Tìm hiểu về công nghệ mạng riêng ảo vpn – các giao thức đường hầm và bảo mật

Khi kết nối quay số giữa máy chủ truy cập mạng với máy khách, PPTP sử dụng PPP để: Thiết lập và kết thúc kết nối vật lý; Xác thực người dùng; Tạo các gói dữ liệu PPP tạo nên một mạng ri

004.6 TRƯỜNG ĐẠI HỌC VINH

KHOA CÔNG NGHỆ THÔNG TIN

-

LỜI MỞ ĐẦU

Hiện nay, Công nghệ thông tin đã góp một phần không thể thiếu vào sự phát triển chung của xã hội Các doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia hoạt động phải trao đổi thông tin với khách hàng, đối tác, nhân viên của họ Công nghệ mạng riêng ảo VPN ra đời cho phép và đảm bảo an toàn khi trao đổi thông tin giữa các chi nhánh, các đối tác và khách hàng

Với đề tài: “Tìm hiểu về Công nghệ mạng riêng ảo VPN - Các giao thức đường hầm và bảo mật” trong Đồ án Tốt nghiệp để giúp em có được kinh nghiệm về lĩnh vực mạng và ứng dụng công nghệ mạng VPN vào thực tế

Nội dung đề tài tìm hiểu về Công nghệ mạng riêng ảo VPN bao gồm 3 chương: Trọng tâm của chương 1 là tìm hiểu tổng quan về công nghệ mạng riêng ảo VPN, phân loại VPN và các ưu-nhược điểm khi sử dụng VPN Tìm hiểu các giao thức và hoạt động của các giao thức đường hầm (L2F, PPTP, L2TP, IPSec) trong VPN Những vấn đề bảo mật trong VPN như mật mã và xác thực, các giải pháp và thuật toán được

áp dụng

Tiếp theo chương 2, trình bày những thành phần cơ bản của VPN, các vấn đề khi xây dựng VPN Các bước để xây dựng mạng VPN Những vấn đề về quản lý bảo mật, quản lý địa chỉ và quản lý hiệu năng

Kết thúc chương 3, tiến hành cài đặt mô hình VPN theo kiểu Client to Site

Em xin chân thành cảm ơn Tiến sĩ Nguyễn Ngọc Hiếu, Giảng viên Trường Đại Học Vinh và các anh chị ở Công ty TNHH TMDV và phát triển công nghệ Bệnh viện máy tính Huy Mạnh, chi nhánh tại Thành phố Vinh đã nhiệt tình giúp đỡ và hướng dẫn

em hoàn thành đề tài

CHƯƠNG 1 TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG ẢO VPN

Công nghệ mạng riêng ảo (VPN - Virtual Private Network) là một kỹ thuật kết nối mạng được thực hiện dựa vào cơ sở hạ tầng mạng công cộng (Internet) VPN được chia làm 2 kiểu chính: mạng riêng ảo kiểu tin tưởng và mạng riêng ảo an toàn

Mạng riêng ảo kiểu tin tưởng xây dựng dựa trên các đường dây thuê của một nhà cung cấp dịch vụ với hoạt động như một đường dây trong một mạng cục bộ Mọi dữ liệu của khách hàng được đảm bảo an toàn và bảo mật

Mạng riêng ảo an toàn sử dụng mật mã để bảo mật dữ liệu Dữ liệu được mật mã rồi truyền trong một đường hầm bảo mật mạng công cộng và được giải mã ở đích Do vậy, dữ liệu sẽ được an toàn

1.1 Khái niệm về mạng riêng ảo (Vitual Private Network – VPN )

Mạng riêng ảo là kết nối các địa điểm hoặc người dùng từ xa với một mạng LAN

ở trụ sở trung tâm Khi đó, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với một địa điểm hoặc người dùng từ xa Đó là kết nối động, không có ổ cứng và xảy ra khi lưu lượng mạng truyền qua

Router

Mạng riêng (LAN)

Mạng riêng (LAN)

Hình 1.1: Mô hình VPN Đây là kiểu mạng riêng ảo kiểu an toàn, áp dụng hệ thống mạng Internet cho việc truyền dữ liệu giữa các địa điểm của các công ty Cùng với công nghệ mạng thông minh cho phép thiết lập VPN kết nối riêng với những người dùng ở xa, các văn phòng, chi nhánh của công ty, đối tác đang sử dụng chung một mạng công cộng

1.2 Lịch sử phát triển của VPN

Dựa theo yêu cầu của khách hàng là phải đảm bảo kết nối hiệu quả với các tổng đài thuê bao thông qua mạng diện rộng Thay vì hệ thống điện thoại nhóm hay mạng cục bộ sử dụng các đường thuê riêng để trao đổi thông tin

Các giai đoạn phát triển của VPN:

+ Giai đoạn 1 (1975 – 1985), Franch Telecom đưa ra dịch vụ tính cước Colisee

có nhiều văn phòng, chi nhánh lựa chọn

1.3 Chức năng, ƣu điểm và nhƣợc điểm của VPN

1.4 Phân loại mạng VPN

Dựa vào các yêu cầu cơ bản sau:

