Công nghệ mạng riêng ảo VPN dựa trên SSL - 1 - ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN Vũ Quang Thịnh CÔNG NGHỆ MẠNG RIÊNG ẢO VPN DỰA TRÊN SSL Chuyên ngành: Bảo đảm toán học cho máy tính và hệ thống tính toán Mã số : 60.46.35 LUẬN VĂN THẠC SĨ KHOA HỌC NGƢỜI HƢỚNG DẪN KHOA HỌC PGS. TS. Nguyễn Văn Tam Hà Nội – 2012 Công nghệ mạng riêng ảo VPN dựa trên SSL - 2 - MỤC LỤC MỤC LỤC 2 DANH MỤC HÌNH 5 DANH MỤC BẢNG 7 DANH MỤC CÁC TỪ VIẾT TẮT 8 LỜI MỞ ĐẦU 10 CHƢƠNG 1 - TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG ẢO 12 1.1. Giới thiệu chung về mạng riêng ảo 12 1.1.1. Khái niệm cơ bản về mạng riêng ảo 12 1.1.2. Mô hình mạng riêng ảo 12 1.1.3. Những lợi ích cơ bản của mạng riêng ảo 13 1.2. Những yêu cầu cơ bản đối với mạng riêng ảo 14 1.2.1. Bảo mật 14 1.2.2. Tính sẵn sàng và tin cậy 15 1.2.3. Chất lượng dịch vụ 17 1.2.4. Khả năng quản trị 17 1.2.5. Khả năng tương thích 18 1.3. Các mô hình kết nối VPN thông dụng 20 1.3.1. VPN Truy cập từ xa (Remote Access VPN) 20 1.3.2. VPN Cục bộ (Intranet VPN) 22 1.3.3. Mạng riêng ảo mở rộng (Extranet VPN) 25 1.4. Các thành phần của mạng riêng ảo 28 1.4.1. Máy chủ phục vụ truy cập mạng (Network Access Server -NAS) 28 1.4.2. Bộ định tuyến (Router) 28 1.4.3. Máy nguồn và máy đích đường hầm. 29 1.4.4. Máy chủ phục vụ xác thực (Authentication Server) 29 1.4.5. Tường lửa - Firewall 30 1.4.6. Máy phục vụ chính sách (Policy Server) 31 1.4.7. VPN Gateway 31 Công nghệ mạng riêng ảo VPN dựa trên SSL - 3 - 1.5. Kết luận chƣơng 31 CHƢƠNG 2 - NGHIÊN CỨU CÔNG NGHỆ SSL VPN 33 2.1. Giới thiệu về SSL 33 2.1.1. Lịch sử phát triển của giao thức SSL 33 2.1.2. Cấu trúc của giao thức SSL 34 2.2. Các khái niệm an ninh đƣợc sử dụng trong SSL 36 2.2.1. Mã hóa 36 2.2.2. Hàm băm và bản tóm lược thông điệp 37 2.2.3. Mã xác thực thông điệp - MAC 38 2.2.4. Mã hoá khoá công khai và chữ ký số 38 2.2.5. Chứng chỉ số và cơ quan cung cấp chứng chỉ số 39 2.3. Bộ các giao thức trong SSL 41 2.3.1. Giao thức bắt tay SSL 41 2.3.2. Giao thức bản ghi SSL 57 2.3.3. Giao thức cảnh báo SSL 61 2.3.4. Giao thức ChangeCipher Spec 61 2.4. Thiết lập đƣờng hầm trong SSL VPN 62 2.5. Kết luận chƣơng 63 CHƢƠNG 3- XÂY DỰNG HỆ THỐNG BẢO MẬT TRUY CẬP NỘI BỘ TỪ XA QUA OPENVPN DỰA TRÊN SSL 65 3.1. Phát biểu bài toán 65 3.2. Mô hình hệ thống OpenVPN 65 3.2.1. Các thành phần hệ thống OpenVPN 65 3.2.2. Các mô hình hệ thống OpenVPN 65 3.2.3. Xác thực và quản lý người dùng 67 3.2.4. Vùng mạng VPN 68 3.3. Quá trình hoạt động của OpenVPN 68 3.4. Mô hình triển khai hệ thống 70 3.5. Triển khai hệ thống 72 3.5.1. Cài đặt Ubuntu 72 3.5.2. Cài đặt OpenVPN 73 Công nghệ mạng riêng ảo VPN dựa trên SSL - 4 - 3.5.3. Cài đặt AD Server và kết nối với OpenVPN 73 3.5.4. Cài đặt máy chủ dịch vụ mail 73 3.5.5. Cài đặt máy chủ dịch vụ web 73 