- Nghiên cứu xây dựng giải pháp Bảo mật mạng riêng ảo VPN dựa trên công nghệ mở. - Tổng quan về an ninh bảo mật thông tin. - Tìm hiểu một số công nghệ bảo mật VPN. - Đề xuất giải pháp VPN mã nguồn mở trên nền tảng Openvpn. - Giải pháp triển khai thực tế cho mô hình kết nối của Bộ Ngoại giao.. - Bảo mật mạng. - Mạng riêng ảo. - CHƢƠNG 1 TỔNG QUAN 1.1 Tổng quan về an toàn bảo mật thông tin. - 1.1.1 Giới thiệu về bảo mật thông tin. - An toàn thông tin bao gồm các nội dung sau:. - 1.1.2 Một số giải pháp an toàn thông tin. - Các mức bảo vệ trên mạng: Thực hiện một số giải pháp: Quyền truy nhập. - An toàn thông tin bằng mật mã:. - Để bảo vệ thông tin trên đƣờng truyền ngƣời thực hiện các giải pháp mật mã nhằm mục đích để ngƣời không đƣợc phép đọc đƣợ thông tin. - Đây là một lớp bảo vệ thông tin rất quan trọng và đƣợc sử dụng rộng rãi trong môi trƣờng mạng. - Để bảo vệ thông tin bằng mật mã ngƣời ta thƣờng tiếp cận theo hai hƣớng:. - Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng làm cơ sở hạ tầng để truyền thông tin nhƣng vẫn đảm bảo là một mạng riêng và kiểm soát đƣợc truy nhập. - Sử dụng hiệu quả băng thông - Nâng cao khả năng mở rộng. - Trên đây là một số lợi ích cơ bản mà giải pháp VPN mang lại. - Có bốn giao thức đƣờng hầm (tunneling protocols) phổ biến thƣờng đƣợc sử dụng trong VPN, mỗi một trong chúng có ƣu điểm và nhƣợc điểm riêng. - Chúng ta sẽ xem xét và so sánh chúng dựa trên mục đích sử dụng.. - Phần mềm nguồn mở (PMNM) là phần mềm với mã nguồn đƣợc công bố và sử dụng một giấy phép nguồn mở. - Mật mã nhƣ là một trong các thành phần bảo mật của một VPN. - Một số phƣơng pháp thƣờng đƣợc sử dụng để bắt đầu cuộc tấn công DoS nhƣ sau:. - 2.2 Công nghệ bảo mật mạng riêng ảo 2.2.1 Tính xác thực. - Hệ thống xác thực ngƣời dụng quay số RADIUS - Sử dụng phần cứng. - Với mong muốn đáp ứng các yêu cầu trên, có 3 hàm lựa chọn sau đây đƣợc sử dụng:. - Cũng có thể sử dụng mã xác thực MAC kèm theo với việc mã hoá để bảo mật. - Nói chung ngƣời ta sử dụng các khoá riêng biệt cho mỗi MAC và có thể tính MAC trƣớc hoặc sau mã hoá, tốt hơn là thực hiện MAC trƣớc và mã hoá sau.. - Hash đƣợc sử dụng để phát hiện thay đổi của mẩu tin. - Hash có thể sử dụng nhiều cách khác nhau với mẩu tin, Hash thƣờng đƣợc kết hợp dùng để tạo chữ ký trên mẩu tin.. - Hàm Hash đƣợc giả thiết là công khai, mọi ngƣời đều biết cách sử dụng. - 2.2.3 Tính bảo mật 2.2.3.1 Mã hóa đối xứng. - Thuật toán đối xứng đƣợc định nghĩa là một thuật toán khoá chia sẻ sử dụng để mã hoá và giải mã một bản tin. - Các thuật toán mã hoá đối xứng sử dụng chung một khoá để mã hoá và giải mã bản tin, điều đó có nghĩa là cả bên gửi và bên nhận đã thoả thuận, đồng ý sử dụng cùng một khoá bí mật để mã hoá và giải mã.. - Thuật toán mã hoá khoá công cộng đƣợc định nghĩa là một thuật toán sử dụng một cặp khoá để mã hoá và giải mã bảo mật một bản tin. - Theo thuật toán này thì sử dụng một khoá để mã hoá và một khoá khác để giải mã nhƣng hai khoá