ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN QUYẾT TIẾN NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG RIÊNG ẢO VÀ ỨNG DỤNG LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội - 2015 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN QUYẾT TIẾN NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG RIÊNG ẢO VÀ ỨNG DỤNG Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã số: 60480104 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƢỜI HƢỚNG DẪN KHOA HỌC: TS HỒ VĂN HƢƠNG Hà Nội - 2015 LỜI CAM ĐOAN Tôi xin cam đoan toàn nội dung luận văn “ Nghiên cứu giải pháp bảo mật mạng riêng ảo ứng dụng” tìm hiểu, nghiên cứu, tham khảo tổng hợp từ nguồn tài liệu khác làm theo hƣớng dẫn ngƣời hƣớng dẫn khoa học Các nguồn tài liệu tham khảo, tổng hợp có nguồn gốc rõ ràng trích dẫn theo quy định Tôi xin chịu hoàn toàn trách nhiệm lời cam đoan Nếu có điều sai trái, xin chịu hình thức kỷ luật theo quy định Hà Nội, tháng 08 năm 2015 Ngƣời cam đoan Nguyễn Quyết Tiến LỜI CẢM ƠN Trƣớc hết em xin gửi lời cảm ơn chân thành đến thầy cô Khoa Công Nghệ Thông Tin - trƣờng Đại học Công nghệ - Đại học Quốc gia Hà Nội nhiệt tình tâm huyết truyền đạt cho em kiến thức quý báu suốt thời gian học tập trƣờng Em xin gửi lời cảm ơn sâu sắc đến TS Hồ Văn Hƣơng – Ban Cơ yếu Chính phủ nhiệt tình, tận tâm định hƣớng, hƣớng dẫn cho em lời khuyên bổ ích để em hoàn thành luận văn tốt nghiệp Cuối cùng, em xin cảm ơn gia đình, bạn bè động viên ủng hộ em suốt trình học tập hoàn thành luận văn Bài luận văn đƣợc thực khoảng thời gian 06 tháng Bƣớc đầu vào thực tế, tìm hiểu lĩnh vực OpenVPN PKI, kiến thức em nhiều hạn chế nhiều bỡ ngỡ, nên không tránh khỏi thiếu sót Em mong nhận đƣợc ý kiến đóng góp quý báu từ phía quý thầy cô bạn để luận văn đƣợc hoàn thiện Hà Nội, tháng 08 năm 2015 Học viên Nguyễn Quyết Tiến MỤC LỤC LỜI NÓI ĐẦU CHƢƠNG TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN, BẢO MẬT MẠNG RIÊNG ẢO VÀ TÌM HIỂU CÔNG NGHỆ MÃ NGUỒN MỞ 1.1 AN TOÀN BẢO MẬT THÔNG TIN………………………… 1.1.1.Giới thiệu bảo mật thông tin 1.1.2 Một số giải pháp an toàn thông tin 1.2 MẠNG RIÊNG ẢO………………………………………………… ….6 1.2.1 Khái niệm 1.2.2 Những lợi ích mạng riêng ảo 1.2.3 Các mô hình kết nối VPN 1.2.4 Giao thức mạng riêng ảo 11 1.3 CÔNG NGHỆ MÃ NGUỒN MỞ………………………………… 16 1.3.1 Khái niệm phần mềm mã nguồn mở 16 1.3.2 Những ƣu điểm PMNM 17 1.3.3 Những hạn chế PMNM 18 1.4 KẾT LUẬN…………………………………………………………… 18 CHƢƠNG CÁC NGUY CƠ MẤT AN TOÀN THÔNG TIN TRONG MẠNG RIÊNG ẢO VÀ CÁC GIẢI PHÁP BẢO MẬT MẠNG RIÊNG ẢO 19 2.1 NGUY CƠ MẤT AN TOÀN THÔNG TIN TRONG MẠNG RIÊNG ẢO …….