+ Khả năng truy cập từ xa

+ Khả năng điều khiển quyền truy nhập của khách hàng, nhà cung cấp dịch vụ VPN được phân thành 3 loại: VPN truy cập từ xa, VPN cục bộ và VPN mở rộng

1.4.1 Mạng VPN truy nhập từ xa (Remote Access VPN)

VPN truy nhập từ xa cho phép khả năng truy cập từ xa an toàn thông qua Internet giữa các chi nhánh, văn phòng, người dùng di động Bằng cách sử dụng công nghệ quay số, IP di động, DSL, công nghệ cáp và các phần mềm hỗ trợ người dùng

POP

DSL cable

 Các ưu điểm của mạng VPN truy nhập từ xa:

+ Không cần sự hỗ trợ của nhân viên mạng

+ Giảm được các chi phí cho kết nối từ xa

+ Tốc độ kết nối cao, khả năng truy cập tốt hơn

 Nhược điểm của mạng VPN truy nhập từ xa:

+ Không hỗ trợ các dịch vụ đảm bảo chất lượng dịch vụ

+ Khả năng bị mất dữ liệu cao

Hình 1.3: Mô hình mạng VPN cục bộ

 Ưu điểm:

+ Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập

+ Giảm được số nhân viên kỹ thuật hỗ trợ mạng

+ Dễ dàng thiết lập thêm một kết nối ngang hàng mới thông qua mạng Internet + Tiết kiệm chi phí bằng cách dùng đường hầm VPN dựa trên Internet với công nghệ chuyển mạch tốc độ cao (công nghệ ATM, chuyển tiếp khung)

 Nhược điểm:

+ Khả năng mất gói dữ liệu cao

+ Chưa đảm bảo được với khối lượng dữ liệu lớn và tốc độ

1.4.3 Mạng VPN mở rộng (Extranet VPN)

VPN mở rộng được tạo bởi một đường hầm bảo mật giữa các khách hàng, nhà cung cấp và đối tác qua mạng Internet Kiểu VPN này được cấu hình theo kiểu VPN Site-to-Site Khác nhau giữa một VPN cục bộ và một VPN mở rộng là khả năng truy cập được công nhận ở một trong hai đầu cuối của VPN

Intranet

DSL cable

DSL

Hình 1.4: Mô hình mạng VPN mở rộng

 Ưu điểm:

+ Chi phí thấp, dễ thiết lập và bảo trì

+ Giảm số lượng nhân viên kỹ thuật hỗ trợ mạng

+ Linh hoạt khi cung cấp dịch vụ

1.5.1 Giao thức định hướng lớp 2 (Layer 2 Forwarding – L2F)

Giao thức định hướng lớp 2 tạo bởi Cisco phát triển dựa trên giao thức PPP (Point-to-Point Protocol) L2F dùng cho dịch vụ quay số ảo bằng việc tạo ra một đường hầm bảo mật (đóng gói và định hướng lớp liên kết dữ liệu) dựa trên mạng Internet

 Ưu điểm:

+ Cho phép thiết lập đường hầm nhiều giao thức và nhiều nhà cung cấp

 Nhược điểm:

+ Không có điều khiển luồng cho đường hầm

+ Không được mã hoá và yếu khi xác thực người dùng

+ NAS: Hướng lưu lượng đến và đi từ Remote client, Home gateway

+ Tunnel: Định hướng đường đi giữa NAS và Home gateway

+ Home gateway: Ngang hàng với NAS

+ Kết nối: Là một kết nối PPP trong đường hầm tạo nên một phiên của L2F + Điểm đích: Là điểm kết thúc ở đầu xa của đường hầm

Remote User

RADIUS Server

gateway Data

Tunnel

Mạng riêng Mạng của ISP

+ Nếu có thì NAS thu nhận địa chỉ của cổng đích (Home gateway)

+ Khi đó sẽ tạo ra một đường hầm từ NAS tới cổng đích gồm: nhận thực từ ISP tới cổng đích để tránh bị tấn công

+ Kết nối PPP mới được tạo ra trong đường hầm kéo dài thành một phiên PPP khi người dùng ở xa truy cập đến Home gateway

+ Khi NAS tiếp nhận dữ liệu từ người dùng sẽ đóng gói lưu lượng vào một khung L2F và đẩy vào trong đường hầm

+ Tại Home gateway, L2F tách bỏ khung, đóng gói dữ liệu đẩy tới mạng công ty

+ Điều khiển những điểm đích, đường hầm, phiên mới

+ Cho phép chọn lựa những điểm đích, đường hầm, phiên

+ Thiết lập thời gian chờ hệ thống và lưu trữ dữ liệu vào của những đường hầm

1.5.2 Giao thức đường hầm điểm-điểm PPTP (Point to point Tunneling Protocol)

Giao thức đường hầm điểm–điểm được đưa ra bởi một nhóm các công ty được gọi là PPTP Forum gồm: Ascend comm, Microsoft, ECI Telematicsunication và US Robotic Hoạt động dựa trên chức năng truy cập từ xa với cơ sở hạ tầng Internet để tạo kết nối bảo mật giữa mạng riêng và người dùng từ xa