này có liên quan với nhau tạo thành một cặp khoá duy nhất của một bản tin, chỉ có hai khoá này mới có thể mã hoá và giải mã cho nhau.. - Khoá công cộng của khoá đôi có thể đƣợc phân phát một các sẵn sang mà không sợ rằng điều này làm ảnh hƣởng đến việc sử dụng các khoá riêng. - Do đó nó thƣờng đƣợc sử dụng để mã hoá các khoá phiên, một lƣợng dữ liệu nhỏ. - Một số thuật toán sử dụng mã hoá khoá công cộng nhƣ RSA, Diffie-Hellman.. - chế này cũng cho phép gán cho mỗi ngƣời sử dụng trong hệ thống một cặp public/private. - Clients : Ngƣời sử dụng chứng chỉ PKI hay theo cách khác đƣợc xác định nhƣ những thực thể cuối.. - quá trình các định liệu chứng chỉ đã đƣa ra có thể đƣợc sử dụng đúng mục đích thích hợp hay không đƣợc xem nhƣ là quá trình kiểm tra tính hiệu lực của chứng chỉ.. - Giao thức Secure Socket Layer (SSL), ban đầu định hƣớng là nhằm mục đích bảo vệ thông tin trao đổi giữa Client và Server trong các mạng máy tính, là giao thức tầng phiên, nó sử dụng các phƣơng pháp mật mã cho việc bảo vệ thông tin. - Các điều kiện của thuật toán mật mã và nén sẽ đƣợc sử dụng - Tạo một khoá chủ bí mật. - TLS đƣợc phát triển nhờ sử dụng SSL, giống nhƣ SSL, TLS cho phép các Server và Client cuối liên lạc một cách an toàn qua các mạng công cộng không an toàn. - Yêu cầu bảo mật: Để đảm bảo xây dựng kết nối an toàn tới Trung tâm yêu cầu giải pháp:. - Sử dụng các công nghệ bảo mật hiện đại.. - Có thể thay đổi linh hoạt các phƣơng pháp bảo mật.. - Ngƣời quản trị mạng phải nắm bắt đƣợc đầy đủ và thƣờng xuyên các thông tin về cấu hình, sự cố và tất cả số liệu liên quan đến việc sử dụng mạng.. - 3.2 Đề xuất giải pháp. - 3.2.1 Giải pháp phần mềm VPN mã nguồn mở. - 3.2.1.1 Giải pháp kernel space. - Hầu hết các giải pháp triển khai trên giao thức bảo mật IPsec. - 3.2.1.2 Giải pháp user space. - Giải pháp user space hoạt động trong không gian ngƣời sử dụng và do đó không có phụ thuộc hoàn toàn vào mô đun nhân hoặc các bản vá. - User space VPNs sử dụng “giao diện đƣờng hầm ảo", tạo nên các chức năng kết nối mạng ở mức độ thấp, để đạt đƣợc đƣờng hầm IP. - Giải pháp user space có thể đƣợc nhóm lại dựa trên giao thức bảo mật đƣợc sử dụng.. - Các giao thức sử dụng chức năng mã hóa tiêu chuẩn đƣợc cung cấp bởi OpenSSL (Open- VPN, vTun, Tinc). - Đây là một giải pháp mạnh mẽ và dễ dàng để cấu hình VPN cung cấp gần nhƣ cùng một phƣơng thức bảo mật nhƣ IPSec. - SSL/TLS đƣợc sử dụng nhƣ hệ thống bảo mật, nó đƣợc biết đến nhƣ nhƣ một giao thức bảo mật đƣợc ứng dụng rộng rãi. - Về kiến trúc, Openvpn là một chƣơng trình sử dụng chế độ giao tiếp với ngăn xếp TCP/IP thông qua giao diện TUN/TAP. - 3.2.2.3 Các mô hình bảo mật OpenVPN. - OpenVPN sử dụng giao thức SSL để xác thực mỗi điểm cuối VPN đến các máy chủ, trao đổi khóa và thông tin điều khiển khác. - 1: Mô hình lưu khóa sử dụng Openvpn. - OpenVPN có thể tùy chọn sử dụng kết nối TCP thay vì UDP datagrams. - Ngoài băng thông sử dụng, các kênh dữ liệu mang một số lƣợng hạn chế