1
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TPHCM
*****
ĐỒ ÁN CHUYÊN NGÀNH
ĐỀ TÀI
Tìm hiểu và so sánh các kỹ thuật mã hóa
trong kết nối VPN
Ngành : CÔNG NGHỆ THÔNG TIN
Chuyên ngành : MẠNG MÁY TÍNH
Giảng viên hướng dẫn:
THẦY NGUYỄN QUANG ANH
Sinh viên thực hiện :
Họ và tên
MSSV
Lớp
Nguyễn Đăng Quang
1311061016
13DTHM02
Lý Tiến Tân
1311061094
13DTHM02
TP.HCM – Tháng 11, năm 2016
2
MỤC LỤC
CHƯƠNG I : TỔNG QUAN VỀ VPN
……………………………………………………………… 5
1.1 Tìm hiểu về Mạng riêng ảo (VPN) …………………………………………………… 5
1.1.1 Định nghĩa ……………………………………………………………………………………… 5
1.1.2 Chức năng của VPN ……………………………………………………………………… 6
1.1.3 Lợi ích của VPN …………………………………………………………………………….. 7
1.1.4. Các yêu cầu cơ bản đối với một giải pháp VPN …………………….. 8
1.1.5 Đường hầm và mã hóa ………………………………………………………………… 9
1.2 Mô hình VPN thông dụng …………………………………………………………………
10
1.2.1 Các VPN truy cập (Remote Access VPNs) ………………………………
10
1.2.2 Các VPN nội bộ (Intranet VPNs):
……………………………………………..
12
1.2.3 Các VPN mở rộng (Extranet VPNs): ………………………………………..
14
CHƯƠNG II. BẢO MẬT THÔNG TIN
………………………………………………………….
17
2.1 Tìm hiểu về bảo mật ………………………………………………………………………….
17
2.2 Các hình thức tấn công ……………………………………………………………………..
18
2.3 Các hình thức tấn công trong mạng riêng ảo (VPN) …………………..
20
2.3 Một số giải pháp bảo mật …………………………………………………………………
22
2.3.1 Về hệ thống thiết kế ……………………………………………………………………
22
2.3.2 Về hệ thống phát hiện tấn công
………………………………………………..
22
2.4 Công nghệ bảo mật trong VPN ………………………………………………………..
23
CHƯƠNG III : CÁC THUẬT TOÁN MÃ HÓA TRONG VPN ……………………..
24
3.1 Các thuật toán & công nghệ mã hóa ………………………………………………
24
3.1.1 RSA …………………………………………………………………………………………………
24
3.1.2 AES …………………………………………………………………………………………………
25
3.1.3 SHA …………………………………………………………………………………………………
26
3.1.4 Hạ tầng PKI …………………………………………………………………………………..
27
3.1.5 Tường lửa ……………………………………………………………………………………..
28
3.1.6 Giấy chứng nhận điện tử (digital certificate):
……………………….
28
3
CHƯƠNG IV : CÁC GIAO THỨC MÃ HÓA TRONG VPN …………………………
30
4.1.PPTP ……………………………………………………………………………………………………..
30
4.1.1 Giới thiệu về PPTP ………………………………………………………………………
30
4.1.2 Nguyên tắc hoạt động của PPTP ………………………………………………
30
4.1.3 Nguyên tắc kết nối của PPTP ……………………………………………………
32
4.1.4 Nguyên lý đóng gói dữ liệu đường hầm PPTP ………………………
32
4.1.5 Nguyên tắc thực hiện
………………………………………………………………….
34
4.1.6 Triển khai VPN dự trên PPTP …………………………………………………..
34
4.1.7 Ưu điểm của PPTP ………………………………………………………………………
36
4.2. L2TP …………………………………………………………………………………………………….
37
4.2.1. Giới thiệu về L2TP ……………………………………………………………………..
37
4.2.2 Dữ liệu đường hầm L2TP ………………………………………………………….
38
4.2.3 Chế độ đường hầm L2TP …………………………………………………………..
40
4.2.4 Những thuận lợi và bất lợi của L2TP ………………………………………
44
4.3 IPSec ……………………………………………………………………………………………………..
44
4.3.1 Giới thiệu về IPSec ………………………………………………………………………
44
4.3.2 Liên kết an toàn …………………………………………………………………………..
50
4.3.3. Quá trình hoạt động của IPSec ………………………………………………..
52
4.3.4. Những hạn chế của IPSec
………………………………………………………….
54
4.4 SSTP
………………………………………………………………………………………………………
55
4.4.1. Giới thiệu về SSTP
………………………………………………………………………
55
4.4.2 Lý do sử dụng SSTP trong VPN ………………………………………………..
56
4.4.3 Cách hoạt động của SSTP …………………………………………………………..
57
4.5 IKEv2
…………………………………………………………………………………………………….
57
4.6 SSL/TLS ……………………………………………………………………………………………….
58
4.6.1 Giao thức SSL ……………………………………………………………………………….
58
4.6.2 Giao thức TLS
……………………………………………………………………………….
59
4.7. So sánh các giao thức mã hóa trong VPN …………………………………….
59
CHƯƠNG V : TÌM HIỂU GIAO THỨC OPENVPN …………………………………….
