Bảo mật kết nối với VPN Firewall

Mạng Internet ngày càng phát triển, không chỉ vậy việc tận dụng nguồn tài nguyên “vô tận” trên đây đem lại những hiệu quả vô cùng to lớn. Vấn đề trao đổi thông tin là cực kì quan trọng, đặc biệt với những tổ chứccông ty có trụ sở hoặc chi nhánh đặt khắp tại nhiều nơi, hoặc các công ty muốn tạo môi trường làm việc chung với đối tác của mình.

LỜI MỞ ĐẦU

I.LÝ DO CHỌN ĐỀ TÀI

Mạng Internet ngày càng phát triển, không chỉ vậy việc tận dụng nguồn tài nguyên

“vô tận” trên đây đem lại những hiệu quả vô cùng to lớn Vấn đề trao đổi thông tin là cực

kì quan trọng, đặc biệt với những tổ chức-công ty có trụ sở hoặc chi nhánh đặt khắp tại nhiều nơi, hoặc các công ty muốn tạo môi trường làm việc chung với đối tác của mình

Đã có rất nhiều giải pháp được đưa ra nhưng mà nó phải đáp ứng nhu cầu bảo mật thông tin khi nó được truyền qua Internet – môi trường không bảo mật Những giải pháp

có thể tính đến để khắc phục vấn đề này là thuê những đường Leased line, như vậy vừa

có tính bảo mật vừa có băng thông nhiều nhưng mà giải pháp này không khả thi khi kết nối ở những nơi cách xa nhau Một số giải pháp có thể sử dụng là Frame Relay hoặc ATM từ nhà cung cấp dịch vụ, tuy nhiên đây cũng là giải pháp không nên sử dụng vì chi phí khá cao

VPN chính là giải pháp khả thi nhất vì vừa đảm bảo yếu tố bảo mật mà chi phí của

nó cũng tương đối phải chăng Ngày nay, VPN đang được sử dụng rộng rãi và đang được phát triển lên Tuy vậy, nhưng VPN thông thường cũng có những nhược điểm của nó, đó

là các vấn đề bảo mật, dễ dàng làm thất thoát tài sản thông tin của công ty cũng như tổ chức, cá nhân

II MỤC TIÊU CỦA ĐỀ TÀI

Nghiên cứu và triển khai VPN để phục vụ cho hệ thống mạng của doanh nghiệp,

từ đó khắc phục những điểm yếu cố hữu tồn tại trên hệ thống VPN thường

III ĐỐI TƯỢNG NGHIÊN CỨU

-Các công nghệ được sử dụng trong mô hình VPN

-Cách thức triển khai một mô hình VPN

IV PHẠM VI NGHIÊN CỨU

-Tìm hiểu cách thức hoạt động của mô hình VPN

-Cách thức bảo mật trên mô hình VPN

V CÔNG CỤ

VMWARE WORKSTATION 10 và Packet tracer

IV Ý NGHĨA

Ý nghĩa khoa học:

-Cung cấp lý thuyết về mô hình VPN

-Các công nghệ được sử dụng và một số vấn đề về bảo mật trong dạng mô hình VPN

-Tìm được điểm ưu việt của mô hình VPN thông thường so với mô hình VPN sau khi đã kết hợp các dich vụ bảo mật

Ý nghĩa thực tiễn:

-Triển khai được một mô hình VPN

CHƯƠNG I : KIẾN THỨC CƠ SỞI.Tổng quan về bảo mật mạng

1.Thông tin sơ lược

Hiệp hội an toàn thông tin Việt Nam cho biết: “Việt Nam là 1 trong 5 nước có nguy cơ mất an toàn thông tin cao nhất”

Hiện số thuê bao Internet chiếm gần 32% dân số Việt Nam Đa số các doanh nghiệp và các tổ chức có hệ thống mạng và website giới thiệu, quảng bá thương hiệu, với gần 200.000 tên miền vn, và hàng triệu tên miền thương mại Có rất nhiều doanh nghiệp

đã ứng dụng thanh toán trưc tuyến vào công việc kinh doanh và giao dịch

Thế nhưng, mạng Internet Việt Nam còn rất nhiều tiềm ẩn, nguy cơ về an ninh an toàn thông tin Năm 2010 được đánh giá là năm thực sự nóng bỏng của an ninh an toàn thông tin trên thế giới chung và an ninh mạng Việt Nam nói riêng Hàng loạt website lớn

bị tấn công với mức độ phức tạp ngày càng gia tăng Ở nước ta, theo đánh giá của một số chuyên gia về an ninh mạng, các tên miền vn đang đứng hàng thứ 3 trong bảng xếp hạng các tên miền có nguy cơ bị tấn công Cách đây chưa lâu, cuộc tấn công quy mô lớn, liên tục và kéo dài đã phá hủy hầu như gần hết cơ sở dữ liệu đã lưu trữ 10 năm của báo Vietnamnet

Các cuộc tấn công trên mạng chủ yếu có mục tiêu vụ lợi, có tổ chức và mang tính quốc tế đang nở rộ với quy mô lớn Thủ phạm các cuộc tấn công nhằm vào các website

có trình độ cao, hình thức tấn công tinh vi, chuyên nghiệp và rất khó chống đỡ Mục tiêu của hacker không chỉ là các tổ chức, doanh nghiệp tài chính, ngân hàng mà là tất cả hệ thống Các cuộc tấn công trên là một lời cảnh báo về an toàn thông tin đối với các báo điện tử và những website quan trọng của Việt Nam

Năm 2011, đã có 38.961 dòng virus xuất hiện mới, lây lan nhiều nhất là virus W32.Sality.PE Virus này đã lây nhiễm trên 4.2 triệu lượt máy tính Cũng trong 2011, đã

có 2,245 website của các cơ quan, doanh nghiệp tại Việt Nam bị tấn công, tính trung bình mỗi tháng có 187 website bị tấn công

Năm 2011 cũng có những cuộc tấn công DDOS làm tê liệt hệ thống trong thời gian dài Tấn công cướp tên miền của doanh nghiệp cũng đã diễn ra liên tiếp Nguy hiểm

hơn, cũng đã xuất hiện nhiều cuộc tấn công âm thầm, cài đặt virus gián điệp đánh cắp tài liệu của các cơ quan quan trọng.