thông tin điều khiển. - Các trƣờng session ID là số ngẫu nhiên 64-bit đƣợc sử dụng để xác định các phiên VPN.. - Trƣờng tùy chọn HMAC đƣợc sử dụng để giúp ngăn ngừa tấn công từ chối dịch vụ. - Trƣờng Pecket ID đƣợc sử dụng để ngăn chặn các cuộc tấn công phát lại (replay attack). - Các bộ đệm ACK đƣợc sử dụng bởi các lớp tin cậy để xác nhận các gói tin của một máy.. - 3.2.3 Giải pháp bảo mật 3.2.3.3 Tích hợp PKI. - Đa số các mạng riêng ảo ngày nay đang đƣợc khai thác không sử dụng sự hỗ trợ của cơ sở hạ tầng mã khoá công khai (PKI). - Đối với giấy chứng nhận điện tử, tổ chức này đƣợc gọi là hệ thống cung cấp chứng nhận (CA-Certification Authority) Các mạng VPN sử dụng chứng. - 3.2.3.4 Sử dụng xác thực 2 thành tố. - eToken là một thiết bị nhận dạng số, đƣợc tích hợp những giải pháp phần mềm bảo mật chuyên dụng, theo đúng chuẩn quốc tế và kết nối với máy tính thông qua cổng giao tiếp USB. - eToken cung cấp nền tảng bảo mật an toàn, hiệu quả, dễ sử dụng và triển khai trên diện rộng. - Giải pháp sử dụng thiết bị epass3003, epass2000, các thiết bị này tƣơng thích với các môi trƣờng linux, windows.. - Giải pháp đƣa ra tích hợp phần mềm tƣờng lửa mã nguồn mở shorewall trên các gateway. - Shorewall là một giải pháp tƣơng thích với giao diện tun ảo của Openvpn. - 3.2.4 Giải pháp quản trị. - Giải pháp quản trị không thể thiếu cho việc quản trị mạng VPN với số lƣợng kết nối lớn. - Giải pháp Openvpn không hỗ trợ một giao diện cho việc quản trị. - Chính sách truy cập: Thiết lập lớp chính sách truy cập cho các lớp khác nhau của ngƣời sử dụng. - Cách tiếp cận cơ bản, tách các lớp ngƣời sử dụng theo dải IP ảo. - Hệ thống IP VPN đƣợc sử dụng lớp IP private, đề xuất sử dụng . - Giải pháp sử dụng dạng kết nối point to point mỗi kết nối sẽ đƣợc khởi tạo một lớp subnet /30.. - Giấy chứng nhận CA, chứng chỉ và khóa đƣợc sử dụng để đăng ký mỗi chứng chỉ số của máy chủ và các máy khách. - Giải pháp sử dụng xác thực 2 thành tố sử dụng thiết bị epass3003 auto sử dụng trong môi trƣờng linux. - Thiết bị hỗ trợ sử dụng trong môi trƣờng windows và Linux.. - 6: Lưu khóa vào thiết bị epass3003 Bƣớc 4: Sử dụng thiết bị phần cứng token. - Sử dụng PHP kết nối tới giao diện quản trị Openvpn, thực hiện hiển thị trạng thái kết nối, quản trị các kết nối. - Sử dụng cơ chế shell cho việc thiết lập khóa, cấu hình khóa.. - Sử dụng mysql cho việc lƣu trữ account đăng nhập vào hệ thống quản trị.. - Luận văn tập trung nghiên cứu đánh giá một số giải pháp công nghệ VPN, trên cơ sở đó xây dựng giải pháp VPN mã nguồn mở tƣơng đối hoàn thiện có tính ứng dụng thực tiễn cao.. - Nghiên cứu các công nghệ bảo mật mạng riêng ảo VPN. - Nghiên cứu giải pháp VPN mã nguồn mở, phân tích đánh giá triển khai giải pháp Openvpn. - o Xây dựng phần mềm quản trị o Tích hợp giải pháp tƣờng lửa.. - Xây dựng giải pháp hoàn thiện hơn - Xây dựng giao diện VPN client. - Tích hợp hạ tầng PKI hoàn thiện, có thể sử dụng giải pháp Openca để cấp phát, thu hồi khóa.