LỜI MỞ ĐẦU Ngày nay, Internet đã phát triển mạnh về mặt mô hình cho đến công nghệ, đáp ứng các nhu cầu của người sử dụng. Internet đã được thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng một cách thuận tiện. Để làm được điều này người ta sử dụng một máy tính đặc biệt gọi là Router để kết nối các LAN và WAN với nhau. Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (Internet Service Provider - VPN), cần một giao thức chung là TCP/IP.
Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của các mạng viễn thông công cộng. Với Internet, những dịch vụ như giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế, và rất nhiều điều khác đã trở thành hiện thực. Tuy nhiên, do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ. Từ đó người ta đã đưa ra một mô hình hoạt động mạng mới về ứng dụng và công nghệ nhằm thoả mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó chính là mô hình mạng riêng ảo (VPN - Virtual Private Network).
Với mô hình mới này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được sự hoạt động của mạng này. VPN cho phép người sử dụng làm việc tại nhà, trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng. Nó có thể đảm bảo an toàn thông tin giữa các đại lý, người cung cấp, và các đối tác kinh doanh với nhau trong môi trường truyền thông rộng lớn. Nhưng nổi bật hơn cả là VPN có thể dùng mạng công cộng như Internet mà đảm bảo tính riêng tư và tiết kiệm được chi phí hơn rất nhiều.
Công nghệ mạng riêng ảo VPN dựa trên SSL TIEU LUAN MOI download : skknchat@gmail.com - 11 - Một trong các giải pháp VPN là sử dụng Secure Sockets Layer (SSL): Giao thức SSL thiết lập kết nối điểm - điểm (point-to-point), đảm bảo tính riêng tư trong môi trường Internet công cộng, đang nổi lên như một giải pháp VPN hiệu quả và khả năng ứng dụng rộng rãi. Đứng trước xu thế phát triển đó, luận văn này được thực hiện với đề tài: “Công nghệ mạng riêng ảo VPN dựa trên SSL”. Với giới hạn những vấn đề tìm hiểu và nghiên cứu như trên, luận văn bao gồm 3 chương: Chƣơng 1: Tổng quan về công nghệ mạng riêng ảo. Chƣơng 2: Nghiên cứu công nghệ SSL VPN.
Chƣơng 3: Xây dựng hệ thống bảo mật truy cập nội bộ từ xa qua OpenVPN dựa trên SSL. Công nghệ mạng riêng ảo VPN dựa trên SSL TIEU LUAN MOI download : skknchat@gmail.com - 12 - CHƢƠNG 1. TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG ẢO 1. Giới thiệu chung về mạng riêng ảo 1.
Khái niệm cơ bản về mạng riêng ảo Mạng riêng ảo (Virtual Private Network – VPN) là mạng sử dụng mạng công cộng (như Internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy nhập. Nói cách khác, VPN được định nghĩa là liên kết của tổ chức được triển khai trên một hạ tầng công cộng với các chính sách như là trong một mạng riêng. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật VPN cung cấp các cơ chế mã hoá dữ liệu trên đường truyền tạo ra một đường hầm bảo mật giữa nơi nhận và nơi gửi giống như một kết nối điểm tiếp điểm trên mạng riêng. Để có thể tạo ra một đường hầm bảo mật đó, dữ liệu phải được mã hoá hay che giấu đi chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng.
Dữ liệu được mã hoá một cách cẩn thận do đó nếu Hacker có truy cập lấy cắp các gói tin trên đường truyền thì cũng không đọc được nội dung. Liên kết với dữ liệu được mã hoá và đóng gói được gọi là kết nối VPN. Các đường kết nối VPN thường gọi là đường hầm (VPN Tunnel) 1. Mô hình mạng riêng ảo Một mạng VPN điển hình thông thường bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng LAN khác tại những văn phòng từ xa, những đối tác kinh doanh, các điểm kết nối (như “Văn phòng” tại gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài.
Công nghệ mạng riêng ảo VPN dựa trên SSL TIEU LUAN MOI download : skknchat@gmail.1: Mô hình mạng riêng ảo – VPN 1. Những lợi ích cơ bản của mạng riêng ảo - Giảm chi phí thực thi: Chi phí cho VPN ít hơn rất nhiều so với các giải pháp truyền thống dựa trên đường Lease-Line như Frame Relay, ATM hay ISDN. Bởi vì VPN loại trừ được những yếu tố cần thiết cho các kết nối đường dài bằng cách thay thế chúng bởi các kết nối cục bộ tới ISP hoặc điểm đại diện của ISP. - Giảm đƣợc chi phí thuê nhân viên và quản trị: Vì giảm được chi phí truyền thông đường dài.
VPN cũng làm giảm được chi phí hoạt động của mạng dựa vào WAN một cách đáng kể. Hơn nữa, một tổ chức sẽ giảm được toàn bộ chi phí mạng nếu các thiết bị dùng trong mạng VPN được quản trị bởi ISP. Vì lúc này, thực tế là tổ chức không cần thuê nhiều nhân viên mạng cao cấp. - Nâng cao khả năng kết nối: VPN tận dụng Internet để kết nối giữa các phần tử ở xa của một Intranet.