3.5.6. Tạo và phân quyền người sử dụng 73 3.5.7. Cài đặt Router kết nối Internet để cho phép người dùng từ ngoài truy cập OpenVPN 75 3.5.8. Kiểm tra kết nối VPN thành công 75 3.5.8. Kiểm tra thông tin nhật ký 80 3.5.9. Kiểm tra quá trình truyền dữ liệu qua SSL VPN 81 KẾT LUẬN 82 TÀI LIỆU THAM KHẢO 83 Công nghệ mạng riêng ảo VPN dựa trên SSL - 5 - DANH MỤC HÌNH VẼ Hình 1.1: Mô hình mạng riêng ảo – VPN 13 Hình 1.2: Mô tả chung của VIPR 19 Hình 1.3: Mô tả chung của công nghệ đường điện thoại riêng ảo 20 Hình 1.4: Thiết lập truy cập từ xa không có VPN 21 Hình 1.5: Thiết lập VPN truy cập từ xa 22 Hình 1.6: Thiết lập Intranet sử dụng WAN 23 Hình 1.7: Thiết lập VPN dựa trên VPN 24 Hình 1.8: Mạng Extranet truyền thống 26 Hình 1.9: Mạng Extranet dựa trên VPN 27 Hình 2.1: Sơ đồ mối quan hệ giữa SSL và mô hình OSI 35 Hình 2.2: Sơ đồ quan hệ giữa SSL và các giao thức khác 36 Hình 2.3: Sơ đồ hệ thống mã hóa khóa đối xứng 37 Hình 2.4: Sơ đồ hệ thống mã hóa khóa bất đối xứng 37 Hình 2.5: Sơ đồ xác thực dữ liệu dùng chữ ký số 39 Hình 2.6: Sơ đồ quá trình bắt tay trong SSL không xác thực máy khách 43 Hình 2.7: Sơ đồ quá trình bắt tay, có xác thực máy khách trong giao thức SSL 45 Hình 2.8: Sơ đồ quá trình cập nhật trạng thái tại máy khách 50 Hình 2.9: Sơ đồ quá trình cập nhật trạng thái tại máy chủ 51 Hình 2.10: Sơ đồ quá trình tạo Master Secret trong SSL 55 Hình 2.11: Sơ đồ quá trình tạo Key Material 56 Hình 2.12: Sơ đồ sinh khóa từ Key Material 57 Hình 2.13: Các bước xử lý dữ liệu trong giao thức bản ghi 57 Hình 2.14: Khuôn dạng thông điệp bản ghi SSL 58 Hình 2.15: Bảo vệ thông điệp với thuật toán MD5………………………………56 Hình 2.16: Bảo vệ thông điệp với thuật toán SHA 59 Hình 2.17: Sơ đồ tính toán MAC trong SSL 60 Công nghệ mạng riêng ảo VPN dựa trên SSL - 6 - Hình 2.18: Mã hóa thông điệp với thuật toán mã hóadòng……………………… 58 Hình 2.19: Mã hóa thông điệp thuật toán mã hóa khối 61 Hình 2.20: Khuôn dạng thông điệp Alert 61 Hình 3.1: Mô hình OpenVPN một card mạng 66 Hình 3.2: Mô hình OpenVPN một card mạng 67 Hình 3.3: Mô hình OpenVPN một card mạng dùng địa chỉ IP public 67 Hình 3.4: Mô hình xác thực và quản lý người dùng 68 Hình 3.5: Mô hình quá trình hoạt động của OpenVPN 69 Hình 3.6: Mô hình mã hóa và đóng gói dữ liệu qua OpenVPN 69 Hình 3.7: Mô hình truy cập các dịch vụ qua OpenVPN 70 Hình 3.8: Mô hình hệ thống bảo mật truy cập nôi bộ qua OpenVPN 70 Hình 3.9: Giao diện đăng nhập OpenVPN 73 Hình 3.10: Phân quyền chuyenvien chỉ được kết nối tới máy chủ web 74 Hình 3.11: Phân quyền lanhdao được kết nối tới toàn bộ máy chủ dịch vụ 75 Hình 3.12: Chuyenvien đăng nhập thành công 75 Hình 3.13: Lanhdao đăng nhập thành công 77 Hình 3.14: Kiểm tra thông tin nhật ký 80 Hình 3.15: Kiểm tra quá trình truyền dữ liệu qua SSL VPN 81 Công nghệ mạng riêng