đề về an toàn mạng máy tính; thúc đẩy hình thành trung tâm ứng cứu khẩn cấpmáy tính CERT trong các cơ quan, tổ chức, doanh nghiệp; là đầu mối thựchiện hợp tác với các tổ chức CERT nước n
Trang 1TRƯỜNG ĐẠI HỌC BÁCH KHOA
KHOA CÔNG NGHỆ THÔNG TIN
Tel (84-511) 736 949, Fax (84-511) 842 771Website: itf ud edu vn, E-mail: cntt@edu.ud.vn
Trang 2LỜI CẢM ƠN
Trong đợt thực tập vừa qua, em đã nhận được sự huớng dẫn, giúp đỡ
và động viên tận tình từ nhiều phía Tất cả những điều đó đã trở thành một động lực rất lớn giúp em có thể hoàn thành tốt mọi công việc được giao Với tất cả sự cảm kích và trân trọng, em xin được gửi lời cảm ơn đến tất cả mọi người.
Trước tiên cho em được gửi lời cảm ơn đến Ban lãnh đạo Công ty VNCERT Đà Nẵng đã tạo điều kiện cho em được tham gia thực tập tại công
ty cũng như cung cấp tất cả các cơ sở vật chất và trang thiết bị có thể cho em trong thời gian vừa qua Xin cảm ơn các anh chị trong công ty đã tận tình hướng dẫn giúp đỡ em trong suốt thời gian em tham gia thực tập.
Em cũng xin được gửi lời cảm ơn đến lãnh đạo trường Đại học Bách Khoa Đà Nẵng, lãnh đạo khoa Công nghệ thông tin đã tổ chức các buổi giao lưu giữa các doanh nghiệp và sinh viên thật sự bổ ích, giúp em có cơ hội tìm được một đơn vị thực tập tốt.
Em xin chân thành cảm ơn các thầy cô giáo của trường Đại học Bách Khoa Đà Nẵng, xin cảm ơn quý thầy cô đã tận tình dạy bảo, giúp đỡ em trong suốt thời gian em học tại trường cũng như trong thời gian em thực tập vừa qua.
Xin trân trọng cảm ơn!
Trang 3LỜI CAM ĐOAN
Tôi xin cam đoan:
1. Những nội dung trong báo cáo này là do tôi thực hiện dưới sự hướng dẫn trực tiếp của anh Phan Phú Thuận
2. Mọi tham khảo dùng trong báo cáo này đều được trích dẫn rõ ràng tên tác giả, tên công trình, thời gian, địa điểm công bố.
3. Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, tôi xin chịu hoàn toàn trách nhiệm.
Sinh viên
Trang 44 Báo cáo Thực tập tốt nghiệp
MỤC LỤC
LỜI CẢM ƠN 2
LỜI CAM ĐOAN 3
GIỚI THIỆU 5
1.1.1 Giới thiệu về đơn vị thực tập VNCERT Đà Nẵng 5
1.1.2 Quá trình thực tập 9
TÌM HIỂU CÔNG NGHỆ 11
1 Tìm hiểu về VPN 11
2 Bảo mật trong VPN 15
1.1.3 Các giao thức dùng trong VPN 16
4 RADIUS Server 19
XÂY DỰNG ỨNG DỤNG 20
I PHÂN TÍCH ĐỀ TÀI 20 1 Mô tả 20
2 Sơ đồ mạng 20
3 Cài đặt 22
II KẾT QUẢ DEMO CHƯƠNG TRÌNH 25 III KẾT LUẬN 27 1 Kết quả đạt được 27
2 Định hướng 27
Trang 5đề về an toàn mạng máy tính; thúc đẩy hình thành trung tâm ứng cứu khẩn cấpmáy tính (CERT) trong các cơ quan, tổ chức, doanh nghiệp; là đầu mối thựchiện hợp tác với các tổ chức CERT nước ngoài.
