Nghiên cứu xây dựng hệ thống đảm bảo an toàn truyền tin trên mạng vinaphone

Xây dựng được hệ thống đảm an toàn truyền dữ liệu và quản lý nhân viên thao tác dữ liệu được xây dựng bằng phần mềm mạng riêng ảo của Cisco kết hợp với thẻ bảo mật RSA SecurID sẽ giúp ch

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Đỗ Thị Hương Quỳnh

NGHIÊN CỨU XÂY DỰNG HỆ THỐNG ĐẢM BẢO AN TOÀN TRUYỀN TIN

TRÊN MẠNG VINAPHONE

Ngành: Công nghệ thông tin Chuyên nghành: Hệ thống thông tin

Mã số: 60 48 05

LUẬN VĂN THẠC SĨ

NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Trịnh Nhật Tiến

Hà Nội – 2009

LỜI MỞ ĐẦU

Công ty Vinaphone là một công ty trực thuộc Tập đoàn Bưu chính Viễn thông Việt nam (VNPT) hoạt động trong lĩnh vực thông tin di động Là một trong các mạng

di động lớn nhất Việt Nam, Vinaphone luôn luôn cố gắng để thực hiện cam kết trong thương hiệu là nhà cung cấp sản phẩm và dịch vụ thông tin di động với chất lượng tốt nhất, đồng thời không ngừng chú trọng nâng cao chất lượng chăm sóc khách hàng

Ngoài trụ sở chính tại Hà Nội, Vinaphone thành lập thêm 3 trung tâm khu vực lớn và 64 điểm chăm sóc khách hàng trên khắp các tỉnh thành của cả nước Tuy nhiên, một vấn đề đặt ra là tất cả thông tin liên quan đến thuê bao của các tỉnh thành chỉ được tập hợp và lưu trữ trên cơ sở dữ liệu thuê bao tại trụ sở chính Do đó, để khâu chăm sóc khách hàng đạt hiệu quả cao nhất thì đòi hỏi nhân viên tại mỗi điểm đều có sẵn mọi thông tin liên quan đến thuê bao tại khu vực mình phục vụ các hoạt động như cắt mở dịch vụ, giải quyết khiếu nại, nợ đọng,…Tất cả các thông tin về thuê bao đều là những thông tin nội bộ của công ty, do đó yêu cầu quá trình truyền các thông tin thuê bao từ trụ sở chính đến các điểm phải an toàn, bí mật, thông tin truyền đến phải nguyên vẹn Trên cơ sở tính phân tán các đơn vị của công ty cũng như các tiêu chí về việc đảm bảo an toàn cho dữ liệu truyền, mạng riêng ảo là lựa chọn hàng đầu của Vinaphone Mặt khác, để có thể chắc chắn một điều rằng chỉ những người có quyền mới được truy cập vào cơ sở dữ liệu thông tin thuê bao, Vinaphone đã chọn công nghệ xác thực dựa trên hai yếu tố RSA SecurID của RSA Security để xác thực người dùng

Xây dựng được hệ thống đảm an toàn truyền dữ liệu và quản lý nhân viên thao tác dữ liệu được xây dựng bằng phần mềm mạng riêng ảo của Cisco kết hợp với thẻ bảo mật RSA SecurID sẽ giúp cho công ty Vinaphone hoàn toàn có thể đáp ứng được các mục tiêu của mình

Luận văn này được thực hiện nhằm mục đích “Nghiên cứu xây dựng hệ thống đảm bảo an toàn truyền tin trên mạng Vinaphone” để đưa lý thuyết vào xây dựng một

hệ thống thực sự

Nội dung của luận văn gồm ba chương được bố cục như sau:

- Chương 1: Giới thiệu các kiến thức cơ bản về mạng riêng ảo của Cisco

- Chương 2: Giới thiệu các kiến thức cơ bản về thẻ bảo mật RSA SecureID

- Chương 3: Cấu hình, cài đặt một mạng riêng ảo và sử dụng SecureID để truy cập vào cơ sở dữ liệu thuê bao Vinaphone

Chương 1 TỔNG QUAN VỀ CISCO VPN CLIENT

1.1 GIỚI THIỆU CISCO VPN CLIENT

Ngày nay, các doanh nghiệp thường có xu hướng mở rộng địa bàn hoạt động trên toàn quốc hoặc toàn cầu Thông tin ở các chi nhánh được tập hợp và quản lý về trung tâm và ngược lại, thông tin nội bộ của công ty có thể gửi đến các chi nhánh để cập nhật phục vụ mọi hoạt động của doanh nghiệp Do đó, đối với mỗi doanh nghiệp, giải pháp để truyền tin an toàn trong nội bộ mỗi doanh nghiệp đó đều là bài toán cần phải giải quyết tốt góp phần thực hiện tốt các chiến lược kinh doanh