2.Nhu cầu về an ninh mạng

Tại TP.HCM, số lượng các trường đào tạo về ngành An ninh mạng chưa nhiều, nên

số lượng nhân lực nhìn chung không đáp ứng đủ nhu cầu Nhân lực ngành An Ninh Mạng hiện nay lại vừa thiếu về số lượng vừa không mạnh mẽ về chuyên môn

Căn cứ trên số liệu của Trung tâm Dự báo nhu cầu nhân lực và Thông tin thị trường lao động TP.HCM trong giai đoạn 2011-2015, mỗi năm thành phố cần từ 8.000 -10.000 nhân lực ngành CNTT Trong đó, ngành Hệ thống thông tin – An ninh mạng cần khoảng 1.000 người, 50% số này cần có trình độ chuyên môn giỏi Nhu cầu tuyển dụng ngành CNTT năm 2011 vừa qua tăng 21,21% so với năm 2010 và tiếp tục có xu hướng tăng trong những năm tới

Đa số các Doanh nghiệp Việt Nam hiện nay đã ý thức được tầm quan trọng của việc bảo đảm an toàn các thông tin trên hệ thống mạng vì đó chính là tài sản của Doanh nghiệp Đặc biệt là trong thời buổi mà hoạt động kinh doanh đang phát triển theo hướng

số hóa Thất thoát thông tin cũng đồng nghĩa với việc túi tiền của Doanh nghiệp bị hao hụt

Các giao dịch ở VN và trên thế giới hiện tại và tương lai đa số diễn ra trên mạng Việc bảo mật thông tin thật sự vô cùng quan trọng Chỉ tính riêng thống kê của Hiệp hội Ngân hàng và chứng khoán VN, số lượng chi nhánh ngân hàng và các công ty chứng khoán ở VN đã trên mức hàng ngàn Hoạt động của các công ty chứng khoán và ngân hàng đều dựa trên hệ thống CNTT Giao dịch giữa các ngân hàng với nhau, giữa ngân hàng với khách hàng… đều thông qua mạng Internet

Không chỉ thiếu về số lượng, trình độ chuyên môn chung của đội ngũ chuyên gia

an ninh mạng hiện cũng rất thấp Theo ông Nguyễn Thanh Tú, giám đốc điều hành một công ty chuyên cung cấp các giải pháp an ninh mạng, có nhiều nguyên nhân: chất lượng đào tạo chuyên sâu về công nghệ bảo mật chưa đạt yêu cầu; môi trường ứng dụng giải pháp bảo mật tại các doanh nghiệp còn hạn chế Cũng theo ông, vấn đề an ninh mạng của doanh nghiệp hiện nay là thiếu nhân lực chuyên môn chứ không chỉ là giải pháp Giám

đốc một doanh nghiệp thương mại điện tử chia sẻ: “Nhân lực cho vấn đề này rất khó, bởi mặt bằng năng lực của đội ngũ này hiện còn rất thấp”.

Nếu tính một phép tính đơn giản, VN có hàng ngàn chi nhánh ngân hàng, hàng ngàn cơ quan chính phủ trải đều khắp 64 tỉnh thành trong cả nước, và trên 200.000 doanh nghiệp tư nhân có ứng dụng CNTT trong hoạt động kinh doanh, quản lý và sản xuất; mỗi đơn vị cần bình quân một nhân viên phục vụ việc quản trị và an ninh mạng thì số lượng nhân sự an ninh mạng cần đáp ứng ngay cho thị trường lao động VN phải tính trên chục ngàn Số lượng này là một thách thức rất lớn cho ngành đào tạo CNTT VN thời gian tới

3.Thực trạng

Theo công ty nghiên cứu an ninh quốc gia Symantec, các cuộc tấn công của hacker gây thiệt hại cho các doanh nghiệp lớn khoảng 2,2 triệu $ mỗi năm Hành vi trộm cắp thông tin cá nhân của khách hàng có thể làm giảm danh tiếng của doanh nghiệp dẫn tới các vụ kiện Hack có thể làm 1 công ty bị phá sản Botnet có thể được sử dụng để khởi động các loại Dos và các cuộc tấn công dựa trên web khác dẫn đến các doanh nghiệp bị giảm doanh thu Kẻ tấn công có thể ăn cắp bí mật công ty, thông tin tài chính, hợp đồng quan trọng và bán chúng cho các đối thủ cạnh tranh

- Lỗi trong hệ điều hành

- Hệ thống chưa được vá hệ điều hành

4.2Tấn công cấu hình sai

Các thông tin cấu hình của hệ thống bị chỉnh sửa, cấu hình sai bởi người quản trị hoặc bị nhiễm virus, giúp hacker tận dụng những lỗ hổng này để khai thác và xâm nhập vào hệ thống như chỉnh sửa sai DNS, thông tin cấu hình ip…

tư và tiết kiệm hơn nhiều.

