ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Đỗ Thị Hương Quỳnh NGHIÊN CỨU XÂY DỰNG HỆ THỐNG ĐẢM BẢO AN TOÀN TRUYỀN TIN TRÊN MẠNG VINAPHONE Ngành: Công nghệ thông tin Chuyên nghành: Hệ thống thông tin Mã số: 60 48 05 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Trịnh Nhật Tiến Hà Nội – 2009 LỜI MỞ ĐẦU Công ty Vinaphone công ty trực thuộc Tập đoàn Bưu Viễn thông Việt nam (VNPT) hoạt động lĩnh vực thông tin di động Là mạng di động lớn Việt Nam, Vinaphone luôn cố gắng để thực cam kết thương hiệu nhà cung cấp sản phẩm dịch vụ thông tin di động với chất lượng tốt nhất, đồng thời không ngừng trọng nâng cao chất lượng chăm sóc khách hàng Ngoài trụ sở Hà Nội, Vinaphone thành lập thêm trung tâm khu vực lớn 64 điểm chăm sóc khách hàng khắp tỉnh thành nước Tuy nhiên, vấn đề đặt tất thông tin liên quan đến thuê bao tỉnh thành tập hợp lưu trữ sở liệu thuê bao trụ sở Do đó, để khâu chăm sóc khách hàng đạt hiệu cao đòi hỏi nhân viên điểm có sẵn thông tin liên quan đến thuê bao khu vực phục vụ hoạt động cắt mở dịch vụ, giải khiếu nại, nợ đọng,…Tất thông tin thuê bao thông tin nội công ty, yêu cầu trình truyền thông tin thuê bao từ trụ sở đến điểm phải an toàn, bí mật, thông tin truyền đến phải nguyên vẹn Trên sở tính phân tán đơn vị công ty tiêu chí việc đảm bảo an toàn cho liệu truyền, mạng riêng ảo lựa chọn hàng đầu Vinaphone Mặt khác, để chắn điều người có quyền truy cập vào sở liệu thông tin thuê bao, Vinaphone chọn công nghệ xác thực dựa hai yếu tố RSA SecurID RSA Security để xác thực người dùng Xây dựng hệ thống đảm an toàn truyền liệu quản lý nhân viên thao tác liệu xây dựng phần mềm mạng riêng ảo Cisco kết hợp với thẻ bảo mật RSA SecurID giúp cho công ty Vinaphone hoàn toàn đáp ứng mục tiêu Luận văn thực nhằm mục đí ch “Nghiên cứu xây dựng hệ thống đảm bảo an toàn truyền tin mạng Vinaphone” để đưa lý thuyết vào xây dựng hệ thống thực Nội dung luận văn gồm ba chương bố cục sau: - Chương 1: Giới thiệu kiến thức mạng riêng ảo Cisco - Chương 2: Giới thiệu kiến thức thẻ bảo mật RSA SecureID - Chương 3: Cấu hình, cài đặt mạng riêng ảo sử dụng SecureID để truy cập vào sở liệu thuê bao Vinaphone Chương TỔNG QUAN VỀ CISCO VPN CLIENT 1.1 GIỚI THIỆU CISCO VPN CLIENT Ngày nay, doanh nghiệp thường có xu hướng mở rộng địa bàn hoạt động toàn quốc toàn cầu Thông tin chi nhánh tập hợp quản lý trung tâm ngược lại, thông tin nội công ty gửi đến chi nhánh để cập nhật phục vụ hoạt động doanh nghiệp Do đó, doanh nghiệp, giải pháp để truyền tin an toàn nội doanh nghiệp toán cần phải giải tốt góp phần thực tốt chiến lược kinh doanh Do Internet có phạm vi toàn cầu không tổ chức, phủ cụ thể quản lý nên khó khăn việc bảo mật an toàn liệu việc quản lý dịch vụ Từ người ta đưa mô hình mạng nhằm thỏa mãn yêu cầu mà tận dụng lại sở hạ tầng có Internet, mô hình mạng riêng ảo (Virtual Private Network - VPN) Với mô hình này, người ta đầu tư thêm nhiều sở hạ tầng mà tính bảo mật, độ tin cậy đảm bảo, đồng thời quản lý riêng hoạt