…………………………………………………………………………….19 2.1.1 Tấn công thành phần mạng riêng ảo 19 2.1.2 Tấn công giao thức mạng riêng ảo 21 2.1.3 Tấn công mật mã 23 2.1.4 Tấn công từ chối dịch vụ 25 2.2 GIẢI PHÁP BẢO MẬT VÀ XÁC THỰC CHO MẠNG RIÊNG ẢO………………………………………………………… ……………….29 2.2.1 Đánh giá số giải pháp bảo mật mạng riêng ảo 29 2.2.2 Tích hợp giải pháp bảo mật mạng riêng ảo 32 2.2.2 Giải pháp bảo mật an toàn thông tin tổng thể dựa sở hạ tầng khóa công khai 33 2.3 KẾT LUẬN………………………………………………………………35 CHƢƠNG LỰA CHỌN GIẢI PHÁP BẢO MẬT, XÁC THỰC VPN VÀ TRIỂN KHAI ỨNG DỤNG DỰA TRÊN CÔNG NGHỆ MỞ 36 3.1 KHẢO SÁT HIỆN TRẠNG…………………………………………… 36 3.1.1 Mô hình mạng trƣờng 36 3.2 LỰA CHỌN GIẢI PHÁP……………………………………… …… 38 3.2.1 Phân tích yêu cầu thực tế lựa chọn giải pháp OpenVPN 38 3.2.2 Tích hợp PKI dùng usb eToken 40 3.3 TRIỂN KHAI ỨNG DỤNG…………… ………………………………41 3.3.1 Mô hình 41 3.3.2 Cài đặt cấu hình openvpn 44 KẾT LUẬN 56 TÀI LIỆU THAM KHẢO BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT Ký hiệu Từ cụm từ AH Authentication Header CA Certificate Authority CHAP Challenge-Handshake Authentication Protocol DH Diffie-Hellman ESP Encapsulation Security Payload HMAC Hashed-keyed Message Authentication Code IKE Internet Key Exchange IPSec Internet Protocol Security L2F Layer Forwarding L2TP Layer Tunnerling Protocol NAT Network Address Translation MAC Message Authentication Code OSI Open Systems Interconnection PAP Password Authentincation Protocol PKI Public Key Infrastructure PPTP Point To Point Tunneling Protocol QoS Quanlity of Service SSL Sercure Socket Layer TLS Transport Layer Sercurity VPN Virtual Private Network DANH MỤC CÁC BẢNG BIỂU HÌNH VẼ Số hình Hình 1.1 Hình 1.2 Hình 1.3 Hình 1.4 Hình 1.5 Hình 1.6 Hình 1.7 Hình 2.1 Hình 2.2 Hình 2.3 Hình 2.4 Hình 3.1 Hình 3.2 Hình 3.3 Hình 3.4 Tên hình Mạng VPN điển hình gồm mạng LAN trụ sở chính, văn phòng từ xa ngƣời truy cập từ bên Thiết lập VPN truy cập từ xa Thiết lập Intranet sử dụng WAN Thiết lập Intranet dựa VPN Mạng Extranet dựa VPN Đƣờng hầm L2TP Mô hình TCP/IP vị trí SSL Mô hình VPN Tấn công từ chối dịch vụ Tấn công SYN Tấn công Smurf sử dụng gói ICMP làm ngập giao tiếp khác Hệ thống mạng trƣờng Thiết bị usb eToken SecureToken ST3 Mô hình triển khai VPN Thông tin cấu hình CA Trang 8 10 11 13 15 19 26 27 28 37 41 41 50 LỜI NÓI ĐẦU Lý chọn đề tài Ngày với phát triển không ngừng công nghệ thông tin phát triển nhanh chóng mạng Internet, thông tin trao đổi Internet tăng lên nhanh chóng đa dạng, phong phú nội dung lẫn hình thức Phƣơng án truyền thông nhanh, an toàn tin cậy trở thành mối quan tâm nhiều quan, doanh nghiệp, đặc biệt tổ chức có sở hạ tầng phân tán địa lý Nếu nhƣ trƣớc giải pháp thông thƣờng thuê đƣờng truyền riêng(Leased line) để trì mạng WAN(Wide Area Network) hay dịch vụ nhƣ Frame Relay Service,…Mỗi mạng WAN có ƣu nhƣợc điểm riêng mạng công cộng nhƣ Internet Cùng với phát triển chung toàn xã hội, đầu tƣ áp dụng công nghệ thông tin giáo dục đào tạo từ xa nƣớc ta ngày phát triển Nhiều tổ chức, quan, đơn vị nhƣ trƣờng học triển khai hệ thống mạng đại phục vụ cho nhu cầu đơn vị Bên cạnh hệ thống phục