Tài liệu Đồ án tìm hiểu và cách sử dụng open vpn

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TP.HCM KHOA CÔNG NGHỆ THÔNG TIN  AN NINH MẠNG TÌM HIỂU VÀ CÀI ĐẶT OPENVPN Giảng viên hướng dẫn : ThS: PHẠM QUANG KHANH Sinh viên thực hiện : 1. 2. 3. 4. 5. 6. HOÀNG ĐÌNH TUẤN VƯƠNG HỘI KHÁNH NGUYỄN THANH TÒNG HỒ VĂN MINH LÊ PHÚC THIỆN NGUYỄN TRUNG THIỆN Ngành : Mạng Máy Tính TP. Hồ Chí Minh , tháng 01 năm 2018 Tìm hiểu và cấu hình OpenVPN An Ninh Mạng Lời mở đầu Ngày nay, sự phát triển nhanh chóng của công nghệ thông tin, thế giới ngày càng xích lại gần nhau hơn! Nhiều công ty đang vượt qua ranh giới cục bộ và khu vực, vươn ra thị trường thế giới. Nhiều doanh nghiệp có qui mô rộng khắp toàn quốc thậm chí cả trên thế giới, và tất cả họ đều đối mặt với một nhu cầu thiết thực: một cách thức nhằm duy trì những kết nối thông tin kịp thời, an toàn và hiệu quả cho dù văn phòng đặt tại bất cứ nơi đâu. Kênh leased line (truyền dẫn thông tin thuê riêng) là giải pháp cơ bản cho kết nối mạng WAN (mạng diện rộng) trên phạm vi khu vực và thế giới. Leased lines, bao gồm: ISDN (integrated services digital network, 128 Kbps), OC3 (Optical Carrier-3, 155 Mbps) fiber, đã giúp các công ty mở rộng mạng cục bộ ra nhiều khu vực địa lý cách xa nhau. Những lợi ích của dịch vụ mang diện rộng như: tốc độ, an toàn và hiệu quả, tuy nhiên việc duy trì những WAN như thế, và nhất là leased lines, có chi phí rất cao và chi phí này sẽ được tăng lên theo khoảng cách địa lý giữa các chi nhánh của công ty. Internet ngày nay đang được phát triển rộng rãi, doanh nghiệp dần dần chuyển sang sử dụng Internet như một phương tiện giúp họ mở rộng mạng cục của mình. Đầu tiên là intranets - là những sites được bảo vệ bằng password và sử dụng trong công ty. Giờ đây, phần lớn các doanh nghiệp đang thiết lập dịch vụ VPN (virtual private network) nhằm đáp ứng nhu cầu kết nối từ xa giữa nhân viên với văn phòng cũng như giữa các văn phòng cách xa về địa lý. VPN (mạng riêng ảo) gồm một mạng LAN chính đặt tại trụ sở chính công ty, các mạng LAN khác đặt ở văn phòng cách xa trụ sở chính, nhân viên có thể kết nối từ xa đến mạng nội bộ của công ty thông qua mạng công cộng (thường là internet). VPN về cơ bản là một mạng cục bộ tận dụng hạ tầng mạng công cộng có sẵn để kết nối các chinh nhánh của công ty cũng như nhân viên ở cách xa công ty. Thay cho việc sử dụng kết nối trực tiếp giữa các chi nhánh như leased lines (kênh thuê riêng), VPN sử dụng các kết nối ảo được thiết lập trong môi trường mạng công cộng như internet từ mạng riêng của công ty tới các chi nhánh hoặc nhân viên trong công ty ở xa. Với sự hướng dẫn, giúp đỡ của thầy cô và bạn bè. Chúng em chọn đề tài OpenVPN (mạng riêng ảo – mã nguồn mở) để nghiên cứu và các giải pháp công nghệ cho đến vấn đề xây dựng mạng riêng ảo này. SV. TỔNG HỢP GVHD: Ths. Phạm Quang Khanh Tìm hiểu và cấu hình OpenVPN An Ninh Mạng NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ Chữ ký của GVHD GVHD: Ths. Phạm Quang Khanh Tìm hiểu và cấu hình OpenVPN An Ninh Mạng NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ ................................................................................................................................................ Chữ ký của GVPB GVHD: Ths. Phạm Quang Khanh Tìm hiểu và cấu hình OpenVPN An Ninh Mạng MỤC LỤC OpenVPN Chương 1: Tổng Quan về VPN ...................................................................................................................... 