Khi tính phổ biến của Internet gia tăng, các doanh nghiệp đầu tư vào nó như một phương tiện quảng bá và mở rộng các mạng mà họ sở hữu Ban đầu là các mạng nội bộ (Intranet) mà các site được bảo mật bằng mật khẩu được thiết kế cho việc sử dụng chỉ bởi các thành viên trong công ty

VPN được gọi là mạng riêng ảo vì đây là một cách thiết lập một mạng riêng qua một mạng công cộng sử dụng các kết nối tạm thời Những kết nối bảo mật được thiết lập giữa hai host, giữa host và mạng hoặc giữa hai mạng với nhau

Một VPN có thể xây dựng bằng cách sử dụng “Đường hầm” và “Mã hóa” VPN có thể xuất hiện ở bất cứ lớp nào trong mô hình OSI VPN là sự cải tiến cơ sở hạ tầng mạng WAN mà làm thay đổi hay làm tăng thêm tính chất của các mạng cục bộ

2.Định nghĩa VPN

VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng (private network) thông qua các mạng công cộng Về căn bản, mỗi VPN là một mạng riêng lẻ sử dụng một mạng chung (thường là internet) để kết nối cùng các site (các mạng riêng lẻ) hay nhiều người dùng từ xa Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường lease line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của công ty tới các site hay các nhân viên từ xa Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn đảm bảo tính an toàn và bảo mật, VPN cung cấp cơ chế mã hóa

dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như một kết nối point-to-point trên mạng riêng Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa hay che dấu đi, chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng Dữ liệu được mã hóa một cách cẩn thận do đó nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể đọc được nội dung

vì không có khóa để giải mã Liên kết với dữ liệu được mã hóa và đóng gói được gọi là kết nối VPN Các đường kết nối VPN thường được gọi là đường ống VPN (VPN Tunnel)

3 Lợi ích và chức năng của VPN

Lợi ích:

-Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí từ 20% đến 40% so với những mạng sử dụng leased-time và giảm chi phí trong việc truy cập từ xa từ 40% đến 60%.Tính linh hoạt trong kết nối

-Tăng tính bảo mật: Các dữ liệu quan trọng sẽ được che giấu đối với những người không có quyền truy cập

-Hỗ trợ các giao thức mạng thông dụng nhất hiện nay là TCP/IP

-Bảo mật địa chỉ IP: Bởi vì thông tin được đi trên VPN đã được mã hóa, do đó các địa chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet

Chức năng:

VPN cung cấp 4 chức năng chính đó là:

-Sự tin cậy (Confidentiality): Người gửi có thể mã hóa các gói dữ liệu trước khi truyền chúng ngang qua mạng Bằng cách này, không một ai có thể truy cập thông tin mà không được phép, mà nếu như gói dữ liệu bị bắt giữ lại thì cũng không thể đọc được vì thông tin đã được mã hóa.

-Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra rằng dữ liệu được truyền qua mạng Internet mà không có sự thay đổi nào

-Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin

-Điều khiển truy cập (Access Control): VPN có thể phân biệt giữa những người dùng hợp lệ và trái phép bằng nhiều cách như dựa vào chính sách bảo mật, sự chứng thực…

4 Ưu điểm của VPN

VPN có nhiều ưu điểm hơn so với các kênh leased line truyền thống Các ưu điểm cơ bản đó là:

-VPN làm giảm chi phí hơn so với mạng cục bộ: Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ, do chỉ phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạng đường trục và hoạt động của hệ thống Giá thành cho việc kết nối LAN to LAN giảm từ 20-30% so với việc sử dụng đường truyền leased line truyền thống Việc truy cập từ xa thì giảm từ 60-80%

-VPN tạo ra tính mềm dẻo cho khả năng quản lý Internet: Các VPN đã kế thừa phát huy hơn nữa tính mềm dẻo và khả năng mở rộng kiến trúc mạng hơn là các mạng WAN truyền thống Điều này giúp các doanh nghiệp có thể nhanh chóng và hiệu quả kinh tế cho việc mở rộng hay hủy bỏ kết nối của các trụ sở ở xa, các người sử dụng di động…,và

mở rộng các đối tác kinh doanh khi có nhu cầu

-VPN làm đơn giản hóa cho việc quản lý các công việc so với việc sở hữu và vận hành một mạng cục bộ: Các doanh nghiệp có thể cho phếp sử dụng một vài hay tất cả các dịch vụ của mạng WAN, giúp các doanh nghiệp có thể tập trung vaofcacs đối tượng kinh doanh chính thay vì quản lý một mạng WAN hay mạng quay số từ xa

-VPN cung cấp các kiểu mạng đường hầm và làm giảm thiểu các công việc quản lý: Một Backbone IP sẽ loại bỏ các PVC (Permanent Virtual Circuit) cố định tương ứng với

các giao thức kết nối như là Frame Relay và ATM Điều này tạo ra một kiểu mạng lưới hoàn chỉnh trong khi giảm được độ phức tạp và giá thành.