động mạng VPN cho phép người sử dụng làm việc nhà, đường hay văn phòng chi nhánh kết nối an toàn đến máy chủ tổ chức sở hạ tầng cung cấp mạng công cộng Nó đảm bảo an toàn thông tin đại lý, người cung cấp Trong nhiều trường hợp VPN giống mạng diện rộng, nhiên đặc tính định VPN chúng dùng mạng công cộng Internet mà đảm bảo tính riêng tư tiết kiệm nhiều Một mạng riêng ảo truy cập từ xa gọi tắt VPN công nghệ kết nối cung cấp kết nối an toàn bí mật cho người dùng truy cập từ xa đến tài nguyên công ty qua mạng Internet Người công ty truy cập từ xa cần phải có phần mềm VPN client cài đặt máy tính kết nối Internet (thông qua Dial-up, broadband ADSL, wifi,…) Cisco VPN Client phần mềm mạng riêng ảo phổ biến sử dụng để cung cấp kết nối truy cập từ xa cho mạng doanh nghiệp Cisco VPN Client cho Windows chương trình phần mềm chạy máy tính sở Microsoft Windows Cisco VPN Client máy điều khiển từ xa giao tiếp với Cisco VPN server mạng doanh nghiệp với nhà cung cấp dịch vụ, tạo kết nối an toànqua Internet Thông qua kết nối để truy cập đến mạng riêng giống người dùng chỗ Máy chủ xác minh kết nối đến phải có sách cập nhật trước thiết lập kết nối đó.[1] Khi người dùng điều khiển từ xa, phải kết nối đến mạng Internet, sau sử dụng VPN Client để truy cập an toàn tới mạng riêng doanh nghiệp qua Cisco VPN server có hỗ trợ Cisco VPN Client Cấu hình sau cách cài đặt cho ứng dụng điều khiển từ xa sử dụng Cisco VPN Client để kết nối an toàn qua mạng Internet đến mạng công ty Hình 1.1 Sơ đồ kết nối Cisco VPN Client Đầu tiên người điều khiển từ xa kết nối đến nhà cung cấp dịch vụ mạng (ISP) Tiếp theo, khởi động Cisco VPN Client cài đặt máy thiết lập kết nối đến máy chủ VPN đặt công ty Máy chủ VPN tường lửa Cisco (PIX hay ASA), tập trung Cisco VPN định tuyến Cisco với phần mềm IPSec Mỗi kết nối VPN thiết lập, người dùng truy cập từ xa giao tiếp với máy chủ công ty tài nguyên giống máy nội công ty 1.2 CÁC THÀNH PHẦN CHÍNH CỦA CISCO VPN CLIENT 1/ Bộ định tuyến (Cisco VPN Router) Những router tạo hạ tầng mạng, cho phép truy cập nhanh an toàn vào ứng dụng kinh doanh với độ bảo mật cao 2/ Tường lửa an toàn Cisco PIX (Cisco Private Internet Exchange Firewall) Tường lửa PIX thành phần giải pháp bảo mật Cisco, bảo mật phần cứng phần mềm, đáp ứng bảo mật mạng mức độ cao mà không ảnh hưởng đến hoạt động mạng PIX thiết bị lai kết hợp đặc điểm công nghệ lọc gói tin máy chủ uỷ quyền (proxy server) 3/ Nhóm thiết bị tập trung Cisco VPN (Cisco VPN Concentrator series) Thiết bị tập trung Cisco VPN 3000 sử dụng RSA SecurID Authentication để cung cấp trình xác thực hai yếu tố thông qua chế xác thực RSA SecurID xác thực RADIUS cho kết nối IPSec VPN lẫn SSL VPN Để giao tiếp cách dễ dàng thiết bị tập trung Cisco VPN thiết bị quản lý xác thực RSA (RSA Authentication Manager) hay thiết bị RSA SecurID (RSA SecurID Appliance), phải thêm ghi Agent Host vào sở liệu RSA Authentication Manager sở liệu RADIUS Server (nếu sử dụng RADIUS) Bản ghi Agent Host nhận