Giao thức PPTP được tạo ra dựa trên chức năng của PPP với khả năng quay số truy cập tạo nên một đường hầm bảo mật thông qua Internet đến đích PPTP áp dụng giao thức bọc gói định tuyến chung GRE và được xác thực bởi PAP và CHAP

 Kiến trúc và hoạt động của PPTP

Giải thuật mã hóa

Giải thuật xác thực

Bọc gói định tuyến chungHình 1.6: Kiến trúc của PPTP Khi một kết nối PPP được tạo ra thì người dùng đã được xác thực và thực hiện bởi PAP, CHAP Tức là mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản và không có bảo mật để tránh khỏi bị tấn công

Khi kết nối quay số giữa máy chủ truy cập mạng với máy khách, PPTP sử dụng

PPP để: Thiết lập và kết thúc kết nối vật lý; Xác thực người dùng; Tạo các gói dữ liệu

PPP tạo nên một mạng riêng ảo VPN truy cập từ xa

Mạng riêng đựoc bảo vệ

Gói dữ liệu IP,IPX, NETBEUI

Tiêu đề GRE Tiêu đề môi trường khung

Tiêu đề IP Tiêu đề phân phối môi trường

Khung Ethernet Gói tải PPP

Truy cập từ xa của ISP Mạng riêng ảo VPN

Hình 1.7: Giao thức kết nối PPTP Các gói dữ liệu IP này được đóng gói bởi tiêu đề GRE, dùng số ID của Host để điều khiển truy cập và tốc độ dữ liệu truyền trong đường hầm

PPTP hoạt động ở lớp liên kết dữ liệu do đó phải có tiêu đề môi trường truyền trong gói để biết gói dữ liệu truyền trong đường hầm phương thức, Ethernet,PPP PPTP điều khiển tốc độ làm giới hạn số lượng dữ liệu truyền đi và tránh mất gói

 Cấu trúc gói của PPTP

+ Đóng gói dữ liệu đường hầm PPTP

+ Xử lý dữ liệu đường hầm PPTP

 Đường hầm PPTP: cho phép nhà cung cấp dịch vụ và người dùng tạo ra 2 loại đường hầm , bao gồm

+ Đường hầm tự nguyện: được tạo ra theo yêu cầu người dùng bởi một đường

hầm bảo mật bởi Internet và truy cập đến một Host trên Internet bằng giao thức TCP/IP để đảm bảo toàn vẹn dữ liệu

+ Đường hầm bắt buộc: được tạo ra bởi máy chủ xuyên suốt quá trình trao đổi

thông qua việc điều khiển truy cập dịch vụ(RAS)

Internet

Client Client

Computer

Computer Computer

Mạng riêng được bảo vệ Đường hầm

bắt buộc

Hình 1.8 : Đường hầm bắt buộc và đường hầm tự nguyện

 Xác thực người dùng quay số từ xa (RADIUS)

RADIUS (Remote Authentication Dial-In User Service) dùng để xác thực bảo mật và quản trị các kết nối mạng từ xa của các người dùng trong phiên làm việc Đó là việc xác thực và cấp quyền cho điều khiển truy cập dịch vụ trong đường hầm

 Xác thực và mã hoá trong PPTP

Tại các máy khách của PPTP và RAS được hỗ trợ xác thực CHAP, PAP, CHAP - sử dụng hàm băm MD4 tạo thẻ bài thách đố từ mật khẩu của người dùng để tránh bị mất dữ liệu

MS-PPTP: các dữ liệu được mã hoá gói theo kiểu mã hóa điểm-điểm của Microsoft dựa trên chuẩn RSA,…

 Đường hầm kết nối LAN-LAN trong PPTP

Đó là việc tạo ra đường hầm tự nguyện giữa hai site, máy chủ PPTP tại mỗi site

sẽ xác thực lẫn nhau: vai trò của máy chủ PPTP trở thành client PPTP của máy chủ PPTP bên kia và ngược lại

Internet

Máy chủ

Computer Computer

Mạng riêng đựoc bảo vệ

Máy chủ PPTP Computer

Computer Computer

Mạng riêng được bảo vệ

Máy chủ mạng PPTP Mạng riêng

được bảo vệ

Mạng riêng

Kết nối LAN-LAN

Client PPTP

Client PPTP

Bộ tập trung truy cập mạng PPTP

Kết nối Client -LAN NAS

Hình 1.10: Các thành phần cơ bản của một VPN sử dụng PPTP

+ Máy chủ PPTP: là điểm kết nối của đường hầm PPTP, chuyển và lọc các gói

PPTP đến từ đường hầm tới mạng LAN riêng bảo vệ

+ Phần mềm client PPTP: Các thiết bị phần cứng và phần mềm do nhà cung cấp dịch vụ cho các client