Do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản

lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản

lý các dịch vụ Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thỏa mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó chính là mô hình mạng riêng ảo (Virtual Private Network - VPN)

Với mô hình mới này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được hoạt động của mạng này VPN cho phép người sử dụng làm việc tại nhà, trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng Nó có thể đảm bảo an toàn thông tin giữa các đại lý, người cung cấp Trong nhiều trường hợp VPN cũng giống như một mạng diện rộng, tuy nhiên đặc tính quyết định của VPN là chúng có thể dùng mạng công cộng như Internet mà đảm bảo tính riêng tư và tiết kiệm hơn nhiều

Một mạng riêng ảo truy cập từ xa gọi tắt là VPN là một công nghệ kết nối cung cấp kết nối an toàn và bí mật cho những người dùng truy cập từ xa đến các tài nguyên của công ty qua mạng Internet Người của công ty truy cập từ xa cần phải có

phần mềm VPN client cài đặt trên máy tính của mình và một kết nối Internet (thông qua Dial-up, broadband ADSL, wifi,…)

Cisco VPN Client là một phần mềm mạng riêng ảo phổ biến được sử dụng để cung cấp kết nối truy cập từ xa cho các mạng doanh nghiệp Cisco VPN Client cho Windows là chương trình phần mềm chạy trên máy tính trên cơ sở Microsoft Windows Cisco VPN Client trên một máy điều khiển từ xa giao tiếp với một Cisco VPN server trên một mạng doanh nghiệp hoặc với các nhà cung cấp dịch vụ, tạo một kết nối an toànqua Internet Thông qua kết nối này để truy cập đến một mạng riêng giống như một người dùng tại chỗ Máy chủ xác minh rằng các kết nối đến phải có chính sách cập nhật trước khi thiết lập các kết nối đó.[1]

Khi một người dùng điều khiển từ xa, đầu tiên phải kết nối đến mạng Internet, sau

đó sử dụng VPN Client để truy cập an toàn tới các mạng riêng của doanh nghiệp qua một Cisco VPN server có hỗ trợ Cisco VPN Client

Cấu hình sau đây chỉ ra một cách cài đặt cơ bản cho một ứng dụng điều khiển từ

xa sử dụng Cisco VPN Client để kết nối an toàn qua mạng Internet đến mạng công

ty

Hình 1.1 Sơ đồ kết nối Cisco VPN Client Đầu tiên người điều khiển từ xa kết nối đến một nhà cung cấp dịch vụ mạng (ISP) Tiếp theo, khởi động Cisco VPN Client đã được cài đặt trên máy và thiết lập kết nối đến máy chủ VPN đặt tại công ty Máy chủ VPN có thể là một tường lửa Cisco (PIX hay ASA), một bộ tập trung Cisco VPN hoặc một bộ định tuyến Cisco với phần mềm IPSec Mỗi khi kết nối VPN được thiết lập, người dùng truy cập từ xa

có thể giao tiếp với máy chủ trong công ty và các tài nguyên giống như đang ở một máy trong nội bộ công ty

1.2 CÁC THÀNH PHẦN CHÍNH CỦA CISCO VPN CLIENT

1/ Bộ định tuyến (Cisco VPN Router)

Những router này tạo ra một hạ tầng mạng, cho phép truy cập nhanh và an toàn vào những ứng dụng kinh doanh với độ bảo mật cao

2/ Tường lửa an toàn Cisco PIX (Cisco Private Internet Exchange Firewall)

Tường lửa PIX là thành phần chính trong giải pháp bảo mật của Cisco, bảo mật về phần cứng và phần mềm, đáp ứng bảo mật mạng mức độ cao mà không ảnh hưởng đến hoạt động của mạng PIX là một thiết bị lai vì nó kết hợp các đặc điểm của công nghệ lọc gói tin và máy chủ uỷ quyền (proxy server)

3/ Nhóm thiết bị tập trung Cisco VPN (Cisco VPN Concentrator series)

Thiết bị tập trung Cisco VPN 3000 sử dụng RSA SecurID Authentication để cung cấp quá trình xác thực hai yếu tố thông qua cơ chế xác thực RSA SecurID hoặc xác thực RADIUS cho cả các kết nối IPSec VPN lẫn SSL VPN