60
5.1 Lịch sử của OpenVPN
………………………………………………………………………..
60
5.2 OpenVPN là gì? …………………………………………………………………………………..
61
4
5.3 Ưu điểm của OpenVPN ……………………………………………………………………..
62
5.4 Các mô hình bảo mật OpenVPN
………………………………………………………
64
5.5 Các kênh dữ liệu OpenVPN
………………………………………………………………
64
5.6 Ping và giao thức OCC ……………………………………………………………………….
65
5.7 Kênh điều khiển …………………………………………………………………………………
65
CHƯƠNG VI : TRIỂN KHAI DỊCH VỤ OPENVPN
…………………………………….
67
6.1. Trên Windows …………………………………………………………………………………..
67
6.2. Trên Linux ………………………………………………………………………………………….
71
TÀI LIỆU THAM KHẢO
………………………………………………………………………………..
74
5
CHƯƠNG I : TỔNG QUAN VỀ VPN
1.1 Tìm hiểu về Mạng riêng ảo (VPN)
1.1.1 Định nghĩa
Mạng riêng ảo hay còn được biết đến với từ viết tắt VPN, đây
không phải là một khái niệm mới trong công nghệ mạng. VPN có thể
được định nghĩa như là một dịch vụ mạng ảo được triển khai trên
cơ sở hạ tầng của hệ thống mạng công cộng với mục đích tiết kiệm
chi phí cho các kết nối điểm-điểm. Một cuộc điện thoại giữa hai cá
nhân là ví dụ đơn giản nhất mô tả một kết nối riêng ảo trên mạng điện
thoại công cộng. Hai đặc điểm quan trọng của công nghệ VPN là “riêng”
và “ảo”tương ứng với hai thuật ngữ tiếng anh (Virtual and Private).
VPN có thể xuất hiện tại bất cứ lớp nào trong mô hình OSI, VPN là sự
cải tiến cơ sở hạ tầng mạng WAN, làm thay đổi và làm tăng thêm tích
chất của mạng cục bộ cho mạng WAN.
Hình 1.1.1.1 : Sơ đồ kết nối từ cơ sở U với cơ sở A của trườn HUTECH thông qua
công nghệ VPN
6
Về căn bản, mỗi VPN(virtual private network) là một mạng riêng
rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với
các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho
việc sử dụng bởi một kết nối thực, chuyên dụng như đường Leased
Line, mỗi VPN sử dụng các kết nối ảo được dẫn qua đường Internet từ
mạng riêng của công ty tới các site của các nhân viên từ xa.
Hình 1.1.1.2 Mô hình mạng VPN
Những thiết bị ở đầu mạng hỗ trợ cho mạng riêng ảo là switch,
router và firewall. Những thiết bị này có thể được quản trị bởi công ty
hoặc các nhà cung cấp dịch vụ như ISP.
VPN được gọi là mạng ảo vì đây là một cách thiết lập một mạng
riêng qua một mạng công cộng sử dụng các kết nối tạm thời. Những kết
nối bảo mật được thiết lập giữa 2 host , giữa host và mạng hoặc giữa
hai mạng với nhau
Một VPN có thể được xây dựng bằng cách sử dụng “Đường hầm”
và “Mã hoá”. VPN có thể xuất hiện ở bất cứ lớp nào trong mô hình OSI.
VPN là sự cải tiến cơ sở hạ tầng mạng WAN mà làm thay đổi hay làm
tăng thêm tính chất của các mạng cục bộ.
1.1.2 Chức năng của VPN
VPN cung cấp ba chức năng chính:
Ø
Sự tin cậy (Confidentiality): Người gửi có thể mã hoá các gói
dữ liệu trước khi truyền chúng ngang qua mạng. Bằng cách làm như
vậy, không một ai có thể truy cập thông tin mà không được cho phép.
Và nếu có lấy được thì cũng không đọc được.
7
Ø
Tính toàn vẹn dữ liệu ( Data Integrity): người nhận có thể kiểm
tra rằng dữ liệu đã được truyền qua mạng Internet mà không có sự
thay đổi nào.
Ø
Xác thực nguồn gốc (Origin Authentication): Người nhận có
thể xác thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn
thông tin.
1.1.3 Lợi ích của VPN
ü VPN làm giảm chi phí thường xuyên
VPN cho phép tiết kiệm chi phí thuê đường truyền và giảm chi
phí phát sinh cho nhân viên ở xa nhờ vào việc họ truy cập vào hệ thống
mạng nội bộ thông qua các điểm cung cấp dịch vụ ở địa phương POP
(Point of Presence),hạn chế thuê đường truy cập của nhà cung cấp dẫn
đến giá thành cho việc kết nối Lan – to – Lan giảm đi đáng kể so với việc
thuê đường Leased-Line.
ü Giảm chi phí quản lý và hỗ trợ
Với việc sử dụng dịch vụ của nhà cung cấp, chúng ta chỉ phải
quản lý các kết nối đầu cuối tại các chi nhánh mạng không phải quản lý
các thiết bị chuyển mạch trên mạng. Đồng thời tận dụng cơ sở hạ tầng
của mạng Internet và đội ngũ kỹ thuật của nhà cung cấp dịch vụ từ đó
công ty có thể tập trung vào các đối tượng kinh doanh.
