Đang tải... (xem toàn văn)
Nguy cơ mất an toàn VPN và xây dựng mô hình VPN an toàn
MỤC LỤC MỤC LỤC LỜI NÓI ĐẦU CHƯƠNG TỔNG QUAN VỀ VPN 1.1 Khái niệm VPN 1.2 Phân loại VPN 1.3 Các giao thức VPN 1.3.1 Giao thức PPTP 1.3.2 Giao thức L2TP 1.3.3 Giao thức IPSec 10 CHƯƠNG CÁC NGUY CƠ MẤT AN TOÀN VPN 11 2.1 Virus 11 2.2 Tấn công giao thức VPN 12 2.2.1 Tấn công PPTP 12 2.2.2 Tấn công IPSec 13 2.3 Tấn công kỹ thuật mật mã 14 2.3.1 Tấn công vào văn viết mật mã 14 2.3.2 Tấn công vào rõ biết(hình thức hiểu văn mã hóa) 15 2.3.3 Tấn công vào rõ chọn 15 2.3.4 Tấn công người xen (Man-in-the-Middle Attacks) 16 2.3.5 Tấn công sức mạnh vật lý 16 2.3.6 Tấn công timing (timing attacks) 17 2.4 Tấn công từ chối dịch vụ: 17 2.4.1 SYN Foods 18 2.4.2 Cơn bão quảng bá ( Broadcast Storm) 19 2.4.3 Smurf DoS 19 2.4.4 Ping of Death 20 2.4.5 Bom mail (mail bomb) 21 2.4.6 Thư rác (spam mailing) 21 CHƯƠNG XÂY DỰNG VPN AN TOÀN 23 3.1 Kỹ thuật xác thực từ xa 23 3.1.1 Cơ chế xác thực, cấp phép, tính tốn( AAA) 23 3.1.2 Dịch vụ người dùng truy nhập quay số từ xa 25 3.1.3 TACACS(Terminal Access Controller Access Controller System) 27 3.2 Các kỹ thuật bảo vệ VPN 28 3.2.1 Tường lửa 28 3.2.2 NAT (Network Address Translation ) 32 3.2.3 SOCKS (SOCKet Server) 37 3.2.4 SSL(Secure Socket Layer) TLS (Transport Layer Security) 38 3.3 Xây dựng VPN an toàn 40 Kết Luận 53 Tài liệu tham khảo 55 LỜI NÓI ĐẦU Ngày giới bước vào kỷ nguyên bùng nổ thông tin Cùng với phát triển vũ bão phương tiện truyền thông đại chúng, lĩnh vực truyền thơng máy tính phát triển khơng ngừng Mạng máy tính tồn cầu internet trở thành nhu cầu thiết cho người Với internet, tường ngăn cách quốc gia, văn hóa, người với ngày giảm Ngày có khoảng 50 – 60 triệu người sử dụng internet ứng dụng internet vô phong phú Từ ứng dụng truy xuất từ xa như: NC (Network Computer), WWW,VPN… mạng máy tính đồng thời cung cấp môi trường truyền thông tốt cho dịch vụ thư tín điện tử (Email), tin tức, hệ quản trị liệu phân bố…… Tuy nhiên internet làm giảm ranh giới nhà tổ chức, cá nhân với nhau, nguy an toàn, khả bị xâm phạm bí mật, tài ngun thơng tin tăng lên Theo thống kê, số vụ công xâm phạm tài nguyên thông tin internet năm tăng lên 100% so với năm trước Làm để tổ chức, cá nhân sử dụng mạng cục tham gia internet vừa bảo vệ an tồn liệu quan trọng khơng bị chép, sửa đổi hay phá hủy, vừa đảm bảo tính sẵn sàng cao liệu cần đến, đồng thời đảm bảo khả truy xuất thuận tiện, nhanh chóng… Vấn đề trở nên quan trọng Tuy nhiên người quản trị hệ thống mạng đảm bảo yêu cầu trên, họ cần có cơng cụ hữu hiệu Với lý trên, em chọn đề tài “Nguy an tồn VPN xây dựng mơ hình VPN an toàn” làm đề tài thực tập em Nội dung báo cáo chia làm : CHƯƠNG I: TỔNG QUAN VỀ VPN Chương giới thiệu qua khái niệm mạng VPN gì, lợi ích đem lại cho dùng mạng riêng ảo có ưu nhược điểm gì.Giới thiệu kiểu kết nối VPN yêu cầu để thiết lập nên mạng VPN CHƯƠNG II: NGUY CƠ MẤT AN TOÀN VPN Ở chương số nguy cho người sử dụng VPN khơng an tồn người dùng khơng sử dụng hiệu theo tiêu chuẩn an tồn khả bị hacker kiểm soát kết nối VPN hồn tồn CHƯƠNG III: XÂY DỰNG VPN