Nghiên Cứu Giải Pháp Bảo Mật Mạng VPN Nguồn Mở Tại Công An Tỉnh Hậu Giang

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT THÀNH PHỐ HỒ CHÍ MINH LUẬN VĂN THẠC SĨ HUỲNH VĂN HOÀI THANH NGHIÊN CỨU VÀ TRIỂN KHAI GIẢI PHÁP BẢO MẬT MẠNG VPN NGUỒN MỞ TẠI CÔNG AN TỈNH HẬU GIANG NGÀNH: KỸ THUẬT ĐIỆN TỬ - 605270 S K C0 0 4 3 3 4 Tp. Hồ Chí Minh, tháng 10/2014 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT THÀNH PHỐ HỒ CHÍ MINH LUẬN VĂN THẠC SĨ HUỲNH VĂN HOÀI THANH NGHIÊN CỨU VÀ TRIỂN KHAI GIẢI PHÁP BẢO MẬT MẠNG VPN NGUỒN MỞ TẠI CÔNG AN TỈNH HẬU GIANG NGÀNH: KỸ THUẬT ĐIỆN TỬ - 60 52 70 Tháng 10, 2014 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT THÀNH PHỐ HỒ CHÍ MINH LUẬN VĂN THẠC SĨ HUỲNH VĂN HOÀI THANH NGHIÊN CỨU VÀ TRIỂN KHAI GIẢI PHÁP BẢO MẬT MẠNG VPN NGUỒN MỞ TẠI CÔNG AN TỈNH HẬU GIANG NGÀNH: KỸ THUẬT ĐIỆN TỬ - 60 52 70 Hướng dẫn khoa học: TS. PHAN VĂN CA Tháng 10, 2014 Lời cảm ơn Trước tiên, xin gửi lời cảm ơn sâu sắc nhất đến thầy TS. Phan Văn Ca, người đã tận tình hướng dẫn em trong suốt quá trình làm đề tài này. Em xin bày tỏ lời cảm ơn sâu sắc đến những thầy cô giáo đã giảng dạy em trong suốt khóa học qua, những kiến thức mà chúng em nhận được trên giảng đường Cao học sẽ là hành trang giúp chúng em vững bước trong tương lai. Xin gửi lời cảm ơn sâu sắc đến tất cả bạn bè và tập thể lớp Kỹ thuật điện tử khóa 12B, những người luôn bên em trong suốt khóa học. Được hoàn thành trong thời gian hạn hẹp, luận văn này chắc chắn còn nhiều thiếu sót. Xin cảm ơn thầy cô, bạn bè đã có những ý kiến đóng góp chân thành cho nội dung của luận văn này để em tiếp tục đi sâu vào tìm hiểu và ứng dụng thực tiễn công tác. Huỳnh Văn Hoài Thanh Tp.HCM, tháng 10, 2014 iii Lời cam đoan Em xin cam đoan luận văn này là công trình nghiên cứu của em và không trùng lặp với bất kỳ công trình nghiên cứu khác, chưa từng được công bố trên bất kỳ tạp chí nào.HCM, ngày 25 tháng 10, 2014 Huỳnh Văn Hoài Thanh iv NGHIÊN CỨU VÀ TRIỂN KHAI GIẢI PHÁP BẢO MẬT MẠNG VPN NGUỒN MỞ TẠI CÔNG AN TỈNH HẬU GIANG thực hiện bởi HUỲNH VĂN HOÀI THANH Nộp tại Khoa Điện - Điện tử Ngày 25 Tháng 10, 2014 theo một phần yêu cầu hoàn thành chương trình Thạc sỹ ngành Kỹ thuật điện tử tại Trường Đại Học Sư Phạm Kỹ Thuật Thành Phố Hồ Chí Minh Tóm tắt Sự phát triển của Internet và thương mại điện tử, cùng với những cơ hội mà họ mang lại, đã làm tăng nhu cầu truyền thông an toàn giữa các mạng công ty, người dùng cá nhân, và thế giới bên ngoài. Khi truyền thông và thương mại qua Internet tăng, rủi ro an ninh cho các mạng công ty cũng tăng lên. Vấn đề an ninh trở thành một yếu tố quan trọng trong việc xác định khả năng tiếp cận của một tổ chức với Internet. Mục tiêu của an ninh mạng là cung cấp tính bí mật, tính toàn vẹn và xác thực. Trong số các giải pháp an ninh mạng hiện nay, mạng riêng ảo (VPN) có lợi thế riêng của nó đã thu hút sự quan tâm của nhiều người sử dụng. Nhưng hầu hết các giải pháp VPN ở Việt Nam được sử dụng từ nước ngoài. Do tính chất đặc thù của các giải pháp an ninh mạng, chúng ta phải phát triển giải pháp bảo mật của riêng chúng ta. Luận án này giới thiệu một phương pháp xây dựng từng bước mạng riêng ảo nguồn