Vì Internet có thể được truy cập toàn cầu, nên hầu hết các nhánh văn phòng, người dùng, người dùng di động từ xa đều có thể dễ dàng kết nối tới Intranet của công ty mình. - Bảo mật các giao dịch: Vì VPN dùng công nghệ đường hầm để truyền dữ liệu qua mạng công cộng không an toàn. Dữ liệu đang truyền được bảo mật ở một mức độ nhất định, thêm vào đó, công nghệ đường hầm sử dụng các biện Công nghệ mạng riêng ảo VPN dựa trên SSL TIEU LUAN MOI download : skknchat@gmail.com - 14 - pháp bảo mật như: Mã hoá, xác thực và cấp quyền để bảo đảm an toàn, tính tin cậy, tính xác thực của dữ liệu được truyền, kết quả là VPN mang lại mức độ bảo mật cao cho việc truyền tin. - Sử dụng hiệu quả băng thông: Trong kết nối Internet dựa trên đường Lease-Line, băng thông hoàn toàn không được sử dụng trong một kết nối Internet không hoạt động.
Các VPN, chỉ tạo các đường hầm logic đề truyền dữ liệu khi được yêu cầu, kết quả là băng thông mạng chỉ được sử dụng khi có một kết nối Internet hoạt động. Vì vậy làm giảm đáng kể nguy cơ lãng phí băng thông mạng. - Nâng cao khả năng mở rộng: Vì VPN dựa trên Internet, nên cho phép Intranet của một công ty có thể mở rộng và phát triển khi công việc kinh doanh cần phải thay đổi với phí tổn tối thiểu cho việc thêm các phương tiện, thiết bị. Điều này làm cho Intranet dựa trên VPN có khả năng mở rộng cao và dễ dàng tương thích với sự phát triển trong tương lai [3].
Những yêu cầu cơ bản đối với mạng riêng ảo 1. Bảo mật Các mạng riêng và Intranet mang lại môi trường bảo mật cao vì các tài nguyên mạng không được truy cập bởi mạng công cộng. Vì vậy, xác suất truy cập trái phép đến Intranet và các tài nguyên của nó là rất thấp. Tuy nhiên, nhận định này rất có thể không đúng với VPN có sử dụng Internet và các mạng công cộng khác như mạng điện thoại chuyển mạch công cộng (Public Switched Telephone Network - PSTN) cho truyền thông.
Thiết lập VPN mang lại cho các Hacker, Cracker cơ hội thuận lợi để truy cập tới mạng riêng và luồng dữ liệu của nó qua các mạng công cộng. Vì vậy, mức độ bảo mật cao và toàn diện cần phải được thực thi một cách chặt chẽ. Dữ liệu và các tài nguyên cục bộ trong mạng có thể được bảo mật theo các cách như sau: Công nghệ mạng riêng ảo VPN dựa trên SSL TIEU LUAN MOI download : skknchat@gmail.com - 15 - + Thực thi các kỹ thuật phòng thủ vòng ngoài, chỉ cho phép các dòng lưu lượng đã cấp quyền từ các nguồn tin cậy vào mạng và từ chối tất cả các lưu lượng khác. Các Firewall và bộ dịch chuyển địa chỉ mạng (NAT) là các ví dụ về kỹ thuật phòng thủ.
Firewall không chỉ kiểm tra kỹ lưu lượng vào mà còn cả với lưu lượng ra, vì vậy, đảm bảo một mức bảo mật cao. Bộ dịch chuyển địa chỉ là một ví dụ khác, nó không để lộ địa chỉ IP của nguồn tài nguyên cục bộ trong mạng. Và như vậy, kẻ tấn công không biết được đích của các tài nguyên đó trong mạng Intranet. + Xác thực (Authentication): Xác thực người dùng và các gói dữ liệu để thiết lập định danh của người dùng và quyết định anh ta có được phép truy cập tới các tài nguyên trong mạng hay không.
Mô hình xác thực, cấp quyền, kiểm soán (AAA) là một ví dụ về hệ thống xác thực người dùng toàn diện. Đầu tiên hệ thống sẽ xác nhận người dùng truy cập vào mạng. Sau khi người dùng đã được xác thực thành công, họ chỉ có thể truy cập đến các tài nguyên đã được cấp quyền. Hơn nữa, một nhật ký chi tiết các hoạt động của tất cả các người dùng mạng cũng được duy trì, cho phép người quản trị mạng ghi lại những hoạt động trái phép, bất thường.
+ Mã hoá dữ liệu (Data Encryption): Thực thi các cơ chế mã hoá dữ liệu để đảm bảo tính xác thực, tính toàn vẹn và tính tin cậy của dữ liệu khi được truyền qua mạng không tin cậy. Bảo mật giao thức Internet (IPSec) nổi bật lên như một cơ chế mã hoá dữ liệu mạnh nhất. Nó không chỉ mã hoá dữ liệu đang được truyền mà còn cho phép xác thực mỗi người dùng và từng gói dữ liệu riêng biệt. Vì vậy, cần phải tạo ra các khoá, phân phối và cập nhật, làm tươi chúng.
Tính sẵn sàng và tin cậy Công nghệ mạng riêng ảo VPN dựa trên SSL TIEU LUAN MOI download : skknchat@gmail.com - 16 - Tính sẵn sàng chỉ tổng thời gian mà người dùng truy cập được vào mạng (Uptime).