ảo VPN dựa trên SSL - 7 - DANH MỤC BẢNG Bảng 2.1: Các bước thực hiện trong bắt tay SSL không xác thực máy khách 42 Bảng 2.2: Các bước thực hiện quá trình bắt tay SSL có xác thực máy khách 43 Bảng 2.3: Các thành phần trong thông điệp ClientHello 45 Bảng 2.4: Các thành phần trong thông điệp ServerHello 47 Bảng 2.6: Các thành phần trong thông điệp CertificateVerify 49 Bảng 2.7: Các trường trong thông điệp bản ghi SSL 58 Bảng 2.8: Các kiểu nội dung tầng bản ghi 59 Công nghệ mạng riêng ảo VPN dựa trên SSL - 8 - DANH MỤC CÁC TỪ VIẾT TẮT AAA Authentication Authorization Accounting AES Advanced Encryption Standard AS Autonomous System ATM Asynchronous Transfer Mode CA Certificate Authority DES Data Encryption Standard DoS Denial of Services FR Frame Relay FTP File Transfer Protocol FTPs File Transfer Protocol secure HTTP Hyper Text Transfer Protocol HTTPs Hyper Text Transfer Protocol secure ICMP Internet Control Message Protocol IETF Internet Engineering Task Force IMAP Internet Message Access Protocol ISDN Integrated Services Digital Network ISP Internet Service Provider L2TP Layer 2 Tunneling Protocol LAN Local Area Network LDAP Lightweight Directory Access Protocol MAC Message Authentication Code MD5 Message Digest 5 Hash Algorithm NAS Network Access Server NAT Network Address Translation Công nghệ mạng riêng ảo VPN dựa trên SSL - 9 - OSI Open Systems Interconnection PKC Public Key Cryptography PoP Point of Presence POP3 Post Office Protocol 3 POP3s Post Office Protocol 3 secure PPTP Point to Point Tunneling Protocol QoS Quality of Service RADIUS Remote Authentication Dial In User Server RAS Remote Access Server RSA Ron Rivest, Adi Shamir, Leonard Adleman SHA Secure Hash Standard SKC Symmetric Key Cryptography SLA Service Level Agreement SMTP Simple Mail Transfer Protocol SMTPs Simple Mail Transfer Protocol secure SP Service Provider SSL Secure Socket Layer TACACS Terminal Access Control System TCP/IP Transfer Control Protocol/Internet Protocol TLS Transport Layer Security UDP User Datagram protocol VIPR Virtual IP Routing VoIP Voice over Internet Protocol VPN Virtual Private Network WAN Wide Area Network Công nghệ mạng riêng ảo VPN dựa trên SSL - 10 - LỜI MỞ ĐẦU Ngày nay, Internet đã phát triển mạnh về mặt mô hình cho đến công nghệ, đáp ứng các nhu cầu của người sử dụng. Internet đã được thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng một cách thuận tiện. Để làm được điều này người ta sử dụng một máy tính đặc biệt gọi là Router để kết nối các LAN và WAN với nhau. Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (Internet Service Provider - VPN), cần một giao thức chung là TCP/IP. Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của các mạng viễn thông công cộng. Với Internet, những dịch vụ như giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế, và rất nhiều điều khác đã trở thành hiện thực. Tuy nhiên, do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ. Từ đó người ta đã đưa ra một mô hình hoạt động mạng mới về ứng dụng và công nghệ nhằm thoả mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó chính là mô hình mạng riêng ảo (VPN - Virtual Private Network). Với mô hình mới này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được sự hoạt động của mạng này. VPN cho phép người sử dụng làm việc tại nhà, trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng. Nó có thể đảm bảo an toàn thông tin giữa các đại lý, người cung cấp, và các đối tác kinh doanh với nhau trong môi trường truyền thông rộng lớn. Nhưng nổi bật hơn cả là VPN có thể dùng mạng công cộng như Internet mà đảm bảo tính riêng tư và tiết kiệm được chi phí hơn rất nhiều. [...]... cứu như trên, luận văn bao gồm 3 chương: Chƣơng 1: Tổng quan về công nghệ mạng riêng ảo Chƣơng 2: Nghiên cứu công nghệ SSL VPN Chƣơng 3: Xây dựng hệ thống bảo mật truy cập nội bộ từ xa qua OpenVPN dựa trên SSL Công nghệ mạng riêng ảo VPN dựa trên SSL - 12 - CHƢƠNG 1 TỔNG QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG ẢO 1.1 Giới thiệu chung về mạng riêng ảo 1.1.1 Khái niệm cơ bản về mạng riêng ảo Mạng riêng ảo (Virtual... mạng như là máy phục vụ xác định chính sách 1.5 Kết luận chƣơng Trong chương một của luận văn đã giới thiệu các khái niệm cơ bản về công nghệ VPN, khái niệm về đường hầm VPN Những yêu cầu bảo mật đối Công nghệ mạng riêng ảo VPN dựa trên SSL - 32 - với mạng VPN, các mô hình kết nối VPN thông dụng cũng như các thành phần của VPN Trong chương hai, luận văn sẽ trình bày về công nghệ SSL VPN, một công nghệ. .. của công ty Với các yêu cầu cơ bản như trên, ngày nay, VPN được phát triển và phân thành 2 loại như sau: VPN truy cập từ xa (Remote Access VPN) , VPN Site – to – Site (Bao gồm 2 mô hình: VPN Cục bộ (Intranet VPN) , VPN mở rộng (Extranet VPN) ) 1.3.1 VPN Truy cập từ xa (Remote Access VPN) Công nghệ mạng riêng ảo VPN dựa trên SSL - 21 - Cung cấp các dịch vụ truy cập VPN từ xa (remote access hay dial-up VPN) ... thể dễ dàng kết nối tới Intranet của công ty mình - Bảo mật các giao dịch: Vì VPN dùng công nghệ đường hầm để truyền dữ liệu qua mạng công cộng không an toàn Dữ liệu đang truyền được bảo mật ở một mức độ nhất định, thêm vào đó, công nghệ đường hầm sử dụng các biện Công nghệ mạng riêng ảo VPN dựa trên SSL - 14 - pháp bảo mật như: Mã hoá, xác thực và cấp quyền để bảo đảm an toàn, tính tin cậy, tính xác... chủ yếu trong việc triển khai VPN hiện nay Công nghệ mạng riêng ảo VPN dựa trên SSL - 33 - CHƢƠNG 2 NGHIÊN CỨU CÔNG NGHỆ SSL VPN 2.1 Giới thiệu về SSL Việc cung cấp kết nối truy cập từ xa VPN là một ứng dụng tương đối mới cho