ü VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực
Dữ liệu truyền trên mạng được mã hoá bằng các thuật toán, đồng
thời được truyền trong các đường hầm (Tunnle) nên thông tin có độ
an toàn cao.
ü VPN dễ dàng kết nối các chi nhánh thành một mạng cục bộ
Với xu thế toàn cầu hoá, một công ty có thể có nhiều chi nhành
tại nhiều quốc gia khác nhau. Việc tập trung quản lý thông tin tại tất cả
các chi nhánh là cần thiết. VPN có thể dễ dàng kết nối hệ thống mạng
giữa các chi nhành và văn phòng trung tâm thành một mạng LAN với
chi phí thấp.
8
Hình 1.1.3.1 : VPN giúp kết nối các chi nhánh thành 1 mạng riêng biệt
1.1.4. Các yêu cầu cơ bản đối với một giải pháp VPN
Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo.
• Tính tương thích (compatibility)
Mỗi công ty, mỗi doanh nghiệp đều được xây dựng các hệ thống
mạng nội bộ và diện rộng của mình dựa trên các thủ tục khác nhau và
không tuân theo một chuẩn nhất định của nhà cung cấp dịch vụ. Rất
nhiều các hệ thống mạng không sử dụng các chuẩn TCP/IP vì vậykhông
thể kết nối trực tiếp với Internet. Để có thể sử dụng được IP VPN tất cả
các hệ thống mạng riêng đều phải được chuyển sang một hệ thống địa
chỉ theo chuẩn sử dụng trong internet cũng như bổ sung các tính năng
về tạo kênh kết nối ảo, cài đặt cổng kết nối internet có chức năng trong
việc chuyển đổi các thủ tục khác nhau sang chuẩn IP. 77% số lượng
khách hàng được hỏi yêu cầu khi chọn một nhà cung cấp dịch vụ IP
VPN phải tương thích với các thiết bị hiện có của họ.
• Tính bảo mật (security)
Tính bảo mật cho khách hàng là một yếu tố quan trọng nhất đối với
một giải pháp VPN. Người sử dụng cần được đảm bảo các dữ liệu thông
qua mạng VPN đạt được mức độ an toàn giống như trong một hệ thống
mạng dùng riêng do họ tự xây dựng và quản lý.
Việc cung cấp tính năng bảo đảm an toàn cần đảm bảo hai mục tiêu
sau:
– Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu
cho người sử dụng trong mạng và mã hoá dữ liệu khi truyền.
9
– Đơn giản trong việc duy trì quản lý, sử dụng. Đòi hỏi thuận tiện
và đơn giản cho người sử dụng cũng như nhà quản trị mạng trong việc
cài đặt cũng như quản trị hệ thống.
• Tính khả dụng (Availability):
Một giải pháp VPN cần thiết phải cung cấp được tính bảo đảm về
chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền.
• Tiêu chuẩn về chất lượng dịch vụ (QoS):
Tiêu chuẩn đánh giá của một mạng lưới có khả năng đảm bảo chất
lượng dịch vụ cung cấp đầu cuối đến đầu cuối. QoS liên quan đến khả
năng đảm bảo độ trễ dịch vụ trong một phạm vi nhất định hoặc liên
quan đến cả hai vấn đề trên
1.1.5 Đường hầm và mã hóa
Chức năng chính của VPN đó là cung cấp sự bảo mật bằng cách mã
hoá qua một đường hầm.
Hình 1.1.5.1 Đường hầm VPN
v
Đường hầm (Tunnel) cung cấp các kết nối logic, điểm tới điểm
qua mạng IP không hướng kết nối. Điều này giúp cho việc sử dụng các
ưu điểm các tính năng bảo mật. Các giải pháp đường hầm cho VPN là
sử dụng sự mã hoá để bảo vệ dữ liệu không bị xem trộm bởi bất cứ
những ai không được phép và để thực hiện đóng gói đa giao thức nếu
cần thiết. Mã hoá được sử dụng để tạo kết nối đường hầm để dữ liệu
chỉ có thể được đọc bởi người nhận và người gửi.
10
v
Mã hoá(Encryption) chắc chắn rằng bản tin không bị đọc bởi
bất kỳ ai nhưng có thể đọc được bởi người nhận. Khi mà càng có nhiều
thông tin lưu thông trên mạng thì sự cần thiết đối với việc mã hoá
thông tin càng trở nên quan trọng. Mã hoá sẽ biến đổi nội dung thông
tin thành trong một văn bản mật mã mà là vô nghĩa trong dạng mật mã
của nó. Chức năng giải mã để khôi phục văn bản mật mã thành nội dung
thông tin có thể dùng được cho người nhận.
1.2 Mô hình VPN thông dụng
VPNs nhằm hướng vào 3 yêu cầu cơ bản sau đây :
• Có thể truy cập bất cứ lúc nào bằng điều khiển từ xa, bằng điện
thoại cầm tay, và việc liên lạc giữa các nhân viên của một tổ chức tới
các tài nguyên mạng.
• Nối kết thông tin liên lạc giữa các chi nhánh văn phòng từ xa.
• Ðược điều khiển truy nhập tài nguyên mạng khi cần thiết của
khách hàng, nhà cung cấp và những đối tượng quan trọng của công ty
nhằm hợp tác kinh doanh.