1 1.Tổng Quan ...................................................................................................................................................... 1 1.1. Định nghĩa VPN .................................................................................................................................. 1 1.2. Lợi ích của VPN ................................................................................................................................. 2 1.3. Chức năng của VPN .......................................................................................................................... 3 1.4. Định nghĩa đường hầm và mã hóa .............................................................................................. 4 1.5. Mã hóa và giải mã .............................................................................................................................. 4 2. Các dạng kết nối ảo VPN ........................................................................................................................ 4 2.1. Remote Access VPNs ....................................................................................................................... 4 2.1.1. Lợi ích của Remote Access VPNs ..................................................................................... 4 2.1.1. Bất lợi của Remote Access VPNs ..................................................................................... 6 2.2. Site-to-Site VPN ................................................................................................................................. 6 2.2.1. Intranet (VPN nội bộ) ............................................................................................................. 8 2.2.1. Extranet VPNs (VPN mở rộng) .......................................................................................... 9 3. VPN và an toàn bảo mật trên Internet. ........................................................................................... 10 4. An toàn và tin cậy.................................................................................................................................... 10 Chương 2: Secure Socket Layer (SSL) ................................................................................................... 12 Mục tiêu và mô hình SSL ......................................................................................................................... 13 Session và kết nối SSL ............................................................................................................................... 14 Giao thức SSL record .................................................................................................................................. 15 Giao thức báo động ...................................................................................................................................... 18 Giao thức ChangeCipher Spec ................................................................................................................ 18 Giao thức bắt tay ........................................................................................................................................... 