Trung tâm Ứng cứu Khẩn cấp Máy tính Việt Nam là đơn vị sự nghiệp
có thu, có tư cách pháp nhân, có con dấu và tài khoản riêng để giao dịch theoquy định của pháp luật; có trụ sở chính đặt tại thành phố Hà Nội và 02 chinhánh tại thành phố Đà Nẵng và thành phố Hồ Chí Minh
Trang 61.3.Nhiệm vụ - Quyền hạn
Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam có các nhiệm vụ và quyềnhạn sau:
- Điều phối các hoạt động ứng cứu mạng Internet quốc gia để phòng, chống
sự cố mạng và tham gia phòng chống tội phạm, chống khủng bố trên mạngInternet trong phạm vi quốc gia và trong khuôn khổ hợp tác quốc tế
- Điều phối và hướng dẫn các tổ chức, doanh nghiệp cung cấp các dịch vụInternet trong việc xử lý sự cố, trong việc thực hiện nghĩa vụ xử lý và lưu trữ
số liệu gốc để cung cấp thông tin cho mục đích đảm bảo an toàn mạng Internetquốc gia
- Điều phối các tổ chức, doanh nghiệp cung cấp dịch vụ về an toàn mạngtrong nước theo quy định để xử lý các sự cố lớn trên mạng Internet quốc gia.Phối hợp quốc tế trong điều phối xử lý sự cố từ nước ngoài hoặc từ trong nước
ra
- Tổ chức thu thập thông tin về an toàn mạng Internet Thống kê, tổng hợp,phân tích các số liệu về an toàn mạng Internet quốc gia để giúp cho các hoạtđộng quản lý nhà nước về an toàn bảo mật trong các hoạt động công nghệthông tin và truyền thông Theo dõi phát hiện những nguy cơ và sự cố an toànmạng máy tính để cảnh báo sớm cho các cơ quan hữu quan và cho cộng đồng;tham gia công tác quản lý an toàn bảo mật trong các hoạt động công nghệthông tin và truyền thông
- Thu thập đánh giá về các công nghệ và giải pháp đảm bảo an toàn mạngmáy tính mới nhất để khuyến cáo rộng rãi Tổ chức nghiên cứu thường xuyên
để làm chủ những kỹ thuật mới đồng thời phát triển các giải pháp, kỹ thuậtriêng của VN về an toàn mạng máy tính để đề xuất giải pháp phục vụ xử lýkhẩn cấp sự cố mạng và khuyến cáo các biện pháp đề phòng;
- Tổ chức nghiên cứu và phối hợp với các đơn vị chức năng để xây dựng cáctiêu chuẩn và quy chuẩn kỹ thuật về an toàn mạng máy tính, bao gồm các tiêuchuẩn kỹ thuật cho hệ thống thông tin, chuẩn về khung đào tạo bồi dưỡngngười sử dụng mạng, các quy trình phòng chống và xử lý sự cố và các văn bảnpháp quy khác về an toàn mạng máy tính;
- Hoạt động thúc đẩy năng lực ứng cứu khẩn cấp máy tính và hình thành hệthống các CERT trong các cơ quan, tổ chức, doanh nghiệp Tuyên truyền nângcao nhận thức cộng đồng về an toàn thông tin máy tính; phát hành các ấnphẩm về an toàn mạng máy tính theo quy định của pháp luật
- Tham gia hợp tác với các tổ chức CERT trên thế giới Là đầu mối trao đổi
Trang 7thông tin với các trung tâm an toàn mạng quốc tế Tham gia các diễn đàn, hoạtđộng đào tạo và hội thảo quốc tế về lĩnh vực liên quan
- Được phối hợp, hợp tác với các tổ chức quốc tế để khai thác thông tin, kĩthuật và tri thức phòng chống sự cố và tội phạm mạng, quảng bá về an toànmạng máy tính Viêt Nam và tranh thủ sự giúp đỡ quốc tế nân cao năng lựcđảm bảo an toàn mạng của Việt Nam
- Tham gia công tác quản lý nhà nước đối với các hoạt động của cá hiệp hội
và tổ chức phi chính phủ trong lĩnh vực an toàn thông tin trên mạng máy tính.Được quyền yêu cầu các tổ chức, cá nhân hoạt động trên mạng Internet quốcgia cung cấp các thông tin và các số liệu thống kê liên quan đến vấn đề antoàn mạng
- Cung cấp các dịch vụ đánh giá về kĩ thuật an toàn mạng cho các hệ thốngthông tin và cho các sản phẩm, công nghệ đảm bảo an toàn thông tin dùngtrong mạng máy tính Kiểm tra đánh giá, công nhận đạt tiêu chuẩn cho các tổchức làm dịch vụ ứng cứu máy tính và an toàn mạng máy tính
- Tổ chức các dịch vụ về đào tạo, bồi dưỡng kĩ thuật xây dựng mạng và antoàn mạng máy tính, kiểm tra sát hạch và cấp chứng chỉ về trình độ quản trịmạng và đảm bảo an toàn mạng máy tính theo các quy định hiện hành củaNhà nước và phân cấp của Bộ thông tin và truyền thông
- Cung cấp các dịch vụ khác trong lĩnh vực tư vấn, nghiên cứu, triển khai, sảnxuất, lưu trữ, và cung cấp thông tin phục vụ an toàn mạng máy tính, tạo thêmcác nguồn thu nhằm mở rộng phạm vi và quy mô hoạt động phù hợp với chứcnăng, nhiệm vụ và quyền hạn của Trung tâm và theo quy định của Pháp luật,bảo toàn và phát triển các nguồn lực được giao
- Được thu, quản lý và sử dụng phí và lệ phí theo quy định của Pháp luật
- Quản lý về tổ chức công chức, viên chức và tài sản của trung tâm theo quyđịnh của pháp luật và phân cấp của Bộ trưởng
- Thực hiện các nhiệm vụ khác do Bộ trưởng giao
1.4.Cơ cấu tổ chức
Trang 8Trung tâm ứng cứu khẩn cấp máy tính Việt Nam có giám đốc, các phó giámđốc, bộ máy giúp việc và các đơn vị trực thuộc.