5.Đường hầm và mã hóa

Chức năng chính của VPN đó là cung cấp sự bảo mật bằng cách mã hóa qua một đường hầm

Đường hầm (Tunnel): Các đường hầm chính là đặc tính ảo của VPN, nó làm cho

một kết nối dường như một dòng lưu lượng duy nhất trên đường dây Đồng thời còn tạo cho VPN khả năng duy trì những yêu cầu về bảo mật và quyền ưu tiên như đã được áp dụng trong mạng nội bộ, bảo đảm cho vai trò kiểm soát dòng lưu chuyển dữ liệu Đường hầm cũng làm cho VPN có tính riêng tư Mã hóa được sử dụng để tạo kết nối đường hầm để dữ liệu chỉ có thể được đọc bởi người nhận và người gửi

Mã hóa (Encryption): Chắc chắn bản tin không bị đọc bởi bất kỳ ai nhưng có thể

đọc được bởi người nhận Khi mà càng có nhiều thông tin lưu thông trên mạng thì sự cần thiết đối với việc mã hóa thông tin càng trở nên quan trọng Mã hóa sẽ biến đổi nội dung thông tin thành một văn bản mật mã mà nó trở nên vô nghĩa trong dạng mật mã của nó Chức năng giải mã để khôi phục văn bản mật mã thành nội dung thông tin có thể dùng được cho người nhận Mã hóa là tính năng tùy chọn nó cũng đóng góp vào đặc điểm “riêng tư” của VPN Chỉ nên sử dụng mã hóa cho những dòng dữ liệu quan trọng đặc biệt, còn bình thường thì không cần vì việc mã hóa có thể ảnh hưởng xấu đến tốc độ, tăng gánh nặng cho bộ xử lý

• L2TP là dạng kết hợp của Cisco L2F và Mircosoft Point-to-Point Tunneling Protocol (PPTP) Microsoft hỗ trợ chuẩn PPTP và L2TP trong các phiên bản WindowNT và 2000

• L2TP được sử dụng để tạo kết nối độc lập, đa giao thức cho mạng riêng ảo quay số (Virtual Private Dail-up Network) L2TP cho phép người dùng có thể kết nối thông qua các chính sách bảo mật của công ty (security policies) để tạo VPN hay VPDN như là sự mở rộng của mạng nội bộ công ty.

• L2TP không cung cấp mã hóa

• L2TP là sự kết hợp của PPP(giao thức Point-to-Point) với giao thức L2F(Layer 2 Forwarding) của Cisco do đó rất hiệu quả trong kết nối mạng dial, ADSL, và các mạng truy cập từ xa khác Giao thức mở rộng này sử dụng PPP để cho phép truy cập VPN bởi những ngườI sử dụng từ xa

• Bằng việc kết nối nhiều mạng con với các giao thức khác nhau trong môi trường

có một giao thức chính GRE tunneling cho phép các giao thức khác có thể thuận lợi trong việc định tuyến cho gói IP

6.3 IPSec

• IPSec là một tập giao thức được phát triển bởi IETF để thực thi dịch vụ bảo mật trên các mạng IP chuyển mạch gói Internet là mạng chuyển mạch gói công cộng lớn nhất Công nghệ IPSec VPN được triển khai có một ý nghĩa quan trọng là tiết kiệm chi phí rất lớn so với mạng VPN sử dụng Leased-Line VPN

• Dịch vụ IPSec cho phép chứng thực, kiểm tra tính toàn vẹn dữ liệu, điều khiển truy cập và đảm bảo bí mật dữ liệu Với IPSec, thông tin được trao đổi giữa các site sẽ được mã hoá và kiểm tra IPSec có thể được triển khai cả trên hai loại VPN

là Remote Access Client và Site-to-Site VPN - IPSec cung cấp dịch vụ bảo mật sử dụng KDE cho phép thỏa thuận các giao thức và thuật tóan trên nền chính sách cục bộ (group policy) và sinh ra các khóa bảo mã hóa và chứng thực được sử dụng trong IPSec

6.4 Point to Point Tunneling Protocol (PPTP):

• Được sử dụng trện các máy client chạy HĐH Microsoft for NT4.0 và Windows 95+ Giao thức này đựơc sử dụng để mã hóa dữ liệu lưu thông trên Mạng LAN Giống như giao thức NETBEUI và IPX trong một packet gửI lên Internet PPTP dựa trên chuẩn RSA RC4 và hỗ trợ bởI sự mã hóa 40-bit hoặc 128-bit

• Nó không được phát triển trên dạng kết nốI LAN-to-LAN và giới hạn 255 kết nối tớI 1 server chỉ có một đường hầm VPN trên một kết nối Nó không cung cấp sự

mã hóa cho các công việc lớn nhưng nó dễ cài đặt và triển khai và là một giảI pháp truy cập từ xa chỉ có thể làm được trên mạng MS Giao thức này thì được dùng tốt trong Window 2000 Layer 2 Tunneling Protocol thuộc về IPSec

III Tường lửa bảo mật Firewall

1.Khái niệm Firewall

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhâp không mong muốn vào hệ thống Firewall được miêu tả như là hệ phòng thủ bao quanh với các “chốt” để kiểm soát tất cả các luồng lưu thông nhập xuất Có thể theo dõi và khóa truy cập tại các chốt này

Các mạng riêng nối với Internet thường bị đe dọa bởi những kẻ tấn công Để bảo

vệ dữ liệu bên trong người ta thường dùng Firewall Firewall có cách nào đó để cho phép người dùng hợp lệ đi qua và chặn lại những người dùng không hợp lệ Firewall có thể là thiết bị phần cứng hoặc chương trình phần mềm chạy trên host bảo đảm hoặc kết hợp cả hai Trong mọi trường hợp, nó phải có ít nhất hai giao tiếp mạng, một cho mạng mà nó bảo vệ, một cho mạng bên ngoài Firewall có thể là gateway hoặc điểm nối liền giữa hai mạng, thường là một mạng riêng và một mạng công cộng như là Internet Các firewall đầu tiên là các router đơn giản

2 Chức năng

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet Cụ thể là:

-Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet) -Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet)

-Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

-Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

-Kiểm soát người sử dụng và việc truy nhập của người sử dụng

-Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng

3 Phân loại

3.1 Firewall cứng

Tường lửa phần cứng là một lựa chọn hợp lý nếu bạn đang dùng các phiên bản Windows trước đây Nhiều điểm truy cập (access point) không dây sử dụng cho các mạng gia đình đều được đóng gói dưới dạng tổng hợp tất cả-trong-một, tích hợp các tường lửa phần cứng với các broadband router Việc dùng một tường lửa cho hệ thống mạng của bạn có thể đơn giản như việc thêm một máy trả lời điện thoại vào đường dây điện thoại của bạn Bạn chỉ cần đặt tường lửa vào kết nối Ethernet giữa modem cáp/DSL và máy tính của bạn (Đúng với hầu hết các loại tưởng lửa)

Đặc điểm của Firewall cứng:

-Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm quy tắc như firewall mềm)

-Có thể quản lý tập trung

-Đơn giản, dễ lắp đặt, cấu hình, quản lý

-Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng Transport).