18 GVHD: Ths. Phạm Quang Khanh Tìm hiểu và cấu hình OpenVPN An Ninh Mạng Chương 3: OpenVPN ...................................................................................................................................... 24 Ưu điểm của OpenVPN ............................................................................................................................. 24 Lịch sử phát triển của OpenVPN ........................................................................................................... 25 Các phiên bản của OpenVPN .................................................................................................................. 25 OpenVPN phiên bản 1 ................................................................................................................................ 25 OpenVPN phiên bản 2 ................................................................................................................................ 27 So sánh các giao thức VPN PPTP và L2TP và OpenVPN ......................................................... 28 Chương 4: Hướng dẫn OpenVPN Client to Site trên Ubuntu ....................................................... 29 GVHD: Ths. Phạm Quang Khanh Tìm hiểu và cấu hình OpenVPN Mạng An Ninh Chương 1: Tổng quan về VPN 1. Tổng Quan Ngày nay, Internet đã phát triển mạnh mẽ và nhanh chóng, đáp ứng các nhu cầu của người sử dụng. Internet có thể kết nối nhiều mạng khác nhau và thông tin được truyền một cách nhanh chóng mà không bị rào cản nào cả. Người ta sử dụng Router (thiết bị định tuyến) để kết nối các mạng LAN và mạng WAN với nhau. Các máy tính kết nối vào Internet thông qua ISP (Internet Service Provider - nhà cung cấp dịch vụ), và nó được chạy trên nền giao thức chung TCP/IP. Internet đã mở ra một “thế giới phằng”, những dịch vụ như: Internet TV, giáo dục từ xa, mua-bán trực tuyến, giao dịch ngân hàng,...v..v... và rất nhiều điều khác đã trở thành hiện thực. Tuy nhiên, do Internet là mạng công cộng có phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ trở nên khó khăn. Từ đó, người ta đã đưa ra một mô hình mạng mới nhằm đáp ứng những yêu cầu về bảo mật mà vẫn tận dụng lại hệ thống mạng sẵn có của Internet - đó chính là mô hình VPN (Virtual Private Network - mạng riêng ảo). Với VPN, các tính năng như bảo mật dữ liệu, độ tin cậy được đảm bảo mà không cần phải đầu tư nhiều cho cơ sở hạ tầng. VPN cho phép người sử dụng làm việc ở bất cứ đâu có kết nối Internet như: tại nhà, các văn phòng, chi nhánh công ty hay ở ngoài đường đều có thể kết nối an toàn đến mạng nội bộ của tổ chức mình. VPN có thể bảo mật thông tin giữa các đại lý, người cung cấp, và các đối tác kinh doanh trong môi trường mạng công cộng. Trong nhiều trường hợp VPN cũng giống như WAN (Wide Area Network), tuy nhiên đặc tính quyết định của VPN là tận dụng cơ sở hạ tầng sẵn có của mạng công cộng như Internet mà vẫn đảm bảo tính riêng tư và tiết kiệm. 1.1 Định nghĩa VPN VPN (Virtual Private Network - mạng riêng ảo) là một mạng dành riêng để kết nối các máy tính của các công ty, tập đoàn hay các tổ chức với nhau thông qua mạng công cộng (thường là Internet). Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng một kết nối thực, chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an tòan và bảo mật VPN GVHD: Ths. Phạm Quang Khanh Trang 1 Tìm hiểu và cấu hình OpenVPN An Ninh Mạng cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường hầm bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như một kết nối point-to-point trên mạng riêng. Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa hay che giấu đi chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng. Dữ lịêu được mã hóa một cách cẩn thận do đó nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể đọc được nội dung vì không có khóa để giải mã. Liên kết với dữ liệu được mã hóa và đóng gói được gọi là kết nối VPN. Các đường kết nối VPN thường được gọi là đường hầm VPN (VPN Tunnel). Hình 1-1: Mô hình sử dụng VPN 1.2 Lợi ích của VPN VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thống và những mạng leased-line. Những lợi ích gồm: GVHD: Ths. Phạm Quang Khanh Trang 2 Tìm hiểu và cấu hình OpenVPN     An Ninh Mạng  Chi phí thấp hơn.  Tính linh hoạt: VPN có tính linh hoạt và có thể mở rộng thêm những kiến trúc mạng hơn là những mạng cổ điển, nếu công ty mở thêm chi nhánh thì việc kết nối thêm một đường truyền mạng ảo (VPN) tới trung tâm sẽ nhanh chóng và chi phí tương đối rẻ. VPN có thể dễ dàng kết nối hoặc ngắt kết nối từ xa của những văn phòng, chi nhánh quốc tế, teleworker (nhân viên làm việc ở xa), ...v....v....  Sử dụng những cấu trúc đường hầm: Sử dụng một giao thức Internet backbone. Không giống như những PVC tĩnh hợp với kết nối hướng những giao thức như: Frame Rely và ATM.  Tăng tính bảo mật: các dữ liệu sẽ được mã hóa hoặc bọc một lớp mã hóa dữ liệu nhầm che giấu đối với những người không có quyền truy cập và những người dùng có quyền truy cập được phép truy cập.  Hỗ trợ các giao thức TCP/IP.  Bảo mật địa chỉ IP: mọi dữ liệu được truyền đi trên VPN đã được mã hóa. VPN chỉ sử dụng các địa chỉ bên ngoài Internet. do đó, các điạ chỉ bên trong mạng riêng được mã hóa. 1.3 Chức năng của VPN VPN có ba chức năng chính: tính xác thực (Authentication), tính toàn vẹn (Integrity) và tính bảo mật (Confidentiality).   Tính xác thực: Trước khi thiết lập một kết nối VPN thì cả hai đầu đường hầm phải xác thực lẫn nhau để khẳng định chính xác đó là đầu đường hầm mà mình cần trao đổi thông tin.  Tính toàn vẹn: Đảm bảo trong quá trình truyền dữ liệu không bị thay đổi hay có bất cứ sự xáo trộn nào.  Tính bảo mật: Dữ liệu của người gửi sẽ được mã hóa trước khi truyền qua mạng công cộng và dữ liệu này sẽ được giải mã ở phía người nhận. Đảm bảo chắc chắn rằng không một ai có thể truy nhập thông tin trái phép. Thậm chí nếu có lấy được thì cũng không đọc được vì gói tin đã dược mã hóa. GVHD: Ths. Phạm Quang Khanh Trang 3 Tìm hiểu và cấu hình OpenVPN An Ninh Mạng 1.4 Định nghĩa “đường hầm” và “mã hóa” Chức năng chính của một VPN là cung cấp sự bảo mật thông tin bằng cách mã hoá và chứng thực qua một đường hầm (tunnel) Định nghĩa đường hầm: Cung cấp các kết nối logic - điểm nối điểm, các gói dữ liệu được mã hoá và di chuyển trong một đường hầm riêng biệt qua mạng, làm tăng tính bảo mật thông tin vì dữ liệu sau khi đã mã hoá sẽ lưu chuyển trong một đường hầm được thiết lập giữa người gửi và người nhận vì vậy sẽ tránh được sự mất cắp, xem trộm thông tin, đường hầm chính là đặc tính ảo của VPN. Các giao thức định đường hầm được sử dụng trong VPN như sau: L2TP (layer 2 Tunneling Protocol): Giao thức định đường hầm tầng 2 PPTP (Point-to-Point Tunneling Protocol) (Giao thức định đường hầm điểm nối điểm tầng 2) L2F (Layer 2 Forwarding) : Giao thức chuyển gói tầng 2 SSL (secure socket layer) Các VPN nội bộ và VPN mở rộng có thể sử dụng các công nghệ: IP Sec (IP security – hoạt động