AN TỒN Dựa vào tính cấp thiết để đảm bảo an tồn cho người dùng VPN ta xây dựng mơ hình VPN an tồn đáp ứng nhu cầu dùng VPN cách thực an toàn VPN công nghệ sử dụng phổ biến nhằm cung cấp kết nối an toàn hiệu để truy cập tài nguyên nội công ty từ bên ngồi thơng qua mạng Internet Mặc dù sử dụng hạ tầng mạng chia sẻ bảo đảm tính riêng tư liệu giống truyền thông hệ thống mạng riêng Trong đề tài nghiên cứu em đưa số nguy an toàn mạng VPN điều hồn tồn bị phá vỡ em xây dựng mơ hình VPN an tồn nhằm đáp ứng nhu cầu phát triển công nghệ thông tin mà đảm bảo tính an tồn cho liệu Trong thời gian thực đề tài này, thời gian không cho phép, kiến thức chưa sâu sắc nên em cịn nhiều sai sót, mong thầy, góp ý chân thành để em hoàn thành đề tài cách tốt Em xin chân thành cảm ơn hướng dẫn bảo tận tình giáo viên hướng dẫn đa giúp em hoàn thành đề tài Danh mục hình vẽ Hình 2.1: Các tin tặc làm tắc nghẽn mạng 18 Hình 3.1: Mơ hình mạng dùng AAA 25 Hình 3.2: Hai thành phần RADIUS 26 Hình 3.3: RADIUS traffic flow 27 Hình 3.4: Xác thực từ xa TACACS 27 Hình 3.5: Tường lửa 29 Hình 3.6: Tường lửa nằm sau máy chủ VPN 31 Hình 3.7: Mơ hình VPN đặt sau tường lửa 32 Hình 3.8: Mơ hình triển khai NAT 33 Hình 3.9: Mơ hình NATs tĩnh 34 Hình 3.10: Mơ hình NATs động 34 Hình 3.11: Mơ hình NATs động tải 35 Hình 3.12: Mơ hình NATs động chồng lấp 36 Hình 3.13: Mơ hình triển khai SOCKS VPN 37 Hình 3.14: Hai lớp SSL 39 Hình 3.15: Mơ hình VPN+NPS 40 Hình 3.16: Cài Active Directory certlcate server 41 Hình 3.17: Chọn giao diện xin CA 41 Hình 3.18: Cài đặt Network policy and access services 42 Hình 3.19: Cài role service 42 Hình 3.20: Vào network server 43 Hình 3.21: Chọn sách yêu cầu cho VPN 44 Hình 3.22: Chính sách truy cập 44 Hình 3.23: Tạo sách khơng truy cập 45 Hình 3.24 : New network policy truy cập 45 Hình 3.25: New network policy khơng truy cập 46 Hình 3.26: Chính sách cho VPN 47 Hình 3.27: Chọn giao thức kết nối 47 Hình 3.28: Chọn chế mã hóa 48 Hình 3.29: Cài đặt VPN 49 Hình 3.30: Cấu hình IP để VPN cấp 49 Hình 3.31: Enable this enfocenert client 50 Hình 3.32: Start dịch vụ mạng 50 Hình 3.33: Cấu hình VPN Client 51 Hình 3.34: Cấu hình kết nối L2TP 51 Hình 3.35: Kết nối VPN thành công 52 Danh mục viết tắt Số TT Cụm từ Viết tắt 01 Virtual Private Network VPN 02 Transmission Control Protocol/Internet TCP/IP Protocol 03 Internet Service Provider ISP 04 Network Access Server NAS 05 Point to Point Tunneling Protocol PPTP 06 Layer Tunneling Protocol L2TP 07 Internet Protocol Security TPSec 08 Generic Routing Encapsulation GRE 09 Network Policy Server NPS 09 Network Address Translation NAT 10 Terminal Access Controller Access TACACS Controller System 11 Remote Access Dial- In-User Service RADIUS 12 Authentication Authirization Accounting AAA 13 SOCKet Server SOCKS 14 Secure Socket Layer SSL 15 Transport Layer Security TLS CHƯƠNG TỔNG QUAN VỀ VPN 1.1 Khái niệm VPN Hiện giải pháp VPN (Virtual Private Network) thiết kế cho tổ chức có xu hướng tăng cường thơng tin từ xa địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu) Tài nguyên trung tâm kết nối đến