vụ đắc lực cho việc hợp tác, nghiên cứu quản lý nhà trƣờng Để giải nhu cầu khắc phục khó khăn công nghệ mạng riêng ảo VPN đời Chính đơn giản nhƣng hiệu làm cho VPN phát triển mạnh mẽ trở thành công nghệ đƣợc sử dụng phổ biến đem lại lợi ích cao Đó lý khiến cho VPN trở thành đề tài đáng quan tâm Xuất phát từ thực tế đó, đề tài nghiên cứu giải pháp bảo mật mạng riêng ảo ứng dụng Mục đích nghiên cứu Tìm hiểu bảo mật, xác thực mạng riêng ảo giải pháp bảo mật mạng riêng ảo Đánh giá ƣu, nhƣợc điểm công nghệ mạng riêng ảo Lựa chọn tích hợp giải pháp bảo mật, xây dựng mạng riêng ảo dựa công nghệ mã nguồn mở OpenVPN Nhiệm vụ nghiên cứu Nghiên cứu điểm yếu việc đảm bảo an toàn thông tin công nghệ VPN Trên sở đánh giá, lựa chọn giải pháp bảo mật triển khai VPN dựa công nghệ mở OpenVPN, thực tích hợp giải pháp bảo mật, xác thực nhƣ: Tích hợp PKI, tích hợp thiết bị phần cứng eToken cho việc lƣu khóa Đối tƣợng phạm vi nghiên cứu Đối tƣợng phạm vi nghiên cứu công nghệ mạng riêng ảo VPN đƣợc cài đặt hệ điều hành Linux phân phối Debian 8.0 Sử dụng mã nguồn mở OpenVPN 2.3.4 để triển khai Tích hợp hạ tầng khóa công khai PKI, sử dụng thiết bị phần cứng SecureToken ST3 để lƣu khóa Phƣơng pháp nghiên cứu Phƣơng pháp tìm hiểu, đánh giá để từ lựa chọn giải pháp bảo mật triển khai VPN dựa công nghệ mở Giả thuyết khoa học Phát triển từ mã nguồn mở OpenVPN 43 Phân chia mô hình vật lý Center Network Remote Office Network Site Wan IP Ethernet IP Site VPN eth0: eth1: Remote eth0: eth1: server 192.168.1.128 10.0.0.1 site (A) 10.0.1.0 (B) 255.255.255.0 255.255.255.0 Wan IP Ethernet IP 255.255.255.0 Tunnel: Tunnel:tun0 tun0 172.16.100.0 172.16.102.0 255.255.255.0 255.255.255.0 Tun1: Tun1: 172.16.50.0 172.16.102.0 255.255.255.0 255.255.255.0 Web 172.16.1.11 PC X 10.0.1.10 server APP 192.168.2.105 server VPN 192.168.1.202 client 255.255.255.0 192.168.200 10.0.1.1 255.255.255.0 255.255.255.0 Chính sách truy cập: Thiết lập lớp sách truy cập cho lớp khác ngƣời sử dụng - Nhân viên: đƣợc quyền truy cập dịch vụ nhƣ email, website nội bộ… 44 - Quản trị: Truy cập toàn quyền vào hệ thống Lớp Nhân viên Quản trị Dải IP ảo 172.16.102.0/24 172.16.50.0/24 Chính sách Đặt tên Truy cập email, Tên ngƣời website dùng Toàn quyền truy cập sysadmin1 - Cách tiếp cận bản, tách lớp ngƣời sử dụng theo dải IP ảo - Kiểm soát truy cập cách thiết lập sách firewall áp dụng cho dải IP ảo Phân hoạch IP: Hệ thống server VPN đƣợc cấu hình IP public (để đảm bảo VPN client nhận diện kết nối thành công môi trƣờng internet) Hệ thống IP VPN đƣợc sử dụng lớp IP private, đề xuất sử dụng 172.16.102.0/24; 172.16.50.0/24 Giải pháp sử dụng dạng kết nối point to point kết nối đƣợc khởi tạo lớp subnet /30 nhƣ dạng phía dƣới [ 1, 2] [ 5, 6] [ 9, 10] [ 13, 14] [ 17, 