xác định như Web, Email, LDAP, DNS,DHCP, Firewall, ba phần mềm dùng chung Đã đầu tư trang thiết bị và lắp đặt mạngLAN tại 30/31 đơn vị (8 huyện, thị, thành phố và 22 Sở, Ban, Ngành), đạt tỉ lệ 50% sốcán bộ, công chức, viên chức có máy tính làm việc, nhiều đơn vị có mạng LAN hoànchỉnh, gần 70% cán bộ công chức làm việc trên mạng

Cơ sở hạ tầng CNTT tại doanh nghiệp: Tổng số doanh nghiệp các loại của tỉnhNinh Bình là 1.250, trong đó có 75 doanh nghiệp kinh doanh CNTT (chiếm 6%) Một sốdoanh nghiệp đã xây dựng được mạng máy tính nội bộ và có kết nối Internet Nhìnchung, cơ sở hạ tầng CNTT của các doanh nghiệp tại Ninh Bình còn thấp Các doanhnghiệp có mạng nội bộ và kết nối Internet băng thông rộng chiếm tỷ lệ ít; chưa chú ý đếnviệc ứng dụng CNTT trong điều hành, tổ chức sản xuất kinh doanh

Công nghiệp phần cứng, phần mềm của tỉnh Ninh Bình chưa phát triển mạnh Tínhđến 8/2008, toàn tỉnh có 74 doanh nghiệp phần cứng và 1 doanh nghiệp phần mềm trongtổng số 75 doanh nghiệp kinh doanh CNTT Tổng doanh số năm 2007 của các doanhnghiệp kinh doanh CNTT ước đạt 27,6 tỷ đồng

Toàn tỉnh mới có 3.442 thuê bao Internet, trong đó có 3.083 thuê bao ADSL, 9 thuêbao leased line, còn lại sử dụng công nghệ cũ Dial Up

4.1.2 Nguồn nhân lực công nghệ thông tin

Cùng với sự phát triển hạ tầng công nghệ thông tin - truyền thông, nguồn nhân lựcCNTT của tỉnh cũng có sự chuyển biến tích cực Công tác đào tạo, bồi dưỡng nguồnnhân lực CNTT cũng được quan tâm

Nhiều cơ quan, doanh nghiệp đã ứng dụng CNTT trong quản lý, điều hành, tổ chứckinh doanh đem lại hiệu quả cao Tuy nhiên so với nhu cầu của tỉnh và nhất là trong việcứng dụng CNTT trong cải cách hành chính nhà nước thì nguồn nhân lực CNTT của tỉnhvẫn còn thiếu về số lượng, yếu về chất lượng Đến nay mới có khoảng 172 người có trình

độ cao đẳng và đại học về CNTT, chiếm tỉ lệ 0,86%; 4.047 người có trình độ từ A đếntrung cấp, chiếm tỉ lệ khoảng 20,29%

Hiện nay và trong thời gian tới nhu cầu ứng dụng CNTT trong cải cách hành chínhnhà nước, trong quản lý doanh nghiệp, nhất là trong các cơ quan hành chính Nhà nước,

các cơ quan Đảng đòi hỏi phải nhanh, chính xác, tính sẵn sàng cao, an toàn thông tin với

số lượng nhân lực CNTT cần phải được tăng lên rất nhiều, trong đó chú trọng chất lượngkèm theo cả việc chú tâm xây dựng đội ngũ kế thừa

Các cơ sở đào tạo nguồn nhân lực CNTT thuộc ngành giáo dục trong tỉnh được đầu

tư xây dựng và mở rộng Trong đó, từ năm 2002 Trường Đại học Hoa Lư của tỉnh đãthành lập khoa Tin học đào tạo giáo viên tin học Năm 2007, tại các cơ sở đào tạo phichính quy có 900 học viên tốt nghiệp (chủ yếu là tin học căn bản và tin học văn phòng).Ngoài ra các cơ sở đào tạo khác như các Trung tâm giáo dục thường xuyên và dạy nghềcũng tham gia công tác đào tạo, bồi dưỡng nguồn nhân lực CNTT

Công tác bồi dưỡng, đào tạo cho các cán bộ theo đề án thành phần trong hai Đề án

47 (tiếp theo là dự án 06) và Đề án 112 đã được triển khai:

- Tính đến 8/2008, đề án 47 và dự án 06 đã mở được 30 lớp tập huấn CNTT; đàotạo được 756 lượt người (khoảng trên 300 người) Về cán bộ chuyên trách làm CNTT:Tại Văn phòng Tỉnh uỷ đã có Phòng Công nghệ thông tin - Cơ yếu gồm 6 đ/c trong đó

có 3 đ/c chuyên trách CNTT; 8/8 các huyện, thành, thị uỷ đã có cán bộ chuyên tráchCNTT có trình độ từ cao đẳng trở lên Đến 8/2008, trên tổng số 540 cán bộ trong các cơquan Đảng có 11 người đạt trình độ đại học/cao đẳng CNTT chiếm 2%; có 256 người đạtchứng chỉ A,B/ trình độ kỹ thuật viên/ trung cấp, chiếm 47,4%

- Đề án 112 đã cử 105 lượt cán bộ quản trị mạng, quản trị hệ thống thông tin củacác Sở, Ngành đi dự các khoá đào tạo, bồi dưỡng nâng cao kiến thức chuyên môn Cótrên 80% số cán bộ công chức trong các cơ quan quản lý hành chính Nhà nước từ cấphuyện trở lên biết sử dụng máy tính, mạng máy tính, khai thác thông tin trên Internet.18/37 đơn vị có biên chế cán bộ tin học chuyên trách

Trong ngành giáo dục: Tính đến 8/2008, đội ngũ giáo viên tin học tại Ninh Bình có

112 người có trình độ đại học/cao đẳng (chiếm 0,79%), 1.753 người có trình độ A, B,trung cấp CNTT (chiếm 12,42%) Với thực trạng này, việc dạy và học tại các trườngTHPT trên địa bàn tỉnh còn chưa đáp ứng được yêu cầu của ngành đề ra Việc đầu tưtrang thiết bị dạy môn tin học, bồi dưỡng giáo viên tin học trở lên cấp bách

Trong ngành y tế: Hầu hết các bệnh viện đều có người biết và sử dụng được máytính ở các cấp độ khác nhau, hiện trong ngành có khoảng 1.390 nhân viên làm công tácquản lý và điều trị Trong đó, số trình độ từ cao đẳng đến đại học là 9 người (chiếm0,65%), số có trình độ A, B đến trung cấp CNTT là 420 người (chiếm 30,21%)

4.1.3 Ứng dụng công nghệ thông tin

* Ứng dụng CNTT trong các cơ quan Đảng:

Phía các cơ quan Đảng, việc ứng dụng CNTT đã đi vào nề nếp và khai thác kháhiệu quả Đã có một số các đơn vị thuộc Văn phòng, các Ban Đảng của tỉnh và cáchuyện, thị, thành uỷ đã được trang bị máy tính, kết nối mạng LAN, mạng WAN, và kếtnối Internet Đặc biệt các CSDL và các phần mềm ứng dụng dùng chung được triển khaitích cực Việc khai thác ứng dụng hệ thống thông tin điều hành tác nghiệp dùng chungtrong cơ quan Đảng đã trở thành nề nếp, thường xuyên giúp việc xử lý thông tin nhanh,chính xác Việc đăng ký, quản lý, xử lý công văn đi đến; việc gửi nhận văn bản trênmạng; việc cập nhật cơ sở dữ liệu văn kiện Đảng bộ; quản lý cán bộ, đảng viên, thẻ đảngviên của Văn phòng, các Ban Đảng của tỉnh và các huyện, thị, thành uỷ đã thực hiệnđúng quy trình, theo hướng dẫn của Trung ương

* Ứng dụng công nghệ thông tin trong cơ quan hành chính nhà nước:

Hầu hết các sở, ban, ngành, các huyện, thị và thành phố đều đã ứng dụng CNTTvào trong các hoạt động tác nghiệp, đã có một số đơn vị triển khai 3 phần mềm dùngchung cơ bản và một số phần mềm ứng dụng trong quản lý, điều hành Bước đầu đã hìnhthành các cơ sở dữ liệu ở một số ngành nhằm tiến đến hình thành cơ sở dữ liệu dùngchung của tỉnh Xây dựng và đưa vào hoạt động Cổng thông tin điện tử của tỉnh, cungcấp các thông tin tra cứu, các dịch vụ trao đổi thư tín, các tin tức tổng hợp về tình hìnhkinh tế xã hội của tỉnh phục vụ hoạt động điều hành của các cơ quan và nhu cầu khaithác thông tin của người dân và các doanh nghiệp Tuy nhiên, một số CSDL còn đangtrong thời gian chạy thử nghiệm và do hạn chế về khả năng sử dụng của các cán bộ thamgia hệ thống nên chưa phát huy được nhiều tác dụng như mong muốn