dạng thiết bị tập trung Cisco VPN sở liệu chứa thông tin cách thức giao tiếp thông tin mã hóa 4/ Phần mềm đảm bảo an toàn Cisco VPN (Cisco Secure VPN Client) Cisco Secure VPN Client chương trình chạy hệ điều hành Window, cho phép bảo mật việc truy cập từ xa tới định tuyến Cisco tường lửa PIX Cisco Secur VPN Client cho phép thiết lập hành lang an toàn mạng riêng ảo nối từ xa 5/ Hệ thống phát xâm nhập an toàn máy quét an toàn Thường sử dụng để giám sát kiểm tra vấn đề an toàn mạng riêng ảo o Hệ thống phát xâm nhập (Cisco Secure Intrusion Detection System) Cung cấp chế phát xâm nhập cách hoàn chỉnh Cisco đưa giải pháp an toàn cách toàn diện rộng khắp cho việc chống lại xâm nhập bất hợp pháp, sâu mạng có hại, với băng thông rộng công vào ứng dụng thương mại điện tử o Máy quét (Cisco Secure Scanner) Cho phép doanh nghiệp chuẩn đoán sửa chữa vấn đề an toàn thông tin môi trường mạng Sử dụng máy quét với tường lửa, hệ thống phát xâm nhập độ đo an toàn khác để đảm bảo tính bảo mật theo chiều sâu 6/ Chương trình quản lý sách an toàn công cụ quản lý mạng Cung cấp việc quản lý hệ thống mạng riêng ảo rộng khắp: o Chương trình quản lý sách an ninh (Cisco Secure Policy Manager) Hoạt động vị trí trung tâm mạng phân phối sách an ninh cho thiết bị khác mạng, bao gồm định tuyến Cisco, tường lửa, thiết bị mạng riêng ảo hệ thống phát xâm nhập o Công cụ quản lý mạng Cisco (CiscoWorks 2000) Là tập hợp sản phẩm quản lý mạng Cisco, quản lý chuyển mạch, định tuyến tường lửa Cisco Công cụ quản lý mạng Cisco đơn giản hoá trình cấu hình, quản lý điều khiển mạng Cisco, đồng thời tối đa tính tính an toàn thông qua việc tích hợp với dịch vụ điều khiển truy cập theo thay đổi mạng 1.3 CÁC THÀNH PHẦN CẦN THIẾT ĐỂ TẠO KẾT NỐI VPN Để tạo kết nối VPN, cần có thành phần sau đây: 1/ Hệ thống xác thực người dùng (User Authentication) Cung cấp chế chứng thực người dùng, cho phép người dùng hợp lệ kết nối truy cập hệ thống VPN Cơ chế xác nhận người dùng thường triển khai điểm truy cập dùng để xác nhận cho người dùng truy cập vào tài nguyên bên mạng Kết có người dùng hợp lệ truy cập vào bên mạng, điều làm giảm đáng kể truy cập bất hợp pháp vào liệu lưu trữ mạng 2/ Hệ thống quản lý địa (Address Management) Cung cấp địa IP hợp lệ cho người dùng sau gia nhập hệ thống VPN để truy cập tài nguyên mạng nội 3/ Hệ thống mã hóa liệu (Data Encryption) Cung cấp giải pháp mã hoá liệu trình truyền nhằm bảo đảm tính riêng tư toàn vẹn liệu 4/ Hệ thống quản lý khoá (Key Management) Cung cấp giải pháp quản lý khoá dùng cho trình mã hoá giải mã liệu 1.4 THỦ TỤC THIẾT LẬP MỘT KẾT NỐI VPN Quá trình thiết lập kết nối VPN gồm bước sau: 1/ Máy khách (VPN Client) có nhu cầu kết nối tạo kết nối (VPN Connection) tới máy chủ cung cấp dịch vụ (VPN Server) thông qua kết nối Internet 2/ Máy chủ cung cấp dịch vụ chứng thực cho kết nối cấp phép cho kết nối 3/ Bắt đầu trao đổi liệu máy khách Cisco VPN mạng công ty 1.5 CÁC ỨNG DỤNG CỦA CISCO VPN CLIENT Cisco VPN Client có