+ Máy chủ truy cập mạng RAS Là máy chủ truy cập từ xa (Remote Access

Server) cho phép truy cập đường dây dựa trên phần mềm và có khả năng tính cước và chịu lỗi khi nhiều người dùng quay số truy cập vào cùng lúc

1.5.3 Giao thức đường hầm lớp 2 - L2TP (Layer 2 Tunneling Protocol)

Giao thức đường hầm lớp 2 L2TP được gộp giữa hai giao thức PPTP và chuyển tiếp lớp 2 và đã được đăng ký chuẩn hoá tại IETF

L2TP là giao thức đường hầm sử dụng tiêu đề đóng gói riêng cho việc truyền các gói ở lớp 2 mà không phụ thuộc vào IP và GRE, cho phép làm việc ở môi trường vật

lý khác nhau (Frame Relay, ATM) và dùng TACACS+ và RADIUS để xác thực

 Kiến trúc và hoạt động của L2TP

Giao thức L2TP gồm: giao thức điểm-điểm, đường hầm, hệ thống xác thực và mã hoá L2TP sử dụng quản lý khoá để tăng khả năng bảo mật

Hình 1.11: Kiến trúc của L2TP

 PPP và L2TP

L2TP hoạt động dựa trên PPP để tạo kết nối quay số giữa máy khách và máy chủ truy cập mạng L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành giai đoạn xác thực ban đầu, tạo gói dữ liệu PPP và đóng kết nối khi kết thúc phiên làm việc

L2TP điều khiển luồng giữa máy chủ truy cập mạng và máy chủ của mạng riêng

Mạng riêng đựoc bảo vệ

Gói dữ liệu IP, IPX, NETBEUI

Tiêu đề IP Tiêu đề môi trường khung

Tiêu đề phân phối môi trường (IP, ATM, X.25)

Khung Ethernet Gói tải PPP

Truy cập từ xa của ISP Mạng riêng ảo VPN

Hình 1.12: Các giao thức sử dụng trong một kết nối L2TP

 Cấu trúc gói dữ liệu L2TP

+ Đóng gói dữ liệu đường hầm L2TP

+ Xử lý dữ liệu đường hầm L2TP trên nền IPSec

 Đường hầm L2TP bao gồm đường hầm tự nguyện và đường hầm bắt buộc với

chức năng giống với PPTP Tuy nhiên, L2TP cho phép sử dụng đồng thời mở đồng thời hai đường hầm cùng lúc thông qua mạng Internet

L2TP sử dụng lớp đường hầm PPTP đảm bảo tính riêng tư và toàn vẹn dữ liệu

 Xác thực và mã hóa trong L2TP

Xác thực tại máy chủ của nhà cung cấp dịch vụ (ISP)

Tại máy chủ của mạng riêng chấp nhận hay từ chối cuộc gọi và từ ISP chuyển tới mang thông tin xác thực

Nếu cuộc gọi được chấp nhận thì máy chủ thực hiện xác thực ở lớp PPP và quay

số truy cập vào máy chủ đích

Chính vì vậy ta phải có một giao thức quản lý khoá để mã hóa

 Đường hầm kết nối LAN-LAN trong L2TP

Đường hầm tạo thành giữa hai máy chủ L2TP và một trong 2 máy chủ được kết nối tới ISP để tạo phiên làm việc PPP

Internet

Máy chủ L2TP Computer

Computer Computer

Mạng riêng đựoc bảo vệ

Máy chủ L2TP Computer

Computer Computer

Mạng riêng được bảo vệ

Hình 1.13: Đường hầm kết nối LAN-LAN trong L2TP

 Quản lý khoá trong L2TP

Yêu cầu để hai bên trao đổi dữ liệu an toàn thì cả hai bên đều chung giải thuật mã hoá, chiều dài từ khoá, một khoá dữ liệu bằng bảo mật kết hợp SA

Máy chủ mạng L2TP Mạng riêng

được bảo vệ

Mạng riêng được bảo vệ

Kết nối LAN-LAN

Client L2TP

Client L2TP

Bộ tập trung truy cập mạng L2TP

Kết nối Client -LAN

Hình 1.14: Các thành phần cơ bản của L2TP

+ Máy chủ mạng L2TP: là điểm kết thúc của đường hầm PPTP và chuyển các

gói đến từ đường hầm đến mạng LAN riêng và ngược lại L2TP không có khả năng lọc các gói mà được thực hiện bởi tường lửa

+ Phần mềm client L2TP: tích hợp sẵn trên các thiết bị của nhà cung cấp dịch

vụ hỗ trợ với kết nối chuẩn PPP

+ Các bộ tập trung truy cập mạng: Được cài một NAS cho phép hỗ trợ các

client L2TP chạy trên hệ điều hành (Unix, Windows, Macintosh)

1.5.4 Giao thức bảo mật IP – IPSEC (Internet Protocol Security)

 Khung giao thức IPSEC

IPSEC là tập hợp nhiều tiêu chuẩn mở, được phát triển bởi IETF để thiết lập tính bảo mật, tính toàn vẹn dữ liệu và xác thực giữa các thiết bị ngang hàng (Host, cổng nối)