mở bằng cách sử dụng OpenVPN. OpenVPN là phần mềm ứng dụng nguồn mở dùng để triển khai công nghệ VPN và việc thêm các lớp xác thực là điều dễ dàng đối với OpenVPN. Sau khi được thử nghiệm, phương pháp này có thể cấu hình thành một số sản phẩm v VPN chất lượng cao, có thể đạt được an ninh và bảo mật của mạng truyền dữ liệu và đáp ứng nhu cầu của hầu hết người dùng, giúp tiết kiệm chi phí đầu tư và từng bước làm chủ công nghệ. Hướng dẫn khoa học: TS. PHAN VĂN CA Chức danh: Giảng viên vi STUDY AND IMPLEMENT OF OPEN SOURCE VPN NETWORK SECURITY SOLUTIONS FOR POLICE IN HAU GIANG PROVINCE by VAN-HOAI-THANH HUYNH Submitted to the Department of Electrical and Electronics Engineering on October, 25, 2014 in partial fulfillment of the requirements for the degree of Master of Science in Electronics and Communication Engineering at the University of Technical Education Ho Chi Minh City Abstract The growth of the Internet and e-commerce, together with the opportunities they bring, have increased the need for secure communication between company net- works,individual users, and the outside world. As communication and commerce through the Internet increase, security risks for company networks also increase. Security issues have now become a crucial factor in determining an organization’s accessibility to the Internet. The goal of network security is to provide confidential- ity, integrity and authenticity. Among the current network security solutions, VPN with its own unique advantages have attracted the concern of many users. But most of the VPN solutions in Vietnam are used from abroad. Due to the special nature of network security solutions, we must develop our own security solutions. A Vir- tual Private Network (VPN) is a network technology that creates a secure network connection over a public network such as the Internet. Large corporations, educa- tional institutions, and government agencies use VPN technology to enable remote users to securely connect to a private network. This thesis introduced a method to vii build open source Virtual Private Networks by using OpenVPN. OpenVPN is an open source software application that implements VPN techniques and additional layer of authentication (e. PKI/AD/LDAP) can easily be added to OpenVPN. After be- ing tested, this method could configure some high quality VPN products, which can achieve security and confidentiality of network data transmission, and meet the needs of most users, help to saves investment costs and gradually mastering technology. Thesis Supervisor: VAN-CA PHAN, PhD Title: Lecturer viii Mục lục Danh sách hình ảnh xii Danh sách bảng biểu xiv 1 TỔNG QUAN 1 1.1 Tính cấp thiết của đề tài .1 Bảo mật là yêu cầu cần thiết cho tổ chức, doanh nghiệp .2 Chi phí đầu tư lớn cho giải pháp bảo mật .3 Vấn đề bị động, phụ thuộc nhà cung cấp .4 Chủ trương, chính sách của Đảng và nhà nước .5 Thực trạng công an tỉnh Hậu Giang .2 Mục đích nghiên cứu .3 Tình hình nghiên cứu trong và ngoài nước .4 Khách thể và đối tượng nghiên cứu .5 Phạm vi nghiên cứu .6 Nhiệm vụ nghiên cứu .7 Phương pháp nghiên cứu .8 Những đóng góp mới của đề tài .9 Cấu trúc đề tài . 