ứng dụng sau, cho phép lựa chọn từ trình đơn Programs[1]: Hình 1.2 Các ứng dụng Cisco VPN Client Theo thứ tự sử dụng ứng dụng sau:  Help: Hiển thị hướng dẫn trực tuyến với dẫn sử dụng ứng dụng  VPN Dialer: Cho phép cấu hình kết nối tới VPN server cho phép bắt đầu kết nối  Certificate Manager: Cho phép kết nạp chứng để xác thực kết nối đến VPN server  Log Viewer: Cho phép hiển thị kiện từ ghi kiện  Uninstall VPN Client: Cho phép loại bỏ cách an toàn phần mềm VPN Client từ hệ thống tiếp tục kết nối với cấu hình xác thực  SetMTU: Cho phép thay đổi tay kích thước tối đa khối truyền 1.6 NGUYÊN TẮC HOẠT ĐỘNG CỦA CISCO VPN CLIENT Cisco VPN Client làm việc với Cisco VPN server để tạo kết nối an toàn, xem “hành lang an toàn” cho kết nối gọi tunnel, máy tính mạng riêng Nó sử dụng giao thức IKE (Internet Key Exchange) IPSec (Internet Protocol Security) để tạo quản lý kết nối an toàn 1.6.1 Giao thức IPSec Giao thức IPSec (Internet Protocol Security) có quan hệ tới số giao thức (AH, ESP, FIP-140-1, số chuẩn khác), phát triển Tổ chức quản lý kỹ thuật Internet (IETF) Mục đích việc phát triển IPSec cung cấp cấu an toàn tầng (Network layer) mô hình OSI Mọi giao tiếp mạng sở IP dựa giao thức IP Do đó, chế an toàn cao tích hợp với giao thức IP, toàn mạng bảo vệ giao tiếp qua tầng 1.6.2 Giao thức IKE Giao thức IKE giao thức nằm giao thức IPSec IPSec dùng giao thức để thỏa thuận giao thức bảo mật thuật toán mã hóa Một phần quan trọng nữa, IPSec phân phối kiểm tra khóa mã cập nhật khóa yêu cầu IKE giúp cho thiết bị tham gia mạng riêng ảo trao đổi với thông tin mã hóa nào? Mã hóa thuật toán gì? Bao lâu mã hóa lần? IKE có tác dụng tự động thỏa thuận sách an ninh thiết bị tham gia mạng riêng ảo Do IKE giúp cho IPSec áp dụng cho hệ thống mạng mô hình lớn Trong trình trao đổi khoá, IKE dùng thuật toán mã hóa bất đối xứng gồm khóa công khai khoá riêng để bảo vệ việc trao đổi key thiết bị tham gia mạng riêng ảo TÀI LIỆU THAM KHẢO Tiếng Anh Cisco System (2004), VPN Client User Guide for Windows, Corporate Headquarters Cisco Systems , USA Friend, R (1998), “IP Payload Compression Using LZS”, RFC2395, CA Pradosh Kumar Mohapatra and Mohan Dattatreya (2002), IPSec VPN Fundamentals, TechOnline community, USA Mudge and Kingpin (2001), Initial Cryptanalysis of the RSA SecurID Algorithm Peiterz, Weaknesses In SecurID Shacham, A (1998), "IP Payload Compression Protocol (IPComp)", RFC 2393, CA Adam Shostack (1996), Apparent Weaknesses in the Security Dynamics Client/Server Protocol Internet http://en.wikipedia.org/wiki/SecurID http://www.cisco.com 10 http://www.rsa.com 11 http://www.vnexperts.com/bai-viet-ky-thuat/security/629-gii-phap-an-ninh-bomt-ca-rsa.html [...]