Mục lục
Lời mở đầu
Chương 1: Tổng quan về VPN
1. Tổng Quan . . . . 5
1.1 Định nghĩa VPN . . . 5
1.2 Lợi ích của VPN . . . 6
1.3 Chức năng của VPN . . . 7
2 Định nghĩa “đường hầm” và “mã hoá” . . 7
2.1 Định nghĩa đường hầm: . . . 7
2.2 Cấu trúc một gói tin IP trong đường hầm: . . 8
2.3 Mã hoá và giải mã (Encryption/Deccryption): . . 8
2.4 Một số thuật ngữ sử dụng trong VPN: . . 8
2.5 Các thuật toán được sử dụng trong mã hoá thông tin . 9
3 Các dạng kêt nối mạng riêng ảo VPN . . 10
3.1 Truy cập VPN (Remote Access VPNs) . . 10
3.1.1 Một số thành phần chính . . 11
3.1.2 Thuận lợi chính của Remote Access VPNs: . 12
3.1.3 Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác
như: . . . . 12
3.2 Site – To – Site VPN . . . 13
3.2.1 Intranet. . . 14
3.2.2 Extranet VPNs (VPN mở rộng) . . 16
4. VPN và các vấn đề an toàn bảo mật trên Internet. . . 18
4.1 An toàn và tin cậy. . . . 19
4.2 Hình thức an toàn . . . 20
Chương 2: Giao thức trong VPN
1 Bộ giao thức IPSec (IP Security Protocol): . . 22
1.1 Cấu trúc bảo mật . . . 22
1.1.1 Hiện trạng . . . 23
2 Chế độ làm việc của IPSec . . . 23
2.1 Chế độ chuyển vận (Transport mode) . . 23
2.2 Chế độ đường hầm ( Tunnel Mode ):. . 24
3 Giao thức PPTP và L2TP . . . 31
3.1 Giao thức định đường hầm điểm tới điểm (Point-to-Point Tunneling
Protocol) . . . . 31
3.1.1 Quan hệ giữa PPTP và PPP . . 32
3.2 Giao thức chuyển tiếp lớp 2 (Layer 2 Forwarding Protocol) . 34
3.3 Giao thức định đường hầm lớp 2 (Layer 2 Tunneling Protocol). 35
3.3.1 Quan hệ giữa L2TP với PPP . . 36
3.4 Tổng quan giao thức đinh đường hầm lớp 2 ( L2TP Overview). . 38
3.5 Ứng dụng L2TP trong VPN. . 42
3.6 So sánh giữa PPTP và L2TP . . 42
3.6.1 Ưu điểm của L2TP. . . . 43
3.6.2 Ưu điểm của PPTP . . . 43
Chương 3: Mã hoá và chứng thực trong VPN
1. Mã hoá trong VPN. . . . 45
1.1 Thuật toán mã hoá DES. . . 45
1.1.1 Mô tả DES . . . 46
1.1.2 Ưu và nhược điểm của DES . . 47
1.1.3 Ứng dụng của thuật toán DES trong thực tế. . 47
1.2 Thuật toán mã hoá 3DES. . . . 48
1.2.1 Mô tả 3DES. . . . 48
1.2.2 Ưu và nhược điểm của 3DES . . 49
1.3 Giải thuật hàm băm (Secure Hash Algorithm). . . 49
1.4 Giải thuật RSA . . . 49
2 Chứng thực trong VPN . . . 50
2.1 Password Authentication Protocol (PAP): Giao thức chứng thực bằng
mật khẩu. . . . . 51
2.2 Challenge Handshare Authentication Protocol (CHAP). . 52
3 Firewall . . . . 52
3.1 Khái niệm về Firewall. . . . 52
3.2 Các thành phần của Firewall. . . 53
3.2.1 Bộ lọc gói (Packet Filtering Router). . . 53
3.2.2 Cổng ứng dụng (Application-level gateway) . 55
3.2.3 Cổng vòng (Circuit-level Gateway) . . 57
3.3 Những hạn chế từ Firewall . . . 58
3.4 Thiết lập chính sách cho Firewall . . 58
3.5 Một số loại Firewall . . . 59
3.5.1 Screened Host Firewall. . . . 60
3.5.2 Screened-Subnet Firewall . . . 61
3.6 Mô hình kết hợp Firewall với VPN. . . 62
Chương 4: Cấu hình VPN trên thiết bị Cisco
1. Mô hình Site –to – Site VPN và Extranet VPN . . 64
1.1 Kịch bản Site – to – site VPN . . 64
1.1.1 Phân chia các thành phần địa chỉ vật lý của mô hình site – to –site
VPN . . . . 64
1.1.2 Bảng địa chỉ chi tiết cho mô hình mạng Site – to – Site VPN . 65