Hình 1.15: Khung giao thức được sử dụng trong IPSec Trong đó:

+ Giao thức bảo mật IP (IPSec): AH và ESP

+ Mã hoá bản tin: DES và 3 DES

+ Toàn vẹn bản tin: HMAC, MD5 và SHA-1

+ Xác thực đối tác: RSA

+ Quản lý khóa: DH và CA

+ Kết hợp an ninh: IKE và ISAKMP

 Hoạt động của IPSEC

IPSEC dùng để bảo vệ luồng dữ liệu mong muốn với các dịch vụ bảo mật cần thiết IPSEC thực hiện 5 bước sau:

Hình 1.16: Hoạt động của IPSEC

Theo mô hình trên, khi A gửi lưu lượng cần bảo vệ tới B:

+ Router A và B thoả thuận một phiên trao đổi IKE Phase 1 IKE SA

← IKE Phase → IKE SA

+ Router A và B thoả thuận một phiên trao đổi IKE Phase 2

IPSec SA ← IKE Phase → IPSec SA

+ Thông tin được truyền dẫn qua đường hầm IPSec

+ Kết thúc đường hầm IPSec

Khi IPSec SA kết thúc khi bị xoá hoặc hết hạn Một SA hết hạn khi lượng thời gian hết hoặc một số lượng Byte nhất định đã truyền qua đường hầm Khi các SA kết thúc, các khoá bị huỷ Các IPSec SA được thiết lập, một IKE Phase 2 mới sẽ thực hiện

và thoả thuận một IKE Phase 1 mới Nếu thành công thì sẽ tạo ra các SA và khoá mới

 Ƣu điểm của IPSec:

+ Không cần phải thay đổi phần mềm hay cấu hình lại dịch vụ khi IPSec được thiết lập

+ Giảm bớt phức tạp mà người dùng phải thực hiện khi có kết nối thiết lập

Nhƣợc điểm của IPSec:

+ Không thích hợp cho mạng có nhiều đối tượng di động

+ IPSec ở chế độ đường hầm chỉ để điều khiển lưu lượng IP

+ Khó khăn cho việc xử lý ở các máy trạm với nhiều thuật toán phức tạp

+ Hạn chế về thương mại sản phẩm phần mềm hỗ trợ

1.6 Bảo mật trong VPN

Để dữ liệu trong mạng VPN được bảo mật, hai quá trình được thự hiện là xác thực (Authentication) và mật mã (Encryption)

- Hệ thống mật khẩu một lần: Khi người dùng đăng nhập vào thì hệ thống sẽ cấp

tự động cho một mật khẩu mới cho mỗi phiên làm việc

+ Giao thức xác thực mật khẩu - PAP (Password Authentication Protocol)

Sử dụng cho một máy tính tự xác thực đến một máy tính khác khi giao thức điểm-điểm PPP được dùng làm giao thức truyền thông

PAP là một giao thức bắt tay hai chiều: máy tính chủ tạo kết nối gửi nhận dạng người dùng và mật khẩu kép đến hệ thống đích và sau đó hệ thống đích xác thực và chấp nhận cho việc truyền thông

+ Giao thức xác thực yêu cầu bắt tay CHAP (Challenge Handshake Authentication Protocol)

Người dùng

Máy tính xác thực

Yêu cầu truy cập Thách đố Đáp ứng

Cho phép

1

3 2

Hình 1.17: Hệ thống đáp ứng thách đố người dùng CHAP sử dụng như PAP, bảo mật tốt hơn đối với xác thực các kết nối PPP Đây

là một giao thức bắt tay ba chiều:

- Kiểm tra một kết nối;

- Sử dụng một hàm băm một chiều (Máy tính xác thực gửi một bản tin thách

đố đến máy tính ngang cấp và tính toán một giá trị sử dụng một hàm băm một chiều và gửi lại cho máy tính xác thực);

- Gửi trả lại giá trị mong muốn

+ Hệ thống điều khiển truy cập bộ điều khiển truy cập đầu cuối - TACACS

Hệ thống này gồm một máy chủ xác thực TACACS dùng để xác thực, cho phép

và tính cước Đồng thời, hỗ trợ chia sẻ dữ liệu bảo mật của VPN với ISP

+ Dịch vụ xác thực người dùng quay số từ xa- RADIUS

RADIUS dùng kiểu client/server để chứng nhận bảo mật, quản trị các kết nối mạng từ xa: RADIUS dùng một máy chủ truy cập mạng NAS để quản lý kết nối và xác thực người dùng khi được cấp quyền

+ Các hệ thống phần cứng cơ bản

- Card thông minh (Smart card)

- Các thiết bị thẻ bài (Token Devices

+ Hệ thống sinh trắc học: Dấu vân tay, võng mạc, giọng nói,…

 Xác thực tính toàn vẹn dữ liệu (Data Integrity)

Là việc phát hiện các bản tin bị lỗi và bảo vệ chống sửa đổi bất hợp pháp bản tin