... việc với một Cisco VPN server để tạo ra một kết nối an toàn, được xem như “hành lang an toàn cho kết nối và gọi là một tunnel, giữa máy tính và mạng riêng Nó sử dụng các giao thức IKE (Internet Key Exchange) và IPSec (Internet Protocol Security) để tạo và quản lý kết nối an toàn 1.6.1 Giao thức IPSec Giao thức IPSec (Internet Protocol Security) có quan hệ tới một số bộ giao thức (AH, ESP, FIP-140-1, và... quản lý kỹ thuật Internet (IETF) Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu an toàn ở tầng 3 (Network layer) của mô hình OSI Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên các giao thức IP Do đó, khi một cơ chế an toàn cao được tích hợp với giao thức IP, toàn bộ mạng được bảo vệ bởi vì các giao tiếp đều đi qua tầng 3 1.6.2 Giao thức IKE Giao thức IKE là một trong những... nối  Certificate Manager: Cho phép kết nạp các chứng chỉ để xác thực các kết nối đến các VPN server  Log Viewer: Cho phép hiển thị các sự kiện từ các bản ghi sự kiện  Uninstall VPN Client: Cho phép loại bỏ một cách an toàn các phần mềm VPN Client từ hệ thống và tiếp tục kết nối cùng với các cấu hình xác thực  SetMTU: Cho phép thay đổi bằng tay kích thước tối đa của các khối truyền 1.6 NGUYÊN TẮC... các giao thức bảo mật và các thuật toán mã hóa Một phần quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi được yêu cầu IKE giúp cho các thiết bị tham gia mạng riêng ảo trao đổi với nhau các thông tin như mã hóa thế nào? Mã hóa bằng thuật toán gì? Bao lâu mã hóa 1 lần? IKE có tác dụng tự động thỏa thuận các chính sách an ninh giữa các thiết bị tham gia mạng riêng ảo... giữa các thiết bị tham gia mạng riêng ảo Do đó IKE giúp cho IPSec có thể áp dụng cho các hệ thống mạng mô hình lớn Trong quá trình trao đổi khoá, IKE dùng thuật toán mã hóa bất đối xứng gồm bộ khóa công khai và khoá riêng để bảo vệ việc trao đổi key giữa các thiết bị tham gia mạng riêng ảo TÀI LIỆU THAM KHẢO Tiếng Anh 1 Cisco System (2004), VPN Client User Guide for Windows, Corporate Headquarters Cisco... Windows, Corporate Headquarters Cisco Systems , USA 2 Friend, R (1998), “IP Payload Compression Using LZS”, RFC2395, CA 3 Pradosh Kumar Mohapatra and Mohan Dattatreya (2002), IPSec VPN Fundamentals, TechOnline community, USA 4 Mudge and Kingpin (2001), Initial Cryptanalysis of the RSA SecurID Algorithm 5 Peiterz, Weaknesses In SecurID 6 Shacham, A (1998), "IP Payload Compression Protocol (IPComp)", RFC 2393,... Security Dynamics Client/Server Protocol Internet 8 http://en.wikipedia.org/wiki/SecurID 9 http://www.cisco.com 10 http://www.rsa.com 11 http://www.vnexperts.com/bai-viet-ky-thuat/security/629-gii-phap -an- ninh-bomt-ca-rsa.html ... ứng mục tiêu Luận văn thực nhằm mục đí ch Nghiên cứu xây dựng hệ thống đảm bảo an toàn truyền tin mạng Vinaphone để đưa lý thuyết vào xây dựng hệ thống thực Nội dung luận văn gồm ba chương... phép thiết lập hành lang an toàn mạng riêng ảo nối từ xa 5/ Hệ thống phát xâm nhập an toàn máy quét an toàn Thường sử dụng để giám sát kiểm tra vấn đề an toàn mạng riêng ảo o Hệ thống phát xâm nhập... dùng Xây dựng hệ thống đảm an toàn truyền liệu quản lý nhân viên thao tác liệu xây dựng phần mềm mạng riêng ảo Cisco kết hợp với thẻ bảo mật RSA SecurID giúp cho công ty Vinaphone hoàn toàn đáp