SSL SSL được thiết kế để giữ an toàn cho các giao thức dựa trên cổng TCP và các ứng dụng như HTTP(HTTPS), FTP (FTPS), POP3 (POP3S), và SMTP (SMTPS) SSL được xây dựng phần lớn bằng... người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài Công nghệ mạng riêng ảo VPN dựa trên SSL - 13 - Hình 1.1: Mô hình mạng riêng ảo – VPN 1.1.3 Những lợi ích cơ bản của mạng riêng ảo - Giảm chi phí thực thi: Chi phí cho VPN ít hơn rất nhiều so với các giải pháp truyền thống dựa trên đường Lease-Line như Frame Relay, ATM hay ISDN Bởi vì VPN loại trừ được những yếu tố cần thiết cho các kết nối đường... cậy Công nghệ mạng riêng ảo VPN dựa trên SSL - 16 - Tính sẵn sàng chỉ tổng thời gian mà người dùng truy cập được vào mạng (Uptime) Trong các mạng riêng và mạng Intranet, thời gian này là tương đối cao vì toàn bộ cơ sở hạ tầng mạng thuộc quyền sở hữu riêng và được kiểm soát đầy đủ bởi tổ chức Tuy nhiên, VPN sử dụng các mạng tương tác trung gian như Internet và PSTN vì vậy các thiết lập dựa trên VPN. .. được mô tả như trong hình 1.3 Công nghệ mạng riêng ảo VPN dựa trên SSL - 20 - Hình 1.3: Mô tả chung của công nghệ đƣờng điện thoại riêng ảo 1.3 Các mô hình kết nối VPN thông dụng Mục tiêu của công nghệ VPN là quan tâm đến ba yêu cầu cơ bản sau: - Các nhân viên liên lạc từ xa, người dùng di động, người dùng từ xa của một công ty có thể truy cập vào tài nguyên mạng của công ty họ bất cứ lúc nào - Có... phí lắp đặt, hỗ trợ các đường dây thuê riêng theo các cách kết nối WAN truyền thống Intranet VPN thường được dùng để kết nối các nhánh Văn phòng từ xa của một tổ chức với Intranet trung tâm của tổ chức đó, nên còn được gọi là Công nghệ mạng riêng ảo VPN dựa trên SSL - 23 - mạng riêng ảo chi nhánh Trong cách thiết lập Intranet không sử dụng công nghệ VPN, mỗi một mạng từ xa phải kết nối tới Intranet của... càng cao Với việc thực thi giải pháp VPN, đường WAN xương sống được thay thế bằng kết nối Internet chi phí thấp nên có thể giảm được tổng chi phí của việc thực thi toàn bộ Intranet Một giải pháp Intranet VPN điển hình được mô tả như trong hình 1.7 Công nghệ mạng riêng ảo VPN dựa trên SSL - 24 - Hình 1.7: Thiết lập VPN dựa trên VPN Ưu điểm của việc thiếp lập dựa trên VPN như trong hình 1.7 là: + Loại trừ . Nghiên cứu công nghệ SSL VPN. Chƣơng 3: Xây dựng hệ thống bảo mật truy cập nội bộ từ xa qua OpenVPN dựa trên SSL. Công nghệ mạng riêng ảo VPN dựa trên SSL - 12. QUAN VỀ CÔNG NGHỆ MẠNG RIÊNG ẢO 1.1. Giới thiệu chung về mạng riêng ảo 1.1.1. Khái niệm cơ bản về mạng riêng ảo Mạng riêng ảo (Virtual Private Network – VPN) là mạng sử dụng mạng công cộng. ngoài. Công nghệ mạng riêng ảo VPN dựa trên SSL - 13 - Hình 1.1: Mô hình mạng riêng ảo – VPN 1.1.3. Những lợi ích cơ bản của mạng riêng ảo - Giảm chi phí thực thi: Chi phí cho VPN ít hơn