Dựa trên những nhu cầu cơ bản trên, ngày nay VPNs đã phát triển
và phân chia ra làm 3 phân loại chính sau :
Ø
Remote Access VPNs.
Ø
Intranet VPNs.
Ø
Extranet VPNs.
1.2.1 Các VPN truy cập (Remote Access VPNs)
Giống như gợi ý của tên gọi, Remote Access VPNs cho phép truy cập bất
cứ lúc nào bằng Remote, mobile, và các thiết bị truyền thông của nhân viên
các chi nhánh kết nối đến tài nguyên mạng của tổ chức. Ðặc biệt là những
người dùng thường xuyên di chuyển hoặc các chi nhánh văn phòng nhỏ mà
không có kết nối thường xuyên đến mạng Intranet hợp tác.
Các truy cập VPN thường yêu cầu một vài kiểu phần mềm client chạy
trên máy tính của người sử dụng. Kiểu VPN này thường được gọi là VPN truy
cập từ xa.
11
Hình 1.2.1.1 Mô hình mạng VPN truy cập
Một số thành phần chính :
Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác
nhận và chứng nhận các yêu cầu gửi tới.
Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số
yêu cầu ở khá xa so với trung tâm.
Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS
và hỗ trợ truy cập từ xa bởi người dùng.
Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc
các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp
dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet.
Internet
Đường hầm
Đường hầm
Tường lửa
Server
Server
Trung
tâm dữ
liệu
Người
dùng từ
xa
Sử dụng
di động
Văn phòng từ xa
12
Hình 1.2.1.2: Cài đặt Remote Access VPN
Thuận lợi chính của Remote Access VPNs :
ü Sự cần thiết của RAS và việc kết hợp với modem được loại trừ.
ü Sự cần thiết hỗ trợ cho người dung cá nhân được loại trừ bởi vì kết
nối từ xa đã được tạo điều kiện thuận lợi bời ISP
ü Việc quay số từ những khoảng cách xa được loại trừ , thay vào đó,
những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ.
ü Giảm giá thành chi phí cho các kết nối với khoảng cách xa.
ü Do đây là một kết nối mang tính cục bộ, do vậy tốc độ nối kết sẽ cao
hơn so với kết nối trực tiếp đến những khoảng cách xa.
ü VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ
trợ dịch vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng
các kết nối đồng thời đến mạng.
Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác
như :
ü Remote Access VPNs cũng không bảo đảm được chất lượng phục vụ.
ü Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói
dữ liệu có thể đi ra ngoài và bị thất thoát.
ü Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng
kể, điều này gây khó khăn cho quá trình xác nhận. Thêm vào đó, việc nén dữ
liệu IP và PPP-based diễn ra vô cùng chậm chạp và tồi tệ.
ü Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu
lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm.
1.2.2 Các VPN nội bộ (Intranet VPNs):
Intranet VPNs được sử dụng để kết nối đến các chi nhánh văn phòng
của tổ chức đến Corporate Intranet (backbone router) sử dụng campus
router. Theo mô hình này sẽ rất tốn chi phí do phải sử dụng 2 router để thiết
lập được mạng, thêm vào đó, việc triển khai, bảo trì và quản lý mạng Intranet
Backbone sẽ rất tốn kém còn tùy thuộc vào lượng lưu thông trên mạng đi
trên nó và phạm vi địa lý của toàn bộ mạng Intranet.
Ðể giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế
bởi các kết nối Internet với chi phí thấp, điều này có thể giảm một lượng chi
phí đáng kể của việc triển khai mạng Intranet.
13
Intranet VPNs là một VPN nội bộ đươc sử dụng để bảo mật các kết nối
giữa các địa điểm khác nhau của một công ty. Điều này cho phép tất cả các
địa điểm có thể truy cập các nguồn dữ liệu được phép trong toàn bộ mạng
của công ty. Các VPN nội bộ liên kết trụ sở chính, các văn phòng, và các văn
phòng chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối mà luôn
luôn được mã hoá. Kiểu VPN này thường được cấu hình như là một VPN Site-
to-Site.
Hình 1.2.2.1 Mô hình mạng VPN nội bộ
Những thuận lợi chính của Intranet setup dựa trên VPN:
ü Hiệu quả chi phí hơn do giảm số lượng router được sử dụng theo mô
hình WAN backbone
ü Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua
toàn cầu, các trạm ở một số remote site khác nhau.
ü Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung
cấp những kết nối mới ngang hàng.
ü Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp
dịch vụ, loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm
thiểu chi phí cho việc thực hiện Intranet.
Những bất lợi chính kết hợp với cách giải quyết :
ü Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẽ trên mạng
công cộng-Internet-và những nguy cơ tấn công, như tấn công bằng từ chối
dịch vụ (denial-of-service), vẫn còn là một mối đe doạ an toàn thông tin.
ü Khả năng mất dữ liệu trong lúc di chuyễn thông tin cũng vẫn rất cao.
ü Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các
tập tin mulltimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền
thông qua Internet.
14
ü Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục,
thường xuyên, và QoS cũng không được đảm bảo.