ở tầng 3) GRE (Genenic Routing Encapsulation - hoạt động ở tầng 3) 1.5 Mã hoá và giải mã (Encryption/Deccryption): Từ nội dung thông tin nguyên bản ở dạng đọc được (clear text hay plain text) thành một dạng văn bản mật mã vô nghĩa không đọc được (cyphertex), vì vậy nó không có khả năng đọc được hay khả năng sử dụng bởi những người dùng không được phép. Giải mã là quá trình ngược lại của mã hoá, tức là biến đổi văn bản đã mã hoá thành dạng đọc được bởi những người dùng được phép. 2. Các dạng kết nối mạng riêng ảo VPN 2.1 Truy cập VPN (Remote Access VPNs) GVHD: Ths. Phạm Quang Khanh Trang 4 Tìm hiểu và cấu hình OpenVPN An Ninh Mạng Remote Access VPNs: cho phép các nhân viên của công ty truy cập từ xa bất cứ lúc nào bằng Remote, mobile, và các thiết bị truyền thông đến tài nguyên mạng nội bộ của tổ chức mình. Người dùng ở xa sử dụng phần mềm Remote Access VPNs để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN concentrator (bản chất là Server). Vì vậy, giải pháp này thường được gọi là client/server. Từ giải pháp này, người ta thường sử dụng các công nghệ WAN để tạo lại các đường hầm về mạng HO (Head Office) của họ. Trong remote access VPNs người ta còn dùng wireless VPN, tức là một nhân viên có thể truy cập về mạng của công ty họ thông qua kết nối không dây. Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm wireless (Wireless terminal) và sau đó về mạng của công ty. Trong cả hai trường hợp, phần mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo mật, còn được gọi là tunnel (đường hầm). Việc thiết kế quá trình xác thực ban đầu giữa hai đầu đường hầm nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy. Thông thường giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty. Chính sách này gồm: quy trình (Procedure), kỹ thuật, server (như là: Remote Authentication Dial-In User Service [RADIUS], Terminal Access Controller Access Control System Plus [TACACS+])... Việc triển khai Remote Access VPNs, các chi nhánh văn phòng chỉ cần cài đặt một kết nối đến ISP (nhà cung cấp dịch vụ) để kết nối đến trụ sở chính của công ty thông qua mạng công cộng. Thông tin Remote Access Setup được mô tả bởi hình vẽ sau: GVHD: Ths. Phạm Quang Khanh Trang 5 Tìm hiểu và cấu hình OpenVPN An Ninh Mạng Hình 1-2: Mô hình VPN Remote Access 2.1.1 Lợi ích của Remote Access VPNs:      Việc sử dụng kết hợp với modem không còn nữa và sự cần thiết của RAS (Remote Access Server).  Quá trình kết nối từ xa đã được tạo điều kiện thuận lợi bởi nhà cung cấp dịch vụ (Internet Service Provider – ISP). Việc hỗ trợ của nhân viên mạng cho người dùng cá nhân gần như không còn.  Những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ.  Giảm giá thành chi phí kết nối với khoảng cách xa.  Đây là một kết nối truy cập nội bộ, do vậy tốc độ kết nối sẽ cao hơn so với kết nối trực tiếp đến những khoảng cách xa.  VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì VPNs hỗ trợ dịch vụ truy cập ở mức độ thấp nhất cho kết nối, dù có nhiều các kết nối truy cập đến mạng công ty cùng một lúc. 2.1.2 Bất lợi của Remote Access VPNs: Do truyền trên mạng công cộng rộng lớn như internet, có thể gói tin sẽ bị thất lạc và truyền chậm. GVHD: Ths. Phạm Quang Khanh Trang 6 Tìm hiểu và cấu hình OpenVPN An Ninh Mạng 2.2 Site-to-Site VPN Site-to-site : hay còn gọi là LAN-to-LAN, được áp dụng để cài đặt từ hai mạng hay nhiều mạng LAN cách xa nhau về mặt địa lý thông qua VPN. Với