Giám đốc chịu trách nhiệm trước bộ trưởng về kết quả thực hiện chức năng,nhiệm vụ và quyền hạn được quy định tại quyết định này
Phó giám đốc giúp giám đốc chỉ đạo, điều hành các mặt công tác cua trungtâm và chịu trách nhiệm trước giám đốc về nhiệm vụ được phân công
Trang 9Tổ chức nhân sự
Chức năng và nhiệm vụ
- Điều phối các hoạt động ứng cứu sự cố máy tính, cảnh báo kịp thời các vấn
đề an toàn mạng máy tính tại khu vực miền Trung – Tây Nguyên phục vụnhiệm vụ của Trung tâm
- Là đầu mối của Trung tâm quan hệ với các cơ quan đơn vị và các cá nhântrong và ngoài ngành thuộc khu vực miền Trung – Tây Nguyên để tiếp nhận,giải quyết các vấn đề thuộc chức năng và nhiệm vụ của Trung tâm theo sự chỉđạo của Giám đốc Trung tâm
- Chủ động đề xuất, tham gia kế hoạch chương trình công tác hàng năm, tổchức triển khai thực hiện các nhiệm vụ được Giám đốc giao
- Thực hiện các nhiệm vụ đột xuất do Giám đốc giao
1.1.2 Quá trình thực tập
Trang 101.1.2.1.1 Nhiệm vụ phải thực hiện và công việc được giao
● Tìm hiểu qui trình làm việc tại công ty
● Tìm hiểu công nghệ VPN và RADIUS server
● Cài đặt gateway VPN sử dụng RADIUS server để chứng thực
● Làm quen với môi trường mới cũng như làm việc theo nhóm
Tạo kết nối VPN Client về Công ty mục đích để sử dụng dữ liệu trongmạng Lan VPN Server không cần Join Domain mà vẫn chứng thực thànhcông các Domain Users từ bên ngoài kết nối vào Công ty (Nhu cầu bảo mậtcho hệ thống Active Directory) Đáp ứng nhu cầu đó, ta sẽ triển khai VPN sửdụng Radius Server để chứng thực Domain Users trên nền Windows Server2008
VPN mang lại lợi ích thực sự và tức thời cho công ty Có thể dùng VPN
để đơn giản hóa việc truy cập đối với nhân viên làm việc và người dùng lưuđộng, mở rộng Intranet đến từng văn phòng chi nhánh, thậm chí triển khaiExtranet đến tận khách hàng và đối tác Có thể đưa ra các lợi ích mà VPNđem lại như :
• Giảm chi phí thường xuyên
• Giảm chi phí đầu tư
• Giảm chi phí và hỗ trợ
• Truy cập mọi lúc ,mọi nơi : khách hàng của VPN qua mạng mở rộngnày, có quyền truy cập và khả năng như nhau đối với các dịch vụ trung tâmbao gồm www, e-mail, FTP… cũng như các ứng dụng thiết yếu khác
Trang 11ty và đối tác của công ty đang sử dụng chung một mạng công cộng Mạngdiện rộng WAN truyền thống yêu cầu công ty phải trả chi phí và duy trì nhiềuloại đường dây riêng ,song song với việc đầu tư các thiết bị và đội ngũ cánbộ.Những vấn đề về chi phí làm cho các công ty dù muốn hưởng những lợiích mà việc mở rộng mang đem lại nhưng đôi khi họ không thực hiện nổi.trong đó,VPN không bị rào cản về chi phí như các mạng WAN trên do đượcthực hiện qua một mạng công cộng
Khái niệm VPN không phải là công nghệ mới ,chúng đã từng được sửdụng trong các mạng điện thoại ( Telephone Networks) Các mạng VPN chỉtrở nên thực sự có tính mới mẻ khi chúng chuyển thành các mạng IP chẳnghạn như Internet VPN sử dụng việc mã hóa dữ liệu để ngăn ngừa các ngườidùng không được phép truy cập đến dữ liệu và đảm bảo dữ liệu không bị sửađổi
VPN còn cung cấp các thoả thuận về chất lượng dịch vụ QoS, nhữngthỏa thuận này thường được định ra cho một giới hạn trên cho phép về độ trễtrung bình của gói trong mạng Ngoài ra,các thỏa thuận trên có thể kèm theomột sự chỉ định cho giới hạn dưới của băng thông hiệu dụng cho mỗi ngườidùng
Trang 121.1.Kiến trúc VPN