2.1 Kịch bản Extranet. . . 65
2.1.1 Phân chia các thành phần địa chỉ vật lý của mô hình Extranet VPN
. . . . 66
2.1.2 Bảng địa chỉ chi tiết cho mô hình mạng Extranet VPN . 66
2 Cấu hình đường hầm (tunnel) . . . 67
2.1 Sự định cấu hình một GRE Tunnel . . 68
2.1.1 Sự cấu hình giao diện đường hầm, Nguồn, và Đích . 68
2.1.2 Kiểm tra giao diện đường hầm, Nguồn, và Đích. 70
2.2 Cấu hình một IPSec Tunnel: . . 70
3 Cấu hình NAT (Network Address Translation). . . 71
3.1 Cấu hình Static Inside Source Address Translation. 73
3.2 Kiểm tra Static Inside Source Address Translation. . 73
4 Cấu hình sự mã hoá và IPSec. . . . 74
4.1. Cấu hình những chính sách IKE: . . 75
4.1.1 Tạo ra những chính sách IKE. . . 76
4.1.2 Cấu hình bổ xung thêm yêu cầu cho những chính sách IKE: . 77
4.1.3 Cấu hình Những khoá dùng chung . . 78
4.2 Cấu hình cổng vào cho sự thao tác giữa chứng chỉ số. . 80
4.2.1 Kiểm tra IKE Policies . . . 81
4.2.2 Cấu hình khoá dùng chung khác . . 81
4.3 Cấu hình IPSec và chế độ IPSec tunnel. . . 82
4.3.1 Tạo ra những danh sách truy nhập mật mã. . . 83
4.3.2 Kiểm tra những danh sách mật mã. . . 83
4.4 Định nghĩa những tập hợp biến đổi và cấu hình chế độ IPSec tunnel . 83
4.4.1 Kiểm tra những tập hợp biến đổi và chế độ IPSec tunnel. 85
4.5 Cấu hình Crypto Maps. . . . 85
4.5.1 Tạo ra những mục Crypto Map. . . 85
4.5.2 Kiểm tra những mục Crypto map . . 88
4.5.3 Áp dụng Crypto map vào Interface. . 88
4.5.4 Kiểm tra sự kết hợp Crypto Map trên interface. 89
5. Cấu hình những tính năng Cisco IOS Firewall . . 89
5.1 Tạo ra Access list mở rộng và sử dụng số Access list . 90
5.2 Kiểm tra Access list mở rộng . . 90
5.3 Áp dụng Access-list tới Interface . . 90
5.4 Kiểm tra Access-list được áp dụng chính xác . . 91
Chương 5: Cấu hình VPN trên Widows Server 2003
1. Giới thiệu chung . . . 92
2. Cài đặt VPN Server . . . 92
3. Cấu hình VPN Server . . . 99
3.1. Route and Remote Access Properties . . 99
3.2. Ports Properties . . . 102
3.3. Remote Access Policies . . . 103
4. Tạo User trên Windows cho phép sử dụng VPN . . 104
5. VPN Client trên Windows XP . . . 106
6. Quản lý kết nối trên VPN Server. . 113
Kết luận . . . . 115
Tài liệu tham khảo . . . . 116
CÁC THUẬT NGỮ VIẾT TĂT . . . 117
118 trang |
Chia sẻ: netpro | Lượt xem: 5908 | Lượt tải: 3
Bạn đang xem trước 20 trang tài liệu Luận văn Nghiên cứu mạng riêng ảo (VPN) và các giải pháp công nghệ cho vấn đề xây dựng mạng riêng ảo, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
c mức máy tính qua giấy chứng nhận và mức
chứng thực người dùng qua một giao thức chứng thực PPP.
Các gói PPP thay đổi trong thời gian mức chứng thực người dùng
là không bao giờ gửi dạng không phải bảng mã vì kết nối PPP xử
lý cho L2TP/IPSec xuất hiện sau khi IPSec liên kết bảo mật (SAs)
đã được thiết lập. Nếu chặc, xác thực PPP thay đổi để một vài kiểu
của các giao thức xác thực PPP có thể sử dụng thực thi các tấn
công từ điển ngoại tuyến và quyết định sử dụng các mật khẩu. Bởi
mã hoá thay đổi xác thực PPP, các tấn công từ điển ngoại tuyến là
chỉ có thể thực hiện được sau khi các gói mã hoá đã hoàn thành
giải mã.