-Firewall cứng không thể kiểm tra được nột dung của gói tin

Ví dụ Firewall cứng: NAT (Network Address Translate).

3.2 Firewall mềm

Có rất nhiều nhà cung cấp Tường lửa phần mềm mà bạn có thể sử dụng nếu bạn dùng các phiên bản Windows trước đây Các nhà cung cấp cũng có các loại tường lửa khác có thể

sử dụng trên Windows XP Dưới đây là danh sách một số nhà cung cấp:

-Internet Security Systems (ISS): BlackICE PC Protection

-Network Associates: McAfee Personal Firewall

-Symantec: Norton Personal Firewall

-Tiny Software: Tiny Personal Firewall

-Zone Labs: ZoneAlarm

Đặc điểm của Firewall mềm: Tính linh hoạt cao như là có thể thêm, bớt các quy

tắc, các chức năng Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng) Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa)

Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall…

4.Nguyên lý hoạt động của firewall

Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS …) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng Bộ lọc packet cho phép hay từ chối mỗi packet

mà nó nhận được Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó

có thỏa mãn một trong số các luật lệ của lọc packet hay không Các luật lệ lọc packet này

là dựa trên các thông tin ở đầu mỗi packet (header), dùng để cho phép truyền các packet

đó ở trên mạng Bao gồm:

-Địa chỉ IP nguồn(Source)

-Địa chỉ IP đích( Destination)

-Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)

-Cổng TCP/UDP nơi xuất phát

-Cổng TCP/UDP nơi nhận

-Dạng thông báo ICMP

-Giao diện packet đến

-Giao diện packet đi

Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì packet đó được chuyển qua, nếu không thỏa thì sẽ bị loại bỏ Việc kiểm soát các cổng làm cho Firewall

có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào được hệ thống mạng cục bộ Cũng nên lưu ý là do việc kiểm tra dựa trên header của các packet nên bộ lọc không kiểm soát được nội dụng thông tin của packet Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu Trong các phần sau chúng ta sẽ cùng tìm hiểu các kỹ thuật để vượt tường lửa

5 Ứng dụng của Firewall

Nếu máy tính của bạn không được bảo vệ, khi bạn kết nối Internet, tất cả các giao thông ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truy cập và lấy cắp thông tin cá nhân cuả bạn trên máy tính Chúng có thể cài đặt các đoạn mã để tấn công file dữ liệu trên máy tính Chúng có thể sử dụng máy tính cuả bạn để tấn công một máy tính của gia đình hoặc doanh nghiệp khác kết nối Internet Một firewall có thể giúp bạn thoát khỏi gói tin hiểm độc trước khi nó đến hệ thống của bạn

5.1 Nhiệm vụ của Firewall

Nhiệm vụ cơ bản của FireWall là bảo vệ những vấn đề sau :

-Dữ liệu: Những thông tin cần được bảo vệ do những yêu cầu về tính bảo mât, tính toàn vẹn và tính kịp thời.

-Tài nguyên hệ thống

-Danh tiếng của công ty sở hữu các thông tin cần bảo vệ

5.2 Đối tượng Firewall hướng đến

FireWall là hệ thống bảo vệ chống lại những sự tấn công từ bên ngoài

Tấn công trực tiếp:

-Cách thứ nhất là dùng phương pháp dò mật khẩu trực tiếp Thông qua các chương trình dò tìm mật khẩu với một số thông tin về người sử dụng như ngày sinh, tuổi, địa chỉ v.v…và kết hợp với thư viện do người dùng tạo ra, kẻ tấn công có thể dò được mật khẩu của bạn Trong một số trường hợp khả năng thành công có thể lên tới 30% Ví dụ như chương trình dò tìm mật khẩu chạy trên hệ điều hành Unix có tên là *****

-Cách thứ hai là sử dụng lỗi của các chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được để chiếm quyền truy cập (có được quyền của người quản trị hệ thống)

Nghe trộm: Có thể biết được tên, mật khẩu, các thông tin chuyền qua mạng thông

qua các chương trình cho phép đưa vỉ giao tiếp mạng (NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền qua mạng

Giả mạo địa chỉ IP: Là Hacker thường dùng cách này để mạo danh là máy tính

hợp pháp nhằm chiếm quyền điều khiển trình duyệt web trên máy tính bị tấn công

Vô hiệu hoá các chức năng của hệ thống (deny service): Đây là kiểu tấn công

nhằm làm tê liệt toàn bộ hệ thống không cho nó thực hiện các chức năng mà nó được thiết kế Kiểu tấn công này không thể ngăn chặn được do những phương tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng

Lỗi người quản trị hệ thống: Yếu tố con người với những tính cách chủ quan và

không hiểu rõ tầm quan trọng của việc bảo mật hệ thống nên dễ dàng để lộ các thông tin quan trọng cho hacker Ngày nay, trình độ của các hacker ngày càng giỏi hơn, trong khi

đó các hệ thống mạng vẫn còn chậm chạp trong việc xử lý các lỗ hổng của mình Điều

này đòi hỏi người quản trị mạng phải có kiến thức tốt về bảo mật mạng để có thể giữ vững an toàn cho thông tin của hệ thống Đối với người dùng cá nhân, họ không thể biết hết các thủ thuật để tự xây dựng cho mình một Firewall, nhưng cũng nên hiểu rõ tầm quan trọng của bảo mật thông tin cho mỗi cá nhân, qua đó tự tìm hiểu để biết một số cách phòng tránh những sự tấn công đơn giản của các hacker Vấn đề là ý thức, khi đã có ý thức để phòng tránh thì khả năng an toàn sẽ cao hơn.