từ nhiều nguồn nên tiết kiệm được chi phí thời gian 1.2 Phân loại VPN Có cách chủ yếu sử dụng mạng riêng ảo VPN Trước tiên, mạng VPN kết nối hai mạng với Điều biết đến mạng kết nối LAN to LAN VPN hay mạng kết nối site to site VPN Thứ hai, VPN truy cập từ xa kết nối người dùng từ xa tới mạng 1.VPN truy nhập từ xa( Remote Access) 2.VPN điểm nối điểm (Site to Site) 1.3 Các giao thức VPN 1.3.1 Giao thức PPTP PPTP giải pháp độc quyền cho phép truyền liệu cách an toàn client từ xa server doanh nghiệp việc tạo VPN qua mạng dựa IP 1.3.2 Giao thức L2TP Được phát triển IETF tán thành nhiều hãng lớn như: Cisco, Microsoft, 3Com Asend L2TP kết hợp giao thức VPN trước PPTP L2F Thực tế kết hợp tốt PPTP L2F 1.3.3 Giao thức IPSec IPSec kiến trúc an toàn dựa chuẩn mở, có đặc điểm sau: - Cung cấp tính xác thực, mã hóa, tồn vẹn liệu bảo vệ phát lại - Cung cấp khả tạo tự động làm tươi khóa mật mã cách an tồn 10 Hình 3.16: Cài Active Directory certlcate server Chọn kiểu xin chứng next Hình 3.17: Chọn giao diện xin CA Cứ Next kết thúc trình cài đặt + Cài đặt cấu hình NPS Vào server manager -> roles ->add roles ->Next -> Network policy and access services 41 Hình 3.18: Cài đặt Network policy and access services Next Chọn Network Policy server Routing and Remote Access Next Hình 3.19: Cài role service Next kết thúc trình cài đặt 42 + Cấu hình NPS sau: Satrt -> Administrative Tools ->Network Policy Server Hình 3.20: Vào network server Ở mục Network Access Protection có mục System Health Validators, mục mà ta chọn điều kiện sách cho máy muốn VPN vào Phải đạt u cầu vào cịn khơng khơng vào 43 Hình 3.21: Chọn sách u cầu cho VPN Phải chuột vào Health Policies -> New -> sách phép truy cập ta chọn tất truy cập -> ok Hình 3.22: Chính sách truy cập Phải chuột tạo sách khơng phép truy cập: ta chọn thiếu số điều kiện khơng truy cập 44 Hình 3.23: Tạo sách khơng truy cập Phải chuột vào mục Network policies ->New ->được phép truy cập Hình 3.24 : New network policy truy cập Next ->Add ->Health Policies ->chọn tới sách phép truy cập ta định nghĩa ->Next ->chọn Microsoft Encrylpted Authentication 45 Version ->Next -> mục Nap ta để Allow full Netwrk access ->Next -> Finish + Tương tự Phải chuột vào mục Network policies ->New ->được phép truy cập Hình 3.25: New network policy không truy cập Next ->Add ->Health Policies ->chọn tới sách khơng phép truy cập ta định nghĩa ->Next ->chọn Microsoft Encrylpted Authentication Version ->Next -> mục Nap ta để Allow limited access >Next -> Finish +Phải chuột mục Conection Request Policiex ->New ->chính sách VPN 46 Hình 3.26: Chính sách cho VPN Next ->Add ->tunnel Type -> chọn kiểu VPN L2TP,PPTP Hình 3.27: Chọn giao thức kết nối Next ->override network policy authentication( add chọn kiểu mã hóa) 47 Hình 3.28: Chọn chế mã hóa Next ->Finish Cài đặt cấu hình VPN: Start ->administrative tools ->Routing and Remote -> access Phải chuột vào tên máy VPN bảng routing chọn configure and enable Routing end remote access -> chọn custun -> VPN access ->Nwext >ok 48 Hình 3.29: Cài đặt VPN Phải chuột vào tên máy VPN chọn Properties ->ipv4 -> static address pool ( đánh địa ta định cấp cho VPN) ->ok Hình 3.30: Cấu hình IP để VPN cấp Máy dùng để VPN vào: 49 Ta import chứng compute chứng gốc lúc trước ta xin máy VPN vào Vào MMC chọn tới NAP ->enforcement client ->Enabled (EAP Quarantine EnForcement Client) Hình 3.31: Enable this enfocenert client Vào Services start Network access Protection Agent Hình 3.32: Start dịch vụ mạng Cấu hình kết nối VPN sau: 50 Chọn tab security chọn kiểu xác thực, kiểu kết nối hình ok Hình 3.33: Cấu hình VPN Client Nếu kết nối L2TP ta nhập key vào sau Hình 3.34: Cấu hình kết nối L2TP Sau kết nối ta thấy thành cơng 51 Hình 3.35: Kết nối VPN thành công 52 Kết Luận VPN mạng riêng ảo đem lại cho người dùng an toàn người quản trị người dùng hiểu nguy khơng an tồn mạng VPN cấu hình sử dụng mạng VPN an toàn VPN đem lại mạng an tồn chi phí thấp nên cơng nghệ thơng tin phát triển việc dùng VPN điều tất yếu Người quản trị phải xây dựng hệ thống VPN đủ u cầu an tồn ví dụ dùng CA IPSec hệ thống an tồn Từ việc triển khai báo cáo thực tập tốt nghiệp giúp em biết thêm kiến thức nguy an toàn mạng VPN nắm vững kiến thức an toàn mạng riêng ảo mà em học trừ trước Em tìm hiểu nguyên nhân an toàn VPN cách phòng chống Cuối tầm quan trọng việc xây dựng mạng VPN an toàn doanh nghiệp Mặc dù VPN công nghệ phát triển chưa triển khai doanh nghiệp nước giúp doanh nghiệp tránh việc an toàn liệu thuận lợi việc trao đổi thông tin với đối tác liên lạc với nhân viên Hạn chế: Trong việc thực báo cáo thực tập lần này, thời gian để làm báo cáo ngắn thành việc tìm hiểu nghiên cứu tài liệu nhiều lúc cịn sai sót, tài liệu chưa xác có chỉnh sửa từ trước dẫn đến nhiều chỗ báo cáo chưa xác Phần lý thuyết chương II chưa hoàn thiện em chưa tìm hiểu thơng tin chuyên sâu “các nguy an toàn VPN” nên phần sơ sài 53 Còn phần Chương III khơng có trang thiết bị nên em demo máy ảo mà chưa biết internet Hướng phát triển: Từ trình thực báo cáo thực tập mà em tìm hiểu em nghĩ với nguy an tồn VPN kể triển khai lên mơ hình cho doanh nghiệp để giảm thiểu nguy bị công vào mạng lấy cắp thông tin quan trọng doanh nghiệp 54 Tài liệu tham khảo [1] Giáo trình an toàn mạng riêng ảo (Học Viện Kỹ Thuật Mật Mã) [2] http://penguin-breeder.org/pptp/download/pptp_mschapv2.pdf [3] Bruce Schneier, “Security for Remote Access VPNs”, Network World,2/1998 [4] David Bruce, Yakov Rekhter - (2000) Morgan Kaufmann Publisher- MPLS Technology and Application MPLS_ Cisco.pdf Sinh viên thực Nguyễn Văn Phú 55 ... người dùng VPN ta xây dựng mơ hình VPN an tồn đáp ứng nhu cầu dùng VPN cách thực an tồn VPN cơng nghệ sử dụng phổ biến nhằm cung cấp kết nối an toàn hiệu để truy cập tài ngun nội cơng ty từ bên... trên, họ cần có cơng cụ hữu hiệu Với lý trên, em chọn đề tài ? ?Nguy an toàn VPN xây dựng mơ hình VPN an tồn” làm đề tài thực tập em Nội dung báo cáo chia làm : CHƯƠNG I: TỔNG QUAN VỀ VPN Chương giới... mật mã cách an toàn 10 CHƯƠNG CÁC NGUY CƠ MẤT AN TỒN VPN VPN bị cơng nhiều đường: - Virus - Tấn công vào giao thức VPN - Tấn công cách giải mã - Tấn công từ chối dịch vụ 2.1 Virus VPN đem lại