3.6.2 Ưu điểm của PPTP
Sau đây là những thuận lợi của PPTP hơn L2TP/ IPSec trong Windows
2000.
PPTP không yêu cầu một chứng nhận cơ sở hạ tầng. L2TP/IPSec
yêu cầu một chứng nhận cơ sở hạ tầng để đưa ra các chứng nhận
máy tính tới máy chủ VPN và tất cả các máy khách.
PPTP có thể sử dụng bằng các máy tính chạy Windows XP,
Windows 2000 …với mạng Windows quay số thực thi và cập nhật
bảo mật. L2TP/IPSec có thể chỉ sử dụng với Windows XP và
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 44
Windows 2000 các máy khách VPN. Chỉ các khách hỗ trợ giao
thức L2TP/IPSec, và sử dụng các chứng nhận.
Các máy khách và các máy chủ PPTP có thể đặt giữa một máy
truyền địa chỉ mạng (NAT) nếu NAT có máy phụ trách thích hợp
cho giao thông PPTP. Các máy khách hoặc máy chủ L2TP/IPSec
cơ bản không thể đặt giữa một NATunnless cả hai hỗ trợ IPSec
NAT traversal (NAT-T). IPSec NAT-T là hỗ trợ bởi Windows
Server 2003
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 45
Chương 3
MÃ HÓA VÀ CHỨNG THỰC TRONG VPN
Ngày nay mạng máy tính đã trở nên phổ biến và là thành phần không thể
thiếu đối với mỗi người trong chúng ta cũng như các quốc gia. Các ứng dụng,
dịch vụ trên mạng máy tính: thư điện tử, chuyển và nhận tiền, thương mại điện
tử, chính phủ điện tử… đã trở nên phổ biến, thuận lợi và quan trọng thì yêu cầu
về an toàn mạng, về an ninh dữ liệu trên mạng ngày càng trở nên cấp bách và
cần thiết. Tổ chức Interpol đã khuyến cáo về các nguy cơ đối với mạng máy tính
như:
Sự truy nhập trái phép và ăn cắp thông tin.
Sữa đổi dữ liệu máy tính.
Sao chép trái phép.
Làm tê liệt mạng máy tính.
Những tấn công khác …
Do đó, thông tin trên mạng, dù đang truyền hay được lưu trữ đều cần
được bảo vệ hoặc các thông tin đó cần được giữ bí mật hoặc chúng phải được
cho phép người ta kiểm tra để tin tưởng rằng chúng không bị sửa đổi so với dạng
nguyên thuỷ của mình và chúng đúng là của người đã gửi cho ta, hơn nữa niềm
tin đó phải được pháp luật hỗ trợ. Do đó rất nhiều quốc gia trên thế giới rất quan
tâm đến vấn đề này, các nhà khoa học đã nghiên cứu và đưa ra các thuật toán mã
hoá để bảo mật thông tin ngày một tốt hơn tránh nguy cơ rò rỉ, mất mát thông tin
cho người dùng, các doanh nghiệp và các quốc gia khi giao dịch, trao đổi thông
tin qua mạng toàn cầu Internet.
Trong ứng dụng công nghệ “ Mạng riêng ảo ” VPN, các thuật toán mã
hoá được ứng dụng trong từng lớp giao thức mà người dùng tuỳ chọn cách mã
hoá thông tin bằng thuật toán mã hoá như DES, 3-DES ..
1. Mã hoá trong VPN.
1.1 Thuật toán mã hoá DES
Thuật toán mã hoá DES được IBM phát triển vào những năm 1970 sau đó
được Uỷ ban tiêu chuẩn Quốc gia Hoa Kỳ (The National Bureau of Standard).
Ngày nay là NIST chấp nhận ngày 15-5-1973. DES đã trở thành chuẩn mã hoá
dữ liệu chính thức cho Chính phủ Hoa Kỳ và năm 1977 và trở thành hệ mật được
sử dụng rộng rãi nhất trên thế giới.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 46
Thuật toán mã hoá DES có thể thoả mãn các yêu cầu sau:
Thuật toán phải có độ an toàn cao.
Thuật toán phải được định nghĩa đầy đủ và hoàn toàn dễ hiểu.
Độ an toàn phải nằm ở khóa, không phụ thuộc vào tính bí mật của
thuật toán.
Thuật toán phải sẵn sàng cung cấp cho mọi người dùng.