1.2.3 Các VPN mở rộng (Extranet VPNs):
Không giống như Intranet và Remote Access-based, Extranet
không hoàn toàn cách li từ bên ngoài (outer-world), Extranet cho phép
truy cập những tài nguyên mạng cần thiết của các đối tác kinh doanh,
chẳng hạn như khách hàng, nhà cung cấp, đối tác những người giữ vai
trò quan trọng trong tổ chức.
Mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên
Intranet kết hợp lại với nhau để tạo ra một Extranet. Ðiều này làm cho
khó triển khai và quản lý do có nhiều mạng, đồng thời cũng khó khăn
cho cá nhân làm công việc bảo trì và quản trị. Thêm nữa là mạng
Extranet sẽ khó mở rộng do điều này sẽ làm rối tung toàn bộ mạng
Intranet và có thể ảnh hưởng đến các kết nối bên ngoài mạng. Sẽ có
những vấn đề bạn gặp phải bất thình lình khi kết nối một Intranet vào
một mạng Extranet. Triển khai và thiết kế một mạng Extranet có thể là
một cơn ác mộng của các nhà thiết kế và quản trị mạng.
Hạ tầng
Mạng chung
Mạng nhà
Cung cấp 1
Mạng nhà
Cung cấp 2
Mạng nhà
Cung cấp 3
Nhà cung cấp
Dịch vụ 2
Nhà cung cấp
Dịch vụ 1
Nhà cung cấp
Dịch vụ 3
15
Hình 1.2.3.1: Thiết lập Extranet truyền thống
Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách
hàng, các nhà cung cấp, và các đối tác qua một cơ sở hạ tầng công cộng
sử dụng các kết nối mà luôn luôn được bảo mật. Kiểu VPN này thường
được cấu hình như là một VPN Site-to-Site. Sự khác nhau giữa một VPN
nội bộ và một VPN mở rộng đó là sự truy cập mạng mà được công nhận
ở một trong hai đầu cuối của VPN. Hình dưới đây minh hoạ một VPN
mở rộng.
Hình 1.2.3.2 Mô hình mạng VPN mở rộng
Một số thuận lợi của Extranet :
ü
Do hoạt động trên môi trường Internet, chúng ta có thể
lựa chọn nhà phân phối khi lựa chọn và đưa ra phương pháp giải quyết
tuỳ theo nhu cầu của tổ chức.
ü
Bởi vì một phần Internet-connectivity được bảo trì bởi
nhà cung cấp (ISP) nên cũng giảm chi phí bảo trì khi thuê nhân viên
bảo trì.
ü
Dễ dàng triển khai, quản lý và chỉnh sửa thông tin.
Một số bất lợi của Extranet :
ü
Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối
dịch vụ vẫn còn tồn tại.
16
ü
Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên
Extranet.
ü
Do dựa trên Internet nên khi dữ liệu là các loại high-end
data thì việc trao đổi diễn ra chậm chạp.
ü
Do dựa trên Internet, QoS cũng không được bảo đảm
thường xuyên.
Hình 1.2.3.3: Thiết lập Extranet VPN
Hình 1.2.3.4 Ba loại mạng riêng ảo
P
P
Int
Trụ
Chi
Doanh
Hạ tầng
Mạng chung
Internet
Nhà cung cấp
Dịch vu 1
Nhà cung cấp
Dịch vu 2
Nhà cung cấp
Dịch vu 3
17
CHƯƠNG II. BẢO MẬT THÔNG TIN
2.1 Tìm hiểu về bảo mật
Trước đây khi công nghệ máy tính chưa phát triển, khi nói đến
vấn đề bảo mật thông tin (Information Security), chúng ta thường hay
nghĩ đến các biện pháp nhằm đảm bảo cho thông tin được trao đổi hay
cất giữ một cách an toàn và bí mật. Chẳng hạn là các biện pháp như :
• Đóng dấu và ký niêm phong một bức thư để biết rằng lá thư có
được chuyển nguyên vẹn đến người nhận hay không.
• Dùng mật mã mã hóa thông điệp để chỉ có người gửi và người
nhận hiểu được thông điệp. Phương pháp này thường được sử
dụng trong chính trị và quân sự.
• Lưu giữ tài liệu mật trong các két sắt có khóa, tại các nơi được
bảo vệ nghiêm ngặt, chỉ có những người được cấp quyền mới có
thể xem tài liệu.
Với sự phát triển mạnh mẽ của công nghệ thông tin, đặt biệt là sự phát
triển của mạng Internet, ngày càng có nhiều thông tin được lưu giữ
trên máy vi tính và gửi đi trên mạng Internet. Và do đó xuất hiện nhu
cầu về an toàn và bảo mật thông tin trên máy tính. Có thể phân loại mô
hình an toàn bảo mật thông tin trên máy tính theo hai hướng chính
như sau:
Ø Bảo vệ thông tin trong quá trình truyền thông tin trên mạng
(Network Security)
Ø Bảo vệ hệ thống máy tính, và mạng máy tính, khỏi sự xâm nhập
phá hoại từ bên ngoài (System Security)
18
2.2 Các hình thức tấn công
Để xem xét những vấn đề bảo mật liên quan đến truyền thông
trên mạng, chúng ta hãy lấy một bối cảnh sau: có ba nhân vật tên là
Alice, Bob và Trudy, trong đó Alice và Bob thực hiện trao đổi thông tin
với nhau, còn Trudy là kẻ xấu, đặt thiết bị can thiệp vào kênh truyền
tin giữa Alice và Bob. Sau đây là các loại hành động tấn công của Trudy
mà ảnh hưởng đến quá trình truyền tin giữa Alice và Bob:
1.