+ Giản lƣợc thông điệp MD dựa trên hàm băm một chiều

MD là phương pháp sử dụng để phát hiện lỗi truyền dẫn, thực hiện bằng các hàm băm một chiều MD có độ dài cố định hoạt động từ 128 -> 256 bit

Tài liệu hoặc bản tin

Hình 1.18: Hàm băm thông dụng MD5, SHA-1

+ Mã xác thực bản tin MAC (Message Authentication Code)

MAC là phương pháp bảo vệ chống sửa cho bản tin MAC được thực hiện dựa trên hàm băm một chiều kết hợp với khoá bí mật

Tài liệu hoặc bản tin

Key Hash Function Key Hash

Function Key

MAC

MAC MAC

Tài liệu hoặc bản tin

Phía thu sử dụng khoá bí mật để xác định tính hợp lệ của bản tin bằng cách tính lại giá trị MAC và so sánh với giá trị MAC mà phía phát truyền tới

 Ưu điểm: Thực hiện nhanh và hiệu quả

 Nhược điểm: Khó khăn khi phân phối khóa an toàn

+ Chữ ký số (Digital Signature)

Chữ ký số dùng để bảo vệ chống sửa đổi bất hợp pháp nội dung bản tin bằng việc mật mã với khóa bí mật với giá trị hash (MD5, SHA) thu được từ hàm băm một chiều

để tạo thành chữ ký số và truyền đi cùng bản tin (phía phát)

Tài liệu hoặc bản tin

Chữ ký

Mã hoá với khoá công cộng

Mã hoá với khoá riêng

Hàm hash Giá trị hash

Tài liệu hoặc bản tin

Chữ ký

Giá trị hash Giá trị hash

Kênh truyền dẫn

So sánh

Hình 1.20: Chữ ký số

Phía thu tính lại mã hash nếu giá trị giải mã giống giá trị hash tính được thì xác nhận bản tin toàn vẹn

1.6.2 Mã hoá

Mã hoá gồm có một thuật toán và một khoá

 Thuật toán mã hoá khoá bí mật

Là thuật toán khoá chia sẻ dùng để mã hoá, giải mã một bản tin

Encrypt Ecryption Decrypt

Message Clear

Message

Clear Message

Shared Secret Key

Shared Secret Key

Hình 1.21: Mã hoá khoá bí mật  Ưu điểm :

+ Dễ triển khai, nhanh và phù hợp với khối lượng lớn thông tin

+ Chiều dài khoá từ 40÷168 bit

+ Người gửi và người nhận cùng chung một mật khẩu

 Nhược điểm: Không tin cậy về nguồn gốc của bản tin

 Thuật toán DES (Data Encryption Standard)

Chuẩn mật mã dữ liệu – DES là sự kết hợp giữa xáo trộn và xếp lại với khối lượng dữ liệu và khóa qua 16 vòng tạo thành khối bản tin mã hoá (64 bit)

Các sản phẩm và phần mềm Cisco VPN đều hỗ trợ thuật toán DES 56 bit

Key (64 bít)

Round 1

Paintext Block (64 bit) Hoán vị khởi tạo (IP)

Round 2 Round 16

Bỏ Parity (56 bit)

Hoán vị đảo (RP) Ciphertext Block (64 bits)

Hình 1.22: Sơ đồ thuật toán DES

 Thuật toán mã hoá khoá công cộng

Là thuật toán sử dụng một cặp khoá duy nhất để mã hoá và giải mã bảo mật một bản tin

clear Message

clear Message

Transfer’s Public Key

Receive’s Public Key

Hình 1.23: Thuật toán mã hoá khoá công cộng

 Ưu điểm : Cho phép xác thực nguồn phát của bản tin

 Nhược điểm: Quá trình mã hoá và giải mã còn chậm

+ Hệ thống mật mã khoá công khai RSA

RSA lấy từ tên của ba nhà phát triển là: Ron Rivest, Adir Shamir và Leonard Adleman Bản chất là thực hiện tính toán một số tự nhiên lớn thành các ước số nguyên

tố Ví dụ: Với X,Y là số lớn, Khi ta nhân X và Y được kết quả là Z nhưng không thể suy ra X, Y khi biết Z Hàm một chiều trong RSA được tính toán dựa vào 3 bước gồm: Tạo khóa, mật mã và giải mã bản tin

khóa mật mã và xác thực (DES, )

CHƯƠNG 2 XÂY DỰNG VÀ QUẢN LÝ MẠNG VPN

2.1 Thành phần cơ bản của một VPN

Cấu trúc phần cứng chính của VPN gồm: Máy chủ VPN (VPN servers), máy khách VPN (VPN clients) và một số thiết bị phần cứng khác như: Bộ định tuyến VPN (VPN routers), cổng kết nối VPN (VPN Gateways) và bộ tập trung (Concentrator)