Thuật toán phải thích nghi được với việc dùng cho các ứng dụng
khác nhau.
Thuật toán phải được cài đặt được một cách tiết kiệm trong các
thiết bị điên từ.
Thuật toán khi sử dụng phải phát huy tối đa hiệu quả.
Thuật toán phải có khả năng hợp thức hoá.
Thuật toán phải có tính thương mại.
1.1.1 Mô tả DES
Một mô tả đầy đủ về DES được nêu ra trong Công báo về chuẩn xử lý
thông tin Liên bang số 46 ngày 15-1-1977. DES mã hoá một dòng bit rõ x có độ
dài 64 với khoá K là dòng 56 bit, đưa ra bản mã y cũng là một dãy bit có độ dài
64.
Hình 37 Mô tả DES
| x | =64; | y | = 64; | k | = 56
Thuật toán DES gồm 3 giai đoạn:
Cho bản rõ x, ta tính được x0 qua việc hoán vị các bít của x theo
hoán vị đầu IP:
X0 = IP(x)=L0R0
L0 là 32 bit đầu tiên của x0, R0 là 32 bit còn lại và IP là hoán vị đầu
cố định
Lặp 16 vòng.
1≤ i ≤16
Li = Ri-1;
Ri = Li-1 ө f(Ri-1,k);
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 47
Dấu “ө” thể hiện phép toán “ hoặc loại trừ” hai dãy bit, f là một
hàm, ki là những dãy dài 48 bit được tạo từ khoá k bởi thuật toán
riêng.
Li-1 Ri-1
Li Ri
Hình 38: Một vòng của DES
Bản mã y được tính toán bởi hoán vị IP-1 của R16L16, chú ý đảo
ngược vị trí của L16 và R16
Y= IP-1 (R16L16)
L16 R16
R16 L16
Các mẫu hoạt động của DES: như ta đã thấy, đầu vào của DES chỉ có 8
byte, vậy mà văn bản cần mã lại có thể rất dài, cỡ vài kbyte chẳng hạn. Để giải
quyết vấn đề này, người ta đã đề ra 4 mẫu hoạt động cho DES là:
Electronic CodeBook mode (ECB).
Cippher FeedBack mode (CFB).
Cipher Block Chaining mode (CBC).
Output FeedBack mode (OFB).
1.1.2 Ưu và nhược điểm của DES
- Ưu điểm: Thuật toán mã hoá DES tốc độ mã hoá dữ liệu rất nhanh.
- Nhược điểm: Do DES có kích cỡ của không gian khoá 256 là quá nhỏ,
không đủ an toàn, cho nên những máy có mục đích đặc biệt có thể sẽ bẻ
gãy và dò ra khoá rất nhanh.
1.1.3 Ứng dụng của thuật toán DES trong thực tế.
Một ứng dụng rất quan trọng của DES là ứng dụng cho các văn bản trong
giao dịch ngân hang sử dụng các tiêu chuẩn được hiệp hội các ngân hang Mỹ
ki
+
f
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 48
phát triển. DES được sử dụng để mã hoá các số nhận dạng cá nhân (Pins) và các
văn bản về tài khoản được máy thu ngân tự động thực hiện (ATMs)…
1.2 Thuật toán mã hoá 3DES.
Thuật toán mã hoá 3DES là một biến thể phụ của DES, như ta đã biết
DES vẫn tồn tại nhiều nhược điểm như: Có thể bẽ gãy bằng những máy có mục
đích đặc biệt để tìm ra khóa.
1.2.1 Mô tả 3DES.
Thuật toán mã hoá 3DES gồm 3 chìa khoá 64 bit, tức là toàn bộ chiều dài
khoá là 192 bit
Trong khi mã hoá riên tư, chúng ta đơn giản là nhập toàn bộ 192 bit khoá đơn là
vào mỗi 3 chìa khoá cá nhân.
Des Encryption
Des Encryption
Des Encryption
Key 1
Ciphertext
Plaintext
Key 2
Key 3
Hình 39: Mô tả 3DES
Thủ tục mã hoá cũng tương tự DES nhưng nó được lặp lại 3 lần tức là
tăng lên 3 lần DES. Dữ liệu được mã hoá với chìa khoá đầu tiên, và được giải
mã với chìa khoá 2, sau đó mã hoá lần nữa với chìa khoá thứ 3 để thu được dữ
liệu mã hoá cuối cùng.
+ Các mẫu hoạt động của 3DES:
Triple ECB (Triple Electronic Code Book): Sách mã hoá điện tử.