của VPN, nó làm cho một kết nối dường như một dòng lưu lượng duy nhấttrên đường dây.Đồng thời còn tạo cho VPN khả năng duy trì những yêu cầu
về bảo mật và quyền ưu tiên như đã được áp dụng trong mạng nội bộ ,bảođảm cho vai trò kiểm soát dòng lưu chuyển dữ liệu Đường hầm cũng làm choVPN có tính riêng tư
vào đặc điểm “riêng tư” của VPN Chỉ nên sử dụng mã hóa cho những dòng
dữ liệu quan trọng đặc biệt ,còn bình thường thì không cần vì việc mã hóa cóthể ảnh hưởng xấu đến tốc độ ,tăng gánh nặng cho bộ xử lý
nội bộ của mình chống lại những cuộc tấn công vào lưu lượng trên mạng vànhững kẻ phá hoại, giải pháp bức tường lửa tốt là công cụ có khả năng phânbiệt các lưu lượng dựa trên cơ sở người dùng, trình ứng dụng hay nguồn gốc
phải chịu sự kiểm tra xác thực để mạng biết thông tin về họ (quyền truy cập,mật khẩu…) và phải chịu sự ủy quyền để báo cho biết về những gì họ đượcphép làm Mỗi hệ thống tốt còn thực hiện tính toán để theo dõi những việc màngười dùng đã làm nhằm mục đích tính cước và bảo mật Xác thực( Authentication), trao quyền (Athorization) và tính cước (Accounting) ,đượcgọi là các dịch vụ AAA
Trang 131.2.Các loại VPN
a Các VPN truy cập từ xa ( Remote Access VPN ) : Hay cũng được gọi
là Mạng quay số riêng ảo (Virtual Private Dial-up Network) hay VPDN,đây là dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhân viên
có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa
và bằng các thiết bị khác nhau
Khi VPN được triển khai, các nhân viên chỉ việc kết nối Internet thôngqua các ISPs và sử dụng các phần mềm VPN phía khách để truy cập mạngcông ty của họ Các công ty khi sử dụng loại kết nối này là những hãng lớnvới hàng trăm nhân viên thương mại Các truy cập từ xa VPN đảm bảo cáckết nối được bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhânviên từ xa qua một nhà cung cấp dịch vụ thứ ba (third-party)
Trang 14b Các VPN nội bộ ( Intranet VPN ) : Áp dụng trong trường hợp công
ty có một hoặc nhiều địa điểm ở xa, mỗi địa điểm đều đã có một mạng cục
bộ LAN Khi đó họ có thể xây dựng một mạng riêng ảo để kết nối các mạngcục bộ vào một mạng riêng thống nhất
c Các VPN mở rộng ( Extranet VPN ) : Khi một công ty có mối quan
hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng ),
họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN
để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung
Trang 152 Bảo mật trong VPN
Quan trọng ngang với việc sử dụng một mạng riêng ảo – VPN, là việcđưa ra tính riêng hay tính bảo mật Trong hầu hết các sử dụng cơ bản của nó ,tính “riêng tư” trong VPN mang ý nghĩa là một đường hầm giữa 2 người dùngtrên một mạng VPN xuất hiện như một liên kết riêng ( private link ), thậm chí
nó có thể chạy trên môi trường dùng chung (shared media) Nhưng đối vớiviệc sử dụng của các nhà kinh doanh, đặc biệt cho kết nối LAN – LAN,
“riêng” phải mang ý nghĩa hơn điều đó, nó phải có ý nghĩa bảo mật, đó làthoát khỏi những con mắt tò mò và can thiệp
Mạng VPN cần cung cấp bốn chức năng giới hạn để đảm bảo độ bảomật cho dữ liệu Bốn chức năng đó là :
- Xác thực (authentication): đảm bảo dữ liệu đến từ một nguồn gốc yêu cầu
- Điều khiển từ xa (access control) : hạn chế việc đạt được quyền cho phépvào mạng của những người dùng bất hợp pháp
- Tin cậy (confidentiality): ngăn không cho một ai đó đọc hay sao chép khi
dữ liệu được truyền qua mạng Internet