Xem trộm thông tin (Release of Message Content)
Trong trường hợp này Trudy chặn các thông điệp Alice gửi cho
Bob, và xem được nội dung của thông điệp.
Hình 2.2.1 Xem trộm thông điệp
2.
Thay đổi thông điệp (Modification of Message)
Trudy chặn các thông điệp Alice gửi cho Bob và ngăn không cho
các thông điệp này đến đích. Sau đó Trudy thay đổi nội dung của
thông điệp và gửi tiếp cho Bob. Bob nghĩ rằng nhận được thông
điệp nguyên bản ban đầu của Alice mà không biết rằng chúng đã
bị sửa đổi.
19
Hình 2.1.2 Sửa sai thông điệp
3.
Mạo danh (Masquerade) Trong trường hợp này
Trudy giả là Alice gửi thông điệp cho Bob. Bob không biết điều
này và nghĩ rằng thông điệp là của Alice.
Hình 2.1.3 Mạo danh để gửi đi thông điệp
4.
Phát lại thông điệp (Replay) Trudy sao chép lại
thông điệp Alice gửi cho Bob. Sau đó một thời gian Trudy gửi bản
sao chép này cho Bob. Bob tin rằng thông điệp thứ hai vẫn là từ
Alice, nội dung hai thông điệp là giống nhau. Thoạt đầu có thể
nghĩ rằng việc phát lại này là vô hại, tuy nhiên trong nhiều
trường hợp cũng gây ra tác hại không kém so với việc giả mạo
thông điệp. Xét tình huống sau: giả sử Bob là ngân hàng còn Alice
là một khách hàng. Alice gửi thông điệp đề nghị Bob chuyển cho
Trudy 1000$. Alice có áp dụng các biện pháp như chữ ký điện tử
với mục đích không cho Trudy mạo danh cũng như sửa thông
điệp. Tuy nhiên nếu Trudy sao chép và phát lại thông điệp thì các
20
biện pháp bảo vệ này không có ý nghĩa. Bob tin rằng Alice gửi
tiếp một thông điệp mới để chuyển thêm cho Trudy 1000$ nữa.
Hình 2.1.4 Phát đi thông điệp giả
2.3 Các hình thức tấn công trong mạng riêng ảo (VPN)
• Tấn công các giao thức VPN chính như PPTP, IPSec…
• Tấn công mật mã
• Tấn công từ chối dịch vụ
v Tấn công trên PPTP
PPTP là dễ bị tổn thương trên hai khía cạnh. Chúng bao gồm:
ü Generic Routing Encapsulation (GRE)
ü Mật khẩu trao đổi trong quá trình xác thực
v Tấn công trên IPSec
Như chúng ta biết IPSec không phải là thuật toán mã hóa thuần
túy cũng không phải một cơ chế xác thực. Trong thực tế, IPSec là một
sự kết hợp của cả hai và giúp các thuật toán khác bảo vệ dữ liệu. Tuy
nhiên, IPSec là dễ bị các cuộc tấn công:
ü Các cuộc tấn công chống lại thực hiện IPSec
ü Tấn công chống lại quản lý khóa
ü Các cuộc tấn công quản trị và ký tự đại diện
21
v Tấn công mật mã
Mật mã như là một trong các thành phần bảo mật của một VPN.
Tùy thuộc vào các kỹ thuật mật mã và các thuật toán khác nhau, các
cuộc tấn công giải mã được biết là tồn tại. Những phần sau tìm hiểu về
một số cách thức tấn công giải mã nổi tiếng:
ü Chỉ có bản mã (ciphertext-Only)
ü Tấn công biết bản rõ (know plaintext attacks)
ü Tấn công lựa chọn bản rõ
ü Man-in-the-Middle (tấn công trung gian)
ü Tấn công Brute Force (duyệt toàn bộ)
ü Tấn công thời gian (Timing attacks)
v Tấn công từ chối dịch vụ
Các cuộc tấn công DDoS đang trở nên khá phổ biến ngày này vì
nó không yêu cầu bất kỳ phần mềm đặc biệt hoặc truy cập vào mạng
mục tiêu. Chúng được dựa trên khái niệm của sự tắc nghẽn mạng. Bất
kỳ kẻ xâm nhập có thể gây ra tắc nghẽn mạng bằng cách gửi các tải các
dữ liệu rác vào mạng. Điều này làm cho các máy tính mục tiêu không
thể được truy cập trong một khoảng thời gian bởi đường truyền bị quá
tải hoặc máy tính mục tiêu không thể phục vụ do quá tải. Tình trạng
quá tải thông tin thậm chí có thể dẫn đến việc sụp đổ của máy tính mục
tiêu
Một số phương pháp thường được sử dụng để bắt đầu cuộc tấn công
DoS như sau:
ü SYN Floods (lụt gói SYN)
ü Broadcast Storm (bão gói tin quảng bá)
ü Smurf DoS
ü Ping of Death
22
2.3 Một số giải pháp bảo mật
Giải pháp bảo mật thường được chia làm hai phần : hệ thống
thiết kế (bên ngoài) và hệ thống phát hiện tấn công (bên trong).