Triple CBC (Triple Cipher Chaining): Móc nối khối ký số.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 49
1.2.2 Ưu và nhược điểm của 3DES
- Ưu điểm: Khác với DES, thuật toán mã hoá 3DES được mã hoá 3 lần
DES với kích cỡ không gian khoá 168 bit cho nên an toàn hơn rất nhiều
so với DES.
- Nhược điểm: Vì 3DES sử dụng 3 lần mã hoá DES cho nên tốc độ mã hoá
sẽ chậm hơn rất nhiều so với DES. Phần mềm ứng dụng tỏ ra rất chậm đối
với hình ảnh số và một số ứng dụng dữ liệu tốc độ cao vì kích thước khối
64 bit vẫn còn là một nhược điểm đối với những hệ có tốc độ của thế kỷ
21.
1.3 Giải thuật hàm băm (Secure Hash Algorithm).
Đối với các sơ đồ chữ ký thông thường, ta chỉ có thể ký các bức điện nhỏ.
Chẳng hạn khi dùng chuẩn chữ ký số DSS, một tài liệu dài 160 bit sẽ được ký
bằng chữ dài 320 bit. Trên thực tế ta cần ký các tài liệu dài hơn nhiều ( Chằng
hạn, một tài liệu về pháp luật có thể dài nhiều Megabyte ).
Giải pháp để giải quyết các vấn đề này là dùng hàm Hash mã khoá công
khai nhanh. Hàm này dựa trên nội dùng một tài liệu có độ dài tuỳ ý để tạo ra một
“bản tóm tắt” của tài liệu với kích thước quy định (160 bit nếu dùng DSS). Sau
đó, “bản tóm tắt” của tài liệu này (dữ liệu ra của hàm Hash) sẽ được ký. Việc
dùng hàm Hash với DSS được biểu diễn như sau.
Bức điện: m: Độ dài tuỳ ý
Tính bản tóm lược thông báo: z=h(m)
160 bit
Khi B muốn ký bức điện x, trước tiên B tạo một bản tóm tắt z của tài liệu
bằng cách sử dụng hàm băm h và sau đó dùng khoá bí mật của mình để tìm chữ
ký s (s=Sigk(z); trong đó Sigk là hàm mã hoá RSA với khoá bí mật của B). Tiếp
theo, B gửi cặp (m,s) đến cho A. Để xác thực trước hết A phải khôi phục bản
tóm tắt của tài liệu bằng hàm h (z=h(m)) và sau đó thực hiện kiểm tra xem
Verk(m,s) có bằng true hay không.
1.4 Giải thuật RSA
RSA là một hệ mật mã khoá công khai phổ biến và cũng đa năng nhất
trong thực tế, được phát minh bởi Rivest, Shamir và Adleman được coi như là
một hệ chuẩn đối với các hệ mật mã khoá công khai.
RSA dựa trên tính khó của bài toán phân tích các số lớn thành ra thừa số
nguyên tố: biết một số nguyên tố nhân chúng với nhau để thu được một hợp số là
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 50
bài toán dễ. Còn khi biết hợp số, để phân tích nó ra thành thừa số nguyên tố là
bài toán rất khó mà hầu như không thực hiện được nếu 2 nguyên tố đó là những
số lớn.
Giả sử n là một số nguyên tố và là tích của hai số nguyên tố lớn khác
nhau p và q (n=p.q). Ta chọn một số nguyên tố với µ(n)=(p-1)(q-1),và tính b=a-1
Mod µ(n), tức là a.b ≡ 1 mod µ(n).
Hệ RSA được mô tả như sau:
Lấy n=p.q, trong đó p và q là hai số nguyên tố.Đặt P=C=Zn:
K={(n,b,a):ab ≡ 1 mod µ(n)},
Trong đó (n, b) là khoá công khai, còn a là khoá bí mật
Với K = (K’,K”), K’ = (n,b), K” = a, ta định nghĩa
ek’(x) = xb mod n
dk”(y) = yb mod n
Với x, y Є Zn
Ta thấy rằng với mọi x Є Zn* (Tức là x Є Zn và x là nguyên tố với n)
Dk” (ek’(x))= (xb)a = xab = xt.µ(n) + 1 = x mod n
Với x ЄZn\Zn* ta vẫn có đẳng thức nói trên, vì khi đó hoặc x chia hết cho p và x
nguyên tố với q hoặc x chia hết cho q và x nguyên tố với p. Trong cả hai trường
hợp đó ta đều có:
xt.µ(n) + 1 = x mod p
xt.µ(n) + 1 = x mod q
Từ đó suy ra ta có xt.µ(n) + 1 = x mod n.