Một số sở, ban, ngành, văn phòng UBND thành phố và huyện, thị đã kết nối mạngLAN, mạng WAN, kết nối Internet và CPNet, và có Website riêng

* Ứng dụng công nghệ thông tin trong dịch vụ công cộng:

Hiện nay, với hạ tầng truyền thông không ngừng được phát triển, các dịch vụ ngânhàng, tài chính, dịch vụ bưu chính, viễn thông không ngừng được nâng cao để đáp ứngnhu cầu tìm hiểu, khai thác, cập nhật ngày càng tăng của xã hội Ứng dụng CNTT trongquản lý điều hành tại các đơn vị cũng đạt được kết quả khả quan Hiện tại CSDL đượcxây dựng và việc khai thác đạt hiệu quả qua các chương trình phần mềm: Kế toán, quản

lý nhân sự, quản lý thuê bao, tính cước, quản lý công văn, quản lý nợ, …

* Ứng dụng công nghệ thông tin trong giáo dục, đào tạo:

Trên địa bàn tỉnh Ninh Bình hiện có:

Trung học chuyên nghiệp 1

Theo số liệu khảo sát, trong số các cơ sở giáo dục và đào tạo có 3.020 máy tính PC,

650 máy tính xách tay được trang bị từ nguồn vốn của ngành; 2.615 máy PC, 60 máyxách tay do giáo viên tự trang bị Đạt 100% các trường THPT trên toàn tỉnh, 100% cáctrường THCS và trường tiểu học ở thành phố Ninh Bình và thị xã Tam Điệp đã đượctrang bị máy tính Nhiều cơ sở đã kết nối Internet, sử dụng CNTT trong công tác quản lý,giảng dạy và học tập

Ngoài ra, các ứng dụng văn phòng như Microsoft Office, một số đơn vị trongngành đã có ứng dụng phục vụ công tác chuyên môn như: Quản lý thông tin nhà trườngEMIS, quản lý cán bộ công chức PMIS, quản lý đánh giá công chức PMP, quản lý kếtoán HCSN, quản lý thời khoá biểu, quản lý thi, chấm thi trắc nghiệm Tuy nhiên, việcứng dụng CNTT tại các trường phổ thông trong tỉnh còn hạn chế

* Ứng dụng công nghệ thông tin trong y tế:

Hiện trạng việc ứng dụng CNTT trong quản lý tại các bệnh viện, các trung tâm,trạm y tế rất hạn chế nhất là tuyến huyện, xã Đa số ứng dụng CNTT tại các bệnh viện làkhai thác công việc văn phòng, thống kê, báo cáo, một số bệnh viện ứng dụng CNTTquản lý bệnh viện nhưng chỉ mới thực hiện được từng phần riêng lẻ như: Quản lý nhân

sự, viện phí, quản lý kho dược, bệnh nhân ra vào viện Các phần mềm quản lý khai thác

cơ sở dữ liệu chỉ thực hiện tại Bệnh viện Đa khoa tỉnh, còn bệnh viện Y học Cổ truyền

và các Trung tâm, cơ sở y tế khác thì do hạ tầng mạng chưa được phát triển nên CNTTchưa được khai thác hiệu quả Hạ tầng kết nối mạng Internet được đầu tư nhưng chủ yếu

để thực hiện công tác báo cáo theo định kỳ về Sở Y tế

* Ứng dụng CNTT trong quản lý doanh nghiệp và các ngành kinh tế khác:

Tình hình ứng dụng CNTT trong các doanh nghiệp ở Ninh Bình đang ở những mức

độ khác nhau Gần 100% các doanh nghiệp của tỉnh đã được trang bị máy tính, bước đầuphục vụ công tác văn thư và kế toán, có một số doanh nghiệp đã sử dụng máy tính đểphục vụ công tác quản lý và điều hành sản xuất như Công ty Xi măng Hệ Dưỡng, Công

ty Bê tông thép Ninh Bình, Xí nghiệp cơ khí Quang Trung, …

Một số đơn vị đã thiết lập mạng nội bộ và xây dựng những kho dữ liệu điện tử đểquản lý hoạt động sản xuất Ngoài ra, một số doanh nghiệp cũng đã có bộ phận chuyêntrách cho lĩnh vực CNTT đảm nhiệm chức năng quản lý, kinh doanh, hỗ trợ vận hành, và