CHƯƠNG II: BẢO MẬT KẾT NỐI VPN

I Vấn đề bảo mật mạng VPN

1.Những vấn đề bảo mật trong mạng riêng ảo

Nền tảng VPN có thể bị tấn công bằng rất nhiều cách Dưới đây là một số loại tấn công phổ biến vào và hệ thống VPN

- Các mối đe dọa an ninh cho các thành phần VPN

- Các cuộc tấn công các giao thức VPN

- Các cuộc tấn công mật mã

- Các cuộc tấn công từ chối dịch vụ

2.Tấn công các thành phần mạng riêng ảo

Thể hiện trong hình 2.1, các yếu tố quan trọng nhất của một thiết lập VPN bao gồm:

- Người dùng truy cập từ xa

- Kêt nối trong phân đoạn ISP

- Internet công cộng

- Gateway của mạng

Hình 2 1: Các yếu tố của một thiết lập dựa trên VPN

3 Tấn công giao thức mạng riêng ảo

Các giao thức VPN chính, PPTP, L2TP, và IPSec, cũng dễ bị tổn thương các mối

đe dọa an ninh Những phần sau mô tả về các cuộc tấn công trên các giao thức VPN

Tấn công trên PPTP

PPTP là dễ bị tổn thương trên hai khía cạnh Chúng bao gồm:

- Generic Routing Encapsulation (GRE)

- Mật khẩu trao đổi trong quá trình xác thực

Tấn công trên IPSec

Như chúng ta biết IPSec không phải là thuật toán mã hóa thuần túy cũng không phải một cơ chế xác thực Trong thực tế, IPSec là một sự kết hợp của cả hai và giúp các thuật toán khác bảo vệ dữ liệu

Tuy nhiên, IPSec là dễ bị các cuộc tấn công:

- Các cuộc tấn công chống lại thực hiện IPSec

- Tấn công chống lại quản lý khóa

- Các cuộc tấn công quản trị và ký tự đại diện

4 Tấn công mật mã

Mật mã như là một trong các thành phần bảo mật của một VPN Tùy thuộc vào các

kỹ thuật mật mã và các thuật toán khác nhau, các cuộc tấn công giải mã được biết là tồn tại Những phần sau tìm hiểu về một số cách thức tấn công giải mã nổi tiếng:

- Chỉ có bản mã (ciphertext-Only)

- Tấn công biết bản rõ (know plaintext attacks)

- Tấn công lựa chọn bản rõ

- Man-in-the-Middle (tấn công trung gian)

- Tấn công Brute Force (duyệt toàn bộ)

- Tấn công thời gian (Timing attacks)

5 Tấn công từ chối dịch vụ

Các cuộc tấn công DoS đang trở nên khá phổ biến ngày này vì nó không yêu cầu bất kỳ phần mềm đặc biệt hoặc truy cập vào mạng mục tiêu Chúng được dựa trên khái niệm của sự tắc nghẽn mạng Bất kỳ kẻ xâm nhập có thể gây ra tắc nghẽn mạng bằng cách gửi các tải các dữ liệu rác vào mạng Điều này làm cho các máy tính mục tiêu không thể được truy cập trong một khoảng thời gian bởi đường truyền bị quá tải hoặc máy tính mục tiêu không thể phục vụ do quá tải Tình trạng quá tải thông tin thậm chí có thể dẫn đến việc sụp đổ của máy tính mục tiêu

Hình 2.2 minh họa làm thế nào tin tặc có thể gây ra tắc nghẽn mạng bằng cách gửi các dữ liệu giả vào mạng

Hình 2.2: Tin tặc gây nghẽn mạng

Một số phương pháp thường được sử dụng để bắt đầu cuộc tấn công DoS như sau:

- SYN Floods (lụt gói SYN)

- Broadcast Storm (bão gói tin quảng bá)

- Xác thực bằng mật khẩu

- Hệ thống điều khiển truy cập TASCAS

- Hệ thống xác thực người dụng quay số RADIUS

Kiểm chứng danh tính và nguồn gốc: xem xét mẩu tin có đúng do người xưng tên gửi không hay một kẻ mạo danh nào khác gửi

Không chối từ bản gốc: trong trường hợp cần thiết, bản thân mẩu tin chứa các thông tin chứng tỏ chỉ có người xưng danh gửi, không một ai khác có thể làm điều đó Như vậy người gửi không thể từ chối hành động gửi, thời gian gửi và nội dung của mẩu tin

Với mong muốn đáp ứng các yêu cầu trên, có 3 hàm lựa chọn sau đây được sử dụng:

+ Mã mẩu tin bằng mã đối xứng hoặc mã công khai

+ Mã xác thực mẩu tin (MAC): dùng khoá và một hàm nén mẩu tin cần gửi để nhận được một đặc trưng đính kèm với mẩu tin và người gửi đó