2.3.1 Về hệ thống thiết kế
Thiết kế, quy hoạch một hệ thống mạng lớn không đơn thuần là
phát triển thêm các thiết bị hỗ trợ người dùng mà phải dựa trên mô
hình chuẩn đã và đang áp dụng cho các hệ thống mạng tiên tiến tại các
cơ quan, doanh nghiệp phát triển trên thế giới, đó chính là mô hình
mạng Định hướng Kiến trúc Dịch vụ (Service-Oriented Architecture –
SOA).
2.3.2 Về hệ thống phát hiện tấn công
Ø Hệ thống tường lửa
Hệ thống tường lửa là hệ thống kiểm soát truy nhập giữa mạng
Internet và mạng nội bộ. Tường lửa có 2 loại: phần cứng và phần mềm.
Mỗi loại có các ưu điểm khác nhau. Phần cứng có hiệu năng ổn định,
không phụ thuộc vào hệ điều hành, virus, mã độc, ngăn chặn tốt giao
thức ở tầng mạng trong mô hình tham chiếu TCP/IP. Phần mềm rất
linh hoạt trong những cấu hình ở giao thức tầng ứng dụng trong mô
hình TCP/IP.
Ø Hệ thống phát hiện và chống xâm nhập IDS/IPS
Hiện nay các hình thức tấn công của người có ý đồ xấu ngày càng
nhiều và tinh vi. Ví dụ: Trong đơn vị có thể tự cài đặt các công cụ
(Ethereal, Cain & abel…) trên máy tính làm việc hoặc máy tính xách tay
để tiến hành nghe lén hay quét trực tiếp lên các máy chủ, từ đó có thể
lấy các tài khoản email, Web, FTP, SQL server nhằm thay đổi điểm thi,
tiền học phí đã nộp, thay đổi lịch công tác…các hình thức tấn công kiểu
này, hệ thống tường lửa không thể phát hiện.
Giải pháp hữu hiệu cho thực trạng này là xây dựng hệ thống
IDS/IPS (Intrusion Detection System/Intrusion prevention system).
IDS/IPS là hệ thống bảo mật vô cùng quan trọng, nó có khả năng phát
23
hiện ra các cuộc tấn công dựa vào các dấu hiệu thiết lập sẵn hoặc các
đoạn mã độc hại, bất thường trên giao thông mạng; đồng thời có thể
loại bỏ chúng trước khi có thể gây hại cho hệ thống.
2.4 Công nghệ bảo mật trong VPN
Nền tảng VPN có thể bị tấn công bằng rất nhiều cách. Dưới đây
là một số loại tấn công phổ biến vào và hệ thống VPN
•
Các mối đe dọa an ninh cho các thành phần VPN
•
Các cuộc tấn công các giao thức VPN
•
Các cuộc tấn công mật mã
•
Các cuộc tấn công từ chối dịch vụ/IPS
Ngày nay, công nghệ phần mềm ngày càng phát triển mạnh mẽ.
Đặc biệt là công nghệ mã nguồn mở. Nếu tận dụng được những xu thế
này, tức là phần mềm mã nguồn mở vào ứng dụng VPN thì sẽ giảm
được khá nhiều chi phí cho việc triển khai. Điều này sẽ đem lại lợi thế
rất lớn so với các sản phẩm thương mại.
Ø
Giải pháp kernel space
Các giải pháp không gian nhân là những giải pháp sửa đổi nhân
qua các bản vá lỗi. Chúng phức tạp hơn và ít linh hoạt hơn so với các
giải pháp không gian nguời dùng. Hầu hết các giải pháp triển khai trên
giao thức bảo mật IPsec. Hoặc là có nguồn gốc được hỗ trợ bởi nhân
hoặc thông qua các bản vá nhân. Một số dự án: Một số dự án kernel
space: FreeS/WAN, Kame….
Ø
Giải pháp user space
Giải pháp user space hoạt động trong không gian người sử dụng
và do đó không có phụ thuộc hoàn toàn vào mô đun nhân hoặc các bản
vá. Giải pháp này dễ cài đặt, khá linh hoạt và mềm dẻo trên một số hệ
điều hành. User space VPNs sử dụng “giao diện đường hầm ảo”, tạo nên
các chức năng kết nối mạng ở mức độ thấp, để đạt đưược đường hầm
IP. Ví dụ như Tinc, CIPE, vTun và OpenVPN. Giải pháp user space có thể
được nhóm lại dựa trên giao thức bảo mật được sử dụng. – Các giao
thức sử dụng chức năng mã hóa tiêu chuẩn được cung cấp bởi OpenSSL
(OpenVPN, vTun, Tinc) – Các giao thức, phương thức mã hóa riêng
(CIPE, PPTP, L2tpd).
24
CHƯƠNG III : CÁC THUẬT TOÁN MÃ HÓA TRONG
VPN
3.1 Các thuật toán & công nghệ mã hóa
3.1.1 RSA
Bắt tay RSA (cũng có thể là khóa mã hóa hoặc chứng chỉ mã hóa).