- Tính toàn vẹn dữ liệu (data integrity) : đảm bảo không một ai làm thay đổi
dữ liệu khi nó truyền trên mạng Internet
Mặc dù đường hầm có thể làm cho việc truyền dữ liệu qua mạngInternet bảo mật, nhưng việc xác thực người dùng và duy trì tính toàn vẹn dữliệu phụ thuộc vào các tiến trình mật mã (cryptographic),ví dụ như chữ kýđiện tử và mật mã ( encryption) Những tiến trình này sử dụng những điều bímật được chia sẻ gọi là các khóa (key), các khóa này phải được quản lý vàphân phối cẩn thận, hơn nữa được thêm vào việc quản lý các nhiệm vụ củamột mạng VPN
Các dịch vụ bảo mật một mạng Internet VPN gồm : xác thực(authentication) ,mã hóa (encryption) và toàn vẹn dữ liệu (data integrity) đượccung cấp tại lớp 2-lớp liên kết dữ liệu (data – link) và lớp 3–lớp mạng(network) của mô hình OSI Việc phát triển các dịch vụ bảo mật tại các lớpthấp cua mô hình OSI làm cho các dịch vụ này trở nên trong suốt hơn đối vớingười dùng
Nhưng việc thực hiện bảo mật tại những mức độ này có thể diễn ra haihình thức mà nó tác động đến trách nhiệm của một cá nhân cho việc bảo mật
dữ liệu của riêng mình Bảo mật có thể được thực hiện cho các thông tin đầucuối – đến đầu cuối (end – to – end communication)
Trang 161.1.3 Các giao thức dùng trong VPN
3.1 Giao thức đường hầm điểm – điểm PPTP
Giao thức định đường hầm điểm – điểm PPTP được đưa ra đầu tiên bởimột nhóm các công ty được gọi là PPTP forum Ý tưởng cơ sở cho giao thứcnày là tách các chức năng chung và riêng của truy nhập từ xa ,lợi dụng lợi íchcủa cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa client và mạngriêng Người dùng xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địaphương là có thể tạo một đường hầm bảo mật tới mạng riêng của họ
Giao thức quay số truy cập vào Internet phổ biến nhất là giao thức điểm– điểm PPP (point- to –point protocol) PPTP được xây dựng dựa trên chứcnăng của PPP,cung cấp khả năng quay số truy cập tạo ra một đường hầm bảomật thông qua Internet đến site đích PPTP sử dụng giao thức bọc gói địnhtuyến chung GRE ( Generic Routing Encapsulation ) được mô tả lại để đóng
và tách gói PPP,giao thức này cho phép PPTP mềm dẻo xử lý các giao thứckhác nhau không phải IP như IPX , NETBEUI
Bởi vì PPTP dựa trên PPP nên nó dựa trên cơ chế xác thực của PPP cótên là PAP và CHAP PPTP có thể sử dụng PPP để mã hóa dữ liệu nhưngMicrosoft đã đưa một phương thức mã hóa khác mạnh hơn đó là mã hóa điểm– điểm MPPE để sử dụng cho PPTP
Một ưu điểm của PPTP là được thiết kê để hoạt động ở lớp 2 ,trong khiIPsec chạy ở lớp 3 Bằng cách hỗ trợ việc truyền dữ liệu ở lớp thứ 2,PPTP cóthể truyền trong đường hầm bằng các giao thức khác IP , trong khi IPsec chỉ
có thể truyền các gói IP trong đường hầm
Do đặc điểm chủ yếu của PPTP là cung cấp phương thức quay số truycập bảo mật vào VPN nên các bộ phận của PPTP VPN được tổ chức có hơikhác với IPsec VPN Điều quan trọng nhất trong PPTP là việc định nghĩađiểm kết thúc của đường hầm Bởi vì một trong các điểm kết thúc này có thểnằm ở thiết bị của nhà cung cấp dịch vụ Internet, cấu hình này đòi hỏi phải cóhợp tác giữa ISP và người quản trị mạng trong việc xác thực người dùng
Tổng quát PPTP yêu cầu phải có :một máy chủ truy cập mạng,một máychủ PPTP và một client PPTP Mặc dù máy chủ PPTP có thể cài đặt tại máycủa công ty và do một nhóm người của công ty quản lý nhưng NAS phải doISP hỗ trợ mới được