Để giao tiếp một cách dễ dàng giữa thiết bị tập trung Cisco VPN và thiết bị quản lý xác thực RSA (RSA Authentication Manager) hay thiết bị RSA SecurID (RSA SecurID Appliance), phải thêm một bản ghi Agent Host vào cơ sở dữ liệu RSA Authentication Manager và cơ sở dữ liệu RADIUS Server (nếu sử dụng RADIUS) Bản ghi Agent Host nhận dạng thiết bị tập trung Cisco VPN trong cơ

sở dữ liệu của nó và chứa thông tin về cách thức giao tiếp cũng như thông tin mã hóa

4/ Phần mềm đảm bảo an toàn Cisco VPN (Cisco Secure VPN Client)

Cisco Secure VPN Client là một chương trình chạy trên hệ điều hành Window, cho phép bảo mật việc truy cập từ xa tới bộ định tuyến Cisco và tường lửa PIX Cisco Secur VPN Client cho phép thiết lập các hành lang an toàn trên mạng riêng

ảo nối từ xa

5/ Hệ thống phát hiện xâm nhập an toàn và máy quét an toàn

Thường được sử dụng để giám sát và kiểm tra các vấn đề an toàn trên mạng riêng ảo

o Hệ thống phát hiện xâm nhập (Cisco Secure Intrusion Detection System)

Cung cấp cơ chế phát hiện xâm nhập một cách hoàn chỉnh Cisco đưa ra một giải pháp an toàn một cách toàn diện và rộng khắp cho việc chống lại các xâm nhập bất hợp pháp, các sâu mạng có hại, cùng với băng thông rộng và các tấn công vào các ứng dụng thương mại điện tử

o Máy quét (Cisco Secure Scanner)

Cho phép các doanh nghiệp chuẩn đoán và sửa chữa các vấn đề an toàn thông tin trong các môi trường mạng Sử dụng máy quét cùng với bức tường lửa, hệ thống phát hiện xâm nhập và các độ đo an toàn khác để đảm bảo tính bảo mật theo chiều sâu

6/ Chương trình quản lý chính sách an toàn và công cụ quản lý mạng

Cung cấp việc quản lý hệ thống mạng riêng ảo rộng khắp:

o Chương trình quản lý chính sách an ninh (Cisco Secure Policy Manager)

Hoạt động trong một vị trí trung tâm trên mạng và phân phối các chính sách an ninh cho các thiết bị khác trong mạng, bao gồm bộ định tuyến Cisco, tường lửa, các thiết bị của mạng riêng ảo và hệ thống phát hiện xâm nhập

o Công cụ quản lý mạng Cisco (CiscoWorks 2000)

Là tập hợp các sản phẩm quản lý mạng của Cisco, quản lý các bộ chuyển mạch, bộ định tuyến và tường lửa của Cisco Công cụ quản lý mạng Cisco đơn giản hoá quá trình cấu hình, quản lý và điều khiển trong các mạng của Cisco, đồng thời tối đa tính tính an toàn thông qua việc tích hợp với các dịch vụ điều khiển truy cập và theo các thay đổi trên mạng

1.3 CÁC THÀNH PHẦN CẦN THIẾT ĐỂ TẠO KẾT NỐI VPN

Để tạo được kết nối VPN, cần có các thành phần sau đây:

1/ Hệ thống xác thực người dùng (User Authentication)

Cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng hợp lệ kết nối và truy cập hệ thống VPN

Cơ chế xác nhận người dùng thường được triển khai tại các điểm truy cập và được dùng để xác nhận cho người dùng truy cập vào tài nguyên bên trong mạng Kết quả là chỉ có người dùng hợp lệ thì mới có thể truy cập vào bên trong mạng, điều này làm giảm đáng kể sự truy cập bất hợp pháp vào những dữ liệu được lưu trữ trên mạng

2/ Hệ thống quản lý địa chỉ (Address Management)

Cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN để

có thể truy cập tài nguyên trên mạng nội bộ

3/ Hệ thống mã hóa dữ liệu (Data Encryption)

Cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu

4/ Hệ thống quản lý khoá (Key Management)

Cung cấp giải pháp quản lý các khoá dùng cho quá trình mã hoá và giải mã dữ liệu

1.4 THỦ TỤC THIẾT LẬP MỘT KẾT NỐI VPN

Quá trình thiết lập một kết nối VPN gồm các bước sau:

1/ Máy khách (VPN Client) có nhu cầu kết nối tạo kết nối (VPN Connection) tới

máy chủ cung cấp dịch vụ (VPN Server) thông qua kết nối Internet

2/ Máy chủ cung cấp dịch vụ chứng thực cho kết nối và cấp phép cho kết nối 3/ Bắt đầu trao đổi dữ liệu giữa máy khách Cisco VPN và mạng công ty

1.5 CÁC ỨNG DỤNG CỦA CISCO VPN CLIENT

Cisco VPN Client có các ứng dụng sau, cho phép lựa chọn từ trình đơn Programs[1]:

Hình 1.2 Các ứng dụng của Cisco VPN Client

Theo thứ tự sử dụng các ứng dụng như sau:

 Help: Hiển thị một hướng dẫn trực tuyến với các chỉ dẫn sử dụng các ứng dụng

 VPN Dialer: Cho phép cấu hình các kết nối tới một VPN server và cho phép bắt đầu các kết nối

 Certificate Manager: Cho phép kết nạp các chứng chỉ để xác thực các kết nối đến các VPN server

 Log Viewer: Cho phép hiển thị các sự kiện từ các bản ghi sự kiện

 Uninstall VPN Client: Cho phép loại bỏ một cách an toàn các phần mềm VPN Client từ hệ thống và tiếp tục kết nối cùng với các cấu hình xác thực

 SetMTU: Cho phép thay đổi bằng tay kích thước tối đa của các khối truyền

1.6 NGUYÊN TẮC HOẠT ĐỘNG CỦA CISCO VPN CLIENT

Cisco VPN Client làm việc với một Cisco VPN server để tạo ra một kết nối an toàn, được xem như “hành lang an toàn” cho kết nối và gọi là một tunnel, giữa máy tính

và mạng riêng Nó sử dụng các giao thức IKE (Internet Key Exchange) và IPSec (Internet Protocol Security) để tạo và quản lý kết nối an toàn

1.6.1 Giao thức IPSec

Giao thức IPSec (Internet Protocol Security) có quan hệ tới một số bộ giao thức (AH, ESP, FIP-140-1, và một số chuẩn khác), được phát triển bởi Tổ chức quản lý kỹ thuật Internet (IETF)

Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu an toàn ở tầng 3 (Network layer) của mô hình OSI Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên các giao thức IP Do đó, khi một cơ chế an toàn cao được tích hợp với giao thức IP, toàn bộ mạng được bảo vệ bởi vì các giao tiếp đều đi qua tầng 3

1.6.2 Giao thức IKE

Giao thức IKE là một trong những giao thức nằm trong bộ giao thức của IPSec IPSec dùng giao thức này để thỏa thuận các giao thức bảo mật và các thuật toán mã hóa Một phần quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi được yêu cầu

IKE giúp cho các thiết bị tham gia mạng riêng ảo trao đổi với nhau các thông tin như mã hóa thế nào? Mã hóa bằng thuật toán gì? Bao lâu mã hóa 1 lần? IKE có tác dụng

tự động thỏa thuận các chính sách an ninh giữa các thiết bị tham gia mạng riêng ảo Do

đó IKE giúp cho IPSec có thể áp dụng cho các hệ thống mạng mô hình lớn Trong quá trình trao đổi khoá, IKE dùng thuật toán mã hóa bất đối xứng gồm bộ khóa công khai và khoá riêng để bảo vệ việc trao đổi key giữa các thiết bị tham gia mạng riêng ảo

TÀI LIỆU THAM KHẢO

Tiếng Anh

1 Cisco System (2004), VPN Client User Guide for Windows, Corporate

Headquarters Cisco Systems , USA

2 Friend, R (1998), “IP Payload Compression Using LZS”, RFC2395, CA

3 Pradosh Kumar Mohapatra and Mohan Dattatreya (2002), IPSec VPN

Fundamentals, TechOnline community, USA

4 Mudge and Kingpin (2001), Initial Cryptanalysis of the RSA SecurID Algorithm

5 Peiterz, Weaknesses In SecurID

6 Shacham, A (1998), "IP Payload Compression Protocol (IPComp)", RFC 2393,

CA

7 Adam Shostack (1996), Apparent Weaknesses in the Security Dynamics

Client/Server Protocol

Internet

8 http://en.wikipedia.org/wiki/SecurID

9 http://www.cisco.com

10 http://www.rsa.com

11