Site-to-site này, người sử dụng phải thực hiện chứng thực lần đầu tiên giữa các thiết bị mạng của hai đầu đường hầm. Khi đó mỗi thiết bị ở đầu đường hầm đóng vai trò như là một gateway. Các thiết bị VPN chuyên dụng hay các Router và Firewall tương thích với VPN đều cung cấp các chức năng này. Hình 1-3: Mô hình VPN Site-to-Site Site-to-Site VPN là sự kết nối hai mạng riêng lẻ thông qua một đường hầm bảo mật sử dụng các giao thức PPTP, L2TP, hoặc IPSec. Kết nối Site-to-Site VPN được thiết kế để tạo một kết nối mạng trực tiếp, hiệu quả. Có thể kết nối này thông qua Internet hoặc một mạng không được tin cậy.Bảo mật dữ liệu bằng cách mã hoá dữ liệu trên tất cả các gói dữ liệu khi truyền qua các mạng đó. GVHD: Ths. Phạm Quang Khanh Trang 7 Tìm hiểu và cấu hình OpenVPN An Ninh Mạng 2.2.1 Intranet (VPN nội bộ) Hình 1-4: Mô hình Intranet VPN Intranet VPNs (VPN nội bộ): kết nối các mạng từ trụ sở chính tới các văn phòng và các chi nhánh ở cách xa nhau thông qua cơ sở hạ tầng mạng công cộng sẵn có như Internet thành một mạng riêng tư của một tổ chức gồm nhiều công ty và văn phòng làm việc cách xa nhau về địa lý. Tất nhiên là kết nối này đều được mã hoá dữ liệu khi truyền thông tin qua lại với nhau. Những thuận lợi của Intranet:   Chi phí giảm do giảm số lượng Router vì được triển khai theo mô hình WAN backbone.  Sự hỗ trợ của nhân viên kỹ thuật giảm GVHD: Ths. Phạm Quang Khanh Trang 8 Tìm hiểu và cấu hình OpenVPN   An Ninh Mạng  Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những kết nối mới ngang hang.  Kết nối nhanh hơn và tốt hơn do chỉ kết nối đến nhà cung cấp dịch vụ, khoảng cách ngắn nên giảm thiểu chi phí cho việc thực hiện Intranet.  Kết hợp với công nghệ chuyển mạch tốc độ cao như: Frame-Relay, ATM. Những bất lợi của Intranet:    Trong quá trình truyền trên mạng công cộng hay có những mối de dọa và nguy cơ tấn công, như denial-of service (tấn công bằng từ chối dịch vụ).  Khả năng mất dữ liệu khi truyền rất cao.  Tốc độ, chất lượng phụ thuộc hoàn toàn vào Internet . 2.2.2 Extranet VPNs (VPN mở rộng) Từ Intranet người ta mở rộng thêm liên kết các khách hàng, những nhà cung cấp, những đối tác hay những nhân viên làm việc trong các Intranet qua cơ sở hạ tầng dùng chung những kết nối gọi là Extranet. Extranet cho phép truy nhập những tài nguyên mạng cần thiết kế của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác những người giữ vài trò quan trọng trong tổ chức thông qua đường hầm bảo mật. Hình 1-5: Mô hình Extranet VPN Một số thuận lợi của Extranet: GVHD: Ths. Phạm Quang Khanh Trang 9 Tìm hiểu và cấu hình OpenVPN An Ninh Mạng Vì là kết nối thông qua Internet nên có thể lựa chọn nhà cung cấp dịch vụ tuỳ theo nhu cầu của tổ chức. Chi phí thấp bởi được bảo trì bởi nhà cung cấp ISP. Dễ dàng thiết lập, bào trì, sửa chữa. Dễ dàng triển khai, quản lý và chỉnh sữa thông tin. Một số bất lợi của Extranet:       Vấn đề về những de dọa tấn công bằng từ chối dịch vụ, bảo mật thông tin vẫn còn tồn tại.  Tăng thêm về sự xâm nhập tới mạng cục bộ của tổ chức trên Extranet.  Do sử dụng Internet nên khi truyền tùy thuộc vào chất lượng dịch vụ Internet. 