18] [ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38] [ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58] [ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78] [ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98] [101,102] [105,106] [109,110] [113,114] [117,118] [121,122] [125,126] [129,130] [133,134] [137,138] [141,142] [145,146] [149,150] [153,154] [157,158] [161,162] [165,166] [169,170] [173,174] [177,178] [181,182] [185,186] [189,190] [193,194] [197,198] [201,202] [205,206] [209,210] [213,214] [217,218] [221,222] [225,226] [229,230] [233,234] [237,238] [241,242] [245,246] [249,250] [253,254] 3.3.2 Cài đặt cấu hình openvpn Bƣớc 1: tải gói ứng dụng wget http://www.openvpn.net/release/openvpn-2.3.8.tar.gz wget http:/www.oberhumer.com/opensource/lzo/download/lzo-2.3.8.tar.gz 45 Bƣớc 2: Trƣớc tiên cài đặt gói lzo : tar –xvzf lzo-2.38.tar.gz cd lzo-2.38 /configure make make check make test make install Bƣớc : tiến hành cài đặt openvpn : tar –xvzf openvpn-2.3.8.tar.gz cd openvpn-2.3.8 /configure make make install Sinh khóa: Thiết lập CA tạo chứng số khóa cho máy chủ Openvpn nhiều máy khách Bƣớc thiết lập PKI (cơ sở hạ tầng khóa công khai) PKI bao gồm: - Khóa công khai khóa riêng máy chủ máy khách - Giấy chứng nhận CA, chứng khóa đƣợc sử dụng để đăng ký chứng số máy chủ máy khách Việc tạo quản lý PKI (small PKI) đƣợc thực dƣới dạng scrip đƣợc cài đặt /etc/openvpn/easy-rsa: - Chỉnh sửa thông số KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG, and KEY_EMAIL tệp cấu hình vars - Cài đặt PKI /vars /clean-all /build-ca ai:easy-rsa # /build-ca Generating a 1024 bit RSA private key ++++++ 46 ++++++ writing new private key to 'ca.key' You are about to be asked to enter information that will be incorporated into your certificate request What you are about to enter is what is called a Distinguished Name or a DN There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank Country Name (2 letter code) [KG]: State or Province Name (full name) [NA]: Locality Name (eg, city) [BISHKEK]: Organization Name (eg, company) [OpenVPN-TEST]: Organizational Unit Name (eg, section) []: Common Name (eg, your name or your server's hostname) []:OpenVPN-CA Email Address [me@myhost.mydomain]: - Tạo chứng số khóa cho server /build-key-server server - Tạo chứng khóa cho máy khách / build-key client - Tạo tham số DH /build-dh ai:easy-rsa # /build-dh Generating DH parameters, 1024 bit long safe prime, generator This is going to take a long time + + + .+ 47 Tệp khóa: Filename Needed By Purpose Secret ca.crt server + all clients Root CA certificate NO ca.key key signing machine only Root CA key YES dh{n}.pem server only Diffie Hellman parameters NO server.crt server only Server Certificate NO server.key server only Server Key YES client1.crt client1 only Client1 Certificate NO Client1 Key YES client1.key client1 only Cấu hình hệ thống Openvpn: VPN server VPN client port 1554 remote 192.168.98.44 