+ Hàm hash (hàm băm) là hàm nén mẩu tin tạo thành “dấu vân tay” cho mẩu tin

3 Một số công nghệ bảo mật bổ sung

3.1.Công nghệ SSL/TLS

a Giao thức SSL

Giao thức Secure Socket Layer (SSL), ban đầu định hướng là nhằm mục đích bảo

vệ thông tin trao đổi giữa Client và Server trong các mạng máy tính, là giao thức tầng phiên, nó sử dụng các phương pháp mật mã cho việc bảo vệ thông tin Dữ liệu được truyền được giữ bí mật bằng việc mã hoá, trong khi việc tạo và kiểm tra chữ ký số đảm bảo tính xác thực và toàn vẹn thông tin

Trong giao thức SSL có sự kết hợp của mật mã đối xứng và bất đối xứng Các thuật toán mật mã bất đối xứng như: RSA và thuật toán Diffie – Hellman Các hàm băm như: MD5, SHA1 Các thuật toán mật mã đối xứng được hỗ trợ là RC2, RC4 và 3DES SSL hỗ trợ các chứng chỉ số thoã mãn chuẩn X.509

Thủ tục thăm dò trước (bắt tay) được thực hiện trước khi bảo vệ trực tiếp sự trao đổi thông tin

Khi thực hiện thủ tục này, các công việc sau được hoàn tất:

TLS được phát triển nhờ sử dụng SSL, giống như SSL, TLS cho phép các Server

và Client cuối liên lạc một cách an toàn qua các mạng công cộng không an toàn Thêm vào các khả năng bảo mật được cung cấp bởi SSL, TLS cũng ngăn chặn kẻ nghe trộm, giả mạo, chặn bắt gói tin

Trong các kịch bản mạng riêng ảo, SSL và TLS có thể được thực thi tạo Server VPN cũng như tại Client đầu cuối Tầng phiên là tầng cao nhất của mô hình OSI có khả năng tạo các kết nối mạng riêng ảo Lúc tạo các mạng riêng ảo trên tầng phiên, nó có

khả năng đạt hiệu suất cao và các tham số về mặt chức năng cho việc trao đổi thông tin, kiểm soát truy cập là đáng tin cậy và dễ dàng quản trị

Như vậy, lúc tạo các mạng riêng ảo trên tầng phiên, ngoài việc bổ sung thêm sự bảo vệ bằng mật mã (bao gồm cả xác thực), nó cũng có khả năng thực thi các công nghệ Proxy SSL/TSL là hai giao thức thông dụng nhất hiện nay

3.2 Tường lửa

VPN thực chất chỉ là 1 mạng ảo, môi trường thực hiện vẫn là Internet mà Internet thì vô cùng phức tạp và nguy hiểm vì vậy cần phải có sự can thiệp của tường lửa để bảo

vệ cho hệ thống đảm bảo tính bảo mật 1 cách an toàn nhất

Tường lửa ( Firewall ) dùng để bảo mật mạng nội bộ chống lại những cuộc tấn công vào lưu lượng trên mạng và những kẻ phá hoại Tường lửa có thể phân biệt các lưu lượng dựa trên cơ cở người dùng, trình ứng dụng hoặc nguồn gốc Tường lửa (firewall)

là rào chắn vững chắc giữa mạng riêng và Internet

Có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức

được chuyển qua

III Bảo mật VPN kết hợp Firewall

1 Bảo mật mạng VPN kết hợp Firewall

Mạng riêng ảo cung cấp một phương tiện cho việc sử dụng một cơ sở hạ tầng dùng chung như Internet để chia sẻ thông tin một cách an toàn giữa các trang web, các chi nhánh của một doanh nghiệp, đối tác kinh doanh và nhân viên Một hệ thống VPN an toàn và hiệu quả nên có :

1 Thực thi chính sách an ninh mạng tổng thể

2 Đảm bảo rằng lưu lượng VPN là tùy thuộc vào mạng lưới kiểm soát truy cập

3 Bảo vệ các cổng VPN từ các mối đe dọa an ninh

4 Cung cấp một kiến trúc tổng thể tối ưu hóa hiệu suất VPN và tường lửa

5 Thích ứng môi trường mạng rất năng động và phát triển

6 Đơn giản hóa việc quản trị mạng và quản lý

Tích hợp giải pháp VPN tường lửa có thể đáp ứng các yêu cầu quan trọng trên bằng cách:

- Bảo vệ khỏi các mối đe dọa Internet : Với giải pháp tích hợp VPN / tường lửa, các

cuộc tấn công sẽ được phát hiện và xử lý bởi tường lửa được tích hợp

- Kiểm soát truy cập cho tất cả các giao thông: Vị trí của cổng VPN nằm bên trong

thiết bị kiểm soát truy cập cho phép lưu lượng VPN được bảo vệ tốt hơn Khi bức tường

lửa và VPN chia sẻ thông tin người dùng, cá nhân và các nhóm được xác định trước có thể sử dụng các nguồn lực và dịch vụ mà họ đang truy cập nhan đề Tất cả lưu lượng VPN sẽ được giải mã và kiểm tra để đảm bảo rằng chỉ có nội dung phù hợp mới được thông qua bức tường lửa.