2.1.1 Máy chủ VPN

Đây là thiết bị mạng dùng để chạy phần mềm máy chủ (Software servers) Tùy theo yêu cầu của công ty, khi thiết lập một mạng VPN có một hay nhiều máy để cung cấp và đảm bảo dịch vụ cho các máy khách (VPN client) ở xa và các Client cục bộ Máy chủ VPN hoạt động như là một điểm cuối trong đường hầm kết nối và xác thực bởi người dùng trong mạng VPN Máy chủ VPN được hỗ trợ hai hoặc nhiều Card mạng (Một Card dùng để kết nối tới mạng mở rộng (Intranet) của công ty, Card còn lại kết nối tới mạng Internet)

 Chức năng chính của máy chủ VPN là:

+ Tiếp nhận những yêu cầu kết nối vào mạng VPN

+ Đảm bảo thực hiện kết nối và quá trình bảo mật

+ Tiếp nhận và chuyển tiếp dữ liệu yêu cầu từ các máy khách VPN

2.1.2 Máy khách VPN

Là những thiết bị ở xa hay cục bộ khi có một kết nối tới máy chủ VPN Sau khi

đăng nhập thành công thì máy khách VPN và máy chủ VPN mới truyền thông được Đặc trưng của máy khách VPN là khả năng truy cập được từ xa thông qua mạng

Internet

Internet

Bộ tập trung truy cập của ISP

Hình 2.1: Đặc trưng của máy khách VPN

2.1.3 Bộ định tuyến VPN

Khi một mạng VPN nhỏ được thiết lập thì máy chủ VPN có thể đảm nhiệm luôn vai trò của bộ định tuyến ( tạo kết nối từ xa) Trong mạng VPN ngoài chức năng định tuyến còn để bảo mật và đảm bảo mức chất lượng dịch vụ trên đường truyền Ví dụ như bộ định tuyến truy nhập modun 1750 của Cisco

2.1.4 Bộ tập trung VPN

Bộ tập trung dùng thiết lập một mạng VPN truy cập từ xa có kích thước nhỏ Ngoài việc làm tăng công suất và số lượng của VPN, thiết bị này còn cung cấp khả năng thực hiện cao và năng lực bảo mật cũng như năng lực xác thực cao Ví dụ như bộ tập trung seri 3000 và 5000 của Cisco hay bộ tập trung VPN của Altiga

2.1.5 Cổng kết nối VPN

Cổng kết nối IP là thiết bị biên dịch những giao thức không phải là giao thức IP sang giao thức IP và ngược lại Cho phép một mạng riêng hỗ trợ chuyển tiếp dựa trên giao thức IP Ví dụ như phần mềm Novell’s Border Manager

Các cổng kết nối VPN là các cổng kết nối bảo mật (Security gateway) được đặt giữa mạng công cộng và mạng riêng để tránh bị tấn công vào mạng riêng Có khả năng tạo đường hầm và mã hoá dữ liệu riêng trước khi được chuyển đến mạng công cộng

2.2 Các vấn đề lưu ý khi thiết kế VPN

VPN có thể cho phép người dùng phân quyền truy cập tới những mạng con, thiết

bị hay cơ sơ dữ liệu quan trọng

Một giải pháp phổ biến cho công ty khi muốn chia sẻ một phần thông tin từ VPN của mình cho người dùng Internet, khách hàng hay nhân viên của họ trong khi vẫn bảo mật được những tài nguyên riêng nếu cần, đó là sử dụng vùng giới tuyến DMZ (Demilitarized Zone) Ví dụ, máy chủ Web trong DMZ lưu nhưng bản sao trang Web còn bản chính thì nằm trên máy chủ ở trong mạng nội bộ

Để bảo mật VPN người ta sử dụng mã hoá, trao đổi giao khoá và chứng thực số

Hình 2.3: Bước 2 Bước 3: Người dùng gửi dữ liệu đã được mã hoá bởi phần mềm VPN qua đường hầm được gửi thông qua kết nối của nhà cung cấp dịch vụ Internet ISP

Hình 2.4: Bước 3 Bước 4: Máy chủ bảo mật đích thu dữ liệu đã mã hoá và thực hiện giải mã Sau

đó, đẩy những gói dữ liệu được giải mã tới mạng công ty

Hình 2.5: Bước 4

2.3.1 Kết nối với ISP

Việc kết nối từ người dùng, mạng riêng tới mạng Internet do ISP cung cấp đóng vai trò quan trọng trong việc xây dựng nên một VPN vì ISP đảm nhiệm về đường truyền dữ liệu, duy trì kết nối

LAN

Intranet

Các mạng đường trục tốc độ cao Mạng đường trục

Các điểm truy xuất mạng (NAP)

Các mạng miền (Regional nets)

Các ISP nội hạt Các mạng người dùng (mạng riêng)

NAP NAP

NAP

User

ISP ISP

ISP

`

Hình 2.7: Kiến trúc mạng của các ISP

 Khả năng của ISP

Các nhà cung cấp mạng ISP được phân chia theo cấp độ, khả năng, phạm vi phục

vụ của mạng

 Các hợp đồng dịch vụ SLA (Service level agreement) là thoả thuận về lớp dịch

vụ mà khách hàng đăng ký với ISP để đảm bảo chất lượng với sự cam kết cung cấp của ISP SLA cũng giúp ISP phán đoán, dự báo lưu lượng mạng để từ đó đưa ra các

phương án điều khiển, phân luồng lưu lượng chính xác Để đánh giá SLA ta xét các thông số: Độ sẵn sàng, thông lượng thật sự, độ trễ