proto udp port 1554 dev tun client server 172.16.102.0 255.255.255.0 dev tun ca /etc/openvpn/scfg/ca.crt proto udp cert /etc/openvpn/scfg/server.crt key /etc/openvpn/scfg/server.key ca ca.crt dh /etc/openvpn/scfg/dh1024.pem pkcs11-providers client-to-client /home/anhdoan/epass3003/redist/libs client-config-dir /etc/openvpn/ccfg huttle_p11v220.so.1.0.0 management 127.0.0.1 6300 pkcs11-id push "route 192.168.10.0 255.255.255.0" 'Feitian\x20Technologies\x20Co\x2E\ push "dhcp-option DNS 8.8.8.8" x2C\x20Ltd\x2E/ePass3003Auto/0121 push "dhcp-option WINS 10.8.0.1" 511609040510/ePass/6639393235383 tun-mtu 1300 3302D376166312D313165312D3835 tun-mtu-extra 32 34642D303030633239353937336161' 48 mssfix 1300 resolv-retry infinite keepalive 10 60 tun-mtu-extra 32 tls-auth ta.key mssfix 1300 cipher BF-CBC nobind max-clients 100 ping 15 persist-tun persist-key verb verb #tun-mtu 1300 status /var/log/openvpn-status-new.log #tls-remote "anhdoan" log /var/log/openvpn-new.log Thông tin cấu hình CA: 49 Thông tin cấu hình Client Thông tin cấu hình Server: 50 Cài đặt giao diện quản trị mạng VPN sử dụng webmin: Tải cài đặt webmin từ địa sau: http://www.webmin.com/download.html Và cài đặt [root@uynq ~]# rpm -Uvh webmin-1.550-1.noarch.rpm Sau cài đặt, đăng nhập vào Webmin địa https://localhost:10000 Hình 3.4 Giao diệnWebmin Tạo Certification Authority Chọn Server -> OpenVPN + CA, chọn Certification Authority List 51 Điền thông tin, chọn Save Hệ thống tạo tham sô ca.key ca.crt cho Certification Authority 52 Tạo khóa cho máy chủ VPN Để tạo Server key, vào Server -> OpenVPN + CA -> Certication Authority List, chọn Keys list Tạo cấu hình VPN server Chọn Servers -> OpenVPN + CA -> VPN List, chọn New VPN server Điền thông tin cho VPN Server 53 54 55 Tạo khóa tài khoản VPN client Chọn Servers -> OpenVPN + CA -> Certication Authority List -> Keys list Hệ thống tạo khóa cho client 56 KẾT LUẬN Với yêu cầu tính bảo mật dễ dàng triển khai, giải pháp OpenVPN lựa chọn tối ƣu Đánh giá mô hình kiến trúc OpenVPN khắc phục đƣợc số vấn đề bảo mật đƣợc nêu nhƣ: chống công DDOS, chống công phát lại, công trung gian … Trong Luận văn đề xuất triển khai giải pháp VPN ứng dụng thử nghiệm vào mô hình kết nối mạng thực tế Thực xây dựng giải pháp tƣơng đối hoàn thiện tảng phần mềm OpenVPN mã nguồn mở, đó, áp dụng hai mô hình site to site remote access Tích hợp giải pháp bảo mật nâng cao dựa PKI: Tích hợp việc lƣu khóa thiết bị phần cứng; tích hợp đầy đủ giải pháp tƣờng lửa mã nguồn mở Phần mềm quản trị thực yêu cầu thiết kế, xây dựng giao diện quản trị web Công cụ quản trị cho phép giám sát kết nối, lựa chọn thuật toán mã hóa cho kết nối VPN Kết nghiên cứu làm sở cho việc triển khai số giải pháp bảo mật mạng riêng ảo thực tiễn Hƣớng phát triển: - Nghiên cứu giải pháp bảo mật Cơ sở liệu - Nghiên cứu giải pháp bảo mật thƣ điện tử - Nghiên cứu giải pháp bảo mật xác thựcWeb TÀI LIỆU THAM KHẢO Tiếng Việt Hồ Văn Hƣơng, Nguyễn Quốc Uy, Nguyễn Anh Đoàn, Tích hợp giải pháp bảo mật xác thực cho mạng riêng ảo, Tạp chí nghiên cứu Khoa học Công nghệ Quân số 28, 2013 Hồ Văn Hƣơng, Hoàng Chiến Thắng-Cục QLKTNVMM, Ban Cơ yếu Chính phủ, Ký số xác thực tảng web, Tạp trí An toàn thông tin, số (026) năm 2013 Tiếng Anh Dave Kosiur, “ Building and Managing virtual private network”, Wiley computer publishing, John Wiley & Sons, inc ( 1998) Meeta Gupta, “ Building a Virtual Private Network”, Premier #, (2003) John C Snader, “ VPNs Illustrated: Tunnels VPNs and IPsec, “ Addison Wesley Professional (2005) Jan Just Keijer, “ OpenVPN Cookbook”, Packt Publishing Ltd (2005), pp.127-148 Carla Schroder, “ Linux Networking Cookbook”, O’Reilly Media, Inc.(2008), pp.265-286 http://www.OpenVPN 9.William Stallings, “ Crytography and Network Security Principles and Practice 2nd Edition”, Prentice-Hall, inc (1999), pp.237-259, 271-293 [...]... CHƢƠNG 1 TỔNG QUAN VỀ AN TOÀN BẢO MẬT THÔNG TIN, BẢO MẬT MẠNG RIÊNG ẢO VÀ TÌM HIỂU CÔNG NGHỆ MÃ NGUỒN MỞ 1.1 AN TOÀN BẢO MẬT THÔNG TIN 1.1.1 Giới thiệu về bảo mật thông tin Với sự phát triển nhanh chóng của công nghệ thông tin, đặc biệt là sự phát triển của mạng Internet, thì nhu cầu truyền tin trên mạng Internet và lƣu trữ chúng trên máy tính ngày càng tăng cao An toàn bảo mật thông tin là một chủ đề... -Bảo mật các dịch vụ: Vì VPN dùng công nghệ đƣờng hầm để truyền dữ liệu qua mạng công cộng không an toàn Dữ liệu đang truyền đƣợc bảo mật ở một mức độ nhất định, thêm vào đó, công nghệ đƣờng hầm sử dụng các biện pháp bảo mật nhƣ: Mã hóa, xác thực và cấp quyền để đảm bảo an toàn, tính tin cậy, tính xác thực của dữ liệu đƣợc truyền, kết quả là VPN mang lại mức độ bảo mật cao cho việc truyền tin -Sử dụng. .. về những thuận lợi và khó khăn đối với từng vấn đề cụ thể để đề xuất một giải pháp đúng đắn và khả thi 1.4 KẾT LUẬN Chƣơng này đã trình bày tổng quan về an toàn và bảo mật thông tin trong đó sử dụng một số thuật toán đƣợc đánh giá khả thi về mặt kinh tế và triển khai Trình bày tổng quan về mạng riêng ảo, các mô hình triển khai và các giao thức trong mạng riêng ảo VPN Giải pháp sử dụng mã nguồn mở đang... nhiều lĩnh vực và trên thực tế có nhiều phƣơng pháp đƣợc thực hiện để bảo vệ an toàn thông tin Các phƣơng pháp an toàn thông tin có thể đƣợc quy tụ vào ba nhóm sau: -Bảo vệ an toàn thông tin bằng các biện pháp hành chính -Bảo vệ an toàn thông tin bằng các biện pháp ký thuật(phần cứng) -Bảo vệ an toàn thông tin bằng các biện pháp thuật toán(phần mềm) Ba nhóm trên có thể đƣợc ứng dụng riêng rẽ hoặc phối... thức: Xác thực tiêu đề (AH) và đóng gói tải bảo mật (ESP) AH đƣợc sử dụng để đảm bảo tính toàn vẹn dữ liệu, ESP cũng thực hiện các chức năng tƣơng tự AH nhƣng kèm thêm khả năng bảo mật dữ liệu 1.2.4.5 