3. VPN và an toàn bảo mật trên Internet. Với sự bùng nổ và mở rộng mạng Internet toàn cầu sẽ ngày càng tăng, hàng tháng có rất nhiều mạng mới được kết nối vào Internet kèm theo đó là vấn đề làm sao để có thể đảm bảo an toàn khi trao đổi thông tin trên mạng công cộng như Internet. Sự rò rỉ và mất cắp thông tin dữ liêu đã gây thiệt hại và ảnh hường rất lớn về kinh tế trên toàn thế giới. Các loại tội phạm như “hacker” luôn tìm mọi cách để đánh cắp thông tin như: thẻ tín dụng, tài khoản người dùng, các thông tin kinh tế, chính trị nhạy cảm... của các công ty, tổ chức hay cá nhân nào đó. Vậy giải pháp sử dụng mạng riêng ảo VPN sẽ giải quyết vấn đề an toàn và bảo mật thông tin trên Internet như thế nào ? Câu trả lời để các tổ chức, các doanh nghiệp, cá nhân cảm thấy yên tâm khi trao đổi thông tin dữ liệu qua mạng Internet là sử dụng công nghệ mạng riêng ảo VPN. Thực chất công nghệ chính được sử dụng trong mạng riêng ảo VPN là tạo ra một đường hầm (tunnel) mã hoá và chứng thực dữ liệu giữa hai đầu kết nối. Các thông tin dữ liệu sẽ được mã hoá và chứng thực trước khi được truyền trong một đường hầm riêng biệt, qua đó sẽ tránh được những cặp mắt tò mò của những kẻ muốn đánh cắp thông tin. GVHD: Ths. Phạm Quang Khanh Trang 10 Tìm hiểu và cấu hình OpenVPN An Ninh Mạng 4. An toàn và tin cậy. Có 4 yếu tố ảnh hưởng đến một hệ thống đáng tin cậy:   Tính sẵn sàng: Khả năng sẵn sàng, đáp ứng yêu cầu trong khoảng thời gian. Tính sẵn sáng dược thực hiện qua những hệ thống phần cứng dự phòng.  Sự tin cậy: Nó định nghĩa xác xuất của hệ thống thực hiện các chức năng của nó trong một chu kỳ thời gian. Sự tin cậy khác với tính sẵn sàng , nó được đo trong cả một chu kỳ của thời gian. Nó tương ứng tới tính liên tục của một dịch vụ.  Sự an toàn: Nó chỉ báo hiệu một hệ thống thực hiện những chức năng của nó chính xác hoặc thực hiện trong trường hợp thất bại một ứng xử không thiệt hại nào xuất hiện.  Sự an ninh: Sự bảo vệ tất cả các tài nguyên trong hệ thống. GVHD: Ths. Phạm Quang Khanh Trang 11 Tìm hiểu và cấu hình OpenVPN An Ninh Mạng Chương 2: Secure Socket Layer (SSL) Bảo mật dữ liệu trong quá trình truyền tải qua Internet ngày càng trở nên cần thiết vì khối lượng dữ liệu ngày càng tăng và tầm quan trọng trong việc bảo mật dữ liệu. Ngày nay, mỗi người sử dụng của một mạng công cộng để gửi các loại dữ liệu khác nhau, từ email cho đến các chi tiết thẻ tín dụng hàng ngày, và vì vậy muốn được bảo vệ khi dữ liệu qua một mạng công cộng. Để kết thúc vấn đề này, một giao thức SSL thực tế đã được áp dụng để bảo vệ dữ liệu trong truyền tải bao gồm tất cả các dịch vụ mạng sử dụng TCP/IP để hỗ trợ các ứng dụng điển hình của giao tiếp giữa máy chủ và khách hàng. Các giao thức SSL được phát triển bởi Netscape, để đảm bảo an ninh dữ liệu vận chuyển và định tuyến thông qua các lớp ứng dụng của HTTP, LDAP hay POP3. SSL được thiết kế để làm cho việc sử dụng của TCP như là một lớp giao tiếp để cung cấp một kết nối end-to-end an toàn và đáng tin cậy xác thực giữa hai điểm trên một mạng (ví dụ giữa khách hàng và máy chủ dịch vụ). Mặc dù SSL này có thể được sử dụng để bảo vệ dữ liệu trong quá trình truyền tải trong các tình huống liên quan đến bất kỳ dịch vụ mạng, nó được sử dụng chủ yếu trong máy chủ HTTP và các ứng dụng của khách hàng. Ngày nay, hầu như mỗi máy chủ HTTP đều có thể hỗ trợ một session SSL, trong khi trình duyệt IE hoặc trình duyệt Netscape Navigator được cung cấp với phần mềm khách hàng cho phép SSL. Hình 2-1: SSL giữa tầng ứng dụng và TCP/IP GVHD: Ths. Phạm Quang Khanh Trang 12 Tìm hiểu và cấu hình OpenVPN An Ninh Mạng Mục tiêu và mô hình SSL Những vấn đề thực hiện mục tiêu SSL? Các mục tiêu chính cho SSL là: Chứng thực các khách hàng