Độ sẵn sàng của mạng được hiểu là thời gian mạng sẵn sàng phục vụ khách hàng

Ta có thể xác định độ sẵn sàng của mạng theo công thức:

24 giờ x Số ngày của tháng - thời gian mạng ngừng hoạt động

24 giờ x Số ngày của tháng

là một phần trong giải pháp bảo mật cho mạng công ty

2.3.3 Phần mềm cho VPN

 Các sản phẩm phần mềm VPN

Tùy vào loại VPN (truy cập từ xa hay điểm nối điểm) , bao gồm:

+ Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa

+ Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật IPX + Server VPN dành cho dịch vụ quay số

+ NAS (máy chủ truy cập mạng)

+ Mạng VPN và trung tâm quản lý

 Các yêu cầu của sản phẩm

+ Giao thức được hỗ trợ: IP hay hỗ trợ IPX và NetBEUI

+ Khả năng tích hợp với các hệ thống hiện có

+ Giải thuật mật mã được hỗ trợ: giải thuật IPSec, DES dùng cho việc mã hoá, giải thuật HMAC-MD5 hay HMAC-SHA-1 cho việc xác thực người dùng

Tính tin cậy Tính toàn

vẹn

Chính sách bảo mật của mạng riêng

Hình 2.9: Các thành phần của hệ thống bảo mật

2.4.2 Các phương thức mã hoá

 Các giao thức và giải thuật cho VPN: Giao thức PPTP sử dụng PPP, DES, 3DES

để mã hoá dữ liệu

 Chiều dài khoá: là độ nhạy của dữ liệu để có thể tính toán nó nhạy bao lâu và nó sẽ

được bảo mật trong bao lâu Khi tính được, ta có thể chọn một giải thuật mã hoá và chiều dài khoá để đảm bảo thời gian phá lâu hơn nhiều thời gian nhạy của dữ liệu

2.4.3 Quản lý khoá cho các cổng nối

+ Nhận dạng các cổng nối

+ Điều khiển các khoá phiên

2.4.4 Quản lý khoá cho các người dùng

+ Lưu trữ các khoá trên một thiết bị di dời được như đĩa, card thông minh

+ Mã hoá khoá với một mật khẩu và yêu cầu client xác nhận

+ Mã hoá các khoá với một mật khẩu và ngăn cản truy cập nếu sử dụng sai mật khẩu Giới hạn số lần sai mật khẩu, ví dụ: nếu sai 3 lần liên tiếp thì không cho phép client có khoá đó truy cập tiếp

2.4.5 Các dịch vụ xác thực

Để xác thực người dùng vào mạng VPN thường sử dụng mật khẩu, các hệ thống lệnh/đáp ứng sử dụng RADIUS, sử dụng các thẻ bài, các chứng nhận điện tử… cho phép duy trì điều khiển việc thiết lập các thông số xác thực và các quyền truy cập nhưng ngăn chặn ISP dùng thông tin đó để cung cấp quyền truy cập tới những người dùng từ xa

Dữ liệu

Máy chủ xác thực

Máy chủ truy cập từ xa

Internet

RADIUS Người dùng

ở xa

ISP

Mạng riêng được bảo vệ

Cơ sở dữ liệu nhận dạng người dùng

Hình 2.11: Xác thực người dùng

2.4.6 Quản lý CA nội bộ

Chứng nhận điện tử có thời gian sống hữu hạn: sau khi được cấp phát một thời gian chúng sẽ ngừng hoặc có thể bị huỷ bỏ Các chứng nhận cũng có thể được tái lập

và cần được dự phòng trong trường hợp các khoá cần được thu hồi sau một ngày

2.4.7 Điều khiển quyền truy cập

Một VPN được cấu tạo để cung cấp liên lạc giữa các host và các cổng nối bảo mật Việc quản lý bảo mật cho VPN là một phần trong chính sách bảo mật, quản lý VPN

2.5 Quản lý địa chỉ

Sự phát triển của việc sử dụng địa chỉ IP để truyền thông dữ liệu, các tổ chức thương mại dẫn tới một số vấn đề về việc cấp phát và quản lý địa chỉ IP Không gian địa chỉ IPv4 có 32 bit, cung cấp 232=4.294.967.296 địa chỉ đã không đủ cung cấp Vì vậy, IPv6 ra đời và dần phát triển với trường địa chỉ dài 128 bit cung cấp 2128 địa chỉ

2.5.1 Địa chỉ IPv4

Các địa chỉ IPv4 là một số nhị phân có chiều dài 32 bit, cấu trúc thành 4 octet (1 octet = 8bit) bao gồm 2 phần: Phần Net work và phần host Phần chỉ số mạng được