17 2 CƠ SỞ LÝ THUYẾT 19 ix 2.1 Các nguy cơ xâm nhập dữ liệu khi truyền .1 Xâm nhập thụ động .2 Xâm nhập chủ động .2 Công nghệ mật mã .1 Mật mã đối xứng .2 Mật mã bất đối xứng .3 Kiểm tra nhận dạng .5 Cơ sở hạ tầng khóa công khai (PKI) .2 Chứng chỉ số (digital certificate) .6 Mạng riêng ảo (VPN) .2 Yêu cầu giải pháp .3 Thiết kế mô hình giải pháp .1 Cấp phát chứng chỉ số (2) .2 Quá trình tạo chữ ký số CA (1) .3 Quá trình xác thực chứng chỉ số (5) .4 Trao đổi khóa DH và tạo đường hầm bảo mật (6) .4 Kiến trúc giải pháp .5 Ưu điểm và tính mới của giải pháp .6 Phát triển giải pháp .1 Mô hình sản phẩm bảo mật tích hợp FVS .2 Thiết kế phần cứng FVS .3 Kiến trúc phần mềm .7 Thiết kế mô hình hệ thống mạng VPN . 58 4 THỬ NGHIỆM HỆ THỐNG 60 4.1 Thử nghiệm trên hệ thống thực .1 Cấu hình OpenVPN Server .2 Cấu hình OpenVPN client trên Linux .3 Cài đặt, cấu hình SafeNet iKey 1032 .2 Kiểm tra tính xác thực của hệ thống .3 Thử nghiệm trên hệ thống ảo .1 Cấu hình địa chỉ IP .2 Kiểm tra tính bí mật của thông tin truyền .4 Nhận xét, đánh giá kết quả thử nghiệm .1 Các kết quả đã thực hiện được .2 Công việc tương lai . 74 Tài liệu tham khảo 76 xi Danh sách hình vẽ 1.1 Rủi ro bảo mật tăng trong thời kỳ thương mại điện tử .2 Bảo mật kết nối trong hệ thống ATM sử dụng công nghệ VPN .3 Mô hình Ipsec VPN của tác giả Trần Quốc Thư .4 Mô hình Ipsec VPN của tác giả Nguyễn Quốc Cường .5 Mô hình Ipsec VPN của Cisco [1, 2] .6 Dữ liệu chưa mã hóa bảo mật Ipsec VPN Cisco .7 Dữ liệu đã mã hóa bảo mật Ipsec VPN Cisco .8 Mô hình SSL VPN của Cisco, [3] .9 Mô hình OpenVPN .10 Mô hình TFA trên Cisco .11 Mô hình thử nghiệm TFA trên Cisco .12 Mô hình Ipsec VPN nguồn mở .1 Các hình thức xâm nhập phổ biến .2 Giải thuật mã hóa đối xứng và bất đối xứng .3 Thuật toán Diffie-Hellman .5 Trao đổi dữ liệu sử dụng thuật toán RSA .7 Chứng chỉ số X.8 Giao thức ESP và AH .9 Giao thức SSL .10 Thủ tục bắt tay OpenVPN .1 Sự tấn công của hacker lên kênh truyền không an toàn .2 Mô hình giải pháp .3 Cơ chế hoạt động của giải pháp .4 Quá trình cấp phát chứng chỉ số X.5 Quá trình tạo và xác thực chữ ký số của CA .6 Trao đổi khóa Diffie-Hellman .7 Các module chính của giải pháp .8 Dòng dữ liệu đi từ client đến Server .9 Phần cứng thiết bị FVS .10 Kiến trúc phần mềm FVS .11 Sơ đồ hệ thống mạng VPN Công an tỉnh Hậu Giang .1 Xây dựng CA .2 Tạo khóa Diffie-Hellman .3 Tạo khóa bí mật và chứng chỉ cho Server .4 Tạo khóa bí mật và chứng chỉ cho client .5 Cài đặt SafeNet iKey 1032 .6 Quá trình xác thực máy trạm .7 Sơ đồ hệ thống thử nghiệm .8 Kết quả kiểm tra .9 Dữ liệu bắt được khi chưa thiết lập tunnel OpenVPN .10 Dữ liệu bắt được khi tunnel OpenVPN đã thiết lập . 69 xiii Danh sách bảng 3.1 Thông số cấu hình thiết bị FVS .1 Kết quả thử nghiệm OpenVPN khi chưa thiết lập tunnel .2 Kết quả thử nghiệm OpenVPN khi đã thiết lập tunnel . 70 xiv Chương 1 TỔNG QUAN 1.1 Tính cấp thiết của đề tài 1.1 Bảo mật là yêu cầu cần thiết cho tổ chức, doanh nghiệp Với sự phát triển của Internet và thương mại điện tử, nhu cầu truyền thông và thương mại thông qua mạng Internet ngày càng gia tăng và nguy cơ mất an ninh, an toàn thông tin, lộ lọt bí mật (thương mại, nhà nước.