SSL SSL đƣợc phát triển bởi hãng Netscape cùng với hãng bảo mật dữ liệu RSA Gao thức SSL cung cấp một kênh riêng giữa các ứng dụng đang liên lạc với nhau, trong đó đảm bảo tính riêng tƣ, tính xác thực, tính... sử dụng nhiều biện pháp bảo vệ khác nhau, nếu không khi có kẻ tấn công vào đƣợc một hệ thống thì chúng cũng dễ dàng tấn công vào hệ thống khác Các mức bảo vệ trên mạng: Vì không thể có một giải pháp an toàn tuyệt đối nên ngƣời ta thƣờng phải sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều hàng rào vững chắc đối với các hoạt động xâm phạm Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ... 19 CHƢƠNG 2 CÁC NGUY CƠ MẤT AN TOÀN THÔNG TIN TRONG MẠNG RIÊNG ẢO VÀ CÁC GIẢI PHÁP BẢO MẬT MẠNG RIÊNG ẢO 2.1 NGUY CƠ MẤT AN TOÀN THÔNG TIN TRONG MẠNG RIÊNG ẢO 2.1.1 Tấn công các thành phần mạng riêng ảo Các yếu tố quan trọng nhất của một thiết lập VPN bao gồm: -Ngƣời dùng truy cập từ xa -Kết nối trang phân đoạn ISP -Internet công cộng -Gateway của mạng Hình 2.1 Mô hình VPN cơ bản VPN-Client là ngƣời... hoặc cơ quan Vì vậy việc đảm bảo cho hệ thống mạng máy tính hoạt động một cách an toàn, không xảy ra sự cố là một công việc cấp thiết và việc quản trị mạng là vô cùng quan trọng An toàn thông tin bằng mật mã: Mật mã là một ngành khoa học chuyên nghiên cứu các phƣơng pháp truyền tin bí mật Mật mã bao gồm: Lập mã và phá mã Lập mã bao gồm hai quá trình: mã hóa và giải mã Để bảo vệ thông tin trên đƣờng truyền... năng sinh khóa và làm tƣơi khóa mà không cần phải truyền bất kỳ khóa nào dƣới dạng rõ hay ngoại tuyến Những điểm khác nhau: - SSL đƣợc thực thi nhƣ một API giữa tầng ứng dụng và tầng giao vận, IPSec đƣợc thực thi nhƣ một khung làm việc tại tầng mạng - SSL cung cấp tính năng bảo mật từ ứng dụng – tới - ứng dụng, IPSec cung cấp tính năng bảo mật từ thiết bị - tới – thiết bị - SSL không bảo vệ lƣu lƣợng... toàn vẹn dữ liệu và bảo vệ sự phát lại - Cung cấp khả năng tạo và tự động làm tƣơi các khoa mật mã một cách an toàn - Sử dụng các thuật toán mật mã mạnh để cung cấp tinh bảo mật - Cung cấp khả năng xác thực dựa trên chứng thƣ số - Điều chỉnh các thuật toán mật mã và các giao thức trao đổi khóa - Cung cấp tính năng an toàn cho các giao thức đƣờng hầm truy cập từ xa nhƣ L2TP, PPTP Việc bảo mật các gói tin ... nghiên cứu giải pháp bảo mật mạng riêng ảo ứng dụng Mục đích nghiên cứu Tìm hiểu bảo mật, xác thực mạng riêng ảo giải pháp bảo mật mạng riêng ảo Đánh giá ƣu, nhƣợc điểm công nghệ mạng riêng ảo. .. CHO MẠNG RIÊNG ẢO ……………………………………………………… ……………….29 2.2.1 Đánh giá số giải pháp bảo mật mạng riêng ảo 29 2.2.2 Tích hợp giải pháp bảo mật mạng riêng ảo 32 2.2.2 Giải pháp bảo mật an toàn... hình tập tin khác [9] 2.2 GIẢI PHÁP BẢO MẬT VÀ XÁC THỰC CHO MẠNG RIÊNG ẢO 2.2.1 Đánh giá số giải pháp bảo mật mạng riêng ảo - Vtun [3] cung cấp phƣơng pháp để tạo đƣờng hầm mạng TCP/IP cho phép nén