và máy chủ với nhau: các giao thức SSL hỗ trợ việc sử dụng các kỹ thuật mật mã tiêu chuẩn quan trọng (mã hóa khóa công khai) để xác thực các bên giao tiếp với nhau. Mặc dù các ứng dụng thường xuyên nhất bao gồm chứng thực của khách hàng dịch vụ trên cơ sở của một chứng chỉ, SSL cũng có thể sử dụng các phương pháp tương tự để xác thực khách hàng. Bảo đảm tính toàn vẹn dữ liệu trong một session làm việc, dữ liệu không thể được, hoặc cố ý hoặc vô ý giả mạo. Bảo mật dữ liệu riêng tư: dữ liệu trong vận tải giữa khách hàng và máy chủ phải được bảo vệ đánh chặn và có thể đọc được chỉ người nhận. Điều kiện tiên quyết này là cần thiết cho cả các dữ liệu liên kết với các giao thức (đảm bảo giao thông trong quá trình đàm phán) và các ứng dụng dữ liệu được gửi trong các session bản thân. SSL là trong thực tế không phải là một giao thức đơn lẻ mà là một tập hợp các giao thức bổ sung có thể được tiếp tục chia thành hai lớp:  giao thức để đảm bảo an ninh và toàn vẹn dữ liệu: lớp này bao gồm các giao thức SSL Record,  các giao thức được thiết kế để thiết lập một kết nối SSL: ba giao thức được sử dụng trong lớp này: SSL Handshake Protocol, SSL ChangeCipher Spec Protocol và SSL Alert Protocol. Hình 2-2: Ngăn xếp giao thức SSL GVHD: Ths. Phạm Quang Khanh Trang 13 Tìm hiểu và cấu hình OpenVPN An Ninh Mạng SSL sử dụng các giao thức này để giải quyết các nhiệm vụ như mô tả ở trên. Các record của giao thức SSL chịu trách nhiệm cho việc mã hóa dữ liệu và tính toàn vẹn. Như có thể thấy trong hình, nó cũng được sử dụng để đóng gói dữ liệu được gửi bởi giao thức SSL khác, và do đó, nó cũng tham gia vào các nhiệm vụ liên kết với các dữ liệu kiểm tra SSL. Ba giao thức khác bao gồm các lĩnh vực quản lý session, quản lý tham số mật mã và chuyển giao các thông điệp SSL giữa khách hàng và máy chủ. Trước khi đi sâu vào một cuộc thảo luận chi tiết hơn về vai trò của giao thức cá nhân và chức năng của nó cho tôi mô tả hai khái niệm cơ bản liên quan đến việc sử dụng SSL. Session và kết nối SSL Các khái niệm như đã đề cập ở trên là nền tảng cho một kết nối giữa khách hàng và máy chủ, và nó cũng bao gồm một loạt các thuộc tính. Hãy cố gắng cho một số chi tiết: Session: đây là một sự kết hợp giữa một khách hàng và máy chủ một định nghĩa một tập hợp các thông số như thuật toán được sử dụng, số session... Một SSL session được tạo ra bởi giao thức bắt tay mà cho phép các thông số được chia sẻ giữa các kết nối được tạo ra từ máy chủ và khách hàng, và session được sử dụng để tránh đàm phán của các thông số mới cho mỗi kết nối. Điều này có nghĩa là một session được chia sẻ giữa nhiều kết nối SSL giữa khách hàng và máy chủ. Về lý thuyết, nó cũng có thể được nhiều session chia sẻ bởi một kết nối duy nhất, nhưng tính năng này không được sử dụng trong thực tế. Các khái niệm về một SSL session và kết nối liên quan đến một vài thông số được sử dụng SSLenable giao tiếp giữa khách hàng và máy chủ. Trong các cuộc đàm phán của giao thức bắt tay, các phương pháp mã hóa được thành lập và một loạt các thông số của session status sau đó được sử dụng trong session. Một session state được xác định bởi các thông số sau: Session identifier: đây là một định danh được tạo ra bởi máy chủ để xác định một session với một khách hàng đã chọn chứng chỉ peer: X.509 chứng chỉ của peer Phương pháp nén: một phương pháp được sử dụng để nén dữ liệu trước khi mã hóa GVHD: Ths. Phạm Quang Khanh Trang 14