- Quản lý tập trung : Triển khai tích hợp VPN giúp đơn giản hóa việc quản trị một

chính sách an ninh, đặc biệt là trong môi trường nhiều bức tường lửa và VPN gateway được yêu cầu Cập nhật cơ sở dữ liệu và thay đổi chính sách bảo mật có thể được đồng thời áp dụng cho tất cả các VPN / tường lửa, giảm thiểu khả năng lỗi cấu hình Ngoài ra, giải pháp tích hợp VPN/tường lửa cho phép người sử dụng những thông tin quan trọng

để chia sẻ giữa nhiều ứng dụng mạng trong toàn doanh nghiệp

- Đăng nhập hợp nhất : Đó chỉ là những giải pháp tích hợp mạng rằng đối tượng,

người sử dụng, dịch vụ và quản trị dữ liệu được chia sẻ bởi các cổng VPN và tường lửa

có thể được thừa hưởng Bằng cách này, tất cả các thông tin kiểm toán có sẵn trong file log thống nhất

- Khả năng mở rộng kiến trúc : Để mở rộng địa lý của mạng lưới các văn phòng chi

nhánh và khách hàng, các doanh nghiệp đòi hỏi giải pháp VPN có khả năng mở rộng quy

mô Giải pháp VPN / tường lửa có thể được giới thiệu vào mạng VPN một cách hoàn hảo

và hầu như không có sự gián đoạn cho hoạt động mạng

- Đơn giản hóa định tuyến : Khi dữ liệu đi qua các thiết bị mạng, mỗi con đường có

thể được thể hiện như một mục bảng định tuyến Khi nguồn tài nguyên được thêm vào một mạng, bảng định tuyến phải được tăng cường để trực tiếp truyền tải đến các bức tường lửa và VPN gateway Tích hợp VPN và tường lửa đơn giản hóa nhiệm vụ này bằng cách loại bỏ sự cần thiết phải duy trì các tuyến đường riêng biệt để đến các thiết bị này

- Hiệu suất : Tích hợp VPN / tường lửa có thể cung cấp hiệu suất tương đương hoặc cao

hơn VPN đọc lập bao gồm thông lượng, hỗ trợ kết nối đồng thời và chất lượng dịch vụ Tích hợp VPN / tường lửa có thể tối ưu hóa hiệu suất thông qua:

1 Mật mã tăng tốc

2 Tích hợp Quản lý băng thông - những giải pháp giải quyết vấn đề tắc nghẽn mạng bằng cách cho phép các doanh nghiệp ưu tiên bang thông cho kinh doanh quan trọng trong giao thông tùy ý và do đó tối ưu hóa sử dụng các liên kết WAN sẵn Một số giải pháp VPN tích hợp kết hợp quản lý băng thông, VPN, tường lửa và Network Address

Translation (NAT) biên tập chính sách vào một ứng dụng tích hợp duy nhất Kết quả là, các quản trị viên có thể nhanh chóng và đơn giản là mở rộng một tường lửa hoặc chính sách VPN để bao gồm quản lý băng thông.

2.Mô hình VPN kết hợp Firewall

Mô hình 1 :

HÌnh 3.1 Vị trí gateway VPN đặt trước firewall

Một cổng VPN đặt ở phía trước tường lửa có vẻ như một ý tưởng tốt lúc đầu Cấu hình này cho phép lưu lượng VPN phải được kiểm tra bởi các bức tường lửa trước khi nó được chuyển tiếp đến các mạng tin cậy Tuy nhiên, có vấn đề với cách bố trí này:

Mối đe dọa từ Internet :

Thiết bị VPN đặt ở phía trước của bức tường lửa dễ bị đe dọa từ Internet Với cấu hình này, nếu một gateway VPN bị tổn hại bởi một cuộc tấn công như vậy, tất cả các thông tin liên lạc VPN sẽ chấm dứt, hoặc tệ hơn nữa, có thể được truyền rõ ràng Đây là một kịch bản có khả năng tai hại cho khách hàng và đối tác kinh doanh khi sử dụng công nghệ VPN

Mô hình 2 :

Hình 3.2 Vị trí gateway VPN đặt sau firewall

Đặt độc lập gateway VPN phía sau tường lửa là một phương pháp giảm nhẹ tiếp xúc với các mối đe dọa bảo mật Internet bằng cách cho phép bức tường lửa để bảo vệ nó Mặc dù, tiền đề này là hợp lý, sự thật mô hình này vẫn có những thiếu sót an ninh nghiêm trọng

Mô hình 3

HÌnh 3.3 Gateway VPN đặt trong vùng DMZBằng cách Đặt Gateway VPN trong vùng DMZ, lưu lượng VPN có thể được chuyển tiếp đến các bức tường lửa sau khi giải mã để xác định kiểm soát truy cập có thể được thực hiện, đồng thời bảo vệ các gateway VPN mối đe dọa từ Internet Những lợi ích này đang nhanh chóng giảm tuy nhiên, do mạng lưới phức tạp.

CHƯƠNG III.BẢO MẬT KẾT NỐI VPN BẰNG XÁC THỰC VÀ FIREWALL I.Mạng hiện tại

1.Sơ đồ

2.Hạn chế

Thông tin khi truyền từ mạng trung tâm đến mạng chi nhánh Mặc dù thông tin khi truyền

đi với kết nối VPN đã được mã hóa,nhưng những người dùng khác với mục đích xấu có thể dễ dàng xâm nhập và đánh cắp những thông tin này

Hệ thống này cũng rất kém bảo mật khi những người dùng trong công ty cũng có thể làm thất thoát tài sản thông tin của công ty mình ra bên ngoài

Lưu lượng VPN có thể được chuyển tiếp đến các bức tường lửa sau khi giải mã để xác định kiểm soát truy cập có thể được thực hiện, đồng thời bảo vệ các gateway VPN mối đe dọa từ Internet

Với xác thực RADIUS, thông tin khi gửi từ mạng chi nhánh đến mạng trung tâm đều đảm bảo tính trung thực

III Các bước cài đặt-cấu hình:

1.Chuẩn bị

Tạo group name: VPN