2 Chứng thực trong VPN.
Sự chứng thực là một bộ phận cấu trúc của sự an toàn mạng riêng ảo
VPN, có thể ta có một hệ thống đáng tin cậy xác nhận những mạng, người dùng
và dịch vụ mạng nhưng như vậy chưa hẳn đã là một hệ thống an toàn tuyệt đối,
ta không thể kiểm soát được các truy nhập vào hệ thống tài nguyên mạng tập
đoàn của ta trước những người dùng bất hợp pháp. Cho nên một giải pháp có thể
điều khiển và ngăn cản người dùng bất hợp pháp cố tình truy nhập hệ thống là ta
sử dụng phương pháp chứng thực.
Hình 40: Kịch bản của sự chứng thực
Sự chứng thực thì dựa vào một trong ba thuộc tính sau:
Something you have : Chìa khoá hay một thẻ dấu hiệu
Something you know: Mật khẩu
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 51
Something you are: Tiếng nói hay quét võng mạc
Người dùng có thể chứng thực bằng:
Password.
One-time Password (s/key).
USB ikey.
Smart card.
PKI/ certificate
IP.
Tuy nhiên đó chỉ là những phương pháp chứng thực đơn, không thích hợp
hay chưa đủ mạnh mẽ để bảo vệ những hệ thống, thay vào đó các chuyên gia an
toàn giới thiệu phương pháp chứng thực mạnh mẽ, áp dụng hai trong những
thuộc tính trước cho sự chứng thực.
Sự đa dạng của những hệ thống mạng VPN sẵn có hiện thời phụ thuộc
vào những phương pháp khác nhau của sự chứng thực hoặc những sự kết hợp
của chúng, Ngoài các phương pháp chứng thực đơn, trong mạng riêng ảo VPN
còn sử dụng sự chứng thực bằng giao thức.
Giao thức chứng thực:
Password Authentication Protocol (PAP).
Challenge Handshare Authentication Protocol (CHAP).
Extensible Authentication Protocol (EAP).
Remote Authentication Dial-up User Services (RADIUS).
Máy chủ chứng thực:
Radius.
Kerberos.
LDAP.
NT domain.
Solaris Pluggable Authentication Modules (PAM).
Novell Directory Services (NDS).
2.1 Password Authentication Protocol (PAP): Giao thức chứng thực
bằng mật khẩu.
Giao thức chứng thực mật khẩu PAP trước kia được thiết kế ra chính là để
một máy tính xác nhận máy tính khác thông qua giao thức từ điểm tới điểm PPP
được sử dụng như thủ tục truyền tin. Sự chứng thực PAP có thể được sử dụng tại
nơi bắt đầu một mối liên kết PPP tức là khi một máy trạm truy nhập từ xa tới hệ
thống mạng tập đoàn nó phải gửi ID (tên người dùng) và mật khẩu tới hệ thống
mạng đích, ở đó máy chủ điều khiển truy nhập NAS có nhiệm vụ chứng thực
máy trạm của người dùng đó có được phép truy nhập tới tài nguyên mạng của
tập đoàn hay không.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 52
Tuy nhiên, sự chứng thực bằng giao thức chứng thực bằng mật khẩu chưa
đủ sự an toàn và tin cậy vì thông tin chứng thực được trao đổi không an toàn
trong môi trường mạng công cộng Internet nên các tội phạm tin học có thể nghe
trôm, đánh cắp thông tin để từ đó đoán ra được mật khẩu truy nhập vào hệ thống.
2.2 Challenge Handshare Authentication Protocol (CHAP).
Giao thức CHAP được thiết kế tương tự giao thức PAP nhưng có độ an
toàn cao hơn nhiều. Cũng như giao thức PAP, giao thức CHAP cũng có thể được
sử dụng tại nơi bắt đầu một mối liên kết PPP và sau đó lặp lại sau khi mối liên
kết đó được thiết lập.
3 Firewall
3.1 Khái niệm về Firewall.
Firewall là một thuật ngữ có nguồn gốc từ một kỹ thuật thiết kế trong xây
dựng để ngăn chặn, hạn chế hoả hoạn.
Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp
vào hệ thống mạng nhằm mục đích:
Ngăn chặn và hạn chế các truy nhập trái phép, nhằm bảo vệ các
nguồn tài nguyên , thông tin dữ liệu.
Cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định
trên Internet
Cũng có thể hiểu Firewall là một cơ chế để bảo vệ một mạng tin cậy khỏi
các mạng không tin cậy như mạng công cộng Internet.
Thông thường Firewall được đặt giữa mạng tin cậy bên trong như mạng Intranet
của một công ty hay một tổ chức và mạng không tin cậy như Internet.
Mô hình Firewall
Hình 41
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 53
Chức năng của tương lửa Firewall: Là kiểm soát luồng thông tin ra, vào
giữa mạng tin cậy (Intranet) và mạng không tin cậy Internet. Thiết lập cơ chế
điều khiển các luồng thông tin cụ thể là:
Cho phép hoặc cấm những dịch vụ truy nhập từ mạng tin cậy ra
ngoài mạng không tin cậy (Từ mạng Intranet tới mạng Internet).
Cho phép hoặc cấm những dịch vụ truy nhập từ mạng không tin
cậy vào trong mạng tin cậy.
Theo dõi và điều khiển các luồng dữ liệu giữa Internet và Intranet.
Kiểm soát các địa chỉ truy nhập hoặc cấm địa chỉ truy nhập.
Kiểm soát người dùng và việc truy nhập của người dùng.
3.2 Các thành phần của Firewall.
Firewall có thể phân loại thành 3 dạng cơ bản:
Bộ lọc gói (Packet Filters)
Máy phục vụ uỷ nhiệm (Proxy Server) bao gồm
1. Cổng ứng dụng (Application Gateway).
2. Cổng mạch (Circuit level gateway).
Bộ lọc gói có trạng thái (Statefull Packet Filters)
Hình 42
Để xây dựng Firewall hoạt động có hiệu quả nhất, nên sử dụng kết hợp tất
cả các thành phần trên
3.2.1 Bộ lọc gói (Packet Filtering Router).
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 54
Hình 43
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua
Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức
TCP/IP.
Nguyên lý:
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó
kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoã mãn
một trong số các luật lệ của bộ lọc packet hay không. Các luật lệ lọc packet này
là dựa trên các thông tin ở đầu mỗi packet (Packet header) dùng để cho phép
truyền các packet đó ở trên mạng. Đó là:
Địa chỉ IP nơi xuất phát (IP Source address)
Địa chỉ IP nơi nhận (IP Destination address)
Những thủ tục truyền tin (TCP,UDP. ICMP, IP tunnel)
Cổng TCP/UDP nơi xuất phát
Cổng TCP/UDP nơi nhận
Dạng thông báo ICMP (ICMP message type)
Giao diện packet đến (Incomming interface of packet)
Giao diện packet đi (outcomming interface of packet)
Nếu luật lệ lọc packet được thoã mãn thì packet được chuyển qua
Firewall.Nếu không thoã mãn, packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể
ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định,
hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho
phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho
phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có
những dịch vụ (Telnet, SMTP, FTP …) được phép mới chạy được trên hệ thống
mạng cục bộ.
Ưu điểm
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 55
Đa số các hệ thống Firewall đều sử dụng bộ lọc packet. Một trong những
ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet
đã được bao gồm trong mỗi phần mềm Router.
Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì
vậy nó không yêu cầu sự huấn luyện, đào tạo đặc biệt nào cả.
Hạn chế
Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, đòi hỏi
người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng
packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi về
sự lọc càng lớn, các luật lọc càng trở nên dài và phức tạp, rất khó để quản lý và
điểu khiển.
Do làm việc dựa trên header của các packet, rõ rang là bộ lọc packet
không kiểm soát được nội dùng thông tin của packet. Các packet chuyển qua vẫn
có thể mang theo những hành động với ý đồ lấy cắp thông tin hay phá hoại của
kẻ xấu.
3.2.2 Cổng ứng dụng (Application-level gateway)
Hình 44
Nguyên lý:
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 56
Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát
các loại dịch vụ, giao thức được phép truy cập vào hệ thống mạng.
Cơ chế hoạt động dựa trên cách thức gọi là Proxy service. Proxy service
là các bộ mã đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu người quản
trị mạng không cài đặt Proxy code cho một ứng dụng nào đó, dịch vụ tương ứng
sẽ không được cung cấp và do đó không thể chuyển thông tin qua Firewall.
Ngoài ra, Proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm
trong ứng dụng mà người quản trị mạng cho là chấp nhận đựơc trong khi từ chối
những đặc điểm khác.