Để đảm bảo một cách an toàn cho kết nối VPN, SSL thường sử dụng hệ
thống mã hóa khóa công khai RSA.
Thuật toán RSA có hai khóa: khóa công khai (hay khóa công
cộng) và khóa bí mật (hay khóa cá nhân). Mỗi khóa là những số cố định
sử dụng trong quá trình mã hóa và giải mã. Khóa công khai được công
bố rộng rãi cho mọi người và được dùng để mã hóa. Những thông tin
được mã hóa bằng khóa công khai chỉ có thể được giải mã bằng khóa
bí mật tương ứng. Nói cách khác, mọi người đều có thể mã hóa nhưng
chỉ có người biết khóa cá nhân (bí mật) mới có thể giải mã được.
Ta có thể mô phỏng trực quan một hệ mật mã khoá công khai
như sau: Bob muốn gửi cho Alice một thông tin mật mà Bob muốn duy
nhất Alice có thể đọc được. Để làm được điều này, Alice gửi cho Bob
một chiếc hộp có khóa đã mở sẵn và giữ lại chìa khóa. Bob nhận chiếc
hộp, cho vào đó một tờ giấy viết thư bình thường và khóa lại (như loại
khoá thông thường chỉ cần sập chốt lại, sau khi sập chốt khóa ngay cả
Bob cũng không thể mở lại được-không đọc lại hay sửa thông tin trong
thư được nữa). Sau đó Bob gửi chiếc hộp lại cho Alice. Alice mở hộp
với chìa khóa của mình và đọc thông tin trong thư. Trong ví dụ này,
chiếc hộp với khóa mở đóng vai trò khóa công khai, chiếc chìa khóa
chính là khóa bí mật.
RSA đóng vai trò như một loại mật mã và thuật toán ký số được
sử dụng để xác thực các chứng chỉ TLS/SSL, và là cơ sở bảo mật trên
internet trong suốt 20 năm qua.
Tuy nhiên nó đã được chứng minh vào năm 2010, 1024-bit RSA
(RSA-1024) mã hóa khóa riêng có thể bị bẻ khóa, dẫn đầu là Google
trong năm 2013 để nâng cấp tất cả các chứng chỉ SSL đến mức an toàn
hơn, tăng chiều dài khóa lên tới 2048-bit RSA, đây là cách sao chép
trong hầu hết các công nghệ an ninh mạng.
RSA-2048 là loại mã hóa được xem chuẩn an toàn, mặc dù có thể
thực hiện mã hóa lên tới 3072-bit hoặc 4096-bit mã hóa để chắc chắn
25
hơn nữa. Hiện nay, mã hóa RSA-2048 là tiêu chuẩn tối thiểu cho các
nhà cung cấp VPN thương mại.
3.1.2 AES
Trong mật mã học, AES (viết tắt của từ tiếng Anh: Advanced
Encryption Standard, hay Tiêu chuẩn mã hóa tiên tiến) là một thuật
toán mã hóa khối được chính phủ Hoa kỳ áp dụng làm tiêu chuẩn mã
hóa. Giống như tiêu chuẩn tiền nhiệm DES, AES được kỳ vọng áp dụng
trên phạm vi thế giới và đã được nghiên cứu rất kỹ lưỡng. AES được
chấp thuận làm tiêu chuẩn liên bang bởi Viện tiêu chuẩn và công nghệ
quốc gia Hoa kỳ (NIST) sau một quá trình tiêu chuẩn hóa kéo dài 5 năm.
Thuật toán được thiết kế bởi hai nhà mật mã học người Bỉ: Joan
Daemen và Vincent Rijmen. Thuật toán được đặt tên là “Rijndael” khi
tham gia cuộc thi thiết kế AES.
Mặc dù 2 tên AES và Rijndael vẫn thường được gọi thay thế cho
nhau nhưng trên thực tế thì 2 thuật toán không hoàn toàn giống nhau.
AES chỉ làm việc với các khối dữ liệu (đầu vào và đầu ra) 128 bít và
khóa có độ dài 128, 192 hoặc 256 bít trong khi Rijndael có thể làm việc
với dữ liệu và khóa có độ dài bất kỳ là bội số của 32 bít nằm trong
khoảng từ 128 tới 256 bít. Các khóa con sử dụng trong các chu trình
được tạo ra bởi quá trình tạo khóa con Rijndael. Mỗi khóa con cũng là
một cột gồm 4 byte. Hầu hết các phép toán trong thuật toán AES đều
thực hiện trong một trường hữu hạn của các byte. Mỗi khối dữ liệu 128
bit đầu vào được chia thành 16 byte (mỗi byte 8 bit),có thể xếp thành
4 cột, mỗi cột 4 phần tử hay là một ma trận 4×4 của các byte,nó được
gọi là ma trận trạng thái, hay vắn tắt là trạng thái (tiếng Anh: state,
trang thái trong Rijndael có thể có thêm cột). Trong quá trình thực hiện
thuật toán các toán tử tác động để biến đổi ma trận trạng thái này.
Quá trình mã hóa
Bao gồm các bước:
1. Khởi động vòng lặp
Ø AddRoundKey — Mỗi cột của trạng thái đầu tiên lần lượt được
kết hợp với một khóa con theo thứ tự từ đầu dãy khóa.
2. Vòng lặp