Một cổng ứng dụng thường được coi như một pháo đài (bastion host), bởi
vì nó được thiết kế đặc biệt để chống lại sự tấn công từ bên ngoài. Những biện
pháp đảm bảo an ninh mạng của một bastion host là:
Bastion host luôn chạy các version an toàn (Secure version) của
các phần mềm hệ thống. Các version an toàn này được thiết kế
chuyên cho mục đích chống lại sự tấn công vào Openrating
System, cũng như đảm bảo sự tích hợp Firewall.
Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới
được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ
không được cài đặt, nó không thể bị tấn công. Thông thường, chỉ
một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP,
SMTP và xác thực user là được cài đặt trên bastion host
Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví
dụ như: user name, password hay smart card.
Mỗi một proxy được đặt cấu hình để cho phép truy nhập chỉ một
số các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc
điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên
toàn hệ thống.
Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết
của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối.
Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn
kẻ phá hoại.
Mỗi proxy độc lập với các proxies khác trên bastion host. Điều này
cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ một
proxy đang có vấn đề.
Ưu điểm:
Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ
trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ
nào có thể truy cập đựơc bởi các dịch vụ.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 57
Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ
nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có
nghĩa là các dịch vụ ấy bị khoá
Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký
ghi chép lại thông tin về truy nhập hệ thống.
Luật lệ lọc Filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra
hơn so với bộ lọc packet.
Hạn chế:
Yêu cầu các user thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt
trên máy client cho truy nhập vào các dịch vụ proxy. Chẳng hạn, dịch vụ telnet
truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không
phải chỉ một bước. Tuy nhiên, đã có một số phần mềm client cho phép chạy ứng
dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích
chứ không phải cổng ứng dụng trên Telnet.
3.2.3 Cổng vòng (Circuit-level Gateway)
Hình 45
Nguyên lý:
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 58
Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng
ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP là không
thực hiện bất kỳ một hành động xử lý hay lọc packet nào.
Cổng vòng làm việc như một sợi dây sao chép các byte giữa kết nối bên
trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy
nhiên, vì sự kết nối này xuất hiện từ hệ thống Firewall, nó che dấu thông tin về
mạng nội bộ.
Cổng vòng thường được sử dụng cho các kết nối ra ngoài, nơi mà các
người quản trị mạng thật sự tin tưởng những người dùng bên trong.
Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp
cung cấp cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi.
Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người
trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi
vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn
công bên ngoài.
3.3 Những hạn chế từ Firewall
Firewall không đủ thông minh để có thể hiểu được từng loại thông tin và
phân tích nội dùng tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm
nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các
thông số địa chỉ.
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này
không đi qua nó. Một cách cụ thể, Firewall không thể chống lại một cuộc tấn
công từ một đường Dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất
hợp pháp lên đĩa mềm.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu. Khi có
một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào trong
mạng được bảo vệ và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ quét
virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên
tục của các virus mới và do đó có rất nhiều cách để mã hoá dữ liệu, thoát khỏi
khả năng kiểm soát của firewall.
Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được sử dụng rộng rãi.
3.4 Thiết lập chính sách cho Firewall.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 59
Các chính sách được thông báo trước để người quản lý mạng và người
dùng mạng biết được mình có thể làm được những gì, có thể truy cập hay không
thể truy cập tới những Webside nào trên mạng.
Một số điểm chú ý khi thiết lập chính xách cơ bản của Firewall:
Ngăn chặn tất cả lưu lượng vào ra, sau đó chỉ cho phép một số được đi qua. Tất
cả lưu lượng vào ra khỏi mạng đều phải chuyển qua bức tường lửa để kiểm tra
và sang lọc những lưu lượng có thể qua được.
Không dùng firewall như là nơi lưu trữ thông tin chung đa chức năng
hoặc chạy chương trình.
Không cho phép mật mã hay các địa chỉ bên trong mạng qua tường lửa.
Nếu như mạng cần phải cung câp dich vụ cho mạng Internet thì đặt dịch
vụ ra ngoài tường lửa.
Lưu trữ lại các thông tin dữ liệu quan trọng của dịch vụ công cộng bằng
cách tạo ra máy chủ Stand-by.
3.5 Một số loại Firewall
Packet-Filltering Firewall
Dual-Homed Gateway Firewall
Screened Host Firewall
Hình 46
Ưu điểm:
Tốc độ cao
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 60
Dễ dàng thích ứng với các dịch vụ mới
Các file đính kèm theo tài liệu này:
Nghiên cứu mạng riêng ảo VPN.pdf